Device Management: Ein Must-have für IT-Verantwortliche im Maschinen- und Anlagenbau

Veröffentlicht am 18. Februar 2022 von Vanessa Kluge

IT-Verantwortliche, technische Produktmanager und R&D-Leiter sehen sich mit der Konvergenz von Information Technology (IT) und Operational Technology (OT) sowie dem steigenden Konnektivitätsgrad ihrer Anlagen und Maschinen durch integrierte Gateways, Sensoren, intelligente Zähler, Kommunikationsgeräte oder Router immer komplexeren Herausforderungen bei der Verwaltung ausgesetzt und müssen sich diesen Fragen stellen:

  • Wie stelle ich eine End-to-End Verschlüsselung der "sprechenden" Komponenten sicher?
  • Wie behalte ich die Kontrolle über das global verteilte Geräteinventar beim Rollout von der Inbetriebnahme, über die Konfiguration bis hin zur Ferndiagnose?
  • Wie lassen sich Installationskosten reduzieren?
  • Wie führe ich automatische Wartungen, kontinuierliche Analysen und Firmware Updates proaktiv und möglichst kostenneutral durch?
  • Wie befähige ich mein "unterbesetztes" / "überlastetes" IT-Team schnell und effizient Verbindungs- oder Konfigurationsfehler zu erkennen und aus der Ferne zu beheben?
  • Wie gehe ich mit der steigenden Heterogenität von Protokollen, Schnittstellen, Applikationen, Betriebs- und Firmwareversionen der Geräteflotte um?

Die Liste an Herausforderungen ließe sich beliebig fortführen und ist sicherlich alles andere als vollständig. Was diese allerdings vereint, ist Frage wie eine moderne und sichere Verwaltung der (IoT) Geräte gewährleistet werden kann. 

Das Device Management als fertiges Software-Tool im IIoT-Umfeld kann hier wertvolle Unterstützung leisten, wenn es an Ressourcen und Zeit für Eigenentwicklungen fehlt. Wie das funktioniert, sollen die folgenden Gründe aufzeigen:

Zentrale und proaktive Geräteverwaltung & -analyse

"Aus den Augen, aus dem Sinn" - dieser Leitgedanke ist im heutigen Service & After Sales-Umfeld des Maschinen- und Anlagenbaus längst überholt. Maschinen und Anlagen sind vernetzter denn je. Die integrierte(n) Sensorik, Steuerungen oder Gateways sind essenzielle Komponenten, um die Performance der Maschinen sicherzustellen bzw. deren „Gesundheit“ kontinuierlich zu überwachen. Daher ist es nur konsequent den Zustand der dafür notwendigen (IoT-) Geräte möglichst in Echtzeit zu analysieren und zentral zu verwalten. Funktionsdaten wie CPU-Auslastung, Speicherplatz, Betriebszeit oder auch der Verbindungsstatus unterstützen IT-Verantwortliche dabei proaktiv Überlastungen oder Ausfällen vorzubeugen. Da die Geräte meist sehr heterogen sind, behalten IT, Service & After Sales nur den Überblick, wenn Stammdaten, Gerätehistorie, installierte Software digital durchgängig gepflegt und dokumentiert sind. Eine direkte Zuordnung nach Kunde, Standort oder nach Gerätetyp sowie die Bildung von Gerätegruppen beschleunigt dabei den administrativen Aufwand erheblich.

Homogenes Applikationsmanagement durch Docker-Container

Wenn von gängigen Industriestandards und Protokollen im IIoT gesprochen wird, fallen Begriffe wie OPC-UA, MQTT, Ethernet IP, S7 Kommunikation, JSON, FINS, XML/HTML oder SQL-Datenbanken, die eine flexible Datenintegration versprechen. Also ein homogenes Gerätemanagement erwarten lassen. Die Praxis der Maschinenhersteller sieht jedoch ganz anders aus. Dort sind benutzerdefinierte Datenmodelle innerhalb eines Anwendungsprotokolls oder gar verschiedene Firmware-Versionen keine Seltenheit. Sind regelmäßige Updates und Änderungen auf Applikationsebene geplant, ist es sinnvoller diese getrennt von dem zugrundeliegenden Betriebssystem zu verwalten. Auch die Kombination verschiedener Dienste auf einem Gerät mit dem Ziel diese sukzessiv bzw. auf Kundenwunsch freizuschalten oder verschiedene Anlagen im Maschinenpark über ein (IoT-) Gerät betreiben zu wollen (z.B. Gerätekoppler), machen die Verwaltung der Applikationen eher komplexer als einfacher.

