LANline sprach mit Bernd Kann, Vertriebsleiter Nord beim Nürnberger Remote-Access-Spezialisten NCP Engineering, über die Zugriffssicherheit in der Industrie 4.0. Kann plädierte dafür, die besonderen Anforderungen der Digitalisierungsverantwortlichen in der Industrie zu berücksichtigen, die sich laut dem NCP-Mann deutlich von denen eines CISOs (Chief Information Security Officers) unterscheiden.

LANline: Herr Kann, NCP engagiert sich letzthin mit Nachdruck im industriellen Umfeld. Wie kam es zu dieser Entwicklung?

Bernd Kann: „Ein CDO hat ganz andere Anforderungen als der CISO.“ Bild: NCP

Bernd Kann: „Ein CDO hat ganz andere Anforderungen als der CISO.“ Bild: NCP

Bernd Kann: Das Remote Access VPN, wie wir es seit Jahren für die sichere Anbindung von Standorten und Mitarbeitern anbieten, ist inzwischen Standard. Wir haben uns deshalb auf unsere Kernkompetenzen und damit auf unser Management-System konzentriert. Denn auch für Industrie-4.0-Umgebungen – insbesondere für Maschinen, die Daten ins zentrale Rechenzentrum oder in die Cloud schicken – bietet die zentrale Verwaltung der Kommunikationsverbindungen große Vorteile.

LANline: Inwiefern unterscheiden sich die Anforderungen an sicheren Fernzugriff im Industrieumfeld von denen in der klassischen IT?

Bernd Kann: Ein CDO (Chief Digital Officer, d.Red.) hat ganz andere Anforderungen als der CISO. Beim Remote Access VPN im Unternehmensumfeld ist die Vielfalt der unterstützten Client-Betriebssysteme wichtig, bei der Industrie 4.0 stehen Server und Management im Vordergrund. Zudem geht es um die sichere Authentifizierung der Maschinen. Hier pflegen wir für NAC (Network Access Control, d.Red.) im Weitverkehrsnetz eine Technologiepartnerschaft mit Macmon. Diese Partnerschaft zweier deutscher Unternehmen kommt bei der Industrieklientel, die gegenüber ausländischen Anbietern oft skeptisch ist, sehr gut an.

LANline: Für welche Zugriffsszenarien kommen Ihre Lösungen im Industrieumfeld zum Einsatz?

Bernd Kann: Hier sind zwei Aspekte zu betrachten: erstens die Kommunikation der Maschine oder Anlage innerhalb des Unternehmens beziehungsweise der Industrieumgebung, zweitens die Kommunikation nach außen, also die Anbindung an den Hersteller, Service-Techniker oder die Cloud. Ein Beispiel: Soll ein Service-Techniker auf die Maschine zugreifen, erfolgt die gegenseitige Authentisierung über unser Gateway, die Authentifizierung übernimmt das Management-System. So entsteht eine sichere Brücke von der Maschine zu ihrem Gegenüber.

LANline: Das klingt zunächst nicht sehr spektakulär, schließlich ist es der Kerngedanke der Industrie 4.0, dass die Maschinenparks vernetzt sind und kontinuierlich mit der Außenwelt kommunizieren können…

Bernd Kann: Die Industrieverantwortlichen wollen aber gar nicht, dass die Maschinen ständig kommunizieren! Die Kommunikation ist nur bei ganz konkreten Anlässen gewünscht, etwa einem Incident, einem kritischen Zustand, einer Wartung oder einem neuem Firmware-Release. In der Industrie will man temporäre Zugriffe haben – und diese über automatisierte Prozesse steuern können.

LANline: Wie erfüllt NCP diesen Wunsch?

Bernd Kann: Hier kommt unser Management-System zum Tragen. Der Administrator kann per Web-Interface oder API temporäre User anlegen oder auch eine Authentisierungsanfrage ad hoc zulassen oder ablehnen. Zum Beispiel könnte ich einen Nutzer von Dienstleister XY mit Zugriff auf Maschine Z anlegen. Dank Automation ist ein Zugriff nach einer Minute möglich – und nicht erst nach mehreren Stunden wie bei vielen manuell gesteuerten Prozessen. Die Web-Oberfläche ist dabei für beide Seiten verfügbar: für das Unternehmen, aber auch für den Maschinenhersteller, Techniker oder Dienstleister. Zum Beispiel kann die interne IT eine Maschine bei einem Incident ad hoc freigeben, während der Dienstleister zugleich einen Techniker als Nutzer anlegt. Die Etablierung solcher Tunnels könnten auch Service-Provider als Dienstleistung anbieten.

