Nachdem wir uns in den vorangegangenen Artikeln bereits intensiv mit der Anforderungsanalyse, Integration in die Bestandsinfrastruktur und zugehöriger Organisation und Prozessen beschäftigt haben, schließen wir das Thema Fernwartung in diesem Artikel ab. Dabei betrachten wir die Herausforderungen und Probleme, die beim Betrieb der Lösung auftreten können und geben Ihnen hilfreiche Tipps, wie Sie damit umgehen können.

Datenschutz und Fernwartung

Datenschützer aufgepasst! Auch bei der Durchführung von Fernwartungen fallen unter Umständen personenbezogene Daten an, die vor allem nach der am 25. Mai 2018 in Kraft getretenen Datenschutz Grundverordnung (DS-GVO) besonders behandelt werden müssen. Vor allem müssen Richtlinien und entsprechende Prozesse für die innerhalb einer Fernwartung erhobenen Daten verfasst werden. Im Schutz steht aus diesem Blickwinkel in erster Linie das Personal Ihres Wartungsanbieters.

Auch aus umgekehrter Sichtweise müssen Vorkehrungen getroffen werden. Sie sollten sich dazu ebenfalls die Frage stellen, auf welche personenbezogenen Daten das Wartungspersonal Zugriff hat. Rechtliche Vorsicht ist ebenfalls bei Fernwartung durch ausländische Stellen geboten. Hier muss geprüft werden, inwiefern etwaige Datenschutzbestimmungen bei der Fernwartung über Landesgrenzen hinweg beachtet werden müssen. Eine pauschale Antwort gibt es hierzu leider nicht. Auch aus rechtlichen Gründen sollten Sie zu diesem Thema mit Ihrem Fachanwalt für IT-Recht sprechen.

Unterschiedliche Mitarbeiterakzeptanz

Beim Betrieb und der Steuerung von Fernwartungsverbindungen hängt viel von Ihren Mitarbeitern ab. Teilweise stellen diese sich allerdings die Frage, weshalb die damit verbundenen Vorgaben so umfangreich ausfallen. Reicht nicht auch weniger?

„Man benötigt doch einfach nur Internet an der Maschine?“

Leider nicht ganz. Wie bereits in den vorherigen Artikeln dieser Serie erläutert, können mit dem Einsatz von Fernwartung an den Herzstücken Ihrer Anlage auch deutliche Risiken für deren Betrieb einhergehen. Auch kann es vorkommen, dass an den Richtlinien vorbeigearbeitet wird. Beispielsweise werden sorglos Dateien auf das Fernwartungs- oder Zielsystem übertragen, ohne diese im Schleusenrechner auf Viren zu überprüfen. Hier hilft es, die Mitarbeiter auf die potenziellen Gefahren der digital vernetzten Industrie zu schulen und sie über die hinter den Vorgaben liegenden Gründe zu informieren.

Auf der anderen Seite kann die Akzeptanz auch so groß ausfallen, dass Mitarbeiter nun darauf drängen, die Fernwartungslösung für regelmäßige Arbeiten von unterwegs oder zu Hause aus zu nutzen. Hier helfen die gleichen Maßnahmen wie im Absatz davor, nur aus der anderen Richtung. Ein Fernwartungszugang sollte aus Sicherheitsgründen durch entsprechende Richtlinien geschützt werden. Auf die privaten Computer oder Netzwerke Ihrer Mitarbeiter haben Sie in der Regel keinerlei Zugriff und können damit nicht sicherstellen, dass sich von dort nicht Schadsoftware oder Angreifer ausbreiten können.

Insgesamt lohnt es sich bei diesen Aspekten, Schulungen und Sensibilisierungsmaßnahmen durchführen um das Verständnis für Gefahrenpotenzial zu steigern und die interne Kommunikation zu fördern. Denn: Ganzheitliche IT-Sicherheit kann nur funktionieren, wenn neben den technischen und organisatorischen Maßnahmen auch das Personal integriert wird!

