Unser tägliches Leben, im privaten Bereich ebenso wie in geschäftlichen Dingen, erzeugt und nutzt eine Unmenge von Daten, die Rückschlüsse auf unsere Lebensumstände und unser Verhalten zulassen und eine Einflussnahme von außen, z. B. über personalisierte Werbung ermöglichen. Die Sammlung, Auswertung und Nutzung dieser Daten ist ein lukratives Geschäftsmodell für Unternehmen, aber auch für Cyberkriminelle, wenn Sicherheitsmechanismen nicht vorhanden sind oder nicht funktionieren.  

Ebenso sind Daten in komplexen Produktionsprozessen moderner Industrieunternehmen ein wichtiges Mittel, um Einfluss zu nehmen. Das IIoT produziert riesige Datenmengen, die mittels Big-Data-Technologien verarbeitet werden. Die Datenintegrität ist dabei von wesentlicher Bedeutung und begründet die dringende Notwendigkeit wirksamer Schutzmaßnahmen.  

Der Nutzen von Maschinendaten 

Grundsätzlich funktionieren Maschinen auch ohne Daten zu liefern. Nehmen wir als Beispiel einen Lüfter in einem einfachen PC, der durch die CPU angesteuert wird, aber selbst keine Daten zurückliefert. Versagt der Lüfter, wird die CPU herunter getaktet, was zum Leistungsabfall führt. Das ist im privaten Bereich meist unkritisch. 

Anders in Rechenzentren, wo Rechenleistung für die Verfügbarkeit der Infrastruktur einen wesentlichen Einfluss auf Produktionsbereiche und andere Funktionen im Unternehmen hat. Erhöhte Rechenleistungen erzeugen einen Temperaturanstieg, der durch die Lüftungsanlage ausgeglichen wird. Um die Verfügbarkeit des Rechenzentrums sicherzustellen werden die Leistungsdaten z.B. der Lüftungsanlage über Sensoren oder über die Steuerung an ein Kontrollzentrum übertragen, wo man Schlussfolgerungen daraus zieht und Defekte erkennt, die potentiell zu einem Ausfall der Lüftung führen können. 

Erst wenn Maschinendaten gesammelt, analysiert und dokumentiert sind, werden Zusammenhänge klar und Risiken sichtbar.

Maschinendaten als wichtige Planungsgrundlage 

Maschinendaten sind für die Planung einer effizienten Produktion und für Optimierungsmaßnahmen von großer Bedeutung. Sie geben dem Betreiber Aufschluss darüber, wann und mit welcher Last Maschinen produktiv laufen und wann nicht, und welche Produktionsergebnisse mit der bestehenden Auslastung erzielt werden. Auf Grundlage Ihrer Maschinendaten können Sie OEE Berechnungen durchführen (Overall Equipment Efficiency) und Anpassungen planen, die Ihre Produktion steigern.  

Predictive Maintenance-Konzepte stellen die Verfügbarkeit einer Anlage sicher und vermeiden Kosten für ungeplante Wartungseinsätze vor Ort. Im schlimmsten Fall verhindert predictive maintenance den Stillstand einer Anlage. Wartungsrelevante Informationen basieren auf Diagnosedaten, die Maschinen an Betreiber und Hersteller liefern. Die Absicherung der Fernwartungszugänge sollte ein konkreter Bestanteil Ihrer Sicherheitsmaßnahmen sein.  
Mehr zum Thema predictive maintenance finden Sie hier.

Im Rahmen eines ganzheitlichen IT-Schutzkonzepts liefern Maschinendaten wertvolle Informationen über die Komponenten und Systeme, die zur Infrastruktur einer Produktionsanlage gehören. Damit wird der Status Quo Ihres Inventars transparent, das während langer Anlagenlaufzeiten verschiedene Veränderungen erfahren hat, Ihre Dokumentation aber vielleicht nicht. Eine aktuelle Inventarisierung definiert den Umfang und die Art der Schutzmaßnahmen und die durch Maschinendaten gewonnene Transparenz hilft Ihnen beim effizienten Einsatz Ihrer Ressourcen. 
Den Nutzen eines Asset Inventars haben wir in einem eigenen Fachartikel ausführlich beleuchtet.

Als Betreiber sollten Sie ein klares Konzept über Ihren konkreten Bedarf an Maschinendaten entwickeln, der Ihrem business case entspricht. Wenn Sie definieren, wozu Sie Daten erfassen und verarbeiten möchten, ergibt sich auch die geeignete Methode für den Transportweg und die Verarbeitung der Maschinendaten. 

