SCCM an WSUS anbinden

Damit Sie die Updates über SCCM/WSUS verteilen können, benötigen Sie zunächst eine neue Serverrolle im SCCM-Netzwerk:

  1. Klicken Sie auf „Verwaltung“.
  2. Klicken Sie auf „Standortkonfiguration\Standorte“ und markieren Sie Ihren Standort.
  3. Klicken Sie mit der rechten Maustaste auf den Standort und wählen Sie „Standortsystemrollen hinzufügen“.
  4. Klicken Sie sich durch den Assistenten, und wählen Sie bei „Systemrollenauswahl“ die Option „Softwareupdatepunkt“ aus. Diese Rolle ist für die Verteilung von Updates über WSUS verantwortlich.
  5. Um die Systemrolle zu konfigurieren, wählen Sie die entsprechenden Optionen aus, also auf welcher Basis Sie WSUS mit SCCM verbinden wollen.

Danach legen Sie noch fest mit welchem Benutzerkonto der SCCM-Server sich mit WSUS verbinden soll.

Anschließend konfigurieren Sie, von wo die Updates heruntergeladen werden sollen. Diese Konfiguration steuert den lokalen WSUS-Server auf dem SCCM-Server.

Legen Sie noch den Zeitplan fest, und wie sich WSUS bei neuen Versionen von Updates verhalten sollen.

Legen Sie anschließend noch fest welche Klassifizierungen, Produkte und Sprachen Sie über SCCM/WSUS im Netzwerk verteilen wollen. 

Sobald WSUS mit SCCM konfiguriert und verbunden ist, steuern Sie die Updates über „Softwarebibliothek\Übersicht\Softwareupdates“. Hier sehen Sie nach einiger Zeit die Updates die über SCCM verteilt werden können.

Überprüfen Sie nach der Einrichtung auch die Logdatei „wsyncmgr.log“ im Verzeichnis „C:\Programme\Microsoft Configuration Manager\Logs“. Hier sehen Sie, ob sich der Server mit WSUS und Windows-Update synchronisieren kann.

Auch die Datei „wcm.log“ spielt bei der Überprüfung eine wichtige Rolle. Über das Kontextmenü von „Alle Softwareupdates“ starten Sie eine manuelle Synchronisierung. Über den Bereich „Überwachung“ sehen Sie ebenfalls den aktuellen Status der Aufgaben.

Über das Kontextmenü des Standortes können Sie die Systemrolle für den Softwareupdatepunkt anpassen. Diesen Bereich finden Sie über „Verwaltung\Standortkonfiguration\Standorte“.

 

PKI im IoT: Mehr Vertrauen in die Lieferkette

In der Public-Key-Infrastruktur liegt die Zukunft sicherer und gesicherter IoT-Geräte – soviel wissen wir schon jetzt. Das liegt daran, dass man PKI relativ leicht für unterschiedliche Klassen von Geräten implementieren kann. Sie wird ganz entscheidend dazu beitragen, Geräte zu identifizieren und abzusichern. Angreifer haben schlicht sehr viel weniger Möglichkeiten IoT-Geräte zu hacken.

PKI kann aber noch mehr. Mit ihrer Hilfe lassen sich IoT-Geräte während des Herstellungsprozesses, über die gesamte Lieferkette sowie den Distributions- und Lieferprozess absichern. Sämtliche der vertikalen Märkte verändern sich durch das IoT grundlegend. Und genau diese Branchen profitieren von den Vorteilen der Public Key Infrastructure. Beispielsweise das Gesundheitswesen und intelligente Stromnetze (Smart Electric Grid) um nur zwei zu nennen.

PKI: Sicherheit von Anfang an

Der IoT-Markt ist noch relativ jung. Da ist es nicht verwunderlich, wenn ein Geräteanbieter mit dem eigentlichen Herstellungsprozess nicht unbedingt bis ins Detail vertraut ist. Nur in den seltensten Fällen produzieren Entwickler ihr eigenes Gerät. In den meisten Fällen arbeiten Entwickler mit einem der ODMs (Original Design Manufacturer) wie Flextronics oder einem Anbieter von Electronic Manufacturing Services (EMS) wie Foxconn oder Celestica zusammen.

Wenn ein IoT-Gerät gebaut wird, wird es normalerweise vom Hersteller an den Anbieter oder direkt an den Kunden ausgeliefert.

