Sicher verschlüsselt – auch auf dem letzten Meter

In Zeiten von Industrie 4.0 und Industrial Internet of Things (IIOT) setzen Automatisierungslösungen vermehrt auf offene und vernetzte Systemarchitekturen von Standardkomponenten. Angestrebte Produktivitätssteigerungen werden schließlich erst durch den transparenten Zugriff auf die Produktionsdaten möglich. Doch Wartung, Service und gesetzliche Dokumentationspflichten komplexer Systeme können oder sollen oft nicht durch Personal vor Ort geleistet werden – ein Fernzugriff wird notwendig. Die dadurch entstehende Vernetzung funktionaler Einheiten resultiert in gesteigerten Sicherheitsanforderungen. Das gilt nicht nur für räumlich begrenzte Industrieanlagen, sondern ebenso für verteilte Anlagen der Energietechnik.

Wachsende Anforderungen

Vor diesem Hintergrund sind Automatisierungssysteme mehr denn je den „Gefahren“ der IT-Welt ausgesetzt – jede Sicherheitslücke kann fatale folgen für Unternehmen und Mitarbeiter haben. Um dieser Gemengelage Herr zu werden, hat die deutsche Bundesregierung im Sommer letzten Jahres ein IT-Sicherheitsgesetzt verabschiedet, das sich vor allem an die Betreiber kritischer Infrastruktur (KRITIS) richtet. Es schreibt neben regelmäßigen Sicherheitsaudits auch die Meldung von IT-Sicherheitsvorfällen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Darüber hinaus definieren die IT-Grundschutzkataloge mögliche Szenarien und Schutzmaßnahmen, basierend auf der ISO 27002. Auf diesen bauen wiederum die verschiedenen branchenspezifischen Richtlinien und Empfehlungen auf, die Unternehmen verpflichten, die Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Daten zu gewährleisten. Diese Regelungen erhöhen auch die Anforderungen an die Hersteller von Automatisierungstechnik und stellen sie vor neue Herausforderungen.

Ganzheitliche Sicherheit

Um eine sichere Systemarchitektur aufzubauen, gilt es daher, drei verschiedene grundlegende Prinzipien zu beachten. Das „Defense-in-Depth“-Konzept beruht etwa darauf, Sicherheitslösungen zu staffeln oder zu schichten, sodass im Fall der Umgehung einer Schicht eine andere weiterhin Schutz gewährleistet. Durch das „Minimal-Need-To-Know“-Prinzip werden Anwendern und Prozessen nur die maximal erforderlichen Rechte zugewiesen. Das „Redundanzprinzip“ wiederum setzt auf Technologien, die sicherstellen sollen, dass der Ausfall einzelner Komponenten nicht die Sicherheitsfunktionen beeinträchtigt. Auch sollen die Auswirkungen eines uneingeschränkten Anforderns von Systemressourcen minimiert werden. Konkrete technische sowie organisatorische Maßnahmen sind dabei unter anderem die dauerhafte Grundsicherung und Systemhärtung mittels „Patch-Management“ (Update-Fähigkeit) sowie die Langzeitverfügbarkeit der Betriebssysteme. Die Verschlüsselung sensibler Daten (SSL/TLS) bei Speicherung und Übertragung ist ebenso Voraussetzung wie eine entsprechende Netzwerkkonzeption (Segmentierung/Firewall/VPN). Eine sichere Standardkonfiguration und Benutzerauthentifizierung sowie die Vergabe von Benutzerrollen sind ebenfalls Bestandteil des Anforderungskatalogs. Diese Maßnahmen und Prozesse werden typischerweise regelmäßig in Audits überprüft.

Adäquate Lösungen

Bereits heute erfüllt WAGO so alle relevanten Richtlinien im Bereich IT-Security und sogar eine Vielzahl der Vorgaben aus dem BDEW-White-Paper für Anwendungen im Bereich der Energie- und Wasserversorgung, die zur sogenannten „Kritischen Infrastruktur“ (KRITIS) zählen.

Die Controllerfamilie PFC100 & 200 von WAGO tragen diesen Entwicklungen Rechnung. Sie zeichnen sich durch ein plattformübergreifendes Realtime-Linux aus, das als Open-Source-Betriebssystem langzeitverfügbar, skalierbar und updatefähig ist und Tools wie Rsync, Fail2Ban sowie Virenscanner unterstützt. Es können außerdem verschiedene Schnittstellen und Feldbusse wie CANopen, PROFIBUS DP, DeviceNet und Modbus-TCP herstellerunabhängig bedient werden. Natürlich gibt es je nach Einsatz und Risikoanalyse auch unterschiedlich hohe Anforderungen an das Niveau einer Sicherheitslösung. Die WAGO-PFC-Familie ist in jedem Fall für die Umsetzung der aktuell höchsten Sicherheitsanforderungen gemäß ISO 27002 aufgestellt. Sie bietet Onboard-VPN-Funktionalität basierend auf dem sogenannten Strongswan-Package, einer sicheren Kommunikationslösung für Linux®-Betriebssysteme. Darüber hinaus können die Daten bereits im Controller mittels SSL/TLS-1.2-Verschlüsselung (Secure Sockets Layer/Transport Layer Security) verschlüsselt werden. Einen VPN-Tunnel baut dieser dann direkt über IPsec oder OpenVPN auf und überträgt die Daten z. B. in die Cloud. Während IPsec auf Betriebssystemebene bzw. Layer 3 des OSI-Schichtenmodells verschlüsselt, sorgt OpenVPN auf der Anwendungsebene (Layer 5) für Datenintegrität. So entstehen abhör- und manipulationssichere Kommunikationsverbindungen zwischen den Controllern und den Netzzugangspunkten. Auch ein vorgeschalteter VPN-Router ist nicht mehr erforderlich. Bei der Kommunikation mit einem PFC100 oder 200 kann eine verschlüsselte LAN/WAN-Verbindung aufgebaut werden, deren Inhalt nur die beiden Endpunkte verstehen können. Verbindungen werden nur nach erfolgter Authentifizierung aufgebaut. Mit Pre-Shared-Key kommt ein Verschlüsselungsverfahren zum Einsatz, bei dem die Schlüssel vor der Kommunikation beiden Teilnehmern bekannt sein müssen. Dieses Verfahren hat den Vorteil, dass es einfach zu realisieren ist.

