Sichere Verarbeitung von Maschinendaten – die wichtigsten Praxistipps für ein wirkungsvolles Konzept

Inhaltsverzeichnis

    Unser tägliches Leben, im privaten Bereich ebenso wie in geschäftlichen Dingen, erzeugt und nutzt eine Unmenge von Daten, die Rückschlüsse auf unsere Lebensumstände und unser Verhalten zulassen und eine Einflussnahme von außen, z. B. über personalisierte Werbung, ermöglichen. Die Sammlung, Auswertung und Nutzung dieser Daten ist ein lukratives Geschäftsmodell für Unternehmen, aber auch für Cyberkriminelle, wenn Sicherheitsmechanismen nicht vorhanden sind oder nicht funktionieren.  

    Ebenso sind Daten in komplexen Produktionsprozessen moderner Industrieunternehmen ein wichtiges Mittel, um Einfluss zu nehmen. Das IIoT (Industrial Internet of Things) produziert riesige Datenmengen, die mittels Big-Data-Technologien verarbeitet werden. Die Datenintegrität ist dabei von wesentlicher Bedeutung und begründet die dringende Notwendigkeit wirksamer Schutzmaßnahmen.  

    Der Nutzen von Maschinendaten 

    Grundsätzlich funktionieren Maschinen auch ohne Daten zu liefern. Nehmen wir als Beispiel einen Lüfter in einem einfachen PC, der durch die CPU angesteuert wird, aber selbst keine Daten zurückliefert. Versagt der Lüfter, wird die CPU heruntergetaktet, was zum Leistungsabfall führt. Das ist im privaten Bereich meist unkritisch. 

    Anders in Rechenzentren, wo Rechenleistung für die Verfügbarkeit der Infrastruktur einen wesentlichen Einfluss auf Produktionsbereiche und andere Funktionen im Unternehmen hat. Erhöhte Rechenleistungen erzeugen einen Temperaturanstieg, der durch die Lüftungsanlage ausgeglichen wird. Um die Verfügbarkeit des Rechenzentrums sicherzustellen, werden die Leistungsdaten, z.B. der Lüftungsanlage, über Sensoren oder über die Steuerung an ein Kontrollzentrum übertragen, wo man Schlussfolgerungen daraus zieht und Defekte erkennt, die potentiell zu einem Ausfall der Lüftung führen können. 

    Erst wenn Maschinendaten gesammelt, analysiert und dokumentiert sind, werden Zusammenhänge klar und Risiken sichtbar.

    Maschinendaten als wichtige Planungsgrundlage 

    Optimierung der Produktionsergebnisse auf solider Datenbasis

    Maschinendaten sind für die Planung einer effizienten Produktion und für Optimierungsmaßnahmen von großer Bedeutung. Sie geben dem Betreiber Aufschluss darüber, wann und mit welcher Last Maschinen produktiv laufen und wann nicht, und welche Produktionsergebnisse mit der bestehenden Auslastung erzielt werden. Auf Grundlage Ihrer Maschinendaten können Sie OEE-Berechnungen (Overall Equipment Efficiency) durchführen und Anpassungen planen, die Ihre Produktion steigern.

    Ausfälle vermeiden durch intelligente Wartungskonzepte

    Predictive-Maintenance-Konzepte stellen die Verfügbarkeit einer Anlage sicher und vermeiden Kosten für ungeplante Wartungseinsätze vor Ort. Im schlimmsten Fall verhindert Predictive Maintenance den Stillstand einer Anlage. Wartungsrelevante Informationen basieren auf Diagnosedaten, die Maschinen an Betreiber und Hersteller liefern. Die Absicherung der Fernwartungszugänge sollte ein konkreter Bestanteil Ihrer Sicherheitsmaßnahmen sein.  

    Mehr zum Thema Predictive Maintenance finden Sie hier.

