System Center Configuration Manager Current Branch

Die erste Version war 1511. Das Release dieser Version war Dezember 2015 Current Branch bedeutet, dass es sich um eine Version handelt, die ständig weiterentwickelt wird.

Microsoft veröffentlicht mehrmals jährlich Updates mit neuen Funktionen von SCCM. Baselineversionen werden zur Installation eines neuen System Center Configuration Manager-Standorts und einer neuen Hierarchie verwendet. Dabei handelt es sich um spezielle Versionen, die Microsoft als Baseline definiert, zum Beispiel Version 1511 oder 1702. Die Updates werden über die SCCM-Konsole durchgeführt.

Sie können in SCCM Current Branch eine Präproduktionssammlung einrichten, in der ein neuer Client als Pilot getestet wird. Aus dieser Sammlung kann der Client in der Umgebung bereitgestellt werden.

Eine weitere Neuerung ist die Möglichkeit Tasksequenzen zu erstellen, mit denen Sie Betriebssysteme zu Windows 10 aktualisieren.

Industrie 4.0 – Warum Veränderungsinitiativen scheitern

Ohne Engagement ist jede Initiative im Unternehmen Richtung IoT zum Scheitern verurteilt. Es entsteht keine Veränderungsdynamik. Eine oft abwartende Haltung der Mitarbeiter führt dazu, dass Industrie 4.0 keinen “Fahrtwind” aufnimmt und vor sich hindümpelt. Übernehmen auch die Entscheidungsträger keine Verantwortung, werden meist nicht genügend Ressourcen und Zeit für die Umsetzung bereitgestellt. Die Mitarbeiter gehen davon aus, dass es in Ordnung ist, die Hände erst einmal abwartend in den Schoß zu legen – schließlich merken sie, dass auch das Management nicht voll und ganz hinter der Veränderungsinitiative steht. Ein Teufelskreis!

Individuelle Einschätzung

Das Gefühl der Dringlichkeit im Unternehmen ist eine notwendige Voraussetzung für eine sinnvolle Veränderung. Dabei reicht die Unterstützung des Managements nicht aus. Wirklich alle betroffenen Mitarbeiter müssen daran glauben, dass die Veränderungsinitiative sinnvoll und richtig ist. Wichtig ist dabei zu berücksichtigen, dass jeder etwas anderes als dringlich (oder auch nicht) einstuft: Der Unternehmer hat beispielsweise die Dringlichkeit, die Einnahmen zu steigern. Ein Projektmanager empfindet Dringlichkeit, sein Projekt schneller fertigzustellen. Mitarbeiter wiederum wollen jeder für sich eine bestimmte Aufgabe mit hoher Dringlichkeit beenden. Eines ist allerdings gleich: Wir alle reagieren nicht auf eine Dringlichkeit, die wir nicht selbst empfinden.

(Zu) Hohe Erwartungen  

In der Praxis verkaufen Führungskräfte Veränderungsinitiativen oft dadurch, dass sie unrealistische Ergebnisse versprechen: „Wenn wir die folgenden Technologien implementieren, werden wir unglaubliche Vorteile erzielen”. Fakt ist sehr oft: Auch nach Wochen oder Monaten harter Arbeit, bringt das Vorhaben nicht einmal annähernd die versprochenen Resultate. Ein perfektes Beispiel dafür, wie das Vertrauen der Mitarbeiter zerstört wird. Noch schlimmer ist: Geschieht dies öfter, wird systematisch eine Kultur des Misstrauens erzeugt.

Zerstörtes Vertrauen wiederherstellen

Auch wenn es nicht einfach ist, das Vertrauen wiederherzustellen, lohnt es sich immer, daran zu arbeiten. Eine gute Möglichkeit: Mit allen Beteiligten werden realistische Erwartungen formuliert und klare Maßnahmen festgelegt, um die Erwartungen zu erfüllen. Der Fortschritt der Initiative wird außerdem regelmäßig dokumentiert und kommuniziert. Dadurch wird für alle sichtbar, ob die zu erwartenden Ergebnisse erfüllt werden – und falls nicht, zumindest eine Erklärung abgegeben, warum sie nicht erfüllt werden. Die Erwartungen sollten ausreichen, um die Vision und die damit verbundene Dringlichkeit hinreichend zu erfüllen. Grundsätzlich gilt: „Führungskräfte können das Vertrauen ihrer Mitarbeiter am einfachsten zurückgewinnen, indem sie es niemals verlieren.”