LANline: Das heißt, im Sinne fortschreitender Arbeitsteiligkeit könnte hier eine neue Einkommensquelle für NCP-Partner entstehen oder gar eine ganz neue Art von Dienstleistern, der Vermittler sicherer Industrie-Connectivity?

Bernd Kann: In der Tat könnte dies ein neues Glied in der Wartungskette sein: ein MSP (Managed Service Provider, d.Red.) speziell für den Fernzugriff auf Maschinen. Das könnte einen neuen Geschäftsbereich eröffnen für Dienstleister, die sich bislang um Sensorik etc. gekümmert haben. Sie können jetzt die Security-Komponente mit übernehmen. Wichtig: Dafür braucht man keinen NCP-Client auf der Maschine, denn die Authentisierung erfolgt per Zertifikat, eben dies leistet unser Partner Macmon. Eine Stärke unserer Lösung ist dabei neben der Mandantenfähigkeit die hohe Skalierung: Das NCP Gateway ermöglicht bis zu 10.000 gleichzeitige Tunnel.

LANline: In welchen Fällen besteht ein so hoher Skalierungsbedarf?

Bernd Kann: Die Authentisierungsfrage kann bis in die Sensorik reichen. In einem Smart Building zum Beispiel gibt es eine Vielzahl von Sensoren, die alle einen differenzierten Zugriff erfordern. Des Weiteren benötigen zum Beispiel Automobilhersteller oder die Produzenten von Consumer-Produkten etwa zu Wartungszwecken einen hoch skalierbaren sicheren Fernzugriff auf die Produkte.

Eine VPN-Lösung für die Industrie 4.0 muss hoch skalieren können. Der Secure Enterprise Server von NCP unterstützt bis zu 10.000 VPN-Tunnels. Bild: NCP Engineering

Eine VPN-Lösung für die Industrie 4.0 muss hoch skalieren können. Der Secure Enterprise Server von NCP unterstützt bis zu 10.000 VPN-Tunnels. Bild: NCP Engineering

LANline: Wie aufwendig sind die Vorarbeiten, um die von Ihnen geschilderten automatisierten Abläufe zu erzielen?

Bernd Kann: Für die zentrale Überwachung über das Management-System legt die IT-Organisation bei der Implementierung der Lösung pro Abteilung oder pro Maschine ein Template an. Erforderlich ist dann noch die Anbindung zum Beispiel an das LDAP-System und für die Maschinenzertifikate die Einbindung der PKI per Schnittelle. Dank REST-APIs, die unser Management-System seit der aktuellen Version 5 unterstützt, kann man nun Abhängigkeiten einrichten, zum Beispiel temporär zugelassene Verbindungen in Abhängigkeit von Alerts oder Incidents etablieren, entweder per Automatismus oder mittels manueller Freigabe. Die Zugriffsrechte lassen sich dabei auch N:N vergeben, sodass zum Beispiel mehrere Techniker eines Herstellers auf mehrere Maschinen auf Kundenseite zugreifen können. Das Management-System kann sich dabei in der Cloud befinden, auch „Pay per Use“-Abrechnungsmodelle sind damit möglich.

LANline: In welcher Weise lässt sich hier eine Multi-Faktor-Authentifizierung (MFA) einbinden?

Bernd Kann: Wir unterstützen MFA im Management-System pro User und haben dies ebenfalls für das Industrial Internet of Things adaptiert: Die Authentifizierung ist auch pro Maschine oder Maschinenzugriff möglich, inklusive Definition eines Fallback-Mechanismus. Zum Beispiel kann der Verantwortliche festlegen: Für den Zugriff auf eine kritische Umgebung muss sich der Techniker per Token authentisieren. Zu diesem Zweck unterhalten wir eine Partnerschaft mit Censornet.

LANline: Was steht als nächstes auf Ihrer Industrie-Roadmap?

Bernd Kann: Wir arbeiten an einem Industrie-4.0-Client, der im Störungsfall eine SMS verschicken kann. Denn in einem weitläufigen vernetzten Industriegelände haben Endgeräte wie zum Beispiel Überwachungskameras innerhalb ihres jeweiligen Netzes oft die gleiche IP-Adresse. Damit der Techniker zu Diagnose- oder Wartungszwecken auf die richtige Kamera zugreifen kann, muss die Kamera die Verbindung daher selbst aufbauen und quasi einen Rückruf initiieren können, ohne dafür dauerhaft online sein zu müssen. Wichtig: Der Client muss in diesem Umfeld möglichst schlank sein, mit minimalen Systemvoraussetzungen. Wir hoffen, den Client bereits zur It-sa in Nürnberg vorstellen zu können.

LANline: Herr Kann, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.