Überzeugend vielseitig

Die Controller der PFC-Familie sind darüber hinaus auch als skalierbare Knotenpunkten einsetzbar, die bei bereits bestehenden Automatisierungssystemen nachgerüstet werden können, ohne in den eigentlichen Automatisierungsprozess einzugreifen – die Daten werden parallel abgegriffen und können z. B. per MQTT oder OPC UA in die Cloud gesendet werden. Der Anwender ist auf diese Weise in der Lage, Anlagen adaptiv und vorbeugend zu überwachen. Anlagenbetreiber haben dank Cloud-Fähigkeit die Möglichkeit, stets den Überblick über ihre Produktionsanlagen zu behalten und die Prozesse Schritt für Schritt zu optimieren. Mit geringem Aufwand können so komplexe Prozesse nicht nur erfasst und z. B. per Smartphone oder Tablet visualisiert werden, sondern auch mit Analyseverfahren aus dem Big-Data-Umfeld optimiert werden.

Echter Mehrwert

Um in der entstandenen Datenflut nicht unterzugehen, spielen Data-Analytics-Tools eine entscheidende Rolle. Sie sind mit Hilfe der auf Feldebene erfassten Daten in der Lage, Anlagen- und somit Produktionsausfälle im Sinne einer Predictive Maintenance vorherzusagen, indem sie beispielsweise den Verschleiß bestimmter Maschinenkomponenten berechnen. Kostspielige Anlagenausfälle werden auf diese Weise minimiert. In der Zukunft kann eine solche Anwendung dank Data-Analytics etwa voraussagen, dass ein bestimmtes Teil in der Produktionsanlage in drei Monaten ausgetauscht werden muss. Das übergeordnete Automatisierungssystem erkennt dann, um welches Teil es sich handelt, fragt beim Hersteller die aktuelle Lieferzeit an und bestellt das Ersatzteil voll automatisiert. Besonders in Anwendungsfällen, in denen Anlagen kontinuierlich betrieben werden, besitzt eine solche Entwicklung große Relevanz – etwa in automatisierten Fertigungsstraßen in der Automobilindustrie oder in der Prozess- und Lebensmittelindustrie.

IT-Security neu denken

Ganzheitliche Automatisierungslösungen werden in Zukunft also über Funktionen verfügen müssen, die über bloße Automatisierungsfähigkeiten hinausgehen. Schließlich besteht der Kern des „Industrial Internet of Things“-Gedanken darin, Daten gewinnbringend zu verwerten und einen nachhaltigen Mehrwert für das Unternehmen zu generieren. Wer aber dieses Ziel erreichen möchte, sollte die dazu erforderlichen Maßnahmen mitdenken, die in Sachen IT-Sicherheit getroffen werden müssen. Für den Transport digitaler Daten von der Feldebene in eine Cloud müssen die bestehenden Sicherheitsmechanismen intelligent angewandt werden, nicht zuletzt, wenn Cloud-Anbindungen als Ergänzung zum bestehenden Automatisierungssystem an einem Gros der Schutzmechanismen vorbeikommunizieren, die – ganz im Sinne von „Defense in Depth“-Lösungen – einmal eingerichtet worden sind: wie etwa Zugangskontrollen, Berechtigungskonzepte und Firewalls. Um Schaden vom Unternehmen abzuwenden und Wettbewerbsvorteile zu erlangen, ist es unerlässlich, dass Daten zu jeder Zeit sicher ausgetauscht und verwahrt werden. Dies gelingt zukünftig nur durch ein umfassendes IT-Sicherheitskonzept, das den individuellen Anforderungen des Unternehmens im Sinne eines „Security by Design“-Prinzips entspricht – das gilt sowohl für Prozesse im Unternahmen, als auch in der Produktion.

AR-Technologie in Unternehmen

Das Internet der Dinge und das Maschinelle Lernen wirken sich bereits stark auf die Art aus, wie wir „Dinge“ betreiben, pflegen und warten. Mit der erweiterten Realität – häufig auch als Augmented Reality oder AR bezeichnet – gibt es nun eine Technologie auf dem Markt, mit der es uns gelingt, unsere Interaktionen und Erfahrungen ebenfalls zu modifizieren. AR erlaubt, mit digitalen Informationen in Form von Computergrafiken die reale Ansicht der physikalischen Welt zu überlagern. Mit anderen Worten: Digitale und physikalische Welten werden in einer vereinten, visuellen Erfahrung zusammengeführt. Der explosive Anstieg bei intelligenten, mobilen Endgeräten wie Telefonen und Tablets sorgt dafür, dass AR in der Mitte der Gesellschaft ankommt. In den nächsten 6 bis 12 Monaten erwartet uns erneut ein rasanter Zuwachs bei brandneuen tragbaren Geräten wie Brillen, Schutzbrillen und sogar Helmen von Unternehmen wie ODG, Microsoft, Magic Leap, Oculus, Epson, Daqri und vielen anderen.

Hardware alleine reicht nicht aus

Diese in der Hand oder am Körper getragenen Geräte sind notwendig, reichen aber allein noch nicht aus. Man benötigt Anwendungen, um damit echten Mehrwert zu erzielen – Anwendungen, die erweiterte, digitale Inhalte für die physikalische Welt generieren und anreichern. Diese können beispielsweise entstehen, wenn digitale 3D-Produktbeschreibungen mit Konnektivität und Analysemöglichkeiten zusammengeführt werden. Anders ausgedrückt: Das Wunder geschieht, wenn 3D-CAD auf IoT und AR trifft. Für Endverbraucher wurden bereits zahlreiche Anwendungen entwickelt, allerdings kratzen diese meist nur an der Oberfläche der Möglichkeiten und schöpfen das Potenzial von AR bei weitem nicht aus. AR wird die Welt – und unser Leben – dann verändern, wenn wir es in den Unternehmen zum Einsatz bringen.