Dauerhafte Lösung

Jede Veränderungsinitiative wird nur dann erfolgreich sein, wenn die Mitarbeiter bereit sind, einer Lösung dauerhaft zu vertrauen. Sie müssen davon überzeugt sein, dass die individuell wahrgenommenen Vorteile gegenüber den individuell wahrgenommenen Kosten/Nachteilen dauerhaft überwiegen. Die Unvermeidlichkeit von Änderungen in der Geschäftswelt bedeutet, dass sich das Fenster für jede Veränderungsinitiative jederzeit unerwartet schließen kann. Das bedeutet, dass jede Implementierung nur einen sehr begrenzten Zeitrahmen zur Verfügung hat, um die Änderungen im Unternehmen zu verfestigen. Sind die geeigneten Prozesse nicht vor dem nächsten Erdbeben verankert, wird die Initiative früher oder später in Schwierigkeiten geraten.

Prozesslücken im IoT: „Mind the Gap!“

In Sachen Digitalisierung und neuen Technologien müssen Hersteller nicht nur Schritt halten, sondern in vielen Fällen auch die Vorreiterrolle übernehmen. Dass es bei diesem hohen Tempo auch zu Datenschiefständen, uneinheitlichen Angeboten sowie einem Nebeneinander von Lösungen kommt, ist so gut wie vorprogrammiert. Unterschiedliche Plattformen, Softwareversionen, Nutzungsrechte, Sicherheitsvorkehrungen und Monetarisierungsstrategien tun ein Übriges, die Sachlage zu verkomplizieren.

Um auf der Schnellstraße zum smarten Lösungsanbieter nicht von Schlaglöchern ausgebremst zu werden, sollten Hersteller neuralgische Bereiche innerhalb ihrer IoT-Prozesse überprüfen und Lücken schließen:

#1 Uneinheitlich und damit angreifbar

Ein uneinheitliches Produktportfolio macht nicht nur doppelte Arbeit, sondern potenziert auch das Sicherheitsrisiko. Dies ist vor allem dann der Fall, wenn Anbieter den Überblick über die tatsächliche Nutzung ihrer Produkte verlieren und nicht in der Lage sind, die Compliance zu überprüfen, Upgrades zur Verfügung zu stellen oder Vertragsverlängerungen frühzeitig einzuleiten. Fusionen und Übernahmen können die Lage zusätzlich verschärfen, worunter letztendlich immer die Kundenzufriedenheit leidet. Um auch unterschiedliche Softwareprodukte auf durchgängige und sichere Weise zu managen, empfehlen sich automatisierte und zentrale Berechtigungsmanagementsysteme, mit denen Details einer jeden bereitgestellten Software (Version, Plattform) kundenspezifisch überprüft und nachverfolgt werden können.

#2 Was steckt im Code?

50-90 % des kommerziellen Codes in Softwareprodukten ist Open Source Software (OSS). Doch nur in den seltensten Fällen wird der Einsatz des vermeintlich  frei verfügbaren Codes dokumentiert und nachverfolgt. Das birgt Probleme – sowohl bei der Einhaltung der jeweiligen OSS-Lizenzbestimmungen als auch bei der Behebung von veröffentlichten OSS-Schwachstellen. Softwareanbieter wie Hersteller von softwaregesteuerten Geräten sind gut beraten ein internes Management für OSS zu etablieren. Dazu zählt zunächst die Einrichtung eines OSS-Prüfungsausschusses, der die Bereiche Technik, IT, Recht und Management umfasst und Prozesse und Richtlinien für die Verwendung und Dokumentation von OSS definiert. Parallel gilt es, den bereits in Produkten eingesetzten OSS-Code über automatisierte Scans zu identifizieren und über die automatisierte Bereitstellung von Updates und Patches eventuelle Sicherheitslücken zu schließen.

