Schneller Service via Internet mit hochsicherer Fernwartungs-Lösung
Zufriedene Kunden durch Fernwartungs-Service
Wer eine leistungsstarke Sägemaschine oder ein individuelles Lagersystem beschafft, verlangt vom Hersteller jederzeit schnellen Service, um den störungsfreien Betrieb sicherzustellen. Der mittelständische Maschinenbauer Kasto bietet diesen Service weltweit – mit Fernwartungs-Zugriffen via Internet. Die Fernwartungs-Lösung ermöglicht regelmäßiges Monitoring, schnelle Reaktionszeiten und spart häufig den Aufwand für einen Techniker vor Ort. Im folgenden stellen wir die Anwendung vor.
Kasto produziert mit rund 700 Mitarbeitern Sägemaschinen und Lagersysteme in Deutschland, der weltweite Vertrieb erfolgt über weitere Niederlassungen im Ausland. Beim Kundenservice für die installierten Anlagen laufen die Fäden wieder am Stammsitz in Achern zusammen. Im zentralen Service-Center werden die Kundenanfragen von Support-Mitarbeitern entgegengenommen und bearbeitet. Dabei können Kunden zwischen drei Service-Stufen wählen: vom normalen Wartungsvertrag, über den erweiterten Support mit verkürzten Reaktionszeiten auch außerhalb der Geschäftszeiten, bis hin zum Tele-Service mit Fernwartungs-Zugriff via Internet. „Beim Tele-Service greifen unsere Spezialisten bei Anfragen umgehend per Fernzugriff auf die Steuerungssysteme der Maschinen zu und suchen den Fehler. In 80 Prozent aller Fälle können die Probleme sofort behoben werden, diesen schnellen und günstigen Service ohne Technikereinsatz vor Ort schätzen unsere Kunden“, erläutert Josef Schneider, Service-Leiter bei Kasto.
Standardlösung ersetzt Konglomerat
Die ersten Fernwartungs-Verbindungen zwischen Service-Center und Maschinen bei Kunden realisierte Kasto über Analog-Modems oder ISDN, der Datentransfer wurde mit VPN-Appliances (Virtual Private Network) verschiedener Hersteller verschlüsselt. So wuchs ein Konglomerat unterschiedlicher Lösungen, das aufwändig zu bedienen und zu administrieren war. Mit der Komplexität stieg die Fehlerrate, zudem waren die genutzten Verbindungen langsam und teuer. Deshalb beschloss Kasto, eine Standardlösung für die Fernwartung einzuführen. Im Pflichtenheft für die Lösung standen diese zentralen Anforderungen:
- • schneller und günstiger Datenaustausch via Internet
- • zuverlässige IT-Sicherheit bei Datentransfer und Zugriff auf Kundennetz
- • einfache Bedienung und Administration zahlreicher Verbindungen
Sicherer Zugriff auf Kundennetz
Die Verbindung via Internet ist zuverlässig geschützt, trotzdem wird durch den Wartungszugriff auf Kundenseite unmittelbar der sensible Bereich der IT-Sicherheit berührt. Denn die Sägemaschine und das Automatiklager sind beim Kunden in das LAN integriert – Kasto muss für den Wartungszugriff also in das fremde Netzwerk zugreifen. Hier ist mit hartnäckigem Widerstand des zuständigen IT-Sicherheitsverantwortlichen zu rechnen, da jeder zugelassene externe Zugriff in das LAN das Risiko birgt, dass dieser Weg auch von unbefugten Dritten missbraucht werden kann. Das Wartungskonzept von Genua löst dieses Problem, indem die Richtung des Verbindungsaufbaus umgekehrt wird: Alle Wartungsverbindungen werden stets von der Appliance beim Kunden via Internet zum Service-Center aufgebaut. Erst wenn diese Verbindung steht, kann sie von Kasto in Gegenrichtung für den Wartungszugriff genutzt werden. Einmal erzeugte Verbindungen lassen viele Kunden dann dauerhaft stehen, andere bauen diese dagegen jeweils genau für das Zeitfenster auf, in dem der Wartungszugriff erfolgen soll. Es ist aber immer der Kunde, der die Verbindung initiiert, nicht der externe Dienstleister. Denn der Aufbau einer ausgehenden Verbindung ist für Kunden viel besser zu kontrollieren und somit sicherer als die Freischaltung eines externen Zugriffs ins eigene Netzwerk. Ein weiteres Sicherheits-Feature der Lösung ist das verwendete VPN-Verfahren. Zwischen den Fernwartungs-Appliances beim Kunden und Kasto wird SSH gesprochen. Im Gegensatz zum verbreiteten IPSec, das grundsätzlich eine vollständige Koppelung bewirkt und somit pauschal alle Rechner aus Netz A mit allen Rechnern aus Netz B reden lässt, ermöglicht SSH die gezielte Freischaltung einer Kommunikationsverbindung zwischen zwei Diensten. Hier wird also exakt der Datenaustausch zwischen der betreuten Maschine und dem Service-Center zugelassen – eine Kommunikation mit anderen Rechnern in den Netzwerken ist nicht möglich.