Auf diesem scheinbar natürlichen Weg kann allerdings so einiges passieren. Denn innerhalb dieses Prozesses hat der ODM oder EMS jetzt sämtliche Konzeptionen, Baupläne und Designspezifikationen in der Hand. Das ist für den Gerätehersteller ein nicht zu unterschätzendes Risiko. Es wäre für ein zwielichtiges Unternehmen oder einen Mitarbeiter relativ einfach, diese Pläne beispielsweise auf dem Schwarzmarkt zu einem viel niedrigeren, als dem ursprünglichen Preis zu verkaufen. Darüber hinaus haben bestimmte Regionen lockerere oder strengere Kontrollen was die Eigentumsrechte an Designspezifikationen anbelangt. Auch das kann zu potenziellen Problemen für den Gerätehersteller führen. Erschwerend kommt hinzu, dass es unter Umständen Jahre dauert bis der Hersteller überhaupt erkennt, was vorgefallen ist. Es gibt zwar eine Reihe von Sicherheits- und Prüfmaßnahmen zum Schutz von geistigem Eigentum. Trotzdem ist das ein echtes Problem, gerade für kleinere Anbieter.

Zertifikate sichern den Herstellungsprozess ab

Glücklicherweise gibt es eine Reihe von Möglichkeiten, wie ein Hersteller von IoT-Geräten die Zahl seiner Probleme reduzieren kann. Man kann beispielsweise in jedes Gerät ein Zertifikat einbauen. Man kann die Anzahl der hergestellten Geräte sehr sorgfältig kontrollieren, wenn die betreffende Zertifizierungsstelle (CA) nur so viele Zertifikate bereitstellt, wie man auch Geräte herstellen will. Ein weiterer Schritt: die Quelle einer Zertifikatanforderung verifizieren, d. h. einen bestimmten Ort. Dann muss  der zugewiesene ODM oder EMS bestimmte Anmeldeinformationen vorlegen, um zu verifizieren, wer das Zertifikat anfordert. Und der Zugriff auf diese Zertifikate lässt sich auch anhand der Benutzerauthentifizierung und IP-Adresse steuern.

Mithilfe einer PKI kann man während des Herstellungsprozesses oder danach überprüfen, wer das Zertifikat tatsächlich verwendet. Im Idealfall sollte „Wer“ nur das Gerät selbst sein. Man kann beispielsweise festlegen, dass das Gerät einen vertrauenswürdigen Server eines Drittanbieters kontaktieren muss. Der wird auch als Registrierungsstelle bezeichnet und wird etwa von der Zertifizierungsstelle verwaltet.

Die überprüft dann, ob das vom Gerät ausgestellte und verwendete Zertifikat mit der richtigen PKI-Hierarchie verkettet ist. Nämlich genau der des betreffenden Geräteherstellers. Die Zertifizierungsstelle kann dann das vorherige Zertifikat auf dem IoT-Gerät widerrufen und ein neues Zertifikat ausstellen: die sogenannte Neuregistrierung. Dazu nutzt man alternativ zwei Arten von Zertifikaten: Ein „Geburts“-Zertifikat, das die Identität von Geräten ausweist, und ein „Betriebs“-Zertifikat, um bestimmte Aktionen durchzuführen.

Schutz vor Überproduktion und Fälschungen

Hersteller von IoT-Geräten verhindern so Überproduktion und natürlich auch Fälschungen. Denn sie stellen sicher, dass nur das richtige Gerät das richtige Zertifikat erhält. Selbst wenn man zu einem späteren Zeitpunkt entdeckt, dass der Hersteller nicht vertrauenswürdig ist und mehr Geräte hergestellt wurden als ursprünglich bestellt wurden, wären die Geräte unbrauchbar, da die Geburtszertifikate widerrufen werden und das Gerät keine Betriebszertifikate mehr bekommt.

Im März dieses Jahres wurde der iPhone-Anbieter Wistron beschuldigt, unerlaubte Komponenten bei der Produktion des iPhone 8 in China eingesetzt zu haben. Genau diese Szenarien sind es, warum es per se keine schlechte Idee ist, PKI für IoT-Geräte schon während des Herstellungsprozesses zu implementieren.

PKI für die Lieferkette

PKI hat sich als eine der besten Technologien bewährt, um die Authentizität von Geräten innerhalb der Lieferkette zu verifizieren, wie z. B. die Verifizierung aller Komponenten in einem IoT-Gerät. Wenn beispielsweise ein IoT-Geräthersteller ein Gerät konzipiert, verwendet er Komponenten unterschiedlicher Hersteller. Diese Komponenten stammen aus der ganzen Welt, werden von Distributoren befördert und zusammen mit anderen Komponenten von einem EMS oder ODM zusammengebaut.

