Warum wir Maschinendaten sicher verarbeiten sollten, liegt auf der Hand. Unser tägliches Leben, im privaten Bereich ebenso wie in geschäftlichen Dingen, erzeugt und nutzt eine Unmenge von Daten. Die Sammlung, Auswertung und Nutzung von Daten ist ein lukratives Geschäftsmodell für Unternehmen, aber gleichermaßen auch für Cyberkriminelle, wenn Sicherheitsmechanismen fehlen oder nicht greifen.
In komplexen vernetzten Produktionsprozessen gibt es viele Abhängigkeiten. Die Verfügbarkeit der Anlagen hängt davon ab, dass die Daten, die zwischen einer Vielzahl von Systemen ausgetauscht werden, korrekt, vollständig und unverändert sind. Das IIoT produziert riesige Datenmengen, die mittels Big-Data-Technologien verarbeitet werden. Dabei spielt der Schutz der Datenintegrität eine entscheidende Rolle.
Der Nutzen von Maschinendaten
Grundsätzlich funktionieren Maschinen auch ohne Daten zu liefern. Nehmen wir als Beispiel einen Lüfter in einem einfachen PC, der durch die CPU angesteuert wird, aber selbst keine Daten zurückliefert. Versagt der Lüfter, wird die CPU (Central Processing Unit) heruntergetaktet, was zum Leistungsabfall führt. Das ist im privaten Bereich meist unkritisch.
Anders in Rechenzentren, wo Rechenleistung für die Verfügbarkeit der Infrastruktur einen wesentlichen Einfluss auf Produktionsbereiche und andere Funktionen im Unternehmen hat. Erhöhte Rechenleistungen erzeugen einen Temperaturanstieg, der durch die Lüftungsanlage ausgeglichen wird. Um die Verfügbarkeit des Rechenzentrums sicherzustellen, werden die Leistungsdaten, beispielsweise von der Lüftungsanlage, über Sensoren oder über die Steuerung an ein Kontrollzentrum übertragen. Dort werden Schlussfolgerungen daraus gezogen, so dass Defekte erkannt werden, die potentiell zu einem Ausfall der Lüftung führen können.
Erst wenn Maschinendaten gesammelt, analysiert und dokumentiert sind, werden Zusammenhänge klar und Risiken sichtbar.
Maschinendaten als wichtige Planungsgrundlage
Optimierung der Produktionsergebnisse auf solider Datenbasis
Maschinendaten sind für die Planung einer effizienten Produktion und für Optimierungsmaßnahmen von großer Bedeutung. Sie geben dem Betreiber Aufschluss darüber, wann und mit welcher Last Maschinen produktiv laufen und wann nicht, und welche Produktionsergebnisse mit der bestehenden Auslastung erzielt werden. Auf Grundlage Ihrer Maschinendaten können Sie OEE-Berechnungen (Overall Equipment Efficiency) durchführen und Anpassungen planen, die Ihre Produktion steigern.
Ausfälle vermeiden durch intelligente Wartungskonzepte
Predictive-Maintenance-Konzepte stellen die Verfügbarkeit einer Anlage sicher und vermeiden Kosten für ungeplante Wartungseinsätze vor Ort. Im schlimmsten Fall verhindert Predictive Maintenance den Stillstand einer Anlage. Wartungsrelevante Informationen basieren auf Diagnosedaten, die Maschinen an Betreiber und Hersteller liefern. Die Absicherung der Fernwartungszugänge sollte ein konkreter Bestanteil Ihrer Sicherheitsmaßnahmen sein.
Mehr zum Thema Predictive Maintenance finden Sie hier.
