Im ersten Teil unserer Serie zur Realisierung einer Fernwartungslösung für Produktions- und Automatisierungsanlagen beschäftigen wir uns mit der Anforderungsanalyse und Auswahl einer passenden Fernwartungslösung. Vielen Schwierigkeiten im späteren Betrieb können Sie bereits durch eine individuelle Vorbereitung elegant umgehen. Aus diesem Grund geben wir Ihnen in diesem Artikel einen Handlungsleitfaden, der Sie bis zum Kauf der Lösung begleitet und Sie dabei unterstützt, bereits frühzeitig eine solide Basis für IT-Sicherheit in Ihrer Automatisierung zu schaffen.

Lassen Sie uns starten!

Fernwartung in Automatisierung – Assets und Risikoabschätzung

Zunächst geht es um die grundlegende Frage, ob die Einrichtung eines Fernwartungszugangs auf einzelne Systeme und Steuerungen im Anlagennetz überhaupt in Erwägung gezogen werden sollte. Schließlich geht es um den externen Zugriff auf Systeme und Anlagenkomponenten, die Ihre Kernprozesse kontrollieren. Unerlaubter Zugriff kann negative Konsequenzen bis hin zu einem Totalausfall des gesamten Prozesses haben.

Um diese Frage zu beantworten, sollten Sie damit anfangen, die Zielsysteme festzuhalten, auf welche später durch externe Lieferanten oder auch interne Mitarbeiter zugegriffen werden soll. Möglicherweise sind Ihnen die einzelnen Systeme (z.B. HMI, SPS) und deren Eigenschaften bereits durch Ihr Asset-Inventar bekannt.

Auf der Basis des ermittelten Asset-Inventars führen Sie eine Risikoabschätzung durch, welche den Kosten- und Zeiteffizienzgewinn gegen die potenzielle Beeinträchtigung der Zielsysteme abwägt. Hilfestellung bieten hierbei gängige Normen, wie z.B. die ISO 27005 oder die IEC 62443-3-2.

Wichtig ist die Analyse und Dokumentation der denkbaren Bedrohungen, ihrer Eintrittswahrscheinlichkeit und den damit verbundenen Auswirkungen auf Ihren Prozess. Sollte ein identifiziertes Risiko das akzeptable Niveau überschreiten, muss man sich Gedanken über Mitigationsmaßnahmen oder die grundsätzliche Sinnhaftigkeit einer Fernwartung für dieses Zielsystem machen.

Analyse der Lieferantenanforderungen

Neben der Auflistung der einzelnen Zielsysteme sollten Sie evaluieren, welche Lieferanten vom Einsatz der Fernwartungslösung betroffen sein werden. Hier können vor allem zwei Fälle eintreten: Sie möchten eine neue Fernwartungslösung zusammen mit einem Lieferanten einführen, oder eine bestehende Fernwartungslösung ändern.

Hierzu hilft es sehr, sich eine Auflistung zu einzelnen wichtigen Punkten anzufertigen, z.B.

  • Lieferant
  • ggfs. bereits vorhandene Fernwartungslösung
  • Technischer Ansprechpartner
  • Anforderungen, warum der Lieferant diese Lösung nutzt

Möglicherweise ist eine solche Auflistung im Rahmen einer Netzwerkanalyse oder IST-Aufnahme bereits schon einmal geschehen. Falls bereits Lösungen existieren, notieren Sie sich, welche der Lösungen möglicherweise schwierig abzulösen sein werden. Nicht alle Lieferanten sind von vornherein um die Sicherheit in Ihrer Anlage bemüht und es bedarf unter Umständen einer gewissen Diskussionsbereitschaft.

Compliance und Organisation (ISMS)

Gibt es in Ihrem Betrieb bereits ein Sicherheitskonzept oder Sicherheitsmanagement? Dann sollten daraus Anforderungen abgeleitet werden, welche von der Fernwartungslösung erfüllt werden müssen. Wichtig ist hierbei vor allem die konkrete Verteilung der Verantwortung über den sicheren Betrieb der Lösung. Tipp: Unternehmens-IT und Anlagen-IT sollten hier an einem Strang ziehen. Da sich der Zugang vom Internet über das Unternehmensnetz bis in das Anlagennetz erstreckt, empfiehlt es sich, wenn sich beide Abteilungen zu den Aufgaben und Verantwortungen absprechen und diese Verpflichtungen dokumentieren.

