IT-Sicherheit im Unternehmen zwischen OT (Maschinennetzwerk) und IT (Firmennetzwerk)

Die Herausforderung: Sichere Fernwartung in der Industrie 4.0

Maschinenbauer, Anlagenbetreiber und Service-Techniker stehen vor einem Dilemma: Einerseits müssen sie schnell und flexibel auf Störungen reagieren können, andererseits dürfen sie dabei keine Kompromisse bei der IT-Sicherheit eingehen. Traditionelle VPN-Lösungen sind oft komplex in der Einrichtung und bieten nicht die erforderliche Transparenz und Kontrolle und Flexibilität.

Hinzu kommt: Moderne Produktionsanlagen sind hochkomplex. Stillstandszeiten kosten Geld – jede Minute zählt. Gleichzeitig steigen die regulatorischen Anforderungen, insbesondere durch Normen wie IEC 62443 für industrielle Cybersecurity oder der CRA (Cyber Resilience Act).

Maschinensteuerungen sind nicht für IT-Sicherheit ausgelegt. Ohne Schutz kann ein Benutzer über eine Steuerung leicht auf das Firmennetzwerk zugreifen. Deshalb müssen Maschinen und Endgeräte vor unbefugten Zugriffen abgesichert werden.

Die Lösung: mbCONNECT24 – Ihre zentrale Fernwartungsplattform

MB Connect Line hat mit mbCONNECT24 eine cloudbasierte Plattform entwickelt, die industrielle Fernwartung neu definiert. Die Lösung verbindet Einfachheit mit höchsten Sicherheitsstandards und bietet dabei maximale Flexibilität.

1. Funktionsweise der Fernwartung

   
   

Bei einer Fernwartung verbindet sich ein autorisierter Benutzer, beispielsweise ein Servicetechniker, von einem beliebigen Ort aus über das Internet mit einer SPS-Steuerung oder einem HMI als Bediengerät. Was hier so einfach klingt, ist in der Umsetzung viel komplexer.

Ein industrielles Fernwartungssystem besteht aus drei Komponenten:

1. Die Cloud: nimmt Benutzeranfragen entgegen und stellt die Verbindung zum Endgerät her.

2. Der sichere Benutzerzugriff: sorgt dafür, dass nur autorisierte Nutzer Zugriff auf die Cloud erhalten.

3. Die Verbindung zwischen Cloud und Maschine, die über einen vorgeschalteten Router erfolgt, trennt das Internet sicher vom Firmennetz und lässt nur autorisierte Zugriffe zu.

Das Ökosystem der MB Connect Line kombiniert Cloud (mbCONNECT24) und industrielle Router und bietet alle sicherheitsrelevanten Funktionen für den Fernzugriff.

2. Die Sicherheitsaspekte/ Schutzkonzepte

   
   

Zugriffsschutz

Der autorisierte Benutzer meldet sich über eine ausgehende Verbindung im Remote Service Portal an und legitimiert sich per Zwei-Faktor-Authentifizierung. Neben Benutzername und Passwort gibt er einen zusätzlichen PIN-Code ein, den er zeitnah per SMS, Anruf, E-Mail oder über eine Authenticator-App erhält. Erst danach erhält er Zugriff auf das System und sieht die ihm freigegebenen Endgeräte innerhalb der Maschine oder Anlage.

MB Connect Line bietet mit dem Portal mbCONNECT24 eine Cloudlösung, die den umfangreichen Zugriffsschutz aktiv umsetzt.

Datenschutz

In der Cloud sind alle für den Fernzugriff relevanten Daten gespeichert, darunter Benutzerdaten und Zugriffsrechte. Jede Verbindung zwischen Benutzer und Endgerät erfolgt ausschließlich über die Cloud, da sie den Benutzer identifiziert und die entsprechenden Rechte vergibt. Der Datentransfer zwischen den VPN-Endpunkten ist durch VPN-Tunnel und höchste Verschlüsselungsstandards der Übertragungsprotokolle abgesichert.

Für die Cloud stehen insgesamt vier Serverstandorte in Europa, in Asien, den USA und in Australien zur Verfügung. Der europäische Standort unterliegt der DSGVO.

Maschinen- und Anlagenschutz

Durch den Router werden Maschinen und Anlagen geschützt. Er trennt das Maschinennetzwerk (OT-Netzwerk) vom Firmennetzwerk (IT-Netzwerk). Ein Benutzer kann nur auf die für ihn freigegebene Maschinen- und Anlagenkomponenten zugreifen. Jeder Zugriff wird bezüglich Benutzername, Zeitpunkt und Dauer protokolliert.