Inventarisierung – Klarheit über den Bestand der Infrastruktur
Im Rahmen eines ganzheitlichen IT-Schutzkonzepts liefern Maschinendaten wertvolle Informationen über die Komponenten und Systeme, die zur Infrastruktur einer Produktionsanlage gehören. Damit wird der Status Quo Ihres Inventars transparent. Dieses hat während langer Anlagenlaufzeiten verschiedene Veränderungen erfahren, Ihre Dokumentation aber vielleicht nicht. Eine aktuelle Inventarisierung definiert den Umfang und die Art der Schutzmaßnahmen. Dabei hilft Ihnen die durch Maschinendaten gewonnene Transparenz bei der Planung eines effizienten Einsatzes Ihrer Ressourcen.
Den Nutzen eines Asset-Inventars beleuchten wir in einem eigenen Fachartikel ausführlich.
Als Betreiber sollten Sie ein klares Konzept für Ihren konkreten Bedarf an Maschinendaten entwickeln, der Ihrem Business Case entspricht. Wenn Sie definieren, wozu Sie Daten erfassen und verarbeiten möchten, ergibt sich auch die geeignete Methode für den Transportweg und die Verarbeitung der Maschinendaten.
Maschinendaten und ihr Wert
Der Wert von Daten ist unumstritten, deswegen werden sie überall in großer Menge erhoben. Allein die intelligente Auswahl der Daten und die richtigen Schlussfolgerungen aus ihrer Analyse bestimmen den Wert, den sie für ein Unternehmen haben und in welchem Maß das Unternehmen von ihnen profitieren kann.
Selbst Daten älterer Bestandsmaschinen aus prä-digitalen Zeiten (sogenanntes Brownfield – im Vergleich: Greenfield, neue vernetzte Anlagen mit aktuellem Stand der Technik) können über proprietäre Steuerungsschnittstellen und Automatisierungsprotokolle nützliche Informationen über ihren Zustand und damit eine Grundlage für Investitionsentscheidungen liefern.
Maschinendaten werden üblicherweise in Prozessdaten und Produktdaten unterteilt:
Prozessdaten
Sensoren liefern Steuerungsdaten, die im Produktionsprozess für den Betrieb einer Maschine erforderlich sind, sowie Daten, die während des Betriebs erzeugt werden. Sie geben Aufschluss über den Status im Prozess und unterstützen die Prozessüberwachung.
Produktdaten
Informationen, die während des Produktionsprozesses entstehen und Aufschluss über den Produktionsverlauf hinsichtlich Quantität und Beschaffenheit geben, beispielsweise Stückzahlen, Temperatur, etc.
Wem gehören Maschinendaten?
Die Frage, wem Maschinendaten gehören, ist zum Beispiel im Hinblick auf Garantieleistungen relevant. Die Leistungsdaten und die mögliche Last, für die eine Maschine konzipiert ist, sind in ihrer Spezifikation festgelegt. Wird die Maschine vom Betreiber außerhalb ihrer definierten Lastgrenzen betrieben und der Hersteller erhält durch Daten, die ihm die Maschine liefert, Kenntnis davon, kann er Garantieansprüche ausschließen.
Ein weiterer Aspekt sind vertrauliche Produktionsdaten, die Anlagenbetreiber Dritten gegenüber nicht preisgeben möchten, wie etwa individuelle Strategien zur Optimierung der Anlage und Produktionsergebnisse. Maschinenhersteller beliefern potenziell auch Marktbegleiter, weshalb Betreiber daran interessiert sind, den Datenfluss von Maschinen an die Hersteller zu kontrollieren und gegebenenfalls entsprechend einzugrenzen.
Die Nutzungsrechte an Maschinendaten sind gesetzlich nicht geregelt, wie es beispielsweise für geistiges Eigentum im Urheberrecht der Fall ist. Sie als Betreiber müssen daher die Nutzungsrechte mit Herstellern entsprechend Ihrer Bedürfnisse regeln und für die Absicherung bei der Datenübertragung Sorge tragen!
Was bieten Datenverarbeitungstechnologien in puncto Sicherheit?
Unternehmen können große Datenmengen lokal (Edge) oder zentral in einer Cloud verarbeiten und speichern oder eine Mischung aus beidem betreiben.