Sobald diese Komponenten bei einem Distributor landen, liegen sie tatsächlich für längere Zeit in einem Lager. Schließlich wird das Gerät zusammengebaut, getestet und an den Kunden ausgeliefert. Die Geräte werden häufig von Fremdinstallateuren installiert und an entfernten Standorten eingesetzt. Der Endkunde oder Käufer bekommt die Geräte unter Umständen nicht ein Mal selbst zu Gesicht.

Das durchschnittliche IoT-Gerät durchläuft eine komplexe Route und ändert mehrfach die Besitzverhältnisse. Natürlich möchte der Verkäufer sicherstellen, dass das Gerät authentisch ist und dass diese Authentizität über die verschiedenen Stufen der Lieferkette hindurch erhalten bleibt.

Dieses reale Problem ist schwer zu lösen. Wir hören immer häufiger von Datenpannen innerhalb der Lieferkette, wie z. B. bei Wistron. Man arbeitet mit Herstellern aus verschiedenen Ländern, deren Lieferanten bei Sicherheit und Datenschutz keinerlei Best Practices befolgen. Daher ist es schwierig, der Quelle einer Komponente zu vertrauen. Es ist also durchaus möglich ein IoT-Gerät zu erhalten, das sowohl authentische als auch gefälschte (oder modifizierte) Komponenten enthält. Aber wenn ein Gerät zunächst so funktioniert, wie es funktionieren soll, erkennt man diesen Tatbestand nicht. Es ist durchaus möglich, dass ein Täter zusätzlichen Code in die Gerätesoftware einbaut, der Daten nachverfolgt und abfängt. Dieser Code kann während des Herstellungsprozesses oder während der Herstellung einer seiner Komponenten injiziert worden sein. Ein weiterer Grund, der für PKI spricht, will man Szenarien dieser Art wenigstens reduzieren.

Identität: Die Grundlage für Sicherheit

Wir leben in einer Zeit des Hyper-Konsums. Und der Durst nach neuer und innovativer Technologie ist kaum zu stillen. Hardware-fokussierte Technologie-Start-ups integrieren Vernetzung und smarte Komponenten miteinander. Und sie befriedigen einen steigenden Bedarf.

Das kann man besonders auf Crowdfunding-Sites wie Kickstarter und Indiegogo beobachten. Der Fokus bei Entwicklern und Herstellern liegt ganz eindeutig auf Seiten der Funktionalität. Sicherheit spielt immer noch eine eher untergeordnete Rolle. Das ist so kurzsichtig wie leichtsinnig, und eine Haltung, die später nicht selten zu Problemen führt, wie es beispielsweise bei den jüngsten IoT-Botnet-Angriffen der Fall war.

Wenn man Sicherheit direkt am Ausgangspunkt nämlich bei der Herstellung des Gerätes und der damit verbundenen Lieferkette integriert, hat man ein Fundament auf dem man aufbauen kann. Beginnend mit einer starken Identität folgen Sicherheitsfunktionen wie Authentifizierung und Autorisierung. Eine Public Key Infrastruktur erleichtert diesen Prozess.

Virtuelle Gespräche im technischen Umfeld

Sich per Videochat mit der Niederlassung in Fernost austauschen, der Produktion Schichtpläne aufs Handy schicken und Werker per Remote Service im Chat betreuen. Rhetoriktrainer Peter Flume hat in seinem aktuellen Buch „Die Kunst der Kommunikation“ zusammengestellt, worauf es bei der Kommunikation per Videokonferenz oder Chat ankommt, damit die virtuellen Begegnungen genauso stark wirken, wie das persönliche Miteinander.

Beim virtuellen Gespräch fehlt die emotionale Rückmeldung
Der Geschäftsführer eines Herstellers von Verpackungsmaschinen berät sich mit seinem Standortleiter in Shanghai. In der letzten Zeit hat ein Hauptlieferant Schwierigkeiten, die wichtigen Komponenten zu liefern. Um dieses Gespräch zu führen, muss er nicht einmal das Büro verlassen. Denn die Besprechung funktioniert einfach und unkompliziert per Videokonferenz. Doch was uns im Alltag so praktisch vorkommt, hat auch Schattenseiten: „Es fehlt die unmittelbare visuelle Rückmeldung.“ In einem Chat oder am Telefon sehen wir einander ja nicht. Selbst beim Konferieren über Video kann die Einschätzung trügen, weil kein Augenkontakt besteht, oder verzögert übertragen wird. Schließlich entsteht über die Webcam immer eine Diskrepanz zum gegenseitigen Augenkontakt. Auch und gerade Emotionen können per Videochat nicht transportiert werden. „Sie werden oft über Betonung und Stimme übermittelt. Je nach Medium kann das falsch oder gar nicht ankommen“, sagt der langjährige Führungskräftetrainer. Hier können Smileys & Co die Kommunikation erleichtern. Bei Emojis scheiden sich aber die Geister: „Sie sollten Emojis durchaus da einsetzen, wo Ihnen die emotionale Botschaft wichtig ist und um Missverständnisse zu vermeiden. Halten Sie den Einsatz jedoch in Grenzen“, heißt es beim Fachmann fürs Sprechen.