    Inventarisierung – Klarheit über den Bestand der Infrastruktur

    Im Rahmen eines ganzheitlichen IT-Schutzkonzepts liefern Maschinendaten wertvolle Informationen über die Komponenten und Systeme, die zur Infrastruktur einer Produktionsanlage gehören. Damit wird der Status Quo Ihres Inventars transparent. Dieses hat während langer Anlagenlaufzeiten verschiedene Veränderungen erfahren, Ihre Dokumentation aber vielleicht nicht. Eine aktuelle Inventarisierung definiert den Umfang und die Art der Schutzmaßnahmen, dabei hilft Ihnen die durch Maschinendaten gewonnene Transparenz bei der Planung eines effizienten Einsatzes Ihrer Ressourcen. 

    Den Nutzen eines Asset-Inventars haben wir in einem eigenen Fachartikel ausführlich beleuchtet.

    Als Betreiber sollten Sie ein klares Konzept für Ihren konkreten Bedarf an Maschinendaten entwickeln, der Ihrem Business Case entspricht. Wenn Sie definieren, wozu Sie Daten erfassen und verarbeiten möchten, ergibt sich auch die geeignete Methode für den Transportweg und die Verarbeitung der Maschinendaten. 

    Maschinendaten und ihr Wert 

    Der Wert von Daten ist unumstritten, deswegen werden sie überall in großer Menge erhoben. Allein die intelligente Auswahl der Daten und die richtigen Schlussfolgerungen aus ihrer Analyse bestimmt, ob sie von großem Wert für ein Unternehmen sind und in welchem Maß das Unternehmen von ihnen profitieren kann. 

    Selbst Daten älterer Bestandsmaschinen aus prä-digitalen Zeiten (sog. Brownfield – im Vergleich: Greenfield: neue vernetzte Anlagen mit aktuellem Stand der Technik) können über proprietäre Steuerungsschnittstellen und Automatisierungsprotokolle nützliche Informationen über ihren Zustand und damit eine Grundlage für Investitionsentscheidungen liefern. 

    Maschinendaten werden üblicherweise in Prozessdaten und Produktdaten unterteilt: 

    Prozessdaten 

    Sensoren liefern Steuerungsdaten, die im Produktionsprozess für den Betrieb einer Maschine erforderlich sind, sowie Daten, die während des Betriebs erzeugt werden. Sie geben Aufschluss über den Status im Prozess und unterstützen die Prozessüberwachung. 

    Produktdaten 

    Informationen, die während des Produktionsprozesses entstehen und Aufschluss über den Produktionsverlauf hinsichtlich Quantität und Beschaffenheit geben, z.B. Stückzahlen, Temperatur, etc. 

    Wem gehören Maschinendaten? 

    Die Frage, wem Maschinendaten gehören, ist zum Beispiel im Hinblick auf Garantieleistungen relevant. Die Leistungsdaten und die mögliche Last, für die eine Maschine konzipiert ist, sind in ihrer Spezifikation festgelegt. Wird die Maschine vom Betreiber außerhalb ihrer definierten Lastgrenzen betrieben und der Hersteller erhält durch Daten, die von der Maschine zum Hersteller geliefert werden, Kenntnis davon, kann er Garantieansprüche ausschließen.  

    Ein weiterer Aspekt sind vertrauliche Produktionsdaten, die Anlagenbetreiber Dritten gegenüber nicht preisgeben möchten, wie individuelle Strategien zur Optimierung der Anlage und Produktionsergebnisse. Maschinenhersteller beliefern potenziell auch Marktbegleiter, weshalb Betreiber daran interessiert sind, den Datenfluss von Maschinen an die Hersteller zu kontrollieren und ggf. entsprechend einzugrenzen. 

    Die Nutzungsrechte an Maschinendaten sind gesetzlich nicht geregelt, wie z.B. geistiges Eigentum im Urheberrecht. Sie als Betreiber müssen daher die Nutzungsrechte mit Herstellern entsprechend Ihrer Bedürfnisse regeln und für die Absicherung bei der Übertragung von Daten Sorge tragen! 

     Was bieten Datenverarbeitungstechnologien in puncto Sicherheit? 