Beim FOG-Computing werden in einem kleinen Rechenzentrum am Rand der Cloud durch intelligente Vermittlungsknoten (Fog Nodes) Daten für lokale beziehungsweise zentrale Verarbeitung selektiert. Die Fog Nodes nehmen eine Vermittlerrolle zwischen der Cloud und dem Edge-Device ein und sorgen mit der Selektierung der Daten für eine Verkürzung der Wege in der Datenkommunikation.
Edge-Computing
Die Datenanbindung in Industriegebieten lässt vielerorts zu wünschen übrig und die Verfügbarkeit von Internetdiensten ist nicht immer gewährleistet. Eine dezentrale Speicherung und Verarbeitung großer Datenmengen auf einem Industrie-PC wird daher oftmals lokal mit Edge-Computing realisiert. „Edge“ bezeichnet dabei den Rand des Netzwerks. Die direkte Nähe zum physischen Prozess stellt einen Vorteil dar, ebenso wie die Unabhängigkeit von der IT-Abteilung. Das Sicherheitsniveau ist trotzdem entsprechend hoch, weil es dem Sicherheitsniveau der Produktionssteuerung angepasst ist.
Cloud-Computing
Beim Cloud-Computing liegen die Ressourcen und Services für das Speichern und Verarbeiten von Maschinendaten im zentralen Rechenzentrum der Cloud und nicht im lokalen Netzwerk. Das stellt Unternehmen vor die Herausforderung einer wirksamen Absicherung des Datentransfers, vor allem, wenn es sich um kritische Daten handelt oder um Daten mit hoher Aussagekraft für Ihre Geschäftstätigkeit. Nicht jeder externe Dienstleister verfügt über ein überzeugendes Schutzkonzept, wohl aber über Geschäftsbeziehungen zu Ihren Mitbewerbern.
Nachdem der Internet-Anschluss im Verantwortungsbereich der IT-Abteilung liegt, erfordert Cloud-Computing eine gute Abstimmung zwischen OT (Operational Technology) und IT.
Welche Methode für Sie als Betreiber für die Speicherung und Verarbeitung Ihrer Maschinendaten in Frage kommt, hängt von Ihrer individuellen Situation und Ihrer Anforderung an eine wirksame Absicherung ab. Wir empfehlen ein As-a-Service-Kostenmodell mit einer Abrechnungsmodalität nach tatsächlicher Nutzung und mit der Möglichkeit zur Skalierung.
Konkrete Möglichkeiten der Absicherung
Klarheit über Datenströme, Schnittstellen und Kanäle
Um die Verarbeitung von Maschinendaten wirksam abzusichern, müssen Sie wissen, wo Datenströme verlaufen und welche Schnittstellen und Übermittlungskanäle es gibt. Prüfen Sie, ob die Zugänge für die Kommunikation mit den Geräten auch für unerwünschte Eindringlinge offen sind. Wenn Sie Lücken finden, schließen Sie sie!
Netzsegmentierung und Sicherung von Zugängen
Eine deutliche Erhöhung des Sicherheitsniveaus erreichen Sie durch die Segmentierung von Produktionsnetzen. Schadcode, der über eine Schwachstelle ins Netzwerk eingedrungen ist, kann sich in segmentierten Netzten nicht weiter ausbreiten. Unsegmentierte Produktionsnetze ermöglichen zwar bequem die gleichzeitige Kommunikation mit allen Steuerungen, sind dadurch aber auch wesentlich unsicherer.
Informationsmanagement-Tools wie Dashboards zur Darstellung von Maschinendaten müssen so konfiguriert werden, dass der Zugang auf einen definierten Bereich begrenzt und ansonsten, zum Beispiel ins Office-Netz hinein, gesperrt ist.