Missverständnisse sind in der virtuellen Kommunikation vermeidbar
Haben sich alle Projektbeteiligten zum Beispiel zu einer Telefonkonferenz zusammengefunden, geht es los mit den Missverständnissen: Manchmal wissen wir nicht, ob jemand am Telefon schweigt, weil er dem Gespräch aufmerksam folgt, ob er nicht zu Wort kommt oder nebenher seine Mails beantwortet. Dann macht es Sinn, wenn man Teilnehmer direkt mit ihrem Namen anspricht. Außerdem sollten Nutzer ihren Namen vorweg sagen, sobald sie sich zu Wort melden, damit alle wissen, wer gerade das Wort ergreift.

Flume rät, sich innerhalb von virtuellen Gesprächen besonders deutlich auszudrücken und auch zu artikulieren. Hier gilt es Doppeldeutigkeiten zu vermeiden. Außerdem sollten Gesprächsteilnehmer durch Rückfragen sicherstellen, dass sie richtig verstanden haben und selbst korrekt verstanden wurden. Viele Videosysteme erlauben auch schriftliche Kommentare oder Fragen nebenbei. So gibt es ein Feedback zu dem, was gerade gesagt wird. Aufmerksamkeit sei das Gebot der Stunde, heißt es im Fachtitel „Die Kunst der Kommunikation“. Einander ausreden lassen, Monologe vermeiden und nicht nebenher andere Dinge zu erledigen sei in realen wie in virtuellen Gesprächen höflich und wichtig.

Digitale Kommunikation wird immer häufiger
Studien zeigen, dass das persönliche Miteinander in Zeiten von schnellen Informationsflüssen und immer internationaleren Geschäften, stark abnehmen wird. Einer Bitkom-Studie zufolge nutzen bereits drei von fünf deutschen Unternehmen (58 Prozent) das Smartphone zur internen und externen Kommunikation, 52 Prozent setzen auf Online-Meetings und Videokonferenzen, ein Drittel auf Kunden- und Mitarbeiterportale. Kleine Betriebe mit 20 bis 49 Mitarbeitern (77 Prozent) und Dienstleister (81 Prozent) haben in puncto digitale Kommunikation Nachholbedarf: Hier werden noch Faxe statt E-Mails verschickt. Auch in der Produktion wird immer häufiger gechattet, statt persönlich beratschlagt. Maschinen- und Anlagenbauer bieten beispielsweise immer häufiger Wartung über Remote an, schalten sich also digital aus der Ferne auf ein System auf, statt einen Techniker zu schicken. Bei der Fehleranalyse wird natürlich per Chat kommuniziert. Wer aber gerne chattet, sollte damit rechnen, dass der andere gerade beschäftigt ist. „Also lieber kurz nachfragen, ob es gerade passt und nicht einfach loslegen“, meint der Trainer mit mehr als 25 Jahren Erfahrung. Gleiches gilt, wenn man selbst nicht mehr weiterschreiben kann: dann sollten Kommunikationswillige ihr Gegenüber kurz informieren, bevor sie den Chat verlassen.

Virtuelle Meetings sind genauso wichtig wie persönliche
Eine gute Haltung ist nicht nur gut fürs Kreuz. Sie macht unter anderem am Telefon Sinn. Die Stimme kann im Stehen besser und sympathischer klingen, oder wenn der Oberkörper aufgerichtet ist. Die Artikulation wird dann genauer und selbst ein Lächeln kann auf diese Weise übermittelt werden. Und andersrum: Wer in einem Telefonmeeting gerade nichts zu melden hat, sich räuspert oder trinkt, sollte sein Mikrofon stumm schalten und es erst wieder aktivieren, wenn er etwas betragen möchte. Für die Körpersprache gilt: Gestik und Mimik sind auch bei Videokonferenzen erwünscht. Allerdings ist hier der Bildausschnitt begrenzt, sodass Gesten im Rahmen des Sichtfensters ausgeführt werden und nicht zu schnell sein sollten. „Sonst wirken Sie unruhig und irritierend“, weiß der Rhetoriker aus Nürtingen.

