Sicher über Internet und Mobilfunk

elektro Automation: Der Fernzugriff via Modem als Punkt-zu-Punkt-Verbindung ist sicher und hat sich bewährt. Wieweit ist er heute von der IP-basierenden Fernwartung abgelöst?

Boysen: Die IP-basierende Fernwartung setzt sich immer mehr durch, speziell bei der Kommunikation per Mobilfunk. Dieser Trend wird stark durch die Netz-Anbieter getrieben, weniger durch die Kunden. Maschinen und Anlagen, die über Mobilfunk vernetzt werden, sind zu 80 % IP-basierende Fernwartungs-Lösungen; Tendenz steigend.

Hoffmann: Zum reinen Transport serieller Protokolle verlieren Modemverbindungen zunehmend an Bedeutung. Wegen der weltweit hohen Verbreitung analoger Leitungen behält die Technik aber weiterhin eine gewisse Attraktivität. Während man früher über analoge Modemverbindungen seriell kommuniziert hat, nutzt man heute Modemverbindungen für den Transport von IP-Paketen. Zwischen zwei Modems wird ein PPP-Netzwerk gebildet. Das sich dabei einwählende Modem bekommt von einem Modem-Router eine IP-Adresse zugeordnet, sodass über die PPP-Verbindung die Netze in der Zentrale mit denen vorort verbunden sind. Zwar sind solche Verbindungen auf die übliche Modemgeschwindigkeit von 33,6 kbaud begrenzt, zum Abruf von Statusinformationen und zum Up- und Download von Steuerungsprogrammen für den Maschinenbau sind solche Verbindungen aber dennoch geeignet. Ein weiterer Vorteil dieser Art der Kommunikation besteht darin, dass der Kanal über eine private sichere Wählleitung geführt wird. Werden höhere Bandbreiten benötigt, z.B. für Video-Übertragung oder größere Steuerungsprogramme, geht der Trend ganz klar Richtung Breitband-basierende Kommunikation. Das können z.B. LAN-basierende Kommunikationskanäle über DSL sowie das Firmennetzwerk sein oder immer häufiger auch über Mobilfunk angebundene Lösungen. Klassische Anwendungen der Modemkommunikation sind z.B. die Zählerfernauslesung oder der Fernzugriff auf Low-Level-Steuerungen, die keinen IP-Stack haben. Auch werden Modemverbindungen heute gerne als Fallback für LAN-Verbindungen genutzt. Der LAN-Router kann dann als Redundanz-Weg einen sogenannten Dial-Out ins Internet über das Modem ausführen. Selbstverständlich sind in Deutschland und Europa die analogen Netze gut ausgebaut, aber auch in Nord-Amerika und Asien ist eine hohe Verbreitung vorhanden. ISDN z.B. spielt hauptsächlich in Deutschland und eingeschränkt in Europa eine Rolle, weltweit ist es unbedeutend.

Hoock: Der Fernzugriff via Modem über die klassischen Telefonnetze und eigene Standleitungen hat auch in Zukunft noch seine Berechtigung und bietet eine einfache und bewährte Möglichkeit für Ferndiagnose und Fernwartung von Maschinen und Anlagen. Hierfür bietet Siemens ein umfangreiches Produktspektrum, beispielsweise mit Produkten wie dem Teleservice-Adapter IE- Basic. Darüber hinaus bietet Siemens Produkte für sichere Teleservice-Lösung über IP-basierende Netze und Internet, die mit der Umstellung der Netzinfrastruktur von analog zu digital zunehmend an Bedeutung gewinnen werden. Diese Netze bieten eine höhere Verfügbarkeit der Fernkopplung und höhere Bandbreite und ergänzen die obengenannten Teleservice-Lösungen.

Körte: Die Kommunikation über Modem-Wählverbindungen ist auch heute noch ein bedeutendes Element in der industriellen Fernwartung, da in vielen Ländern, wo deutsche Maschinen zum Einsatz kommen, die vorhandene Infrastruktur nur analoge Telefonleitungen bietet. Es besteht aber der eindeutige Trend zur Anwendung der IP-basierenden Fernwartung, und das Internet als Datentransfer-Basis wird aufgrund seiner deutlichen Vorteile die klassische Wählverbindung via Modem in den nächsten Jahren weitgehend ersetzen. Die Internet-basierende Fernwartung erhöht jedoch die Anforderungen an das technische Personal bei Inbetriebnahme und Wartung dieser wesentlich komplexeren Technologie. Hier sind die Anbieter gefordert, das Augenmerk nicht nur auf technische Features, sondern auf eine, den Telefonmodems vergleichbare, einfache Handhabung zu legen.