#3 Nutzung analysieren

Für die Sicherheit der Anwendungen ist auch eine Analyse der Nutzung entscheidend. Nur wenn von Anfang an klar ist, welche Kunden in welchem Maße betroffen sind, lassen sich bei der nächsten Malware entsprechend schnell Maßnahmen ergreifen. Unzulängliche Sicherheitsprozesse und manuelle Abfragen von Berechtigungen kosten nicht nur wertvolle Zeit, sondern langfristig auch das Vertrauen des Kunden. Details der Produkte (Version, Plattform, Support-Plan) sowie die Geräteverwendung müssen daher unmittelbar einsehbar sein. Dies gilt insbesondere für Gerätehersteller, die Kapazität und Leistungsfähigkeit elektronisch verändern. Automatisierte Benachrichtigungen über neue Versionen und Patches können dabei helfen, Kommunikationsprozesse zum Kunden zu beschleunigen sowie Support- und Außendienstteams auf dem Laufenden zu halten.

 #4 Mehr Sichtbarkeit

Die höhere Transparenz hinsichtlich der Nutzung punktet auch beim Kunden. Entsprechende Portale zeigen auf einen Blick, welche Anwendungen gekauft wurden, tatsächlich zum Einsatz kommen oder nur unnötige Kosten verursachen. Je mehr Informationen geteilt werden, desto einfacher lässt sich auf beiden Seiten der Produktlebenszyklus einer Anwendung einsehen. Die Informationen reichen dabei vom Abrufen des bislang verbrauchten Datenvolumens über die Verfügbarkeit von Updates und Features bis hin zu Vertragsverlängerungen und End-of-Life-Daten.

#5 Zufriedene Kunden

Automatisierte und damit einfachere und schnellere Prozesse tragen zusätzlich zu mehr Kundenzufriedenheit und einer idealen Customer Journey bei. Dazu zählt unter anderem die zeitnahe Benachrichtigung von Kunden über bevorstehende neue Versionen und Updates, Self-Services, die es Benutzern erlauben, Gerätelizenztransaktionen und Rollen/Berechtigungen selbstständig zu verwalten sowie die Einsicht von Nutzungsdaten. Gleichzeitig lassen sich so auch Cross-Sell- und Up-Sell-Kampagnen sowie Vertragserneuerungen vereinheitlichen.

 #6 Schlauer entscheiden

Mit Big Data haben endlose Diskussionen über die scheinbar profitabelsten Features und das Raten über die tatsächliche Nutzung einer Software ein Ende. Stattdessen können Anbieter basierend auf Daten, den Mehrwert bestimmter Gerätefunktionen belegen und mit Blick auf die genutzten verwendeten Plattformen und Betriebssysteme die Markteinführung eines neuen Produkts sowie das End-of-Life eines älteren Produkts planen.

 #7 Der Preis ist heiß

On-premise, SaaS, Cloud – Softwareprodukte werden auf unterschiedliche Art und Weise bereitgestellt, genutzt und bepreist. Voraussetzung für die flexible Abrechnung sind entsprechende Lizenzierungstechnologien. Pakete adressieren beispielsweise in der Lite-, Basic- oder Professional-Variante unterschiedlichen Kundenbedürfnissen und bieten dank entsprechender Skalierung die Möglichkeit mit dem Wachstum des Kunden Schritt zu halten. Premium-Features lassen sich bei Hardware-Produkten ohne weitere physische Konfigurationen einfach zu oder abschalten. Zudem können hybride Preise konfiguriert werden, z. B. Basis-Abonnements in Verbindung mit Zusatzgebühren für die Nutzung in Spitzenzeiten.