Flumes Fazit: „Nehmen Sie ein virtuelles Gespräch so wichtig, wie ein persönliches. Machen Sie sich die Schwachstellen einer digitalen Kommunikation bewusst und vermeiden Sie Missverständnisse durch eine besondere Achtsamkeit in der Vorbereitung und während des Gesprächs.“

Sicher und schnell Mehrwerte in der Cloud erzeugen

Manche Industrieunternehmen bereiten sich auf das Internet der Dinge (IoT) vor. Viele andere setzen bereits heute darauf. Dabei umfasst der Begriff IoT viel mehr als das reine IoT oder etwa Industrial IoT (IIoT) Plattformen. Es geht dabei darum, relevante Systeme aller Art miteinander zu verbinden und daraus einen Mehrwert zu erzeugen.

IoT-Plattform als Mediator

IoT-Plattformen werden oft als „Mediatoren“ zwischen den Geräten, also Sensoren und Aktoren auf der einen Seite und der Anwendungsschicht auf der anderen Seite, gesehen.

Das wirklich bestechende an der Idee der Vernetzung von Geräten ist es ja, dass diese durch das frühzeitige Erkennen von Fehlern und anderen „verbesserungsfähigen“ Zuständen effizienter im Betrieb werden und sich auf Basis der Daten neue Geschäftsmodelle entwickeln lassen. Das bedeutet, dass die Produkte über die Zeit gesehen besser werden, und gleichzeitig die Verbindung und Interaktion mit dem Kunden vorangetrieben werden. Dies bedeutet, dass Erkenntnisse aus der Nutzung in Software Updates oder Konfigurationen einfließen, die wiederum einen Mehrwert für den Kunden bringen. Entscheidungen können basierend auf Daten getroffen werden, wobei diese auch durch zusätzliche Intelligenz automatisiert werden können. Aus entsprechend vielen Daten können dann Analysen oder Entscheidungen lokal auf dem Gerät getroffen werden.

Durch die globale Verfügbarkeit der Cloud und die Nutzung deren massiver Ressourcen werden viele Dinge einfacher. Man kann, immer abhängig von der konkreten Anforderung, mehr verteilte Geräte, die sehr viele Daten produzieren, nutzen.

Industriezentrische Plattform

Bei einer Industriezentrischen Plattform wird großer Wert auf vorausschauende Wartung und Optimierung der Applikationen gelegt. Dies gilt generell für Geräte im Bereich Maschinen- und Antriebstechnik – z.B. für Windparks und Düsentriebwerke. Um das zu überwachen setzt man Temperatur-, Geschwindigkeit-, Vibrations-, Druck- und andere Sensoren ein. Die Daten werden an ein SCADA (Supervisory Control and Data Acquisition), DCS (Distributed Control System) oder PLCs (Programmable Logic Controller) System weitergeleitet, um automatisiert oder initiiert durch eine Person beispielsweise die entsprechenden Kommandos zum Öffnen oder Schließen von Ventilen zu senden.

Funktionalität über die Cloud hinaus

Um solche Prozesse mit der datenzentrischen Verarbeitung und der Intelligenz in der Cloud nicht nur zu verbinden, sondern um auch diese Daten entsprechend schnell zu verarbeiten bzw. intelligente Entscheidungen auch ohne Internetverbindung treffen zu können, bedarf es der Möglichkeit, diese Funktionalität über die Cloud hinaus an die Geräte zu verteilen.

Je nach Businessmodell eines Unternehmens können weitere Integrationen sinnvoll sein. Die Verbindung in die Cloud kann über eine oder mehrerer Standleitungen bzw. auch separate Telekommunikationsnetze erfolgen. Um mehr Kontext für die Datenverarbeitung zu erhalten macht es außerdem Sinn, Enterprise-Applikationen im Unternehmen oder auch außerhalb des Unternehmens mit zu verbinden.

Komplementärer Ansatz ist zentral

Diese Integration braucht insgesamt aber mehr als eine IoT- oder Industrial IoT-Plattform. Zentral ist hier ein komplementärer Ansatz, von der Integration eines Sensors, der Daten „produziert“, bis hin zu spezifischen Industrie-Anwendungen, die diese Daten „konsumieren“ und untereinander austauschen können. Auf Grundlage einer einheitlichen Cloud-Plattform, sowie der direkten Hardwareintegration kann recht einfach eine viel umfassendere Lösung entstehen. Auf deren Basis lassen sich  die Lösungen eines Unternehmens mit Lösungen der Partner und Endkunden  verbinden. Durch das sichere „Vereinen“ und Austauschen der Daten wird der wirkliche Mehrwert generiert, den das Industrial IoT verspricht.