Müller: Schon 1992 haben wir bei Exor das erste Mal erfolgreich eine Punkt-zu-Punkt-Verbindung zu einer Anlage in Belgien via Akkustikkoppler und C-Netz-Mobiltelefon von Israel aus genutzt. Diese Technik war jedoch von Begin an nicht ausreichend leistungsfähig; ich empfand sie schon damals als erheblich zu langsam. Wer aber heute fast 20 Jahre später immer noch nicht ernsthaft über diese Thematik nachdenkt und daran arbeitet, auf IP-basierende Technik umzusteigen, benötigt entweder gar keine Fernwartung oder stellt nur äußert geringe Anforderungen. Speziell in neuen Märkte und bei Applikationen mit kontinuierlich wachsender Kommunika- tion, wie es etwa die Smart-Grids in der zukünftigen Energieversorgung darstellen, wird Fernwartung ausschließlich auf Basis IP-basierender Kommunikation möglich sein.

Prang: Die altbewährte Modem-Modem-Verbindung ist auch heutzutage immer noch eine häufig genutzte Art des Fernzugriffs. Sie ist oftmals schnell und einfach installiert, da diese Verbindung auf bewährten und seit langem bekannten und angewendeten Technologien aufsetzt. Allerdings wird es immer schwieriger, geeignete Telefonleitungen in den Unternehmen direkt an der Anlage zu erhalten. Ebenso geht der Wunsch nach Flexibilität immer weiter voran, sodass der Servicetechniker ortsunabhängig den Zugriff auf die Anlage realisieren und nicht mehr auf das Modem und die Telefonleitung auf seiner Seite angewiesen sein möchte. Aber auch wegen des Geschwindigkeitsvorteils werden heutzutage immer mehr die IP-basierenden Lösungen bevorzugt und auch sicher und zuverlässig eingesetzt.

Schirmer: Die IP-basierende Fernwartung hat die herkömmliche Art der Fernwartung noch nicht vollständig abgelöst, da immer noch sehr viele ältere Anlagen in Betrieb sind. In der Regel werden diese vorhandenen Anlagen nicht auf IP-basierende Techniken umgerüstet. Man kennt auch hier in der Automatisierungswelt den Satz „Never touch a running system". Wir merken jedoch, dass IP-basierende Lösungen immer häufiger angefragt und angestrebt werden. Insbesondere, da diese Art der Fernwartung, wenn sie entsprechend abgesichert ist, sehr viele Vorteile mit sich bringt.

elektro Automation: Wie schätzen Sie die Bedeutung der drahtloses Datenübertragung z.B. über GSM/GPRS/UMTS ein und wann bietet Wireless Vorteile?

Boysen: Die Kommunikation per Mobilfunk wird in Industrie-Anwendungen ähnlich starke Wachstumsraten zeigen, wie wir sie aus dem Konsumer-Bereich kennen. Ich nenne drei typische Beispiele, in denen Mobilfunk bereits häufig eingesetzt wird: 1: Die Komponente befindet sich in einer mobilen Einheit. 2. Am geplanten Standort ist kein Festnetz-Anschluss vorhanden. 3. Der Endkunde ermöglicht es dem Maschinen- oder Anlagenlieferanten nicht, sein lokales Netzwerk zu nutzen.