Es ist Zeit für AR in den Unternehmen

Die Anzahl der Einsatzmöglichkeiten der erweiterten Realität in Unternehmen ist nahezu unbegrenzt. So kann mit der Technologie die Produktentwicklung validiert werden, indem vor allem in den ersten Entwicklungsstadien keine aufwändigen physischen Prototypen mehr gebaut werden müssen, sondern der Entwickler einen sogenannten digitalen Zwilling auf dem Tisch oder im Raum erschafft und sich darin bewegt. Virtuelle Anzeigetafeln ergänzen die Überwachung der Betriebsabläufe und Gerätezustände. Darüber hinaus können Produkte mit Steuerungen versehen werden, ohne dass diese direkt sichtbar sind. Auch der Produkteinsatz kann mit Hilfe von AR optimiert werden. Das fängt mit dem Wegfall konventioneller Benutzerhandbücher an – hier kommen stattdessen virtuelle Tutorien und Assistenten zum Einsatz – und hört bei eingeblendeten Vorschlägen für Betriebseinstellungen des Produkts auf Basis von Sensormessungen und der Analyse des Gerätezustands längst nicht auf.

Der Service wird eine der ersten Killerapplikationen für AR in Unternehmen

Die Funktionalitäten von AR revolutionieren insbesondere den Servicebereich. Produkte werden zunehmend komplexer, die Service-Teams zunehmend älter – und nehmen ihr wichtiges Erfahrungswissen oft in den Ruhestand mit: Die daraus resultierende Herausforderung, das Know-how für einen erfolgreichen  Außendienst zur Verfügung zu stellen, besitzt für die Service-Organisationen höchste Priorität. Hier kann AR einen sehr wertvollen Beitrag leisten. Die visuelle Bereitstellung von Anweisungen – Schritt für Schritt eingeblendet auf das Produkt –  löst auch hier sperrige Handbücher und Wartungslisten sowie zeit- und kostenintensive Trainings des Servicemitarbeiters am Produkt ab. Das sorgt für sofortigen Nutzen und für sichtbare wirtschaftliche Mehrwerte.

 Mit Plattformen wie Vuforia einfach implementiert

Der Weg zur eigenen Augmented Reality-Anwendung kann einfacher sein, als es zunächst klingen mag. Jedes zukünftige AR-Szenario verwendet Daten aus verschiedenen Systemen wie CAD, PLM oder SLM und setzt auf IoT-Plattformen wie ThingWorx als Basis auf. Um daraufhin ein wirkliches AR-Erlebnis zu bieten, können Unternehmen auf Plattformen wie Vuforia zurückgreifen. Speziell für die Anforderungen der Entwickler konzipiert, stellt dessen Kernstück, die Vuforia Engine, das digitale Auge in den Applikationen dar. Es wird mithilfe sogenannter Software Development Kits (SDKs) in die eigenen Applikationen eingefügt. Dieses Auge kann die Dinge im Anzeigebereich der Kamera identifizieren. Dazu gehören Bilder, Objekte und sogar Worte. Es teilt der Applikation mit, was beziehungsweise welches „Ding“ es jeweils sieht und wo genau sich dieses befindet. Dann liegt es am Entwickler, auf Basis dieser Informationen ein AR-Erlebnis in Verbindung mit dem betrachteten Objekt zu gestalten.

Über die ThingMark zum Augmented Reality-Erlebnis

Etwas Wichtiges fehlt aber noch, wenn es darum geht, ein Ding und seinen digitalen Zwilling – also die entsprechenden digitalen Informationen zu einem realen Objekt – zu identifizieren: eine einzigartige Kennzeichnung. Barcodes, QR-Codes und Ähnliches haben ihre Grenzen und erweisen sich für AR-Erlebnisse als unzureichend, da sie gleichzeitig auch das Erscheinungsbild des Produktes verändern. Deshalb wurde die ThingMark entwickelt. Damit lassen sich alle Dinge bis hin zur Seriennummer identifizieren. Gleichzeitig genießen Entwickler ein hohes Maß an Flexibilität, da das verwendete Bild beliebigen Ursprungs sein kann – etwa ein Firmenlogo oder ein Bild, das die Marke repräsentiert. Der Zeichencode besteht aus unterschiedlichen Elementen und je mehr Elemente verwendet werden, desto mehr Daten werden damit verbunden.

Vuforia Studio macht es Unternehmen einfach

Die Basistechnologie steht – was Unternehmen nun brauchen, sind entsprechende Anwendungen, die erweiterte, digitale Inhalte für die physikalische Welt generieren, sie für den Einsatz zur Verfügung stellen sowie eine App, die den Durchblick im späteren Dschungel der zahlreichen einzelnen Geräte und ThingMarks wahrt. PTC bietet hierfür mit Vuforia Studio beispielsweise ein leistungsfähiges neues Werkzeug für Unternehmen zum codefreien Erstellen von AR-Erlebnissen an. Vuforia Studio eröffnet Unternehmen einen einfachen Zugang zur erweiterten Realität, indem bestehende 3D-Objekte sowohl aus der führenden 3D-CAD-Software Creo als auch aus anderen gängigen 3D-Modellierungswerkzeugen verwendet werden können. Diese Daten lassen sich daraufhin mit einfach erstellten Animationen und Sequenzen ebenso kombinieren wie mit IoT-Sensordaten aus ThingWorx wie Temperatur oder Betriebsgeschwindigkeit. Die Integration der Daten erfolgt mithilfe verschiedener Technologiekomponenten, die die Entwicklung von AR-Anwendungen vereinfachen. Mit Vuforia Studio Enterprise etwa wird das AR-Erlebnis mit Hilfe einer benutzerfreundlichen Oberfläche erstellt. Um dieses anschließend in nur wenigen Klicks zu veröffentlichen, kommt der Cloud-basierte Vuforia Experience Service zum Einsatz. Vuforia View Enterprise wiederum ist eine einzelne Applikation, die die ThingMark eines jeden Produkts einscannt und den Nutzer auffordert, das zugeordnete Erlebnis auszuwählen. Im Anschluss daran wird dieses heruntergeladen und gestartet. 

Die erweiterte Realität ist reif für die Unternehmen

Die erweiterte Realität bietet den Unternehmen und ihren Kunden die Chance, Dinge völlig anders zu erleben, indem digitale Daten nahtlos mit der physikalischen Welt verbunden werden. Die Unternehmen werden effektiver, da sie für spezielle Aufgaben weniger Zeit und Geld benötigen, gleichzeitig werden Zufriedenheit und Loyalität der Kunden steigen. In der Praxis wird die Technologie von Unternehmen bislang hauptsächlich im Service-Bereich eingesetzt. Das ist aber nur der Anfang und es wird dank innovativer Lösungen wie Vuforia Studio von PTC zukünftig einfach sein, eigene AR-Erlebnisse zu entwickeln.

