6 potenzielle Probleme beim Betrieb von Fernwartungslösungen, die Sie als Betreiber kennen müssen

Inhaltsverzeichnis

    In diesem Artikel betrachten wir die Herausforderungen und Probleme, die beim Betrieb einer Fernwartungslösung auftreten können und geben Ihnen hilfreiche Tipps, um damit kompetent umzugehen.

    Datenschutz und Fernwartung

    Auch bei der Durchführung von Fernwartung fallen unter Umständen personenbezogene Daten an, die vor allem nach der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) besonders behandelt werden müssen. Vor allem müssen Richtlinien und entsprechende Prozesse für die innerhalb einer Fernwartung erhobenen Daten verfasst werden. Dabei steht in erster Linie der Schutz des Personals Ihres Wartungsanbieters im Fokus.

    Auch aus umgekehrter Sicht müssen Vorkehrungen getroffen werden. Sie sollten dafür klären, auf welche personenbezogenen Daten das Wartungspersonal Zugriff hat. Vorsicht ist auch bei Fernwartung durch ausländische Stellen hinsichtlich rechtlicher Bestimmungen geboten. Hier muss geprüft werden, inwiefern etwaige Datenschutzbestimmungen bei der Fernwartung über Landesgrenzen hinweg beachtet werden müssen. Eine pauschale Antwort gibt es hierzu leider nicht. Sprechen Sie zu diesem Thema mit Ihrem Fachanwalt für IT-Recht.

    Unterschiedliche Mitarbeiterakzeptanz

    Beim Betrieb und der Steuerung von Fernwartungsverbindungen hängt viel von Ihren Mitarbeitern ab. Teilweise stellen diese sich allerdings die Frage, weshalb die damit verbundenen Vorgaben so umfangreich ausfallen. Reicht nicht auch weniger?

    „Man benötigt doch einfach nur Internet an der Maschine!“

    Leider nicht. Wie bereits in den vorherigen Artikeln dieser Serie erläutert, können mit dem Einsatz von Fernwartung an den Herzstücken Ihrer Anlage auch deutliche Risiken für deren Betrieb einhergehen. Auch kann es vorkommen, dass an den Richtlinien vorbeigearbeitet wird. Beispielsweise werden in der Praxis oftmals sorglos Dateien auf das Fernwartungs- oder Zielsystem übertragen, ohne diese im Schleusenrechner auf Viren zu überprüfen. Hier hilft es, die Mitarbeiter auf die potenziellen Gefahren der digital vernetzten Industrie zu schulen und sie über die hinter den Vorgaben liegenden Gründe zu informieren.

    Auf der anderen Seite kann die Akzeptanz auch so groß ausfallen, dass Mitarbeiter nun darauf drängen, die Fernwartungslösung für regelmäßige Arbeiten von unterwegs oder zu Hause aus zu nutzen. Hier greifen die gleichen Maßnahmen wie im Absatz davor, nur aus der anderen Richtung. Ein Fernwartungszugang sollte aus Sicherheitsgründen durch entsprechende Richtlinien geschützt werden. Auf die privaten Computer oder Netzwerke Ihrer Mitarbeiter haben Sie in der Regel keinerlei Zugriff und können damit nicht sicherstellen, dass sich von dort aus nicht Schadsoftware oder Angreifer ausbreiten können.

    Schulungen und Sensibilisierungsmaßnahmen steigern das Verständnis für Gefahrenpotenzial und fördern die interne Kommunikation. Das lohnt sich, denn ganzheitliche IT-Sicherheit kann nur funktionieren, wenn neben den technischen und organisatorischen Maßnahmen auch das Personal einbezogen wird!

    Diskussionen mit Lieferanten

    IT-Sicherheit und darauf ausgelegte Anforderungen etablieren sich erst noch in der Industrie. Als Betreiber sind Sie von den Auswirkungen guter IT-Sicherheit oder deren Abwesenheit eher betroffen als Ihre Lieferanten. Maschinen- und Anlagenbauern fehlt daher oftmals auch das Verständnis für den damit verbundenen Mehraufwand und für Ihr Bedürfnis, eine alternative Lösung als die bereits verbaute Lösung nutzen zu wollen.