Hoffmann: Durch die Einführung von Breitband-Mobilfunk-Standards wie UMTS und HSPA findet der mobile Zugriff auf Anlagen immer größere Akzeptanz. Waren die Nachteile bei GSM und GPRS gegenüber Festnetz noch eine geringe Bandbreite und hohe Latenzzeiten, so bewegt man sich z.B. bei HSPA schon im Bereich der Übertragungsraten eines LAN-Netzwerkes. Wesentlicher Vorteil des Mobilfunks im Vergleich zu Festnetz wie LAN ist der unabhängige Netzzugang. Der für die Fernwartung einer Anlage Verantwortliche muss nicht erst aufwendige Genehmigungsverfahren abwarten, damit Zugriffe von außen und das Öffnen von Firewall-Ports möglich sind. Der Mobilfunkrouter vorort bietet vielemehr den eigenen privaten Zugang zur Anlage über das drahtlose Mobilfunknetz und das Internet. Selbstverständlich kommen hierbei heute Sicherheitsmechanismen wie VPN und Firewall zum Einsatz. Die Unabhängigkeit von Entscheidungen und der Zugriff, die Flexibilität und auch die Kostentransparenz sprechen hier klar für den Breitband-Mobilfunk. Sind kein UMTS oder HSPA verfügbar oder ist der Funk aus EMV-Gründen nicht zulässig, scheidet Fernwartung per Mobilfunk meist aus. GSM-basierende Lösungen ersetzen lediglich analoge Modems durch eine CSD-Wählverbindung über das GSM-Netz. GPRS und EDGE bieten den Vorteil, dass sie flächendeckend verbreitet sind. Sie sind in ihrer Latenzzeit jedoch deutlich schlechter als Analog und ISDN.

Hoock: Die Mobilfunkkommunikation wird für Remote-Access-Anwendungen immer wichtiger, da sie gegenüber kabelgebundenen Systemen eine größere Flexibilität und oftmals geringere Kosten mit sich bringt. Das weltweit verbreitete GSM-Netz ist die Grundlage unterschiedlicher Dienste für eine Datenübertragung im Bereich der industriellen Automation sowohl für die Fernwartung (Teleservice) als auch für die Prozessdatenkommunikation in einem Fernwirksystem (Telecontrol). Siemens bietet der Industrie mit bereits verfügbaren Produkten für GSM und GPRS sowie mit neuen UMTS-Routern ein breites Angebot von Lösungen für Teleservice und Telecontrol über Mobilfunknetze. Gegenüber preiswerteren Anwendungen auf Basis von GPRS erlaubt UMTS eine weitaus größere Bandbreite – mit der Möglichkeit, auch Massendaten oder Bilder zu übertragen.

Körte: Die GSM-basierende, drahtlose Datenübertragung eröffnet neue Anwendungsmöglichkeiten bei der Steuerung und Überwachung von Prozessen, die bisher dem Fernzugriff verschlossen waren. Neben der Integration von unbemannten Stationen in der Versorgungs- und Energietechnik bieten die mobilen Anwendungen, z.B. im Flottenmanagement bei Speditionen oder bei beweglichen Anlagenteilen, gewaltige Wachstumspotentiale. Durch die deutlich gesunkenen Kosten für GPRS-Verträge mit unbegrenztem Übertragungsvolumen ist die drahtlose Datenübertragung inzwischen eine echte Alternative zu ADSL/VDSL-Internet-Zugängen, zumal der freie Zugang zum ADSL-Router in Firmen-Netzwerken oft durch die Bestimmungen der IT-Abteilungen blockiert ist. Hier bietet ein GPRS/UMTS-Router dem Maschinen- und Anlagenbauer einen völlig unabhängigen Zugang für die Fernwartung seiner Systeme.

Müller: Es gibt eine Menge an Beispielen, die zeigen, welche Bedeutung die Mobilkommunikation heute erreicht hat. Ob als Komponente eines Parksystems, zur Steuerung der Straßenbeleuchtung oder zur Entriegelung einer Wegfahrsperre im Auto, Wireless-Kommunikation über GPRS und HSPDA bietet im Alltag Unabhängigkeit, Flexibilität, Sicherheit und Komfort. Bezogen auf den Komfort bietet HSPDA auch für industrielle Anwendungen genügend Bandbreite. Es lassen sich über Tausende von Kilometern in Sekunden Daten übertragen, erkennen sowie analysieren und Anlagen schalten. Im Zeitalter dezentraler Energieerzeugung sind dies unerlässliche Funk- tionalitäten.