Diskussionen mit Lieferanten

IT-Sicherheit und darauf ausgelegte Anforderungen sind eher eine neuere Erscheinung in der Industrie. Als Betreiber sind Sie von den Auswirkungen von guter IT-Sicherheit oder deren Abwesenheit eher betroffen als Ihre Lieferanten. Maschinen- und Anlagenbauern fehlt daher oftmals auch das Verständnis für den damit verbundenen Mehraufwand und für Ihr Bedürfnis, eine alternative Lösung als die bereits verbaute Lösung nutzen zu wollen.

Wenn Ihre Lieferanten den Wechsel auf Ihre präferierte Lösung ablehnen ist unter Umständen Diskussionswillen notwendig. Wie in Phase 2 besprochen, können zwar durchaus Sonderlösungen darin abgebildet werden, im Optimalfall wird aber Ihre einheitliche Lösung verwendet.

Unsere Empfehlung ist: Suchen Sie aktiv das Gespräch mit den technischen Abteilungen des Lieferanten. Dort können Sie Ihre Bedürfnisse nach Sicherheit und einer Standardisierung der Fernwartungszugänge nochmals intensiver erörtern. Vor allem lässt sich so gemeinsam eine mögliche Sonderlösung ermitteln. Außerdem hilft hier auch die frühestmögliche Prüfung der Netzwerkanbindung und Auseinandersetzen mit den Anforderungen an die Lösung bereits im Beschaffungsprozess bzw. beim Anlageneinkauf.

Unklare Verantwortungen

Wie in Phase 3 beleuchtet, gehen mit dem Betrieb von Fernwartungszugängen auch gewisse organisatorische Regelungen und Prozesse einher. Hier kracht es oftmals bei der unklaren Verantwortungsverteilung:

  • Wer ist für die Freigabe einer Fernwartung zuständig?
  • Wer bestimmt, wer die Freigabe erteilen darf?
  • Wer ist für den technischen Aufbau und Betrieb zuständig?

Hier helfen klar definierte Rollen und Verantwortlichkeiten, die am besten im gemeinsamen Gespräch zwischen IT, Technik und dem Management fixiert werden. Die Meldung unklarer Verantwortungen Richtung Management ist dabei besonders wichtig, da dieses aus Kosten- und Effizienzgründen ein besonders hohes Interesse an reibungslosen Abläufen zeigen sollte.

Hilfreich ist auch, wenn Sie die Verantwortlichkeiten bei neuen Fernwartungslösungen zunächst im Rahmen einer Testphase zusammen mit dem Lieferanten erproben. Dabei finden Sie schnell potenzielle Knackpunkte heraus, die sich somit angehen lassen, bevor die Lösung in den Produktivbetrieb übernommen wird.

Technische Probleme

Neben organisatorischen Herausforderungen kann auch der technische Betrieb und die Integration der Fernwartungslösungen zu Schwierigkeiten führen. Prominente Beispiele zeigt hier die folgende Auswahl:

Bei der Einrichtung der Fernwartungsverbindungen zusammen mit dem Lieferanten kommt es nicht selten vor, dass Unklarheit darüber besteht, welche Ports für das Zielsystem benötigt werden. Geben Sie bei der Lösung dieses Problems auf keinen Fall sämtliche Ports durch „Any-to-Any“ Firewall-Regeln frei, sondern nur exakt die Ports, die benötigt werden. Hier hilft ein Blick in die gängigen Ports zu Kommunikationsprotokollen. Wird zum Beispiel Siemens S7 verwendet, lautet der Standard-Port hierfür 102. IT-Spezialisten sind auch im Umgang mit den Werkzeugen tcpdump oder Wireshark geübt, die zu einer Analyse der entsprechenden Verbindungen genutzt werden können. Alternativ können Sie auch auf der Firewall im Protokoll der blockierten Verbindungen nachsehen, welche Verbindungsversuche unterbunden werden. Hierzu muss gegebenenfalls zunächst die Protokollierung der geblockten Verbindungen aktiviert werden.