Nicht nur in Standardprozessen denken

Die Digitalisierung schafft derzeit gleich mehrere Herausforderungen für die Unternehmens-IT: Die Kunden agieren zunehmend mobil, nutzen dabei verschiedene Endgeräte und erwarten eine integrierte Customer Experience über die verschiedenen Kanäle hinweg – mit Zugriff auf die benötigten Daten, wann und wo immer dies gerade notwendig ist. Eine Herausforderung für gewachsene Infrastrukturen, insbesondere auch für die Absicherung dieser Daten.

Flexibilität bekommt eine ganz neue, reale Bedeutung, wenn es Kunden zunehmend gewohnt sind, mit dem besten Angebot individuell und schnell versorgt zu werden. Das grundsolide Geschäft mit Stammkunden bröckelt, wenn Wettbewerber digital besser aufgestellt sind. Die Auffindbarkeit im Internet oder die unternehmenseigene Konfigurations-App sind dabei nur Randthemen. Vielmehr geht es darum, Geschäftsprozesse so zu digitalisieren, dass schnelle Anpassungen möglich sind. Das macht sich insbesondere in der Zusammenarbeit mit Geschäftspartnern drastisch bemerkbar.

„Digital Businesses“ als neue Marktpartner

Der Datenaustausch zwischen Geschäftspartnern läuft heute oft über eine EDI-basierte Prozessintegration. Logistisch relevante Daten wie Auftragsmenge oder Lieferstatus werden nach Bedarf automatisch ausgetauscht und fließen in die Produktionskette des Partners – oder umgekehrt. EDI ist ein anerkannter Standard, die meisten Applikationen der Supply Chain unterstützen ihn. Die Integration ist allerdings aufwendig, da meist individuelle Anpassungen vorgenommen werden müssen. Für die Zusammenarbeit mit Stammpartnern lohnt sich das und funktioniert gut.

Doch längst ist das Geschäft beweglicher geworden. Ganze Geschäftsmodelle werden auf digitaler Basis entwickelt. Man denke nur an die Vermittlung von Ferienquartieren oder privaten Mitfahrgelegenheiten – solchen „Digital Businesses“ liegen ausschließlich digitale Geschäftsprozesse zugrunde. Mit wenig Manpower erwirtschaften diese Unternehmen ihre Umsätze und entwickeln dabei eine beachtliche Marktmacht. Diese Unternehmen liefern die Dienstleistungen so, wie die Kunden sie möchten: digital, mobil, flexibel und anbieterunabhängig. Sie bilden praktisch eine Plattform für Anbieter gleicher Produkte im direkten Vergleich. Wer hier nicht auftaucht, wird von den potenziellen Kunden nicht gesehen. Die Anbindung an solche Angebote muss schnell realisierbar sein, denn derer gibt es zahlreiche.

Auch die klassische Zusammenarbeit mit Partnern entsteht heute nur noch zum Teil aus langen Vorgesprächen und aufwendiger Prozessintegration. Kurze Innovations- und Produktlebenszyklen sowie hoher Preisdruck lassen dies einfach nicht zu. Das Netzwerk, in dem Unternehmen agieren, ist deshalb geprägt von wechselnden Geschäftspartnern, Zulieferern und Dienstleistern. Das macht die Anforderungen der Kunden, wie etwa immer abrufen zu können, in welchem Status sich das georderte Produkt befindet, nicht eben einfacher.

Einkauf und Logistik müssen den Überblick behalten

Filigrane, sich verändernde Systeme sind schwierig zu managen. Alles, was die Digitalisierung an Bewegung auslöst, muss schließlich von den internen Standbeinen eines Unternehmens getragen werden. Kurze Produktlebenszyklen und wechselnde Zulieferer beispielsweise haben direkten Einfluss auf die Supply Chain und die Arbeit des Einkaufs. Was in Standardbeziehungen gut funktioniert, muss nun flexibel erweitert werden können – Transparenz und ein kontrollierter Datenfluss bleiben essentiell, auch wenn die Zahl der Geschäftspartner zunimmt oder Geschäftsbeziehungen wechselhafter werden. Der Einkauf kann allerdings die geforderte Flexibilität nicht erbringen, wenn es aufwendig ist, die Systeme zu integrieren.

Gewachsene Infrastrukturen und Prozesse müssen deshalb auf ihre Zukunftsfähigkeit hin überprüft werden. Dabei genügt es nicht, eine App als mobilen Shopping-Kanal für Kunden oder als Informations-Tool für Geschäftspartner einzubinden oder sporadisch Daten für die Geschäftsführung auszuwerten. Die Experten des Einkaufs und der Logistik müssen genau wie bisher, den vollständigen Überblick über Liefermengen, Ordereingänge, Kosten und alle weiteren produktionsrelevanten Daten haben – nur jetzt bezieht sich dies auf mehr und andere Partner sowie wechselbereitere Kunden. Dabei müssen die Prozesse effektiv und der Datenfluss kontrollierbar bleiben. 

Flexible API-Schnittstellen als Mittler

Die Erweiterung vorhandener Technologien kann ein wichtiger Hebel bei dieser digitalen Transformation sein. Während bestehende EDI-Verbindungen zu den Geschäftspartnern weiterhin sehr sinnvoll eingesetzt werden, ist die EDI-Integration mit neuen Dienstleistern oft zu aufwendig. Mobile Erweiterungen und übergreifende Datentransparenz lassen sich damit ebenfalls nur schwer  umsetzen. Um diesen Spagat zu meistern, braucht die IT eine flexible Ergänzung.