    Unternehmen können große Datenmengen lokal (Edge) oder zentral in einer Cloud verarbeiten und speichern oder eine Mischung aus beidem betreiben. Beim FOG-Computing werden in einem kleinen Rechenzentrum am Rand der Cloud durch intelligente Vermittlungsknoten (Fog Nodes) Daten für lokale bzw. zentrale Verarbeitung selektiert. Die Fog Nodes nehmen eine Vermittlerrolle zwischen der Cloud und dem Edge-Device ein und sorgen mit der Selektierung der Daten für eine Verkürzung der Wege in der Datenkommunikation.

    Edge-Computing 

    Die Datenanbindung in Industriegebieten lässt vielerorts zu wünschen übrig und die Verfügbarkeit von Internetdiensten ist nicht immer gewährleistet. Eine dezentrale Speicherung und Verarbeitung großer Datenmengen auf einem Industrie-PC wird daher oftmals lokal mit Edge-Computing realisiert. „Edge“ bezeichnet dabei den Rand des Netzwerks. Die direkte Nähe zum physischen Prozess stellt einen Vorteil dar, ebenso wie die Unabhängigkeit von der IT-Abteilung. Das Sicherheitsniveau ist trotzdem entsprechend hoch, weil es dem Sicherheitsniveau der Produktionssteuerung angepasst ist. 

    Cloud-Computing 

    Beim Cloud-Computing liegen die Ressourcen und Services für das Speichern und Verarbeiten von Maschinendaten im zentralen Rechenzentrum der Cloud und nicht im lokalen Netzwerk. Das stellt Unternehmen vor die Herausforderung einer wirksamen Absicherung des Datentransfers, vor allem, wenn es sich um kritische Daten handelt oder um Daten mit hoher Aussagekraft für Ihre Geschäftstätigkeit. Nicht jeder externe Dienstleister verfügt über ein überzeugendes Schutzkonzept, wohl aber über Geschäftsbeziehungen zu Ihren Mitbewerbern. 

    Nachdem der Internet-Anschluss im Verantwortungsbereich der IT-Abteilung liegt, erfordert Cloud-Computing eine gute Abstimmung zwischen OT (Operational Technology) und IT. 

    Welche Methode für Sie als Betreiber für die Speicherung und Verarbeitung von Maschinendaten in Frage kommt, hängt von Ihrer individuellen Situation und Ihrer Anforderung an eine wirksame Absicherung ab. Wir empfehlen ein „as a service“-Kostenmodell mit einer Abrechnungsmodalität nach tatsächlicher Nutzung und mit der Möglichkeit zur Skalierung. 

    Konkrete Möglichkeiten der Absicherung 

    Klarheit über Datenströme, Schnittstellen und Kanäle 

    Um die Verarbeitung von Maschinendaten wirksam abzusichern, müssen Sie wissen, wo Datenströme verlaufen und welche Schnittstellen und Übermittlungskanäle es gibt. Prüfen Sie, ob die Zugänge für die Kommunikation mit den Geräten auch für unerwünschte Eindringlinge offen sind. Wenn Sie Lücken finden, schließen Sie sie! 

    Netzsegmentierung und Sicherung von Zugängen  

    Eine deutliche Erhöhung des Sicherheitsniveaus erreichen Sie durch die Segmentierung von Produktionsnetzen. Schadcode, der über eine Schwachstelle ins Netzwerk eingedrungen ist, kann sich in segmentierten Netzten nicht weiter ausbreiten. Unsegmentierte Produktionsnetze ermöglichen zwar bequem die gleichzeitige Kommunikation mit allen Steuerungen, sind dadurch aber auch wesentlich unsicherer. 

    Informationsmanagement-Tools, z.B. Dashboards zur Darstellung von Maschinendaten, müssen so konfiguriert werden, dass der Zugang auf einen definierten Bereich begrenzt und ansonsten, z.B. ins Office-Netz, gesperrt ist. 