Docker-Container sind hier das Zünglein an der Waage. Denn es liegt in ihrer Natur – leicht, portabel und geschlossen – die Entwicklung verschiedener Software zu erleichtern und gleichzeitig Software-Updates, Anpassungen oder Wartungen durch die lose Kopplung unabhängig voneinander zu ermöglichen. Dies bietet nicht nur eine schnellere Skalierung, sondern auch Fallbacks auf Vorgängerversionen bei Tests im agilen Entwicklungs- und Ausrollprozess. IT-Abteilungen profitieren darüber hinaus bei der von Nutzung Docker-Containern für ihre Anwendungen von einer enormen Portabilität. Egal ob, Public Cloud oder Firewall geschützte Umgebung. Mit einer installierten Docker Umgebung ist die Ausführung sicher möglich.

Der Umgang mit den Docker-Containern, in denen die Applikationen laufen, gehört zum Arbeitsalltag der IT-Experten. Bei der homogenen Verwaltung der Container kann wiederum das Device Management wertvolle Unterstützung leisten. Es bietet die Möglichkeit multiple Container auf einzelne Geräte zu installieren, individuelle Konfigurationen vorzunehmen, Massenupdates ganzer Geräteflotten oder Troubleshooting zeitsparend durchzuführen. 

(IoT)-Geräte durch gehärtete Betriebssysteme absichern
 

Damit IoT-Geräte reibungslos funktionieren, müssen Firmware oder Betriebssystem permanent auf dem aktuellen Stand gehalten werden. Installierte Software birgt dabei immer ein gewisses Einfallstor für Hackerangriffe. Fehlt für regelmäßige Updates die Bandbreite, sorgt das bei IT-Verantwortlichen für zusätzliche Ungewissheit, da eine 100%ige Betriebszeit nicht gewährleistet werden kann. Um dem vorzubeugen, ist es sinnvoll das Betriebssystem auf die Kernfunktionen zu reduzieren und unnötige Systemfunktionen gänzlich zu deaktivieren und Sicherheitsfunktionen so einzustellen, dass automatische Updates gänzlich ausgeschlossen sind. Auf diesem Wege lässt sich ein sicheres bzw. gehärtetes Betriebssystem herstellen, das trotz Datenübertragung größtmöglich gegen Sicherheitslücken abgeschottet ist. Im Falle von kritischen Schwachstellen bietet das gehärtete Betreibsystem für X86 oder ARM, basierend auf Yocto Linux mit vollständiger Integration von Gerätetreibern, kurzfristige Aktualisierungen, da es auf zwei redundante Betriebssystempartitionen zurückgreifen kann.


Darüber hinaus bietet es sich für eine hohe Gerätezahl mit gleicher oder einfacher Applikation an, die Applikation mit auf die Betriebssystempartition zu setzen und beides gebündelt auszuliefern. Da für solche Geräte 1 bis 4 Updatezyklen im Jahr ausreichend sind, eignet sich dieses Vorgehen besonders gut. Eine Verwaltung der Applikation mittels Container wäre hierfür hingegen überdimensioniert.

Das sichere Betriebssystem (Secure OS) innerhalb des Device Managements bietet so eine sichere Verwaltungsschnittstelle für automatische Bereitstellung, Installation von Updates, Deployment sowie Rollback Mechanismen.

K-Port Secure OS

Gesicherter Fernzugriff auf Geräte im Feld

Unabhängig davon, ob die erste Version eines vernetzten Produkts auf den Markt gebracht wird, bereits hunderte von Geräten im Feld installiert sind oder Altanlagen mit Geräten nachgerüstet werden sollen. Wenn ein Servicefall ansteht oder mit neuen Anwendungsfunktionen (z.B. Micro Services) experimentiert wird, besteht immer die Notwendigkeit eines direkten Zugriffs auf ein dediziertes Gerät im Feld. Dem mittelständischen Maschinen- und Anlagenbauer fehlen dafür häufig die Ressourcen und Fachkenntnisse, um ein industrielles IoT-System rund um die Uhr zu unterstützen. Abhilfe schaffen kann die Einrichtung von Diagnosen und automatischen Warnmeldungen in Verbindung mit einem softwaregestützten Fernwartungsdienst, der eine zeitnahe Fehlerbehebung ermöglicht. Was IT-Verantwortliche benötigen, ist also eine zentrale Verwaltung von Remote-Zugängen. Der Aufbau der Verbindung zum IoT-Gerät soll möglichst bequem sein, d.h. Firewall-freundlich ohne Öffnen von Ports und mit einem Klick erfolgen. Per Desktop- oder Remote-Shell (Graphical Benchwork) wie RDP oder SSH kann die Verbindung aufgebaut und jederzeit terminiert werden. Die Sicherheit steht beim Aufbau von Remote-Verbindungen im Vordergrund, denn genau hier gibt es Angriffspunkte von außen, die es abzusichern gilt. Mit systemgestützten Authentifizierungsmechanismen wie ein nutzerbasiertes Rechtemanagement sowie einer SSL verschlüsselten Verbindung nach TLS 1.3 Standard können IT-Verantwortlichen diesen Anforderungen Sorge tragen.

Mit VPN-Verbindungen die Servicetiefe erhöhen

Wo der Remoting Zugriff auf (IoT-) Geräte nicht ausreicht, ermöglichen VPN -Verbindungen einen temporären und gleichzeitig sicheren Fernzugriff bis in das Maschinen- und Anlagennetzwerk. Dabei wird eine direkte Verbindung, auch „Tunneling“ genannt, zwischen den Netzwerken des Maschinenbauers und des Endkunden hergestellt, indem diese über einen lokalen VPN- Client aus einem Clouddienst initiiert wird. Der Nutzer erhält dabei umgehend Feedback über den Verbindungsstatus (verfügbar, verbunden, gestört).
Ist die VPN-Verbindung mit dem (IoT-) Gerät erfolgreich aufgebaut, lassen sich umfassende Fernwartungen wie Parametrierungen, Konfigurationen an der Maschinensteuerung, Live-Tests für Firmware- und Software-Installationen durch den Maschinenhersteller oder Systemintegrator realisieren.

Damit funktionsübergreifende Teams unabhängig voneinander auf eine Anlage oder gar mehrere Anlagen, die über ein (IoT-) Gerät verbunden sind, zugreifen und um ohne Zeitverzug Remote Support leisten können, sind gleichzeitige Verbindungen essenziell. Um Nachweispflichten nachzukommen und Transparenz gegenüber dem Endkunden zu schaffen, sind ausführliche Verbindungsprotokolle, die Dauer, Nutzer und übermittelte Daten erfassen unabdingbar. Zusätzliche Sicherheit bietet ein ausgeklügeltes Nutzermanagement und die automatische Deaktivierung der Verbindung nach einstündiger Inaktivität. 
Auf diese Weise können Systemintegratoren und Maschinenhersteller ihre Servicetiefe erheblich steigern und ihre IT bei der VPN- Konfiguration entlasten.

Nutzerfreundliches On-Boarding

Die Auslieferung einer Anlage oder Maschine schließt auch immer die vernetzten (IoT-) Geräte mit ein. Um Dienste wie Remoting, Containermanagement oder Echtzeitanalysen zu realisieren, müssen auf den IoT-Geräte zum einen passende Software installiert und zum anderen diese mit einer spezifischen Cloud-Instanz verbunden sein, sodass eine Steuerung und Kontrolle des Geräteinventars aus der Cloud heraus möglich sind. Die Registrierung und eindeutige Kennung des Geräts (Name des Geräts, ID, REST-Kopplung, etc.) erfolgt dabei im Zuge des Inhouse-Inbetriebnahme-Prozesses der Anlage mit der Installation der Software. Werden Anlagen im Feld nachträglich mit IoT-Geräten ausgestattet lässt sich dieser Vorgang auch händisch über eine mobile App durchführen. Für den Log-In des Kunden oder Servicetechnikers in das Device Management genügt als Autorisierung den QR-Code am Gerät zu scannen und sich auf diesem Weg zu registrieren. Dieser Onboarding Prozess ermöglicht so auch eine einfache Zuordnung zur jeweiligen Instanz/Anlage in der Cloud. Dadurch können technische Produktmanager und IT-Verantwortliche sowohl vor der Auslieferung an den Kunden als auch beim Nachrüsten der Anlagen sicherstellen, dass die IoT-Geräte auf dem aktuellen Stand sind und mit den notwendigen Diensten ausgestattet sind.

Ein durchdachtes Device Management kann der IT eines mittelständischen Maschinenherstellers oder Systemintegrators bei der Verwaltung ihrer vernetzten Geräte in vielfacher Hinsicht unterstützen. Sicherheitsbedenken oder administrativer Aufwände lassen sich durch ein nutzerfreundliches Onboarding der Geräte, ein proaktives Monitoring und übersichtliche Verwaltungsoberfläche sowie ein homogenes und performanten Applikations- und Firmwaremanagement lösen. In Einklang mit der IT befähigen Unternehmen Ihren Service und After-Sales so, digitale Dienste professionell und skalierbar aufzusetzen. 

Sind Sie bereit, Ihre Digitalisierungsstrategie in der Praxis umzusetzen?