Übersicht und Kostenkontrolle für die Nutzung von Cloud-Diensten

Der Quarterly Cloud IT Infrastructure Tracker von IDC prognostiziert bis 2020 einen Rückgang klassischer Rechenzentren auf 50 Prozent am Gesamt-IT-Budget und ein ungebremst rasantes Wachstum von Cloud-Diensten. Lösungen aus der Public Cloud sollen einen Marktanteil von einem Drittel, Private Clouds von 20 Prozent erreichen. Von allen „X as a Service“-Angeboten drohe besonders bei Infrastructure-as-a-Service (IaaS) ein Verlust der Kostenkontrolle, schätzt der Cloud-Anbieter RightScale in einer Erhebung. Demnach werden bis zu 30 Prozent der IaaS-Cloud-Budgets wegen falscher Planung und Steuerung verschwendet. CIOs und CFOs müssen über diese Entwicklung die Aufsicht führen, wenn sie die Kostenkontrolle behalten wollen. Drei Aspekte helfen dabei, diese zu gewährleisten.

1. Sichtbarkeit der Cloud-Nutzung herstellen

Die Optimierung der Cloud-Nutzung im Unternehmen muss damit beginnen, dass die IT-Abteilung weiß, wer wann welche Dienste in Anspruch nimmt. Wie bei dem klassischen IT-Inventar, ob Hardware oder Lizenzen für Software, muss die IT-Abteilung auch Cloud-Dienste inventarisieren und per Tagging die Grundlagen schaffen, um den Gebrauch zu überprüfen. Nur wenn die IT-Abteilung stets den Durchblick hat, welche aktuellen und zurückliegenden Cloud-Assets im Einsatz sind oder waren, kann sie durch diese Sichtbarkeit die Kosten überwachen. Natürlich gehört dazu eine regelmäßige Überprüfung, welche Dienste noch mit welcher Auslastung im Einsatz sind und ob sie noch dem Bedarf entsprechen.

Die IT-Abteilung muss also darauf bestehen, dass sie die Überwachung übernimmt, selbst wenn die Cloud-Nutzung auf einer anderen Kostenstelle jenseits der IT-Budgets gebucht werden sollte. Durch das Tagging in Verbindung mit einem regelmäßigen Controlling über den Nutzungsgrad fällt frühzeitig auf, wenn Cloud-Dienste zwar noch bezahlt, aber nicht mehr gebraucht werden.

2. Automatisierung der Cloud-Nutzung einführen

Eine wichtige Aufgabe für Inventarisierung und Controlling können Automatisierungs-Tools übernehmen. Während diese anfänglich lediglich Software-Lizenzen verwalteten, sind diese meist Cloud-basierten Anwendungen heute auch für die Planung, Steuerung und das Management von Cloud-Services ideal. Mit solchen Tools kann die IT die Cloud-Dienste wie in einem Selbstbedienungsladen für die Fachabteilungen bereitstellen, die diese dann je nach Bedarf in Anspruch nehmen dürfen. Vorteil ist, dass die IT diese Dienste zuvor auf notwendige Zertifizierungen wie beispielsweise die EU-Datenschutzgrundverordnung evaluieren und mit Rahmenverträgen auch die Kosten steuern kann.

Die Nutzer aus den Fachabteilungen wählen dann aus, welchen Dienst sie für welche Laufzeit einsetzen wollen. Vor Ablauf der voreingestellten Nutzungszeit erhalten die Anwender eine Nachricht, ob sie verlängern und wenn ja, wie lange sie den Dienst noch einsetzen wollen. Dieser automatisierte Ansatz stellt nicht nur sicher, dass die Rechnungen auf die entsprechenden Kostenstellen der Fachabteilungen gebucht werden, sondern verringert auch Ressourcenverschwendung und unnötigen Aufwand, da ungenutzte XaaS-Ressourcen zum Ende der gebuchten Nutzungszeit beendet werden.

3. Rechenschaftspflicht der Fachabteilungen sicherstellen

Mit einem Automatisierungs-Tool gibt die IT den Fachabteilungen gleichzeitig die notwendige Flexibilität, die sie brauchen, um schnell auf Marktanforderungen zu reagieren. Wenn sie virtuelle Maschinen brauchen, stehen diese per Mausklick zur Verfügung. Unabhängig davon, warum und für welchen Zweck eine Cloud benötigt wird, stehen immer ausreichende Ressourcen bereit, um beispielsweise für ein Angebot eine Testumgebung zu erstellen.