Hier kann ein Blick in die Netzwerk- oder VPN-Konfiguration, sowie die Aktualisierung der beteiligten Systeme helfen. Eventuell lassen sich dadurch Fehlkonfigurationen aufdecken oder durch Software-Fehler ausgelöste Probleme beseitigen. Auch hilft es, den Hersteller-Support zu kontaktieren oder mit einem regelmäßigen Blick in die Release-Notes die Patchzyklen der Fernwartungslösung zu verfolgen.

Gerade bei neu integrierten Fernwartungslösungen kann es vorkommen, dass sich noch Fehler in der Netzwerkkonfiguration eingeschlichen haben. Dabei kann ein Fernwarter schon einmal auf dem falschen Zielsystem herauskommen. Abhilfe verschafft wieder einmal die Überprüfung der Netzwerk- oder VPN-Konfiguration oder eingerichteter Weiterleitungen.

Falls bei komplizierten Fernwartungs-Aufbauten zu niedrige Verbindungsgeschwindigkeiten auftreten, können verschiedene Ursachen ausschlaggebend sein. Eventuell besitzen die VPN-Gateways keine ausreichenden Hardware-Ressourcen oder es liegt ein Fehler im Routing über die Tunnel-Netze vor. Je nach eingesetzten Fernwartungsprotokollen fallen auch unterschiedliche Anforderungen an die Bandbreite an. Ein reines textbasiertes Protokoll benötigt weniger Bandbreite als eine Bildschirmübertragung per RDP. Bei internationalen Aufbauten über global verteilte Standorte können mehrere Einwahlknoten und damit kürzere Routen eine Verbesserung hervorrufen.

Kollision mit Einfuhrbestimmungen im internationalen Betrieb

Wenn Ihr Unternehmen international geschäftstätig ist, kann es von gesetzlicher Seite zu Schwierigkeiten beim Export oder Import kryptographischer Systeme kommen. Einige Länder haben komplizierte Einfuhrbestimmungen für solche Geräte oder äquivalente Software. Gerade China gilt als Problemkind, da dort verschlüsselte VPNs verboten sind und aktiv gefiltert werden.

Hier hilft lediglich, sich mit den örtlichen Gesetzen und Bestimmungen auseinanderzusetzen. Oftmals bleibt nichts anderes übrig, als sich zu fügen oder zu komplizierten Workarounds, wie der aktiven Verschleierung von VPN-Verkehr durch Benutzung anderer Protokoll-Header, zu greifen.

Fazit

Um gut auf die Herausforderungen im Betrieb vorbereitet zu sein, lohnt es sich, bereits früh eine Liste an potenziellen Problemen und Lösungsideen anzulegen. Diese Liste kann dann auch in den initialen Gesprächen mit Ihren Lieferanten sukzessive erweitert werden. Dadurch sparen Sie sich später die ein oder andere böse Überraschung und können bei aufkommenden Diskussionen darauf zurückgreifen.

Abschluss der Serie

Mit unserer Serie haben wir Ihnen einen groben Überblick an die Hand gegeben, welche Faktoren besonderer Beachtung bedürfen und wie diese am besten handzuhaben sind. Obwohl es im Prinzip nur um die simple Maßnahme geht, Externen den Zugriff auf interne Systeme zu gewähren, sollten dabei einige wichtige Punkte geprüft und ausgearbeitet werden. Viele Aspekte sind natürlich individuell auf Ihre Bedürfnisse hin zu prüfen und es bleiben Detailfragen zu klären. Falls Sie noch weitere Unterstützung benötigen, empfiehlt es sich, noch intensiver zu recherchieren oder einen externen Berater hinzuzuziehen.

Grundsätzlich gilt, je früher Sie sich strukturiert mit dem Thema auseinandersetzen, desto runder verläuft am Ende der Betrieb der Lösung(en) und desto weniger Kosten fallen langfristig an.

Wir wünschen Ihnen viel Erfolg bei der Integration und dem sicheren Betrieb Ihrer Fernwartungslösungen! Falls Sie jemanden kennen, für den dieser Artikel von Interesse sein kann, teilen Sie ihn doch mit ihm!

Notieren Sie sich zu den für Sie relevanten oben genannten Punkte eine konkrete Maßnahme, die bei Ihnen umgesetzt werden kann.