Eine zentrale Rolle spielen dabei die Schnittstellen, die als Mittler zwischen den Prozessen und Daten der verschiedenen Beteiligten fungieren. Solche Application Programming Interfaces (APIs) werden als Management-Ebene eingefügt, die die Verbindung von externen und internen Infrastrukturen herstellt. Jeglicher Datenverkehr erfolgt nun über diese Management-Plattform. Das hat verschiedene Vorteile: Die Integration neuer Geschäftspartner in die eigenen Prozesse ist wesentlich einfacher und weniger zeitintensiv. API-Schnittstellen sind gegenüber EDI deutlich flexibler und die Management-Ebene liefert die notwendigen Management-Werkzeuge bestenfalls gleich mit. Zugriffe von mobilen Endgeräten lassen sich ebenfalls unkompliziert einrichten, die Sicherheitsprüfung erfolgt zentral, bevor die Daten und Anfragen in die sensibleren Bereiche des Unternehmens vordringen.

Die APIs wirken gewissermaßen als Verbindungsstück für die Integration der Anwendungen, die mit den Geschäftspartnern und Kunden kommunizieren, mit der Backend-Infrastruktur. Die Einhaltung von Regularien, Compliance-Anforderungen sowie Service Level Agreements kann dank transparentem Datenfluss und entsprechenden Analyse-Werkzeugen ebenfalls mittels der API-Ebene gewährleistet werden.

Den Datenfluss im Überblick

Die Digitalisierung verändert Märkte: Kunden agieren mobiler, sind ständig online und erwarten kanalübergreifende Einkaufserlebnisse. Zulieferer und Vertriebspartner digitalisieren die Prozesse ihrerseits oder bauen gleich gänzlich digitale Business-Modelle auf. Wollen Unternehmen von diesen Entwicklungen profitieren, benötigen sie flexible Schnittstellen, mit denen sich die eigene Infrastruktur immer wieder neu anpassen lässt. Eine API-Schicht im Mittelpunkt des Geschehens verbindet nicht nur alte und neue Systeme mit allen Kanälen nach außen, sondern sorgt damit auch für ein lückenloses Daten-Monitoring und Daten-Management. Nur so ist eine nahtlose Customer Experience überhaupt möglich und der wichtige Überblick über den Datenfluss gewährleistet.   

 

VMware ESXI-Tipp

Wer seine Server nicht von Vorneherein mit der Intension anschafft, diese in einen vSphere-Cluster einzusetzen und dazu penibel auf identische Hardware schaut, muss für eine erfolgreiche Cluster-Konfiguration darauf achten, welche CPU-Features wie SSE3, SSSE3 ,SSE4.1 ,SSE4.2 ,CMPXCHG8B der jeweils verwendete Prozessor unterstützt.

EVC-Mode

Dass z. B. die Live-Migration von virtuellen Maschinen, bei VMware“ vSphere vMotion“ genannt, nicht von einem Host mit AMD-CPU auf eine Intel-Maschine oder umgekehrt funktioniert, versteht sich von selbst.

In der Regel muss aber nicht nur die Chipsatzfamilie (Haswell, SandyBridge etc), sondern auch das Stepping der CPU-Familie identisch sein. Kleinere Abweichungen kann zwar das EVC-Feature abmildern, das zwei CPUs mittels CPUID „Flag-technisch“ auf einen „kleinsten gemeinsamen Nenner“ zieht, nichtsdestotrotz muss man die jeweiligen CPU-Features aber erstmal in Erfahrung bringen, um sie ggf. maskieren zu können.

CPU-Features auslesen

Dazu gibt es verschiedene Möglichkeiten. So kann sich der Admin z. B. auf einem ESXi-Host das Kommando

vim-cmd hostsvc/hosthardware

verwenden, allerdings ist das Lesen der ausgegebenen Datei für Laien nicht ganz einfach.

Einfacher klappt es per PowerCLI. Das von Eric Sloof in PowerCLI geschriebene „PUID System Information” zeigt die wichtigsten Informationen ähnlich dem in VBA geschriebenen „VMHost CPU Info”. “CPUID System Information” kann von Erics  Blog kopiert werden.

Die oben erwähnte Visual Basic Applikation „VMware CPU Host Info 2.01“ von VMware-Evangelist Richard Garsthagen liefert aber nach wie vor ebenfalls gute Dienste und liefert die gewünschten Infos in einer schicken grafischen Oberfläche.
Hierzu verbindet man sich nach dem Installieren des frei downloadbaren Tools einmal mit dem gewünschten vCenter-Server und erhält dann die entsprechenden CPU-Features wie VMX, MONITOR/MWAIT , SSE3, SSSE3 ,SSE4.1 ,SSE4.2 ,CMPXCHG8B ,CMPXCHG16B ,NX/XD, Long mode support ,RDTSCP ,3DNow! ,3DNow! Extensions ,FFXSR ,Prefetch instructions für alle dort verwalteten ESXi-Hosts.

Dateisystem-Reparatur an der VCSA

Zwar verfügt das unterliegenden Linux (SLES 11 SP3) über ein Journaling Filesystem, das in der Lage ist, sich selbst zu reparieren, dies muss aber nicht in jedem Fall funktionieren.

Das System fordert dann zu einer manuellen Dateisystemreparatur auf. Hierzu ist es erforderlich, das System im Singleuser-Mode zu booten und die Systempartition Readonly zu mounten, wobei zu beachten ist, dass VCSA 6 auf Basis von Suse Linux Enterprise 11 SP3 ein LVM-Partitionslayout verwendet.

Auf die Bootmeldung „Please repair manually and reboot. The rootfile system is currently mounted read-only. To remount it read-write do: bash# mount -n -o remount,rw “ kann man dann nur wie folgt reagieren:

  1.  Da bei der VCSA nicht die Bash als Default-Shell verwendet wird, sondern die vorgeschaltete rudimentäre „appliancesh“, ist es nicht möglich, das o. g. Kommando auszuführen, ohne den entsprechenden Grub Booteintrag manuell zu bearbeiten.
  2. Hierzu drückt man im Grub-Bootmenü bei markierten Booteitrag für „VMware vCenter Appliance“ zunächst „p“ und gibt anschließend das Grub-Passwort (Default ist „vmware“) ein. Tipp: Hat man bei der ursprünglichen Installation das root-Passwot geändert, sollten root- und Grub-Passwort gleich sein.
  3. Bei immer noch markierten Booteintrag „VMware vCenter Appliance“ drückt man jetzt die Taste „e“, um den Booteitrag zu bearbeiten.
  4. Hier wechselt man dann zum zweitem mit „kernel..“ beginnenden Eintrag und drückt erneut die Taste „e“.
  5. Jetzt ist es möglich, am Ende der Zeile den Eintrag „init=/bin/bash“ anzuhängen und dann Enter zu drücken. Zurück im Grub-Menü drückt man „b“, um das markierte System zu booten.