Das macht die Fachabteilungen agiler. Sie können jederzeit in Cloud-Services Anwendungen bereitstellen, um sich beispielsweise an Ausschreibungen zu beteiligen oder Verkaufsverhandlungen zu flankieren. Gleichzeitig hat die IT-Abteilung die volle Kontrolle und erhält für jeden Cloud-Einsatz auch gleich die Verwaltungsinformationen, für wen, von wem und auf welche Kostenstelle die Nutzung zu verbuchen ist.

Noch vor Fristablauf erhalten alle Beteiligten eine Nachricht, damit sie ihre Daten rechtzeitig sichern können, bevor ein Nutzungszeitraum ausläuft und der Vertrag und damit auch die Kosten enden können. Für jede Nutzung ist ein Mitarbeiter, in der Regel der Besteller, verantwortlich und muss Rechenschaft ablegen, warum und wie lange er einen Cloud-Service noch zu nutzen gedenkt. So gehen die Rechnungen an die richtigen Abteilungen, die somit zu einem verantwortungsvollen Umgang mit den technischen Ressourcen gezwungen sind.

Cloud Asset Management sichert volle Kostenkontrolle

Angesichts der schnellen Entwicklung von Cloud-Services und dem Vormarsch von IaaS-Angeboten über das ganze Unternehmen müssen die IT-Abteilung und der CIO die Verwaltung ihres Portfolios überarbeiten. Denn wenn sie die Agilität der Fachabteilungen steigern und ihre Compliance-Pflichten erfüllen wollen, bleibt fast keine Alternative als Transparenz, Automatisierung und neu verteilte Rechenschaften als wesentlicher Bestandteil der Strategie für 2018. Zudem verringern sie den Wildwuchs der Cloud-Nutzung und stellen sicher, dass nur Dienste im Einsatz sind, die bereits für die kommende EU-Datenschutzgrundverordnung zertifiziert sind.

Updates und neue Versionen für SCCM 2016 installieren

Dazu öffnen Sie diese und klicken auf Verwaltung. Über den Menüpunkt Updates und Wartung sehen Sie die Updates für SCCM, die aktuell zur Verfügung stehen. Hier sind auch Aktualisierungen zu neuen Unterversionen (1706, 1710 oder neuer) zu sehen. In der Spalte „Zustand“ sehen Sie, ob das Update derzeit verfügbar ist, bereits heruntergeladen wird, oder bereit zur Installation ist.

Über das Kontextmenü von Updates und Wartung können Sie die Suche nach Updates erneut starten lassen. Dazu wählen Sie die Option „Auf Updates prüfen“. Erst wenn bei einem aktuellen Update in der Spalte „Zustand“ die Option „Bereit zum Installieren“ angezeigt wird, können Sie das Update über das Kontextmenü auch in der Umgebung installieren. Stellen Sie also über das Kontextmenü sicher, dass Sie das aktuelles Update herunterladen. Bereits installierte Updates werden in der Spalte „Zustand“ mit „Installiert“ angezeigt.

Manchmal bleibt die Installation von Updates in der Konsole hängen. Überprüfen Sie in diesem Fall ob der Systemdienst „CONFIGURATION_MANAGER_UPDATE“ gestartet ist. Ist er das nicht, können Sie ihn in der Diensteverwaltung von Windows Server 2016 starten. Danach sollte nach kurzer Zeit die Aktualisierung durchgeführt werden.

Funktioniert die Installation eines Updates nicht, können Sie dieses aus SCCM entfernen, neu herunterladen, und erneut installieren. Ab Version 1706 enthalten primäre Standorte von Configuration Manager das Configuration Manager-Tool zum Zurücksetzen von Updates mit der Bezeichnung „CMUpdateReset.exe“.

Mit diesem Tool können Sie Probleme beheben, die bei konsoleninternen Updates während des Herunterladens oder Replizierens auftreten. Das Tool befindet sich auf dem Standortserver im Ordner der SCCM-Installation: \cd.latest\SMSSETUP\TOOLS.

