Remote-Access-Lösungen für OT-Umgebungen werden entweder von Anlagenbetreibern eingekauft, die in ihren Werken in der Regel eine Vielzahl an Anbietern für Kontrollsysteme und Maschinen nutzen, oder von Herstellern von industrieller Automatisierungstechnik und Maschinenbauern. Hier gibt es selbstverständlich Interessenkonflikte: Den Maschinenbauern wäre es am liebsten, wenn all ihre Kunden die gleiche Lösung verwenden würden, während Anlagenbetreiber nur eine Lösung für alle Arten von Maschinen und Geräten verwenden wollen.
Welche nicht offensichtlichen Anforderungen können relevant sein?
- Werden Verbindungen stets vom Werk aus hergestellt?
- Sind öffentliche IP-Adressen von Sicherheitsroutern erforderlich, oder kann die bestehende Netzwerkarchitektur der Anlagenbetreiber (Zonen/Kanäle) berücksichtigt werden?
- Ermöglicht die Lösung einen transparenten Zugriff auf Maschinen ungeachtet von Industrieprotokollen bzw. welche Protokolle können überhaupt verwendet werden?
- Können die Techniker einen Browser nutzen oder müssen sie einen speziellen Client installieren?
- Welche Anwendungsfälle gibt es? Z. B.:
- Interne Servicetechniker, die eine IDE auf ihrem Laptop verwenden, um Änderungen auf einem PLC vorzunehmen
- Externe Servicetechniker, die Parameter aktualisieren, z.B. über ein proprietäres System oder eine GUI der Maschine/Komponente
- Upload und Optimierung der Prozessdaten in der Cloud
- Welche Arbeitsabläufe sind für den rollenbasierten Zugriff erforderlich? Z. B.:
- Kann ein zentrales Serviceteam die Zugriffsrechte für externe Techniker gewähren, wenn diese von den lokalen Werken angefragt werden?
- Können die Zugriffsrechte für einzelne Maschinen oder Komponenten gewährt werden, auch wenn sich im Werk mehrere Anlagen des gleichen Anbieters befinden?
- Kann ein lokaler Mitarbeiter an der Maschine die Verbindung zulassen und beenden, z.B. aus Sicherheitsgründen? Falls ja, weiß der lokale Mitarbeiter, dass eine Remote-Verbindung eingerichtet ist?
- Ist die Lösung mit den verwendeten ICS-Komponenten sowie dem CMDB-Bestandsverzeichnis und den vorhandenen ITSM-Tools kompatibel?
- Welche Informationen werden überwacht und protokolliert? Sind Warnmeldungen möglich, und welche Suchfunktionen gibt es für Log-Daten?
- Bei Berücksichtigung einer Proof-of-Value-Phase und eines klaren Testplans für den Praxisvergleich von zwei bis drei Lösungen – z. B.: Wie einfach können lokale Mitarbeiter die Remote-Access-Lösung konfigurieren und nutzen?
Wer sind die typischen Anbieter?
Das Feld ist groß; zu den Anbietern gehören u.a. Siemens, Rockwell, Phoenix Contact, Claroty, Ixon, HMS/EWON, InUse und viele mehr.
Was sind die typischen Kosten, die budgetiert werden sollten?
Das Spektrum an Angebotspreisen ist breit. Das bedeutet aber auch, dass es je nach spezifizierten Anforderungen signifikante Einsparpotenziale gibt.
Einige Anbieter berechnen lediglich Einmalkosten für Soft- und Hardware, die sich auf 1.000 bis 2.000 EUR für einen zentralen Zugang und die Nutzung des zentralen Webportals belaufen. Andere Anbieter erheben jährliche Lizenzgebühren in gleicher Höhe. Die Gesamtkostendifferenz kann für einen großen Hersteller schnell im sechsstelligen Bereich liegen.
Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.
Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.