Prang: Mit den Mobilfunk-Verbindungen ist man unabhängig von der Infrastruktur des Endkunden. Dies ist ein immenser Vorteil, da der Anlagen- und Maschinenbauer hier jederzeit und nahezu unbeschränkt weltweit auf seine Anlagen zugreifen kann. Und – dank UMTS und HSDPA – auch in DSL-ähnlichen Geschwindigkeiten. Allerdings stellt sich hier oft die Frage, wer Vertragspartner der SIM-Karte und damit des Mobilfunkvertrags ist. Meist wird dies dann so geregelt, dass der Anlagen-/Maschinenbauer während der Garantiezeit den Vertrag unterhält, und danach der Anlagenbetreiber dafür verantwortlich ist.

Schirmer: Die drahtlose Kommunikation ist in sehr vielen Bereichen unerlässlich und unumgänglich. Dafür gibt es viele Beispiele. Wenn an einer einzelnen Pumpstation keine Möglichkeit besteht, eine Telefon- oder DSL-Leitung zu verwenden, kann auf die mobile Wireless-Variante zurückgegriffen werden. Somit liegen die Vorteile hauptsächlich in Anwendungen, bei denen keine herkömmliche kabelgebundene Verbindung verwendet werden kann.

elektro Automation: Sicherheit bei der Datenübertragung ist eine entscheidende Voraussetzung für die Akzeptanz der Fernwartung. Welche Rolle spielen Kommunikationstechniken wie Firewall, VPN oder die Einrichtung spezieller Fernwartungsportale für die Sicherheit in der Datenkommunikation?

Boysen: Eine sichere Kommunikation wird zukünftig selbstverständlich sein. Firewall, VPN und Co. werden immer wichtiger, sollen den Kunden aber so wenig wie möglich behindern. Die Herausforderung besteht darin, intelligente Produkte für den Endanwender zu entwickeln, die ihm die komplexe Konfiguration größtenteils abnehmen.

Hoffmann: Moderne IP-basierte Fernzugriffskonzepte kommunizieren heute überwiegend über das Internet. Die große Chance besteht in der weltweiten Verbreitung und in den standardisierten Zugriffsmethoden sowie in der hohen Bandbreite. Nachteile sind die bekannten Gefahren des Internets als eines öffentlichen Kommunikationsmediums. Daten könnten mitgehöhrt und aufgezeichnet werden und der Zugriff auf Anlagen ist prinzipiell möglich. Um das zu verhindern, bietet die moderne IT-Welt jedoch ausreichend Schutzmechanismen. Zum einen den VPN-Tunnel, der quasi als ein von der Kundenanlage bis zur Zentrale durchgezogenes LAN-Kabel arbeitet. Durch diesen VPN-Tunnel können private IP-Pakete über das öffentliche Internet transportiert werden, ohne dass jemand den Inhalt entschlüssel kann. Man bedient sich hierbei sogenannter zertifikatsbasierter Verschlüsselung. Dabei lässt sich grundsätzlich einschränken, wer mit wem kommunizieren darf und welche Daten ausgetauscht werden dürfen. Die Firewall legt andererseits fest, welche Funktionen darüber hinaus genutzt werden dürfen. Hier spielt die Kommunikationsrichtung, also die ein- oder ausgehende Kommunikation eine Rolle sowie die IP-Adresse oder der Protokoll-Typ. Ohne diese Schutzmechanismen werden diese IP-basierenden Techniken heute kaum angewendet. Speziell bei Mobilfunklösungen bietet der VPN-Tunnel neben der Schutzfunktion auch die Erreichbarkeit von außen über das Internet. Mobilfunknetze sind grundsätzlich vom Internet kommend nicht erreichbar. Erst der VPN-Tunnel, der vom Mobilfunknetz in Richtung Internet aufgebaut wird, lässt einen TCP-Verbindungsaufbau in Richtung Mobilfunk- netz zu.

Hoock: Die Nutzung IP-basierender Netze und des Internets für Remote-Access-Lösungen muss mit höheren Sicherheitsmaßnahmen einhergehen, denn hier kann nicht ausschließlich von firmeneigenen Intranetverbindungen ausgegangen werden. Vielmehr verlaufen die Verbindungen auch über DSL, GPRS, EGPRS oder UMTS; also über öffentliche Netze. Zur Sicherung der Datenübertragung verfolgt Siemens hier das Zellenschutzkonzept. Die Anbindung der einzelnen Zellen für den Fernzugriff erfolgt gesichert per VPN und Firewall. Insgesamt steht Industrie-Unternehmen eine ganze Bandbreite von Lösungen, wie etwa die Scalance-S-Reihe, für besonders sichere Datenübertragung zur Verfügung. Zusätzlich steht mit dem Dienstleistungskonzept der Siemens-Remote-Services eine gesicherte und performante Plattform für den Fernzugriff auf Maschinen und Anlagen zur Verfügung. Die Einbindung von „Shared Experts" ermöglicht eine effektive Unterstützung – durch Siemens sowie die unternehmenseigenen Spezialisten.