Sie müssen das Tool in der Befehlszeile starten. Sie müssen mit der Option -S den Namen des Datenbank-Servers angeben, mit -D den Namen der SCCM-Datenbank und mit -P die GUID des Installationspaketes, das Sie zurücksetzen wollen. Die GUID können Sie als Spalte in der Ansicht der Updates einblenden lassen.

SCCM-Client manuell installieren

Sie können den SCCM-Agent manuell über die SCCM-Konsole auf Clientcomputer pushen. Dazu wechseln Sie zu Assets und Konformität\Geräte und klicken das Gerät mit der rechten Maustaste an. Wählen Sie danach Client installieren aus. Es startet ein Assistent, der Sie bei der Installation des Agents auf dem Zielcomputer unterstützt. Hierüber starten Sie zum Beispiel die Installation des Agents auf Domänencontroller. Über den Assistenten können Sie auch gleich den Standort festlegen, zu dem das entsprechende Gerät zugewiesen werden soll.

Dazu brauchen Sie die Installationsdateien aus dem Verzeichnis \\<Servername>\SMS_<Nummer>\Client. Aus dem Verzeichnis muss die Datei „ccmsetup.exe“ gestartet werden. In der Befehlszeile können Sie nach der Installation den SCCM-Client über „C:\Windows\ccmsetup\ccmsetup.exe /uninstall“ deinstallieren.

Es erscheint kein Installationsfenster. Die Installation findet ab diesem Moment auf die gleiche Weise statt, wie bei der Push-Installation oder der automatischen Installation.

Auch hier finden Sie den Status der Installation in den Protokolldateien, die im Verzeichnis „C:\Windows\ccmsetup\logs“ gespeichert werden. Nach der Installation können Sie in der Systemsteuerung das Veraltungsprogramm „Configuration Manager“ für den Client aufrufen. Hier legen Sie zum Beispiel fest, mit welchem SCCM-Server sich der Client verbinden soll.

Die wichtigsten Einstellungen dazu finden Sie auf der Registerkarte Standort. Hier können Sie überprüfen, ob der Client mit einem Standort verbunden ist und den Standort auch ändern.

Bundeshack: Sind Kritische Infrastrukturen wirklich so gefährdet?

Was soll man davon halten, wenn eines der sensibelsten Netzwerke des Landes nach dem Stand der gängigen IT-Security gesichert ist und Frank Rieger, Sprecher des Chaos Computer Clubs, auf Heise darauf nur mit einem »Aber der ist insgesamt nicht gut.«, reagiert?

Laut aktueller Erkenntnisse waren über Monate Hacker in Teilen des Regierungsnetzes aktiv und konnte Daten stehlen. Dass die Angreifer überhaupt Zugang zum Netzwerk erhielten, ist schon schlimm genug und zeigt, dass die Perimeterbarrieren wie Firewalls & Co. längst nicht mehr für Sicherheit sorgen können. Entscheidender ist jedoch, dass die Hacker über einen sehr langen Zeitraum im Netzwerk unentdeckt bleiben konnten.

Das lag neben anderen professionellen Angriffsstrategien unter anderem daran, dass die Hacker aus dem Angriff auf den Bundestag 2015 gelernt hatten. Anstelle große ‒ und damit auffällige ‒ Datenmengen im Gigabyte-Bereich aus dem Netz zu senden, hielten sie die Datentransfers beschränkt. Damit konnten sie unter dem Radar der üblichen Detektionsmechanismen der Sicherheitssysteme laufen.

Das Problem liegt jedoch tiefer. Es offenbart den grundlegend falschen Denkansatz der gängigen IT-Sicherheit: die Grenzen werden mit starren Regeln geschützt, während im Netzwerk Narrenfreiheit herrscht.

Wissenschaftsjournalist mit Schwerpunkt IT-Sicherheit Peter Welchering warnt im Deutschlandfunk deshalb ganz zurecht: »Nicht nur das Regierungsnetz ist angreifbar, wie jetzt geschehen. Nicht nur im Kommunikationsnetz des deutschen Bundestags tummeln sich die Spione. Nein, unsere gesamten sogenannten kritischen Infrastrukturen, Stromversorgung, Wasserversorgung, Telekommunikation sind leicht anzugreifen und deshalb hochgradig gefährdet.«.

