Use-Case 1: Legacy-Maschine

Wie Kunden in der Praxis konkret profitieren, zeigt der Produktmanager an einem anschaulichen Use Case auf: Eine seit rund 15 Jahren im Einsatz befindliche Maschine mit entsprechend alter Steuerung und HMI. „Diese war heute nicht mehr im erforderlichen Maß updatefähig und stellte somit ein Sicherheitsrisiko dar“, erzählt D. Scholz. Im ersten Schritt fand eine Segmentierung über eine IFR-Firewall statt und damit die Unterbindung der offenen Kommunikation von und nach außen. Ein weiteres To-do waren die proprietären OT-Protokolle, mit denen keine direkte Cloudkommunikation möglich war. „Und selbst wenn die Maschine in der Lage gewesen wäre, die Daten zur Weiterverarbeitung an die Cloud zu senden, könnten diese von den entsprechenden übergeordneten Softwarelösungen nicht verarbeitet bzw. interpretiert werden“, stellt D. Scholz heraus. Nach seiner Aussage ist es sinnvoll, am Punkt der Netzwerktrennung über die Firewall zusätzlich eine Datenvorverarbeitung und einen Protokollkonverter zu implementieren. „Gemeinsam mit einem Partner haben wir eine Umsetzung realisiert, bei der der Protokollkonverter die S5-Informationen in die richtige Güte sowie erforderliche Weise wandelt, und sie dorthin liefert, wo sie benötigt werden: in die lokale IoT-Datenbank.“ Um parallel die Datenflut einzudämmen, wurde zudem ein Datenfilter integriert. „All das findet in unserer Engine, die geschützt in einem Docker-System läuft, statt. Und dieser Docker ist wiederum eine eigen gekapselte Oberfläche, die gegen Fremdeinwirkung und Manipulation geschützt ist“, erklärt D. Scholz.

2. Use-Case: Besonders schützenswerte Assets

Im zweiten Beispiel aus der Praxis geht es um die gestiegenen Securityanforderungen, unter anderem mit Blick auf NIS-2 und CRA. „Vom Maschinenbauer wird beispielsweise eine Update-Fähigkeit seiner Maschinen verlangt, die zumeist über VPN-Services realisiert sind“, weiß D. Scholz. Generell lautet der DS-Tec-Ansatz: Sicherheit muss praktisch und umsetzbar bleiben. Auch hier spielen Docker-Container ihre Vorteile aus, indem sie etwa kleine Überwachungsprogramme hosten, die Anomalien im Netzwerk erkennen und melden können. „Die Intelligenz sitzt oben in der Cloud oder im SOC – aber die Informationen kommen unten von unseren Firewall-Routern“, so der Produktmanager. Auf diesen würden sich IDS, Anomaly- und Asset Detection via Docker-Container abbilden lassen.

Rund um das Thema Security hat ADS-Tec ein eigenes Konzept erstellt mit den Schwerpunkten Prevent – Detect – React. Zu den einzelnen Punkten erläutert D. Scholz:

• Prevent: „Wir segmentieren die Netze, um unkontrollierte Ausbreitung zu verhindern.“
• Detect: „Wir setzen intelligente Sensoren ein, die Kommunikationsströme überwachen.“
• React: „Wenn etwas passiert, können unsere Systeme automatisch reagieren – etwa eine Firewall neu konfigurieren oder einen Bereich abschalten.“

Die Webpanel-Vorteile

Beim nächsten Beispiel, bei dem Kunden von der Docker-Technologie profitieren können, geht er auf die Webpanels ein. „Wir nutzen Docker nicht nur auf unseren Industrie-Firewall-Routern, sondern haben die Möglichkeit auch auf unsere Webpanels ausgeweitet“, leitet D. Scholz über. Ziel sei es, neue Flexibilität und erweiterte Funktionalitäten für Bedienpanels zu schaffen.
Als klassischen Webpanel-Anwendungsfall beschreibt er:

• der Webserver bzw. die webbasierte Visualisierung befindet sich auf der SPS,
• die Anzeige erfolgt über den HTML5-Browser des HMI im Kiosk-Mode,
• das Betriebssystem des Webpanels ist Linux-basiert und schreibgeschützt.

„Hier haben wir eine starke Herstellerabhängigkeit zwischen dem Panel und der SPS“, nennt D. Scholz als Nachteil. „Wenn man neue Funktionen, wie eine Qualitätssicherung oder ein digitales Handbuch, nachrüsten möchte, ist das normalerweise kaum möglich.“

Mit dem ADS-Tec-Ansatz, die Docker-Engine direkt auf den Webpanels zu implementieren, lassen sich diese Nachteile aufheben. D. Scholz: „Der Webserver bzw. die webbasierte Visualisierung wird via Docker direkt auf dem Webpanel implementiert. Die Anzeige erfolgt über den HTML5-Browser des HMI im Kiosk-Mode. Das heißt, die zu visualisierenden Variablen werden aus dem Prozessabbild der jeweiligen Steuerung geholt. Die Wahl einer bestimmten SPS bindet nicht zwangsläufig an die HMI-Software des Herstellers und dessen Limitierungen.“

Durch die Container-Technologie können demnach zusätzliche Funktionen unabhängig von der SPS installiert werden. Ein weiterer Vorteil zeige sich im internationalen Maschinenbau: „Wenn eine SPS-Version wechselt, etwa wegen länderspezifischer Ausführungen, hat man normalerweise ein Kompatibilitätsproblem. Docker-Container ermöglichen es hier, Daten und Protokolle flexibel zu wandeln und anzupassen.“

Fazit: Effizienz trifft auf Sicherheit

ADS-Tec Industrial IT bietet Maschinenbauern neue Möglichkeiten, indem es Docker-Technologie, leistungsstarke Webpanels und sichere Firewalls in einem nahtlosen Konzept vereint. Unternehmen profitieren von Effizienzsteigerung, einer zukunftssicheren Visualisierung sowie dem geforderten Schutz vor Cyberangriffen. „Docker bietet ein enormes Potenzial für den Maschinenbau, indem es die Standardisierung und Skalierbarkeit von Softwareumgebungen revolutioniert. Dank der Containerisierung können Anwendungen plattformunabhängig bereitgestellt und effizient aktualisiert werden. Dadurch werden Ressourcen gespart, der Wartungsaufwand reduziert und gleichzeitig die Betriebssicherheit erhöht“, fasst D. Scholz abschließend zusammen.
www.ads-tec-iit.com