Körte: Da die IP-basierende Kommunika- tion keine dedizierte Adressierung – wie bei der klassischen Telefonverbindung – bietet und die Übertragungswege über das Internet nicht kalkulierbar sind, ist die Sicherung der Datenübertragung eine essentielle Voraussetzung für die sinnvolle Anwendung dieser Technologie. Die Sicherheit wird zum einen über eine Firewall im Router zur Absicherung gegen Angriffe aus dem Internet und zum anderen über VPN-Protokolle zur Verschlüsselung der übertragenen Daten gewährleistet. Aufgrund der speziellen Adresskodierung der Mobilfunk-Provider sind die sogenannten Fernwartungsportale ein unverzichtbares Element für eine einfach nutzbare GPRS/UMTS-basierende Fernwartung, da diese Portale die unkomplizierte Client-Adressierung von räumlich verteilten Routern überhaupt erst möglich machen.

Müller: Sicherheit im Internet ist, wie an vielen aktuellen Beispielen deutlich wird, immer etwas Variables. Jeder muss dabei für sich selber entscheiden, wie hoch das vertretbare Restrisiko sein darf. Danach richtet sich der Aufwand für Security, was sich an einem Beipsiel aus dem eher privaten Bereich verdeutlichen lässt: Während Informationen über die aktuelle oder gelieferte Leistung einer Photovoltaikanlage vollkommen unkritisch sind, ist es nicht egal, ob jemand Zugang beispielsweise zu einem Blockheizkraftwerk hat und es ein- oder ausschalten kann. Aber auf der anderen Seite ist es sinnvoll, den Stadtwerken Gelegenheit zu geben, dieses BHKW in ihr virtuelles Kraftwerk einbinden und steuern zu können. Diese Funktionalität bietet nur das Internet. Doch für fast jedes Sicherheitsbedürfnis gibt es auch eine Lösung, wobei ein Restrisiko letztendlich bleibt.

Prang: Sobald man über IP-basierende Verbindungen spricht, spricht man auch vom Internet. Und da spielt Sicherheit eine große Rolle. So sollten Verbindungen von einem PC zu einer Anlage stets über einen VPN-Tunnel abgewickelt werden. Nur dann sind die Integrität und der Schutz der Daten auch tatsächlich gewährleistet. Da diese Remote-Verbindungen in den meisten Fällen über firmeneigene Firewalls laufen, spielt die korrekte Einrichtung dieser Firewall eine entscheidende Rolle, da die Sicherheit des gesamten Firmennetzwerkes gewährleistet werden muss. Hierbei helfen nun die Fernwartungsportale wie das seit 5 Jahren etablierte Talk2M, die mit einem Rendezvous-Server arbeiten. Dadurch arbeitet man nur mit ausgehenden Verbindungen aus dem Firmennetzwerk, was dessen Sicherheit in keiner Weise beeinträchtigt.

Schirmer: Auch wir als Hersteller von Fernwartungskomponenten merken zunehmend, dass die Sicherheit für Kunden eine sehr große Rolle spielt. Unsere Kunden fragen nach entsprechenden Sicherheitsstandards, da diese wiederum von deren Kunden gefordert werden. Auch durch die allgemeinen Medien werden wir für diese Thematik sensibilisiert. Man beachte nur die aktuellen Meldungen. Dies ist natürlich berechtigt und wegen der Offenheit des Internets sind Sicherheitskomponenten wie VPN und Firewall unerlässlich. Durch die Komplexität der verschiedenen Techniken macht es Sinn, spezielle Fernwartungsportale, wie myREX24.net, zu nutzen. Sie erleichtern dem Kunden das Einrichten und erweitern den Einsatzbereich der Fernwartungskomponenten.