Das Produktportfolio bietet zum Beispiel mit dem Gerät mbNET.rokey eine Variante mit manuellen Schlüsselschalter, an dem anhand von drei Positionen bestimmt werden kann, wann Benutzer auf den Router zugreifen dürfen und wann sie die dahinter liegenden Komponenten erreichen können.

3. Lösungsumsetzung: der Router

Hardware trifft Software: Die mbNET Router-Familie

Das Herzstück der Lösung bilden die industrietauglichen Router der mbNET-Familie. Die Router bauen eine sichere, verschlüsselte Verbindung zur mbCONNECT24-Cloud auf und fungieren als Gateway für den Fernzugriff. Diese Geräte sind speziell für den Einsatz in rauen Industrieumgebungen entwickelt:

• Robustes Design: Erweiterter Temperaturbereich, DIN-Schienenmontage, keine beweglichen Teile

• Hohe Verfügbarkeit: Redundante Mobilfunk-Verbindungen (Dual-SIM), automatisches Failover

• Einfache Installation: Plug & Play – in wenigen Minuten einsatzbereit

• Vielseitige Konnektivität: LTE/5G, Ethernet, WLAN, serielle Schnittstellen

• Verbindungen zur Cloud sind ausgehend, keine eingehenden offenen Ports nötig, Schutz vor externem Zugriff.

• VPN-Tunnel zur Cloud ermöglicht sicheren Datenaustausch zwischen Benutzer und Endgerät.

• Security by Default: Alle Sicherheitsfunktionen ab Werk aktiv, individuelle Passwörter, Firewall IT↔OT standardmäßig gesperrt.

• Security by Design: IT-Sicherheit bereits in der Entwicklung integriert (Secure Boot, signierte Firmware, verschlüsselte Daten im Hardware-Secure-Element).

Das Remote Service Portal „mbCONNECT24“

• Zentrale Verwaltung im Portal: Projekte, Benutzer und Endgeräte. Administratoren regelnd die Zugriffsrechte

• Sicherer Zugriff nur über die Cloud: Verbindung zwischen Benutzergerät und Maschinenschnittstelle. Ausgehende Verbindungen -> Firewall-Ports bleiben geschlossen

• Abgeschottete Unternehmensbereiche: Eigenes Konto, separates VLAN und eigene Datenbank.

4. Praxisbeispiele: Wo mbCONNECT24 echten Mehrwert schafft

Maschinenbau: Ein Sondermaschinenbauer in Süddeutschland betreut weltweit über 200 Anlagen. Mit mbCONNECT24 können Service-Techniker Störungen oft remote beheben, bevor ein teurer Vor-Ort-Einsatz nötig wird. Reisekosten und Ausfallzeiten sinken dramatisch.

Wasser- und Abwassertechnik: Kläranlagen und Pumpstationen müssen 24/7 überwacht werden. Mit mbCONNECT24 können Betreiber kritische Systeme aus der Ferne überwachen und mit der Alarmfunktion bei Bedarf sofort eingreifen – auch nachts und am Wochenende.

Fazit: Investition in die Zukunft

Die digitale Transformation der Industrie erfordert neue Ansätze in der Wartung und im Service. MB Connect Line bietet mit mbCONNECT24 eine zukunftssichere Lösung, die Sicherheit, Effizienz und Benutzerfreundlichkeit vereint.

Die Vorteile liegen auf der Hand:

• Kürzere Reaktionszeiten bei Störungen

• Geringere Reisekosten durch weniger Vor-Ort-Einsätze

• Höhere Anlagenverfügbarkeit durch proaktive Wartung

• Compliance-Sicherheit durch lückenlose Dokumentation

• Skalierbarkeit von wenigen bis zu tausenden Anlagen

Ob Sie Maschinenbauer, Anlagenbetreiber oder Service-Dienstleister sind – die PRIMATION Systemtechnik, als Vertriebspartner der MB Connect Line, unterstützt Sie dabei, Ihre Serviceprozesse zu optimieren und gleichzeitig höchste Sicherheitsstandards einzuhalten.

Interessiert? Erfahren Sie mehr über die Möglichkeiten der Fernwartung und wie Sie Ihre Fernwartung auf das nächste Level heben können. Kontaktieren Sie uns für eine individuelle Beratung oder eine Live-Demo der Plattform. https://www.primation.de/sichere-fernwartung

Gerne senden wir Ihnen auch das ausführliche Whitepaper der Firma MB Connect Line zum Thema „IT-Sicherheit bei der Fernwartung“ auf Anfrage unter info(at)primation.de zu.