Ist man dann (diesmal in der Bash) am Maintenance-Screen angelangt, kann man die Systempartition wie beschrieben Readonly einhängen und danach wie unter Linux üblich eine manuelle Dateisystemreparatur einleiten.

mount -n -o remount,rw

fsck -f -c –y

Bei Erfolg, sollte die VCSA anschließend wieder fehlerfrei durchstarten.

Delegierung zum administrativen Verwalten einer Organisationseinheit

Es besteht außerdem die Möglichkeit, an eine bestimmte Gruppe genau diese Rechte für seine OU zu delegieren:

  1. Legen Sie zunächst eine globale oder universelle Benutzergruppe an, welche die Rechte der Delegierung erhalten soll. Auch wenn die Gruppe zunächst keinen Benutzer enthält, sollten Sie in den Berechtigungen von Active Directory niemals nur einzelne Konten eintragen, da ansonsten die Berechtigungsstruktur sehr kompliziert wird. Außerdem müssen Sie bei jeder Änderungen dann direkt Änderung am System vornehmen, anstatt nur Benutzer der Gruppe hinzuzufügen oder aus der Gruppe zu entfernen.
  2. Klicken Sie mit der rechten Maustaste auf die OU, in der die Benutzerkonten abgelegt sind, deren Verwaltung Sie delegieren wollen. Wählen Sie im Kontextmenü den Befehl Objektverwaltungzuweisen
  3. Fügen Sie im Assistenten die angelegte Gruppe hinzu, der Sie das Recht zur Verwaltung der OU geben wollen. Welche Rechte die Gruppe erhält, legen Sie erst später fest.
  4. Aktivieren Sie im nächsten Fenster als zuzuweisende Aufgabe zum Beispiel das Recht Erstellt, entfernt und verwaltet Benutzerkonten. Wenn Sie den entsprechenden Nutzern nur das Recht zum Ändern der Kennwörter geben wollen, können Sie hier auch die Option Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung Wollen Sie speziellere Rechte erteilen, aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen.
  5. Beenden Sie den Assistenten, um die Delegierung abzuschließen. Anschließend erhalten alle Mitglieder die Sie in die Gruppe aufnehmen die entsprechenden Rechte. Entfernen Sie ein Benutzerkonto aus der Gruppe, verliert es diese Rechte. Bei der Änderung von Gruppenmitgliedschaften muss sich der entsprechende Benutzer in den meisten Fällen neu anmelden, bevor er die entsprechenden Rechte erhält.

    Die entsprechenden Rechte für diese Gruppe finden Sie, in dem Sie im Snap-In Active Directory-Benutzer und -Computer über den Menübefehl Ansicht/Erweiterte Features die erweiterten Ansichtsfunktionen aktivieren. Wenn Sie danach die Eigenschaften der OU oder der Domäne aufrufen und die Registerkarte Sicherheit öffnen, sehen Sie die delegierten Rechte. Klicken Sie hier auf Erweitert, finden Sie im folgenden Fenster auf der Registerkarte Berechtigungen die genauen Rechte der Gruppe aufgelistet, die Sie delegiert haben. Wenn Sie die Delegierung wieder rückgängig machen wollen, müssen Sie einfach an dieser Stelle die Rechte der Gruppe wieder entfernen.

Berechtigungen für Benutzer und Gruppen verwalten

Microsoft empfiehlt folgende Berechtigungsstruktur:

  1. Eine domänenlokale Gruppe erhält Berechtigung auf den Ordner und Freigabe.
  2. Globale Gruppen mit Benutzern werden in die lokale Gruppe aufgenommen.
  3. Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.

Die Berechtigungen im Dateisystem speichert Windows in der Zugriffssteuerungsliste (Access Control List, ACL). Während der Anmeldung erstellt ein Domänencomputer für den Benutzer ein Zugriffstoken, das die Sicherheits-ID (Security ID, SID) des Benutzerkontos enthält, sowie die SIDs der Gruppen, in denen der Benutzer Mitglied ist. Beim Zugriff auf eine Freigabe vergleicht der Server die Einträge des Token mit der ACL und ermittelt daraus die Berechtigung. Dazu addiert Windows die Berechtigungen für jeden übereinstimmenden Eintrag. Ein Benutzer bekommt die Berechtigungen, die seinem Konto zugewiesen sind, sowie alle Berechtigungen, die den Gruppen zugewiesen sind, in denen er Mitglied ist.

Geben Sie einem Benutzerkonto die Berechtigung Lesen und bekommt zusätzlich eine Gruppe, in der dieser Benutzer Mitglied ist, die Berechtigung Schreiben zugewiesen, ergeben die effektiven Berechtigungen Lesen und Schreiben. Um die Berechtigungen zu setzen, aktivieren Sie in den Eigenschaften des Ordners oder der Datei die Registerkarte Sicherheit. Zusätzlich ist es möglich, einzelnen Benutzern oder Gruppen Berechtigungen zu verweigern, wobei die Verweigerung immer Vorrang hat.

Beispiel:

Auf eine Datei sollen alle Mitarbeiter der Abteilung Buchhaltung (mit der Mitgliedschaft in der gleich benannten Gruppe) Zugriff erhalten. Eine Ausnahme machen dabei allerdings die Auszubildenden, die ebenfalls Mitglied der Gruppe Buchhaltung sind. Wenn der Gruppe Buchhaltung der Zugriff auf diese Datei erlaubt wird, erhalten auch die Auszubildenden Zugriff, da sie Mitglied der Gruppe sind. Anschließend können Sie der Gruppe Auszubildende den Zugriff verweigern. So erhalten die Auszubildenden zwar den Zugriff durch die Mitgliedschaft in der Gruppe Buchhaltung, der ihnen aber durch die Mitgliedschaft in der Gruppe Auszubildende verweigert wird.