Diese Gefährdung ist, unserer Meinung nach, längst reeller Status Quo in Kritis-Fernwirksystemen. Dort finden sich immer wieder Kommunikationsmuster, die auf Kompromittierungen hinweisen. Und die wenigsten Betreiber wissen darüber Bescheid. Das zumindest können wir aus unseren Monitoringprojekten sowie Stabilitäts- und Sicherheitsaudits bei Industrieunternehmen, Netzbetreibern und Energieunternehmen bestätigen.

Fallbeispiel 1: Kommunikation mit Servern in Asien

Bei den Audits und Langzeit-Monitoringprojekten kommt eine industrielle Anomalieerkennung zum Einsatz, die rückwirkungsfrei und passiv die gesamte Kommunikation innerhalb eines Steuerungsnetzes bzw. innerhalb der Netzleittechnik dekodiert und analysiert. Anstelle also ausschließlich die Perimeter eines Netzsegments zu sichern, wird das Innenleben vollständig überwacht. Die Anomalieerkennung lernt kürzester Zeit die gängigen, erlaubten Kommunikationsmuster und Vorgänge. Auf dieser Basis meldet die industrielle Anomalieerkennung jegliche Abweichung (bzw. Anomalie). Diese kann technischer Natur sein, oder eben eine Sicherheitslücke darstellen.

So fanden sich bei Netzbetreibern wiederholt Verbindungen einzelner Workstations, die ungehindert mit Servern im Ausland (u.a. Russland, China) kommunizierten, um Domainnamen in IP-Adressen aufzulösen. Den Netzwerkadministratoren war diese Kommunikation stets unbekannt ‒ und selbstverständlich unerwünscht. In einem Fall wurde eine Schadsoftware auf einer Workstation gefunden, die für die verdächtige Kommunikation verantwortlich war. Vermutlich handelte es sich beim angefragten DNS-Server im Ausland um einen Command&Control-Server, der die Schadsoftware steuerte.

Fallbeispiel 2: Konfiguration für Anlagenstörungen

In einem anderen Fall eines Energienetzbetreibers entdeckten wir zwei Switches, die immer wieder versuchten, DHCP-Anfragen zu versenden. Das Kommunikationsprotokoll DHCP ermöglicht, neue Teilnehmer ohne manuelle Konfiguration der Netzwerkschnittstelle in ein bestehendes Netzwerk einzubinden. Nötige Informationen wie IP-Adresse, Netzmaske, Gateway, Name Server und weitere Einstellungen werden automatisch vergeben.

In dem Steuerungsnetz hat eine automatische Vergabe dieser Einstellungen im Regelfall nichts zu suchen. Sollte aus irgendeinem Grund ein DHCP-Server ins Netz eingebracht werden ‒ unabsichtlich (z. B. durch einen Wartungslaptop) oder absichtlich durch einen Angreifer ‒ erhalten die Geräte dadurch IP-Adressen, die unter Umständen mit bereits vergebenen Adressen kollidieren. Dadurch ist dann ein anderes Gerät im Netz nur eingeschränkt erreichbar. Die Einschränkung der Kommunikation kann so zu Störungen in Teilbereichen der Energieversorgung bis hin zu Ausfällen der gesamten Infrastruktur führen. Durch die Neukonfiguration der Switches konnte eine fehlerhafte Kommunikation unterbunden werden.

Hacks und Störungen bereits im Ansatz entlarven

In beiden Fallbeispielen hatte die industrielle Anomalieerkennung die Kompromittierung erkannt, weil die jeweilige Kommunikation nicht zum standardmäßigen Muster in der Netzleittechnik gehörte. Dabei war unerheblich, wie umfangreich der Datentransfer war oder ob das verdächtige Kommunikationsmuster bereits als schadhaft bekannt war oder nicht. Entscheidend bei der Funktionalität der Anomalieerkennung ist, dass ein analysiertes Datenpaket schlichtweg nicht zum spezifischen Kommunikations- bzw. Verhaltensmuster des jeweiligen Netzwerks gehört.