Maschinendaten und ihr Wert 

Der Wert von Daten ist unumstritten, deswegen werden sie überall in großer Menge erhoben. Allein die intelligente Auswahl der Daten und die richtigen Schlussfolgerungen aus ihrer Analyse bestimmt, ob sie von großem Wert für ein Unternehmen sind und in welchem Maß das Unternehmen von ihnen profitieren kann. 

Selbst Daten älterer Bestandsmaschinen aus prä-digitalen Zeiten (sog. Brownfield – im Vergleich: Greenfield: neue vernetzte Anlagen mit aktuellem Stand der Technik) können über proprietäre Steuerungsschnittstellen und Automatisierungsprotokolle nützliche Informationen über ihren Zustand und damit eine Grundlage für Investitionsentscheidungen liefern. 

Maschinendaten werden üblicherweise in Prozessdaten und Produktdaten unterteilt: 

Prozessdaten 

Sensoren liefern Steuerungsdaten, die im Produktionsprozess für den Betrieb einer Maschine erforderlich sind, sowie Daten, die während des Betriebs erzeugt werden. Sie geben Aufschluss über den Status im Prozess und unterstützen die Prozessüberwachung. 

Produktdaten 

Informationen, die während des Produktionsprozesses entstehen und Aufschluss über den Produktionsverlauf hinsichtlich Quantität und Beschaffenheit geben, z.B. Stückzahlen, Temperatur, etc. 

Wem gehören Maschinendaten? 

Die Frage, wem Maschinendaten gehören, ist zum Beispiel im Hinblick auf Garantieleistungen relevant. Die Leistungsdaten und die mögliche Last, für die eine Maschine konzipiert ist, sind in ihrer Spezifikation festgelegt. Wird die Maschine vom Betreiber außerhalb ihrer definierten Lastgrenzen betrieben und der Hersteller erhält durch Daten, die von der Maschine zum Hersteller geliefert werden, Kenntnis davon, kann er Garantieansprüche ausschließen.  

Ein weiterer Aspekt sind vertrauliche Produktionsdaten, die Anlagenbetreiber nicht an Dritte preisgeben möchten, wie individuelle Strategien zur Optimierung der Anlage und Produktionsergebnisse. Maschinenhersteller beliefern potenziell auch Marktbegleiter, weshalb Betreiber daran interessiert sind, den Datenfluss von Maschinen an die Hersteller zu kontrollieren. 

Die Nutzungsrechte an Maschinendaten sind gesetzlich nicht geregelt, wie z.B. geistiges Eigentum im Urheberrecht. Sie als Betreiber müssen daher die Nutzungsrechte mit Herstellern entsprechend Ihrer Bedürfnisse regeln und für die Absicherung bei der Übertragung von Daten Sorge tragen! 

 Was bieten Datenverarbeitungstechnologien in puncto Sicherheit? 

Unternehmen können große Datenmengen lokal oder zentral in einer Cloud verarbeiten und speichern. Zwischen Edge und Cloud funktioniert FOG-Computing, über ein kleines Rechenzentrum am Rand der Cloud mit intelligenten Vermittlungsknoten, die Daten für lokale bzw. zentrale Verarbeitung selektieren. 

Edge-Computing 

Die Datenanbindung in Industriegebieten lässt vielerorts zu wünschen übrig und die Verfügbarkeit von Internetdiensten ist nicht immer gewährleistet. Eine dezentrale Speicherung und Verarbeitung großer Datenmengen auf einem Industrie-PC wird daher oftmals lokal mit Edge-Computing realisiert. Die direkte Nähe zum physischen Prozess stellt einen Vorteil dar, ebenso wie die Unabhängigkeit von der IT-Abteilung. Das Sicherheitsniveau ist trotzdem entsprechend hoch, weil es dem Sicherheitsniveau der Produktionssteuerung angepasst ist. 

Cloud-Computing 

Ressourcen und Services beim Speichern und Verarbeiten von Maschinendaten finden im zentralen Rechenzentrum der Cloud statt, was Unternehmen vor die Herausforderung einer wirksamen Absicherung des Datentransfers stellt, vor allem, wenn es sich um kritische Daten handelt oder um Daten mit hoher Aussagekraft für Ihre Geschäftstätigkeit. Nicht jeder externe Dienstleister verfügt über ein überzeugendes Schutzkonzept, wohl aber über Geschäftsbeziehungen zu Ihren Mitbewerbern. 

Nachdem der Internet-Anschluss im Verantwortungsbereich der IT-Abteilung liegt, erfordert Cloud-Computing eine gute Abstimmung zwischen OT (Operation Technology) und IT. 

Welche Methode für Sie als Betreiber für die Speicherung und Verarbeitung von Maschinendaten in Frage kommt, hängt von Ihrer individuellen Situation und Ihrer Anforderung an eine wirksame Absicherung ab. Wir empfehlen ein „as a service“ Kostenmodell mit einer Abrechnungsmodalität nach tatsächlicher Nutzung und der Möglichkeit zur Skalierung. 