Kollaborierende Roboter in Manufaktursystemen

Einsatz eines Roboters im kollaborierenden Betrieb

In der Produktion gibt es diverse Tätigkeiten, bei denen der Mitarbeiter durch Automatisierungstechnik unterstützt oder entlastet werden könnte. Klassische Automatisierungslösungen zeichnen sich durch Kraft, Schnelligkeit und Präzision aus. Der Mitarbeiter muss jedoch durch Vorrichtungen wie Zäune und Lichtvorhänge geschützt werden. Daraus resultiert ein entsprechender Platzbedarf. Weitere Nachteile sind die geringe Flexibilität und hohe Kosten. Für Unternehmen mit geringeren Stückzahlen lohnt sich der Einsatz meistens nicht.

Die Entwicklung neuer Leichtbauroboter macht es möglich, im kollaborierenden Betrieb eingesetzt zu werden. Kollaborierend bedeutet, dass der Mensch und der Roboter sich nicht nur den gleichen Arbeitsraum teilen, sondern auch miteinander interagieren.

Mögliche physische und psychische Belastung durch den Einsatz von Robotern

Gerade weil es im kollaborierenden Betrieb zum Kontakt zwischen Roboter und Werker kommen darf, spielt die Möglichkeit der Leistungs- und Kraftbegrenzung eine übergeordnete Rolle. In der technischen Spezifikation ISO TS 15066 sind Belastungsobergrenzen für den menschlichen Körper zusammengefasst.

Beispielsweise können in besonders empfindliche Regionen eines Menschen, wie dem Gesicht, ab einer Krafteinwirkung von 65 N Verletzungen auftreten. Die Belastungsgrenze im Bereich Schultern und Rücken liegt dahingegen bei 210 N.

Um jedoch Schaden abzuwenden, ist es wichtig, den Kontakt zwischen Roboter und Mensch so schnell wie möglich zu detektieren und Maßnahmen wie den Stopp der Motoren oder eine Ausweichbewegung einzuleiten. Somit müssen kollaborierende Roboter Sicherheitsfunktion nach EN ISO 13849-1 Kategorie 3 PLd erfüllen. Um die entstehenden Drücke somit Kraft pro Fläche möglichst zu verringern, sollten alle Teile des Roboters gerundete Kanten haben.

Nicht nur die physische, sondern auch die psychische Belastung auf den Mitarbeiter muss berücksichtigt werden. Eine Studie am Institut für Arbeitsschutz in Sankt Augustin zeigt, dass Menschen sich durch schnelle und unvorhersehbare Bewegungen eines Roboters irritieren lassen. Stress und Fehlerhäufigkeiten nehmen zu. Auch hier ist die Begrenzung von Leistung und Kraft wesentlich.

In jedem Fall muss vor dem Einsatz eines kollaborierenden Roboters eine Risikoanalyse basierend auf dem technischen Report ISO/TR 14121-2 durchgeführt werden. Nach einer umfassenden Planung kann der Roboter dann angelernt („geteacht“) oder programmiert werden.

Anwendungsfelder für kollaborierende Roboter

  • Fertigung: Monotone Be- und Entladen einer Maschine
  • Kommissionierung: Auffüllen der Regale
  • Montage: Montage in Zwangslage
  • Messen und Prüfen: Qualitätskontrolle am Ende der Linie
  • Verpackung: Stapeln und Palettieren

Beispiel einer 360° Montageinsel

Auf einer 360° Montageinsel montieren hoch spezialisierte Mitarbeiter im One-Piece-Flow. Diese können bei Leistungsspitzen durch den Einsatz von Leichtbaurobotern entlastet werden. In diesem Beispiel könnte ein Roboter Teile aus einer Maschine entnehmen und dem Montagemitarbeiter auf einem Förderband bereitstellen. An einer weiteren Station könnte ein Roboter Teile in eine Vorrichtung einlegen, diese betätigen und wieder entnehmen. Dafür müssen die Teile in einem Magazin angeliefert werden.

CAD-Modell einer 360° Montageinsel zeigt die Möglichkeiten des Robotereinsatzes
CAD-Modell einer 360° Montageinsel zeigt die Möglichkeiten des Robotereinsatzes
CAD-Modell einer 360° Montageinsel zeigt die Möglichkeiten des Robotereinsatzes
CAD-Modell einer 360° Montageinsel zeigt die Möglichkeiten des Robotereinsatzes

Prozessanforderungen an den Roboter in kollaborierenden Betrieb

Je nach Aufgabe werden bestimmte Kräfte und Freiheitsgrade benötigt. Tätigkeiten, die auf einen Menschen ausgelegt sind, sollten die Kraft von 15 daN nicht überschreiten. Somit sollte ein Roboter, der für den kollaborierenden Bereich bestimmt ist, eine Traglast von bis zu 15 kg besitzen. Die Anforderungen an die Traglast können je nach Anwendungsfall auch geringer sein. Der Roboter benötigt mindestens sechs Achsen, um beliebige Orientierungen des Endeffektors im Raum zu erhalten und den Bewegungsraum des menschlichen Arms nachzuempfinden.

Eigenschaften unterschiedlicher Robotermodelle

Es kann aus zahlreichen Robotern unterschiedlicher Hersteller gewählt werden. Sie unterscheiden sich in der Ausführung und Programmierung somit im Preis und in der Verbreitung. Manche sind eher für den Dauereinsatz mit hohen Stückzahlen, andere für den schnellen und zeitlich begrenzten Einsatz geeignet. Der eine ist auch durch Werkstattpersonal schnell und einfach zu programmieren, der andere kann dafür komplexere Bewegungen durchführen.

Durchgängige Integration in die Produktion

Mit der ELAM Software von Armbruster Engineering werden Roboter und andere steuerfähige Geräte an ein Manufaktursystem angebunden und betrieben. Wobei es unerheblich ist, ob der Teilprozess vom Roboter oder Mitarbeiter durchgeführt wird. In jedem Fall wird das Ergebnis dokumentiert und wenn vom Mitarbeiter ausgeführt, tritt automatisch die Assistenzanzeige in den Vordergrund. Die Auftragseinleitung kann durch ein ERP-System erfolgen.

Digitalisierung: Gefragt sind Generalisten statt Nerds

Die Produktion 4.0 erfordert zweifellos neue Technologien, um Echtzeitplanungen und -steuerungen in einer modernen Fabrik zu verwirklichen.