Die Aktivitäten eines Hackers wie beim Bundes-Hack werden mit diesem lückenlosen Monitoring somit umgehend sichtbar ‒ und können direkt unterbunden werden.

Austausch der Interface-Ebene im laufenden Betrieb

Eine Chemiefabrik in Wesseling hat über 30 Jahre alte Rangierverteiler und 19 Zoll-Trennerkarten im Einsatz – alle abgekündigt. Aus Respekt vor der aufwendigen Arbeit und Stillstandszeiten scheute man dort lange den Austausch.

Bis heute! Zusammen mit dem Kunden und seinem Systemintegrator haben wir innerhalb von 10 Wochen eine kundespezifische Adaptierung geschaffen, die einen Umbau auf neue Ex-i-Trenner im laufenden Betrieb ermöglicht. Derzeit realisiert eine kleine Mannschaft in Ruhe den Austausch und wenn alles klappt, ohne Anlagenstillstand und den damit verbundenen Ausfallkosten. So kommt mein Kunde in kurzer Zeit zu einer Lösung mit neuer Technik und ist wieder zukunftssicher unterwegs.

Interessiert? Besuchen Sie uns vom 11. – 15. Juni 2018 auf der Achema (Halle 11.1, Stand A27) in Frankfurt und machen Sie sich live ein Bild von unseren Lösungen.

 

Fatih Denizer, Prozess- und Verfahrenstechnik, Phoenix Contact

Schneller Umbau auf begrenztem Raum

Ein weltweit tätiger Chemie-Kunde musste in seinen Standorten die vorhandene Leittechnik wegen abgekündigter und nicht mehr verfügbarer Hardware ablösen. Die Schwierigkeit bestand darin, die installierten Felder mit der alten Hardware 1:1 zu ersetzen. Das machte es erforderlich, die neue Hardware mit Controllern, I/O-Einheiten, redundanter 24V-DC-Versorgung und Klemmleisten in dem vorhandenen und damit stark begrenzten Raum aufzubauen.

Durch die Verwendung unserer neuen und kompakten Komponenten, wie Stromversorgungen, Redundanzmodulen und Sicherungsklemmleisten, haben wir es ermöglicht, dass der Kunde den vorhandenen Platz weiter nutzen kann.

Damit gelingt es meinem Kunden, die alten Schaltschrankfelder 1:1 auszutauschen und den stark begrenzten Platz in den vorhandenen Messwarten optimal auszunutzen.

Haben Sie ebenfalls Platzprobleme bei einer Migrationsaufgabe? Wir zeigen Ihnen auf der Achema (Halle 11.1, Stand A27) vom 11. – 15. Juni 2018 Wege auf, diese Herausforderung zu lösen!

Manfred Glebe, Prozess- und Verfahrenstechnik, Phoenix Contact

Schöne, neu strukturierte Wasser-Welt

Einer der größten Chemie-Park-Betreiber modernisiert die Leittechnik seiner unterschiedlichen Abwasser- und Wasseranlagen. Bei der Vielzahl an IOs ist hierbei Übersichtlichkeit das A&O.

Zusammen mit den lokalen Schaltschrank- und Montageunternehmen setzen wir nun ein Konzept um, bei dem eine durchgängige logische Rangierung vom Leitsystem über die Feldkabel zu den Feldgeräten realisiert wird.
Hierbei wird genau die IO-Anzahl der jeweiligen IO-Karte (32, 24 oder 16 etc.) auf entsprechende Blöcke der Interface-Ebene und der Rangier-Ebene gelegt.
Dabei haben wir auch an den Leitungsschutz gedacht.
Nicht zuletzt sorgt die personalisierte Beschriftung der Rangierwaben für eine höhe Eindeutigkeit..

So ist es, auch ohne Schaltplan, später einfach und schnell möglich, Loops zu checken, zu erweitern oder Fehler zu beheben.

Sie möchten die Struktur kennenlernen? Besuchen Sie uns vom 11. – 15. Juni 2018 auf der Achema (Halle 11.1, Stand A27) in Frankfurt und machen Sie sich live ein Bild von unseren Lösungen.

Lahcen Damou, Industriemanagement Prozess, Phoenix Contact