Definieren Sie Sicherheitsstandards für externe Dienstleister, beipielsweise für Wartungszugänge, um zu verhindern, dass mögliche Cyberangriffe über diesen Weg Eingang in Ihr Netzwerk finden.
IT-Abteilung als erfahrener Sparringspartner
So manche innovative, aber risikobehaftete Idee erübrigt sich, wenn man die eigenen Standards kennt und nutzt; Bewährtes funktioniert! Wir empfehlen, Ihre Anforderung mit den Kollegen der IT-Abteilung zu besprechen und von deren Know-how zu profitieren. Viele Standardanforderungen, wie etwa Daten über ein mobiles Device abrufen zu können, sind prozessual bereits sicher über einen VPN-Zugang abgebildet, so dass es nicht lohnt, neue unsichere Technologien auszuprobieren.
Nur one way – und zwar von innen nach außen
Bei der Kommunikation sollten Sie auf ein Push-Prinzip setzen: Realisieren Sie möglichst immer Lösungen, die vorsehen, dass Ihre Maschinen bei Servern nach Updates fragen, nie ein Pull-Prinzip, bei dem ein Server die Maschine ansprechen kann und Updates unautorisiert initiiert. Dadurch vermeiden Sie Einfallstore für unbefugte Zugriffe.
OPC UA und Open-Source-Alternativen
Das gängige Industrieprotokoll OPC-UA bietet die breitgefächerte Expertise einer langjährig aktiven Foundation, die kontinuierlich an einem sicheren Industriestandard arbeitet. OPC-UA definiert eine offene, dokumentierte Schnittstelle und mehrere offene Implementierungen für die Kommunikation mit einer Maschine. Verschlüsselung und Signaturen sichern den Kommunikationsprozess, vorausgesetzt die entsprechenden Features werden aktiviert. Sicherheit ist kompliziert und aufwändig und wird vom Bedienpersonal zuweilen leichtfertig vernachlässigt. Hier sollten Sie die Awareness kontinuierlich fördern.
Eine Alternative zu OPC-UA stellen Open-Source-Lösungen, wie zum Beispiel PLC4X dar, das vor allem bei älteren Bestandsanlagen flexible und sichere Wege für die Gewinnung von Daten bietet.
Gestalten Sie Ihre Lösung zur sicheren Maschinendatenverarbeitung entsprechend Ihrem Business Case. Dabei kann es sich lohnen, etablierte Methoden und Open-Source-Lösungen zu mischen und aus beidem jeweils zu nutzen, was für Ihren Betrieb passt.
Im Interview zum Thema “Maschinendaten sicher verarbeiten – Edge, Cloud & Co in der Produktion” erläutert Julian Feinauer von pragmatic minds GmbH interessante Perspektiven, unter anderem zu den Vorteilen von Open Source Lösungen:
Fazit
Maschinendaten geben Ihnen Aufschluss über Optimierungspotential, das Ihnen bisher möglicherweise noch nicht bewusst ist, wie beispielsweise die prozentuale Downtime einer Anlage pro Schicht. Eine tägliche Erhöhung der Laufzeit um wenige Minuten, basierend auf der Auswertung von Maschinendaten, kann innerhalb einer komplexen Anlage große Auswirkungen haben.
Das Sammeln von Maschinendaten liefert Ihnen wertvolle Auswertungen und nützliche Lösungen. Sammeln Sie jedoch nicht um des Sammelns willen, sondern intelligent und zielgerichtet entsprechend Ihres konkreten, vorher definierten Bedarfs!
Der Industrial Security Guide zum schnellen Einstieg
CEO & Founder
Industrie 4.0, Digitalisierung u. steigende Vernetzung. Die OT- und OT-Security Welt wächst stetig weiter, da ist ein schneller Einstieg manchmal sehr schwer.
Aus diesem Grund haben haben wir einen Einstiegsguide zur Industrial Security geschrieben, der ihnen kurz und knapp die wichtigsten Themen nahelegt.
Hier gehts zum Download!