    Wenn Ihre Lieferanten den Wechsel auf Ihre präferierte Lösung ablehnen, dann ist eine umfassende Diskussion notwendig. Wie in Phase 2 besprochen, können zwar durchaus Sonderlösungen abgebildet werden, im Idealfall wird aber Ihre einheitliche Lösung verwendet.

    Unsere Empfehlung ist: Suchen Sie aktiv das Gespräch mit den technischen Abteilungen des Lieferanten. Dort können Sie Ihre Bedürfnisse nach Sicherheit und einer Standardisierung der Fernwartungszugänge nochmals intensiver erörtern. Vor allem lässt sich so gemeinsam eine mögliche Sonderlösung ermitteln. Außerdem hilft auch die frühestmögliche Prüfung der Netzwerkanbindung und ein Auseinandersetzen mit den Anforderungen an die Lösung bereits im Beschaffungsprozess bzw. beim Anlageneinkauf.

    Unklare Verantwortungen

    Wie in dieser Artikelreihe beleuchtet wird, gehen mit dem Betrieb von Fernwartungszugängen auch gewisse organisatorische Regelungen und Prozesse einher. Hier scheitert es oftmals bei der unklaren Verteilung der Verantwortung:

    • Wer ist für die Freigabe einer Fernwartung zuständig?
    • Wer bestimmt, wer die Freigabe erteilen darf?
    • Wer ist für den technischen Aufbau und den Betrieb zuständig?

    Hier helfen klar definierte Rollen und Verantwortlichkeiten, die am besten im gemeinsamen Gespräch zwischen IT, Technik und dem Management festgelegt werden. Die Meldung unklarer Verantwortungen Richtung Management ist dabei besonders wichtig, da dieses aus Kosten- und Effizienzgründen ein besonders hohes Interesse an reibungslosen Abläufen zeigen sollte.

    Hilfreich ist auch, wenn Sie die Verantwortlichkeiten bei neuen Fernwartungslösungen zunächst im Rahmen einer Testphase zusammen mit dem Lieferanten erproben. Dabei finden Sie schnell potenzielle Knackpunkte heraus, die sich angehen lassen, bevor die Lösung in den Produktivbetrieb übernommen wird.

    Technische Probleme

    Neben organisatorischen Herausforderungen kann auch der technische Betrieb und die Integration der Fernwartungslösungen zu Schwierigkeiten führen. Die folgende Auswahl zeigt prominente Beispiele:

    Unklarheit über Ports für die Zielsysteme

    Bei der Einrichtung der Fernwartungsverbindungen zusammen mit dem Lieferanten kommt es nicht selten vor, dass Unklarheit darüber besteht, welche Ports für das Zielsystem benötigt werden. Geben Sie bei der Lösung dieses Problems auf keinen Fall sämtliche Ports durch „Any-to-Any“-Firewall-Regeln frei, sondern nur exakt diejenigen Ports, die benötigt werden. Hier hilft ein Blick in die gängigen Ports zu Kommunikationsprotokollen. Wird zum Beispiel Siemens S7 verwendet, lautet der Standard-Port hierfür 102. IT-Spezialisten sind auch im Umgang mit den Werkzeugen tcpdump oder Wireshark geübt, die zu einer Analyse der entsprechenden Verbindungen genutzt werden können. Alternativ können Sie auf der Firewall im Protokoll der blockierten Verbindungen nachsehen, welche Verbindungsversuche unterbunden werden. Hierzu muss gegebenenfalls zunächst die Protokollierung der geblockten Verbindungen aktiviert werden.

    Probleme mit VNC- oder RDP-Auflösungen oder Abstürze

    Hier kann ein Blick in die Netzwerk- oder VPN-Konfiguration, sowie die Aktualisierung der beteiligten Systeme helfen. Eventuell lassen sich dadurch Fehlkonfigurationen aufdecken oder durch Software-Fehler ausgelöste Probleme beseitigen. Auch hilft es, den Hersteller-Support zu kontaktieren oder mit einem regelmäßigen Blick in die Release-Notes die Patchzyklen der Fernwartungslösung zu verfolgen.

    Fehlkonfigurationen der Netzwerkverbindungen

    Gerade bei neu integrierten Fernwartungslösungen kann es vorkommen, dass sich Fehler in der Netzwerkkonfiguration eingeschlichen haben. Dabei kann ein Fernwarter schon einmal auf dem falschen Zielsystem herauskommen. Abhilfe verschafft die Überprüfung der Netzwerk- oder VPN-Konfiguration oder der eingerichteten Weiterleitungen.