Entscheidend ist auch die Vertrauenswürdigkeit und Zuverlässigkeit des Wartungsanbieters. Hierzu können Sie ebenfalls diverse Kriterien festhalten, die Sie bei der späteren Auswahl unterstützen. Der Wartungsanbieter sollte unter anderem folgende Punkte abdecken:

  • Informationen zum Schutz der Systeme des Wartungsanbieters
  • Geeignete Vertraulichkeitsvereinbarung
  • Zertifikat nach ISO 27001 oder BSI IT-Grundschutz

Insbesondere für Unternehmen, die unter das IT-Sicherheitsgesetz und damit unter kritische Infrastrukturen (KRITIS) fallen, ist eine passende Zertifizierung des Lieferanten eine Möglichkeit, den „Stand der Technik“ festzuhalten.

Anforderungsanalyse der Fernwartungslösung

Auf Basis der durchgeführten Risikoabschätzung, Analyse der Lieferantenanforderungen und Compliance-Prüfung, können Sie nun eine konkrete Anforderungsanalyse betreiben. Anhand dieser Anforderungsanalyse können dann die einzelnen Anbieter von Fernwartungslösungen verglichen werden.

Eine Auswahl von Anforderungen könnte wie folgt aussehen:

  • Unterstützung aktueller Verschlüsselungstechnologien, z.B. nach BSI TR-02102-1
  • Einsatz sicherer Protokolle wie IPsec, SSH oder TLS in aktuellen Versionen
  • Update-Fähigkeit der Fernwartungskomponente
  • Verwaltung durch zentrales Management, dadurch z.B. Sammel-Updates oder Sammel-Konfiguration mehrerer Endpunkte
  • Anbindung an gängige Benutzerverzeichnisse (Active Directory, LDAP, etc)
  • Platzierung als On-Site-Lösung bei Ihnen, oder als Cloud-Lösung beim Anbieter
  • Bei Cloud-Lösung: Mandantenfähigkeit
  • Investitionsschutz, z.B. IPv6-Fähigkeit
  • Budgetkalkulation

Im Schnitt umfasst eine solche Anforderungsliste nun ca. 50-100 Kriterien und besteht sowohl aus organisatorischen, als auch technischen Anforderungen. Sie werden in der Praxis kaum einen Anbieter finden, der alle Ihre Kriterien erfüllt. Aus diesem Grund sollten Sie eine Gewichtung festlegen und Prioritäten einzelner Anforderungen definieren. Hier kann sich ein einfaches Punktsystem von 1 – 3 anbieten.

Die gesammelten Anforderungen sollten nun ausreichend klar sein, um sie innerhalb eines Anforderungskatalogs zu fixieren. Mit diesem Katalog in den Händen können Sie zur Tat schreiten und den Auswahlprozess beginnen.

Durchführung Anbieter- / Lösungsvergleich

In diesem finalen Schritt vor der Beschaffung der Lösung führen Sie auf Basis der ermittelten Anforderungen eine Vorabrecherche der Anbieter und Lösungen am Markt durch. Hier empfiehlt sich die Suche im Internet oder in spezifischen Fachmagazinen. Als Ausgangspunkt kann auch die Anbieterliste auf www.industrie-fernwartung.de verwendet werden.

Haben Sie interessante Kandidaten ausgewählt, empfiehlt es sich diese zu kontaktieren, um Detailfragen zu klären.

Arbeiten Sie hier vor allem mit Ihrem Anforderungskatalog und lassen Sie sich diesen von dem jeweiligen Anbieter beantworten. Rechnen Sie jedoch damit, dass solche Angaben meistens beschönigt beantwortet werden. Aus diesem Grund sollten Sie die Antworten im Rahmen einer Teststellung des Kandidaten verifizieren und ihn zu einer Demonstration einladen.

Verläuft die Teststellung erfolgreich und konnten Sie sich für einen Lösungsanbieter entscheiden, dann sind Sie bereits einen großen Schritt weiter. Doch das war erst der Anfang!

Ausblick

In unserem nächsten Artikel erfahren Sie, wie Sie die Fernwartungslösung mit einem Fernwartungskonzept sicher in Ihre Bestandsinfrastruktur integrieren und den störungsfreien Betrieb Ihrer Anlage erhalten.

Falls Sie jemanden kennen, für den dieser Artikel von Interesse ist, teilen Sie ihn mit ihm

PS:
Weiter geht’s im nächsten Teil unserer Reihe: „Fernwartung – Phase 2: Das Fernwartungskonzept„.

Praxistipp: Versuchen Sie sich an der Anforderungsanalyse! Notieren Sie sich 5 essenzielle Faktoren, auf die es bei Ihnen bezüglich sicherer Fernwartung ankommt und recherchieren Sie, welche verschiedenen Lösungen es am Markt gibt.