In industriellen Umgebungen ist ein zuverlässiges OT-Monitoring längst geschäftskritisch – dennoch stoßen viele Unternehmen dabei auf massive Hürden. Veraltete Steuerungen, inkompatible Protokolle, streng segmentierte Netzwerke oder komplexe Multi-Vendor-Landschaften machen die Überwachung zur Herausforderung. Der Kommentar von Daniel Sukowski, Global Business Developer bei Paessler, zeigt auf, welche fünf Stolpersteine besonders häufig auftreten – und mit welchen Strategien sich diese meistern lassen.
Foto: Paessler
Daniel Sukowski, Global Business Developer bei Paessler
Ein normaler Tag in der Fertigung eines Industrieunternehmens – alle Maschinen und Anlagen laufen auf Hochtouren. Plötzlich kommen die Maschinen jedoch zum Erliegen. Es kommt zu einem Produktionsstopp, weil ein unbekannter Sensor in der OT-Anlage unerwartet ausfällt. Damit dieses Szenario nicht zur Realität wird, ist ein ganzheitliches Monitoring für OT-Umgebungen wichtig. So lassen sich potenzielle Probleme im Netzwerk proaktiv und in Echtzeit erkennen und beheben, bevor es zu Ausfällen kommt. Aber was sind die fünf größten Probleme und Herausforderungen beim OT-Monitoring? Und wie lassen sie sich lösen?
Veraltete Geräte wie SPS aus dem Jahr 1995 steuern mitunter noch immer wichtige Vorgänge und sind nach wie vor eine wichtige Infrastruktur in industriellen Betrieben – obwohl sie in Protokollen kommunizieren, die moderne Monitoring-Tools nicht verstehen können. Eine Lösung dieses Problems ist die Nutzung von Modbus TCP als primäres Kommunikationsprotokoll der Monitoring-Lösung für industrielle Steuerungssysteme. Mit diesem Protokoll können veraltete SPS und Steuerungen im Auge behalten werden, ohne in kostspielige Erneuerungen von Systemen investieren zu müssen. Verschiedene Metriken von jedem Modbus-kompatiblen Gerät separat zu erfassen, ermöglicht einen Einblick in Geräte, die ansonsten außerhalb des Monitorings liegen. So lassen sich beispielsweise auch Temperatursensoren, Ventilpositionen, Motordrehzahlen, Fehlerzustände von Geräten und ganze Produktionslinien verfolgen, die bereits vor dem zunehmenden Wandel hin zur Cloud existierten.
Im OT-Bereich kommen zahlreiche Protokolle zum Einsatz – von Modbus TPC über OPC UA bis hin zu MQTT. Jedes dieser Formate spricht gewissermaßen seine eigene „Sprache“. In vielen Architekturen werden Daten zwischen diesen Protokollen ausgetauscht, etwa wenn Modbus-Informationen über OPC UA bereitgestellt und anschließend via MQTT übertragen werden. In anderen Fällen erfolgt der Austausch direkt über Gateways oder Schnittstellenmodule. Auch eine Anbindung an SNMP-basierte IT-Überwachungssysteme ist möglich, meist mithilfe spezieller Protokollkonverter.
Diese Vielfalt lässt sich mit einem internationalen Meeting vergleichen: Jeder Teilnehmer spricht eine andere Sprache, und Übersetzer sorgen dafür, dass alle sich verstehen. Monitoring-Lösungen, die mehrere OT- und IoT-Protokolle nativ unterstützen, können hier den Übersetzungsaufwand deutlich reduzieren.
Einheitliche Tools für ganzheitliches OT-Monitoring bieten integrierte Funktionen für Modbus TCP, OPC UA und MQTT, sodass Datenpunkte, Zustände und sicherheitsrelevante Informationen zentral erfasst werden. OPC UA-Sensoren ermöglichen es beispielsweise, neben Messwerten auch Zertifikatslaufzeiten zu überwachen – eine entscheidende Komponente für sichere Kommunikation. MQTT-Sensoren liefern wiederum Informationen über IoT-Geräte, Broker-Statistiken und Messaging-Integrität. Das Ergebnis: eine zentrale Plattform, die Protokollgrenzen überwindet, den Einsatz vieler separater Tools vermeidet und sowohl OT- als auch IT-Umgebungen in einer einheitlichen Sicht zusammenführt – effizient, sicher und zukunftssicher.