    Definieren Sie Sicherheitsstandards für externe Dienstleister, z.B. für Wartungszugänge, um zu verhindern, dass mögliche Cyberangriffe über diesen Weg Eingang in Ihr Netzwerk finden. 

    IT-Abteilung als erfahrener Sparringspartner 

    So manche innovative, aber risikobehaftete Idee erübrigt sich, wenn man die eigenen Standards kennt und nutzt; Bewährtes funktioniert! Wir empfehlen, Ihre Anforderung mit den Kollegen der IT-Abteilung zu besprechen und von deren Know-how zu profitieren. Viele Standardanforderungen, wie z.B. Daten über ein mobiles Device abrufen zu können, sind prozessual bereits sicher über einen VPN-Zugang abgebildet, so dass es nicht lohnt, neue unsichere Technologien auszuprobieren.  

    Nur one way – und zwar von innen nach außen 

    Bei der Kommunikation sollten Sie auf ein Push-Prinzip setzen: Realisieren Sie möglichst immer Lösungen, die vorsehen, dass Ihre Maschinen bei Servern nach Updates fragen, nie ein Pull-Prinzip, bei dem ein Server die Maschine ansprechen kann und Updates unautorisiert initiiert. Dadurch vermeiden Sie Einfallstore für unbefugte Zugriffe. 

    OPC-UA und Open-Source-Alternativen 

    OPC-UA als gängiges Industrieprotokoll bietet die breitgefächerte Expertise einer langjährig aktiven Foundation, die kontinuierlich an einem sicheren Industriestandard arbeitet. OPC-UA definiert eine offene, dokumentierte Schnittstelle und mehrere offene Implementierungen für die Kommunikation mit einer Maschine. Verschlüsselung und Signaturen sichern den Kommunikationsprozess, vorausgesetzt die entsprechenden Features werden aktiviert. Sicherheit ist kompliziert und aufwändig und wird vom Bedienpersonal zuweilen leichtfertig vernachlässigt. Hier sollten Sie die Awareness kontinuierlich fördern. 

    Eine Alternative zu OPC-UA stellen Open-Source-Lösungen, wie z.B. PLC4X dar, das vor allem bei älteren Bestandsanlagen flexible und sichere Wege für die Gewinnung von Daten bietet. 

    Im Interview zum Thema “Maschinendaten sicher verarbeiten – Edge, Cloud & Co in der Produktion” erläutert Julian Feinauer von pragmatic minds GmbH interessante Perspektiven, u.a. zu Vorteilen von Open Source Lösungen: 

    Vimeo

    Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von Vimeo.
    Mehr erfahren

    Video laden

    Fazit

    Maschinendaten geben Ihnen Aufschluss über Optimierungspotential, das Ihnen bisher möglicherweise noch nicht bewusst ist, wie beispielsweise die prozentuale Downtime einer Anlage pro Schicht. Eine tägliche Erhöhung der Laufzeit um wenige Minuten, basierend auf der Auswertung von Maschinendaten, kann innerhalb einer komplexen Anlage große Auswirkungen haben.  

    Das Sammeln von Maschinendaten liefert Ihnen wertvolle Auswertungen und nützliche Lösungen. Sammeln Sie jedoch nicht um des Sammelns willen, sondern intelligent und zielgerichtet entsprechend Ihres konkreten, vorher definierten Bedarfs!

    Schreiben Sie einen Kommentar

    Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    Der große Industrial Security Einsteiger-Guide

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Whitepaper herunterladen!

    Erhalten Sie in unserem Einsteigerguide eine unverfälschte und verständliche Orientierung in die Industrial Security. Ganz ohne Buzzword-Bingo, vertriebsgeprägten Botschaften und Technik-Kauderwelsch. 

    Ihre Daten sind bei uns sicher. Datenschutzerklärung
    Industrial Security auf den Punkt gebracht

    Erhalten Sie die wichtigsten Erkenntnisse und Best-Practices aus der Zusammenarbeit mit zahlreichen Industrieunternehmen bequem in Ihr Email-Postfach.

    Ihre Daten sind bei uns sicher. Datenschutzerklärung