Konkrete Möglichkeiten der Absicherung 

Klarheit über Datenströme, Schnittstellen und Kanäle 

Um die Verarbeitung von Maschinendaten wirksam abzusichern, müssen Sie wissen, wo Datenströme verlaufen und welche Schnittstellen und Übermittlungskanäle es gibt. Prüfen Sie, ob die Zugänge für die Kommunikation mit den Geräten auch für unerwünschte Eindringlinge offen sind und schließen Sie diese Lücken! 

Netzsegmentierung und Sicherung von Zugängen  

Eine deutliche Erhöhung des Sicherheitsniveaus ist die Segmentierung von Produktionsnetzen. Schadcode, der über eine Schwachstelle ins Netzwerk eingedrungen ist, kann sich nicht ausbreiten. Unsegmentierte Produktionsnetze ermöglichen zwar bequem die gleichzeitige Kommunikation mit allen Steuerungen, sind aber wesentlich unsicherer. 

Informationsmanagementtools, z.B. Dashboards zur Darstellung von Maschinendaten müssen so konfiguriert werden, dass der Zugang auf einen definierten Bereich begrenzt wird und z.B. ins Office-Netz gesperrt ist. 

Definieren Sie Sicherheitsstandards für externe Dienstleister z.B. für Wartungszugänge, um zu verhindern, dass mögliche Cyberangriffe über diesen Weg Eingang in Ihr Netzwerk finden. 

IT-Abteilung als erfahrener Sparringspartner 

So manche innovative, aber risikobehaftete Idee erübrigt sich, wenn man die eigenen Standards kennt und nutzt; Bewährtes funktioniert! Wir empfehlen, Ihre Anforderung mit den Kollegen der IT-Abteilung zu besprechen und von deren Knowhow zu profitieren. Viele Standardanforderungen, wie z.B.  Daten via mobilem device abrufen zu können sind prozessual bereits sicher z.B. via VPN-Zugang abgebildet, so dass es nicht lohnt, neue unsichere Technologien auszuprobieren.  

Nur one way und zwar von innen nach außen 

Bei der Kommunikation sollten Sie auf ein Push-Prinzip setzen: Realisieren Sie möglichst immer Lösungen, die vorsehen, dass Ihre Maschinen bei Servern nach Updates fragen, nie ein Pull-Prinzip, bei dem ein Server die Maschine ansprechen kann und Updates unautorisiert initiiert. Dadurch vermeiden Sie Einfallstore für unbefugte Zugriffe. 

OPC-UA und Open Source Alternativen 

OPC-UA als gängiges Industrieprotokoll bietet die breitgefächerte Expertise einer langjährig aktiven Foundation, die kontinuierlich an einem sicheren Industriestandard arbeitet. OPC-UA definiert eine offene, dokumentierte Schnittstelle und mehrere offene Implementierungen für die Kommunikation mit einer Maschine. Verschlüsselung und Signaturen sichern den Kommunikationsprozess, vorausgesetzt die Features werden aktiviert. Sicherheit ist kompliziert und aufwändig und wird vom Bedienpersonal zuweilen leichtfertig vernachlässigt. Hier sollten Sie die Awareness kontinuierlich fördern. 

Eine Alternative zu OPC-UA stellen Open-Source Lösungen, wie z.B. PLC4X dar, das vor allem bei älteren Bestandsanlagen flexible und sichere Lösungen zur Gewinnung von Daten bietet. 

Im Interview zum Thema “Maschinendaten sicher verarbeiten – Edge, Cloud & Co in der Produktion” erläutert Julian Feinauer von pragmatic minds GmbH interessante Perspektiven u.a. zu Vorteilen von Open Source Lösungen: 

Fazit

Maschinendaten geben Ihnen Aufschluss über Optimierungspotential, das Ihnen bisher möglicherweise noch nicht bewusst ist, wie beispielsweise die prozentuale Downtime einer Anlage pro Schicht. Eine tägliche Erhöhung der Laufzeit um wenige Minuten, basierend auf der Auswertung von Maschinendaten kann innerhalb einer komplexen Anlage große Auswirkungen haben.  

Das Sammeln von Maschinendaten liefert Ihnen wertvolle Auswertungen und nützliche Lösungen. Sammeln Sie jedoch nicht um des Sammelns willen, sondern intelligent und zielgerichtet entsprechend Ihres konkreten, vorher definierten Bedarfes!

Mix and Match! Gestalten Sie Ihre Lösung zur sicheren Maschinendatenverarbeitung entsprechend Ihrem business case und profitieren Sie von etablierten Methoden und von passenden Open Source Lösungen.