Aus betrieblichen und sicherheitstechnischen Gründen sind viele OT-Netzwerke strikt von IT-Netzwerken getrennt – häufig durch Netzwerksegmentierung oder in besonders sensiblen Bereichen durch nahezu vollständige Air-Gap-Konzepte. Diese Trennung erhöht die Sicherheit erheblich, bringt jedoch komplexe Herausforderungen für das Monitoring mit sich. Die zentrale Frage lautet: Wie lässt sich eine isolierte Umgebung überwachen, ohne die vorgesehenen Schutzmechanismen zu umgehen?
Eine bewährte Lösung ist der Einsatz einer verteilten Architektur mit sogenannten Remote-Probes. Diese Sonden werden innerhalb der abgesicherten OT-Segmente platziert, erfassen dort lokal die relevanten Daten und übertragen sie über klar definierte, abgesicherte Kommunikationskanäle – etwa über eine DMZ – an den zentralen Monitoring-Server. In vollständigen Air-Gapp-Umgebungen kann die Datenübertragung auch manuell, beispielsweise über gesicherte Wechseldatenträger, erfolgen.
Idealerweise laufen solche Monitoring-Komponenten auf unterschiedlichen Betriebssystemen, einschließlich ressourcenschonender Linux-Varianten, wie sie in vielen industriellen Anwendungen und sicherheitskritischen Zonen üblich sind. Die Lösung sollte so flexibel sein, dass sie trotz strenger Netzwerk- und Sicherheitsvorgaben alle relevanten Messwerte und Statusinformationen erfassen kann.
Fortschrittliche Mechanismen für Protokollierung, Alarmierung und detaillierte Berichterstattung unterstützen dabei die Einhaltung gängiger Normen und Standards in sensiblen Branchen – von der Industrieproduktion über Energieversorgung bis hin zur kritischen Infrastruktur.
Viele OT-Umgebungen weisen technologische Schichten auf, die historische Fortschritte aus verschiedenen Industrieperioden widerspiegeln. OT-Umgebungen können etwa SPS, HMI, RTU oder weitere kundenspezifische Lösungen von Herstellern enthalten, die nicht mehr auf dem Markt existieren. Da zu jeder dieser Komponente unterschiedliche Verwaltungstools gehören, kann beim Monitoring ein Netz aus unterschiedlichen Systemen entstehen, das nicht mehr vereinheitlicht werden kann. Die Lösung dieser Herausforderung liegt in einem herstellerunabhängigen Ansatz für das Monitoring: Indem ein Tool sehr viele unterschiedliche native Sensortypen mit umfangreichen Anpassungsfunktionen integriert, lässt sich die Systemvielfalt vereinen. Dann können auch spezialisierte Hardware für die Industrie und kundenspezifische Lösungen gemonitort werden.
SCADA-Systeme steuern zentrale Betriebsprozesse und reagieren sensibel auf Änderungen. Daher ist beim Datenaustausch mit Monitoring-Lösungen besondere Sorgfalt erforderlich. Ein kontinuierlicher Informationsfluss zwischen SCADA-Systemen und Monitoring-Tools trägt entscheidend dazu bei, die Stabilität und Verfügbarkeit der Anlagen zu sichern.
Durch den Einsatz von OPC UA-Servern innerhalb der Monitoring-Software lassen sich Daten sicher und standardkonform mit SCADA-, HMI- und DCS-Systemen austauschen. Über geeignete Zugriffs- und Authentifizierungsmechanismen kann jeder berechtigte OPC UA-Client – ob SCADA, HMI oder OPC UA-fähige Steuerung – auf die Monitoring-Daten zugreifen.
Eine bidirektionale, kontrollierte Kommunikation ermöglicht es, dass SCADA-Systeme Monitoring-Daten wie Netzwerk- und Systemmetriken empfangen, während umgekehrt Monitoring-Tools ausgewählte Betriebsdaten aus den SCADA-Systemen in ihre Alarmierungs- und Reporting-Workflows integrieren können. So entsteht eine zuverlässige Verbindung zwischen Überwachung und Prozesssteuerung – ohne den laufenden Betrieb zu beeinträchtigen.