Kein Wunder, denn Projekte und Produkte werden in immer kürzeren Entwicklungszyklen auf den Markt gebracht. Der durch die Digitalisierung spürbare Innovationsdruck führt dazu, dass sich Mitarbeiter in jedem zweiten Unternehmen bereits mehr als 20% ihrer Arbeitszeit mit neuen digitalen Themen beschäftigen – Tendenz weiter steigend.

Die Relevanz neuer Themen

Um die Fabrik der Zukunft noch effizienter und schlanker zu gestalten, arbeiten Mitarbeiter zunehmend mit neuen Softwaresystemen. Die angebundene Cloud simuliert einen realen Produktionsvorgang und gibt wichtige Informationen über die Projektierung der Maschine.

Durch diese datengestützte Produktion müssen sich beispielsweise Ingenieure ein interdisziplinäres Wissen aus den Bereichen Mechanik, Elektrik oder Softwareprogrammierung (wie zum Beispiel C#, .net, C++ und Java) aneignen.

Darüber hinaus nehmen Fremdsprachenkenntnisse durch die zunehmende Internationalisierung und Globalisierung nach wie vor eine Schlüsselrolle ein. Hier liegt vor allem Englisch im Trend, je nach Import-/Exportlandland jedoch auch Chinesisch, Spanisch oder Französisch. Rechtliche und wirtschaftliche Kenntnisse wie beispielsweise das Wissen über Zolleinfuhrbestimmungen oder Rentabilitätsrechnungen runden den Ingenieur 4.0 ab.

Die Deckung des Kompetenzbedarfs wird zur Kernherausforderung

Für die Bearbeitung der Innovationsthemen setzen Unternehmen stärker auf Generalisten und Umsetzer statt auf kreative Köpfe und Nerds. Dies zeigt eine Studie von Hays und PAC, für die über 108 Entscheider deutscher Automobilhersteller und -zulieferer aus den Bereichen IT, Fertigung, F & E sowie Konstruktion und Produktionsplanung befragt wurden, auf.

Unternehmen in der Automobilindustrie bevorzugen in der Digitalisierung erfahrene Experten (55 %) statt Hochschulabsolventen (36 %). Da die Digitalisierung ein interdisziplinäres Thema ist, bevorzugen Firmen deutlich öfter Generalisten (62 %) statt Themenspezialisten (35 %). Obwohl Kreativität im Change-Prozess eine wichtige Rolle einnimmt (35 %), haben umsetzungsorientierte Mitarbeiter (63 %) die Nase vorn.

Um die vielfältigen neuen Themen effektiv zu bearbeiten, setzen die befragten Führungskräfte zudem auf strukturelle Maßnahmen, etwa auf eine bessere technische Ausstattung (47 %) der IT-Infrastruktur und auf flachere Hierarchien (44 %). Die Strategien zur Deckung des Kompetenzbedarfs lösen die Unternehmen jedoch meist ähnlich, indem sie das eigene Personal gezielt aufstocken und dieses durch externe Spezialisten ergänzen.

Letztlich umfasst die digitale Transformation jedoch mehr als nur die IT – vor allem die Führungskräfte selbst haben einen entscheidenden Einfluss auf den Erfolg bei der Entwicklung und dem Aufbau entsprechender Kompetenzen. Zudem sollten projektwirtschaftliche Strukturen starre Prozesse und Organisationssilos ersetzen, sodass Unternehmen auch entsprechend auf dynamische Marktentwicklungen reagieren können.

Ich freue mich über einen Meinungsaustausch mit Ihnen zu diesem Thema.

PostgreSQL 9.6 verfügbar

Die verbesserte parallele Ausführung von Abfragen mit Hilfe mehrerer Prozesse ist die wohl wichtigste Neuerung in PostgreSQL 9.6.

Das Feature darf nicht mit der schon immer bestehenden Möglichkeit verwechselt werden, Abfragen mehrerer Benutzer gleichzeitig abarbeiten zu können. Die neue Funktion erlaubt es vielmehr, dass mehrere Prozessoren eine einzelne Abfrage verarbeiten können. Allerdings beschränkt sich die Parallelisierung derzeit noch auf lesende Zugriffe, etwa bei Scans von Tabellen, Hash-Joins, verschachtelte Schleifen oder Aggregation.

Verbesserte synchrone Replikation

PostgreSQL 9.6 bietet aber noch zahlreiche weitere Neuerungen. So haben die Entwickler beispielsweise dafür gesorgt, dass eine synchrone Replikation jetzt auf mehreren Standby-Servern gleichzeitig möglich ist. Der Admin muss dazu nur Gruppen solcher Server definieren.

Darüber hinaus ist es jetzt möglich, ein synchrones Commit so einzurichten, dass auf Standby-Server stets auf den Abschluss einer Transaktion warten. Datenbank-Admins können so mehrere identische Server betreiben, die z. B. hinter einem Load Balancer arbeiten.

Ferner lassen sich in einem Cluster von PostgreSQL-Servern Aufgaben jetzt auf mehrere Rechner verteilen, wie etwa Joins, Sortierungen oder Datren-Updates.

Verbesserte Performance

Der Geschwindigkeit zugute kommt, dass die Entwickler außerdem die Behandlung von Indexen optimiert haben, die jetzt bei Bedarf mehr als 1 GB RAM verwenden können.

Ferner haben die Entwickler die Performance der für den Benutzer üblicherweise unsichtbaren Vacuum-Operation verbessert, welche die Datenbank aufräumt. Zudem wurden Verzögerungen bei der Replikation, die mit Vacuum in Zusammenhang standen, stark reduziert.

Optimiert haben die Entwickler außerdem Abfragen mit redundanten „GROUP BY“-Klauseln, Funktionsaufrufe in SELECT-Klauseln mit „ORDER BY“ oder LIMIT sowie das Schreiben von geänderten Daten, bzw. Checkpoint-Daten auf die Speichermedien und vieles mehr.

Weitere Neuerungen

Darüber hinaus gibt es eine ganze Reihe neuer Funktionen, die einen besseren Einblick in das Verhalten der Datenbank sowie bessere Statistiken ermöglichen. Zudem haben die Entwickler zahlreiche weitere Funktionen des Servers sowie die zugehörigen Tools erweitert.

Weitere Details zu den Neuerungen finden sich auf der WIKI-Seite zur Veröffentlichung  sowie in den Release Notes zu PostgreSQL 9.6.