    Geringe Netzwerkgeschwindigkeit bei komplizierten Architekturen

    Falls bei komplizierten Fernwartungsaufbauten zu niedrige Verbindungsgeschwindigkeiten auftreten, können verschiedene Ursachen ausschlaggebend sein. Eventuell besitzen die VPN-Gateways keine ausreichenden Hardware-Ressourcen oder es liegt ein Fehler im Routing über die Tunnel-Netze vor. Je nach eingesetzten Fernwartungsprotokollen fallen auch unterschiedliche Anforderungen an die Bandbreite an. Ein reines textbasiertes Protokoll benötigt weniger Bandbreite als eine Bildschirmübertragung per RDP. Bei internationalen Aufbauten über global verteilte Standorte können mehrere Einwahlknoten und damit kürzere Routen eine Verbesserung bewirken.

    Kollision mit Einfuhrbestimmungen im internationalen Betrieb

    Wenn Ihr Unternehmen international geschäftstätig ist, kann es von gesetzlicher Seite zu Schwierigkeiten beim Export oder Import kryptographischer Systeme kommen. Einige Länder haben komplizierte Einfuhrbestimmungen für solche Geräte oder äquivalente Software. Gerade China gilt als Problemkind, da dort verschlüsselte VPNs verboten sind und aktiv gefiltert werden.

    Hier hilft lediglich, sich mit den örtlichen Gesetzen und Bestimmungen auseinanderzusetzen. Oftmals bleibt nichts anderes übrig, als sich zu fügen oder akzeptable Workarounds zu finden.

    Fazit

    Um gut auf die Herausforderungen im Betrieb vorbereitet zu sein, sollten Sie bereits früh eine Liste mit potenziellen Problemen und Lösungsideen anlegen. Diese Liste kann in den initialen Gesprächen mit Ihren Lieferanten sukzessive erweitert werden. Dadurch sparen Sie sich später die ein oder andere böse Überraschung und können bei aufkommenden Diskussionen darauf zurückgreifen.

    In 4 Phasen zur sicheren und skalierbaren Industrie Fernwartungslösung

    Um Ihnen als Anlagenbetreiber eine Richtung an die Hand zu geben, haben wir 4 Phasen ermittelt, die für den Erfolg Ihrer Fernwartungsvorgänge ausschlaggebend sind. Abhängig davon, in welcher Phase Sie sich derzeitig befinden, sind unterschiedliche Themen von Relevanz. Dieser Artikel beschreibt Phase 4, das Meistern möglicher „Herausforderungen“. Eine Übersicht aller Phasen finden Sie hier:

    1. Anforderungsanalyse: Stehen Sie ganz am Anfang des Themas Fernwartung, geht es vor allem um eine konkrete Anforderungsanalyse und um die Auswahl einer Lösung.
    2. Konzeption: Ist das getan, muss diese mit einem Fernwartungskonzept sicher in die Bestandsinfrastruktur integriert werden.
    3. Prozesse: Damit kann im Anschluss durch die Etablierung notwendiger Prozesse und Organisationsstrukturen ein geordneter und reibungsloser Betrieb der Lösung geschaffen werden.
    4. Herausforderungen: Final betrachten wir, welche Punkte es während des Betriebs zu beachten gibt und welche Herausforderungen auftreten können.

    Der Industrial Security Guide zum schnellen Einstieg

    Max Weidele
    CEO & Founder

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.

    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Hier gehts zum Download!

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Veröffentlicht am
    Zuletzt aktualisiert am

    Ein Kommentar zu “6 potenzielle Probleme beim Betrieb von Fernwartungslösungen, die Sie als Betreiber kennen müssen

    1. Hallo Herr Geiger,

      für das erwähnte Problem mit dem verbot verschlüsselter Datenübertragung nach China (wo die Great Firewall zuschlägt) haben wir eine Lösung in Zusammenarbeit mit China Mobile entwickelt.
      Außerdem hat der VDMA im AK Fernwartung von Th. Riegler eine Empfehlung zu versch. Architekturen herausgegeben, die wir gern hier verlinken würden.

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Checkliste herunterladen

    Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.


    Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung