Eine Messe in Hannover ist ohne IT kaum denkbar - schließlich wird die Leitmesse CeBIT in Niedersachsens Landeshauptstadt ausgetragen. Und auch auf der derzeit stattfindenden Hannover Messe ist die IT - wie schon im vergangenen Jahr - allgegenwärtig. Deutlich wird die Konvergenz auf einem Messestand unterschiedlicher Hersteller, darunter IT-Anbieter wie Cisco, der Kabelspezialist Harting, die Kuka Robot Group, der Anbieter von industrieller Verbindungstechnik Phoenix Contact, SAP sowie MPDV, ein Anbieter von Manufacturing-Execution-Systemen (MES). Die Firmen zeigen, wie Software, Komponenten und Anlagen aus der Industrie vernetzt werden und miteinander Daten austauschen können. In dem Szenario werden Tassen gefertigt, wobei der Ablauf vom Fertigungsauftrag im ERP-System bis zur automatisierten Verpackung des Endprodukts abgewickelt wird.
Die Grundlage dafür bildet eine gemeinsame Netztechnik, eben Industrial Ethernet. Dabei handelt es sich um die von Büronetzwerken bekannte Technik. Die Kabel werden jedoch besser gegen elektromagnetische Strahlung geschirmt und so ummantelt, dass sie beispielsweise auch Temperaturen bis 70 Grad aushalten (siehe auch: "Ethernet erobert die Produktion"). Steuerungsgeräte in Maschinen sind oft schon mit Web-Servern und einer IP-Adresse versehen, über die sie konfiguriert und überwacht werden können. Industrial Ethernet ersetzt spezielle Kommunikationsverfahren wie etwa "Feldbus", die noch aus einer Zeit stammen, als eine Kopplung mit IT-Systemen aus der Büroetage von Unternehmen noch kein Thema war. Allerdings gibt es auch Gateways, um Feldbus-Umgebungen an Ethernet-Netze anzubinden.
Fernwartung, so die Hoffnung der Hersteller, sorgt für steigende Nachfrage nach Industrial Ethernet. Über das Internet können sich Wartungsexperten des Maschinenherstellers auf Anlagen beim Kunden schalten. Auch das Einspielen von Programm-Updates wäre so effizienter als bisher, weil die Netzbandbreiten üppiger sind als bei Modem-Verbindungen. Ein weiteres Argument für Ethernet in der Fertigungshalle sind die Kosten: Nach Angaben des Netzwerkspezialisten Enterasys kommt ein Ethernet-Port auf etwa drei Dollar, ein Anschluss mit Feldbustechnik zum Beispiel kostet dagegen rund 20 Dollar.
Allerdings steigen mit der Vernetzung der Office- und Fertigungsbereiche auch die Sicherheitsanforderungen: Hacker und Viren könnten prinzipiell auch im Maschinenpark ihr Unwesen treiben, denn auch auf den mit Netzzugängen ausgestatteten Anlagen laufen Computer mit Betriebssystemen wie DOS und Windows. Anders als bei PCs im Büro kann dort aber nicht eben mal ein Patch eingespielt werden. Der Grund: Aus vertraglichen Gründen darf in der Regel nur der Leasing-Geber oder ein Wartungstechniker des Maschinenherstellers Software verändern. Zudem arbeiten zahlreiche Produktionssysteme noch mit alten Systemsoftware-Releases wie etwa Windows 95, die bekanntlich zahlreiche Sicherheitslücken aufweisen. Noch größer ist indes die Gefahr, dass Service-Techniker vor Ort oder über eine Remote-Verbindung durch Bedienfehler Schaden anrichten. So wundert es nicht, dass so manches Industrieunternehmen dankend abwinkt, wenn Anbieter sie für eine komplette Vernetzung ihrer Office- und Industriebereiche begeistern wollen.
Dies hat Sicherheitsspezialisten auf den Plan gerufen. Sie bieten zum Beispiel "gehärtete" Firewall-Appliances an, die auch in staubigen, heißen Umgebungen genutzt werden können. "Allein schon wegen der Fernwartung von Maschinen durch den Hersteller ist eine Abschottung der Maschine empfehlenswert", erläutert Wolfgang Blome von der Unternehmensberatung Blome + Partner aus Bonn. Für Fertigungsumgebungen hat beispielsweise Enterasys einen Ethernet-Switch ("I-Series Industrial Switch") entwickelt, der eine Authentisierung pro Port zulässt. Damit ist es möglich, auf einem Netzanschluss nur eine bestimmte Anlage beziehungsweise Person zuzulassen. Zudem lässt sich festlegen, welche Protokolle über den Port möglich sind und zu welchen IP-Adressen Verbindungen aufgebaut werden dürfen.
Um Remote-Zugriffe von Wartungsfirmen abzusichern, liefert Innominate eine spezielle Firewall ("Mguard") für das Maschinenumfeld. Der Druckmaschinenhersteller König und Bauer stattet seine Erzeugnisse mit Komponenten für den externen Wartungszugriff aus, die vorkonfigurierte Firewall-Module von Innominate beinhalten. Zugreifen kann der Maschinenexperte nur, wenn der Druckmaschinenbetreiber die VPN-Verbindung aus seiner Umgebung heraus eröffnet. Nach Angaben des Firewall-Spezialisten nimmt die Aufmerksamkeit für solche Konzepte zu. In Hannover zeigte Innominate eine neue Firewall-Firmware, die Authentifizierungsverfahren über Public-Key-Infrastrukturen (PKI), X.509-Zertifikate und RSA-Schlüssel vereinfacht. Eine in der Verwaltungssoftware "Innominate Device Manager" eingebettete Certificate Authority soll das Verteilen von Schlüsseln an die Geräte vereinfachen. Bisher mussten Zertifikate manuell installiert werden. (fn)