Sichere Zugriffsverwaltung an Produktionsanlagen

Passwort ade

14.09.2007 Bei der Herstellung von Medikamenten, Kosmetika oder Lebensmitteln gibt es kritische Prozesse, deren Parameter nur von bestimmten Mitarbeitern verändert werden dürfen. Während früher über Passwörter geregelt wurde, wer zu welchen Daten Zugang hat, erleichtert heute das Electronic-Key-System die Zugriffsverwaltung, wie das Beispiel eines Seifenproduzenten zeigt. Jeder Mitarbeiter besitzt dort einen persönlichen Schlüssel, mit dem er an den einzelnen Prozessterminals eindeutig identifiziert wird.

Anzeige

Seife zum Händewaschen, Duschen oder Baden gehört seit Jahrtausenden zum alltäglichen Hygienebedarf des Menschen. Der Prozess der Seifenherstellung ist ein hochautomatisierter, mehrstufiger Prozess, bei dem zunächst tierische und/oder pflanzliche Rohfette und Öle in einem Siedekessel verseift werden. Die flüssige Nassseife wird im nächsten Schritt in einem Sprühturm soweit getrocknet, dass das entstandene Seifengranulat als Grundstoff für die zukünftigen Seifenprodukte verwendet werden kann. Nach dem Mischen des Seifengranulates mit Zusatzstoffen, wie Parfüm, Pflegekomponenten und Farbe, wird die Seifenmasse zu einem Strang verarbeitet, in Stücke geschnitten, in Form gepresst und anschließend vollautomatisch verpackt.

Der Herstellungsprozess von Seife hat bei der Firma Hirtler einen sehr hohen Automatisierungsgrad und besteht aus vielen Einzelprozessen und Einzelanlagen. Nachdem diese imJahr 2004 in das bestehende und etablierte werksübergreifende Prozessleitsystem Simatic PCS 7 eingebunden worden waren, konnte fortan an jedem der vernetzten Bedienterminals in den einzelnen Produktionsbereichen auf alle Prozessdaten zugegriffen werden. Durch die Vernetzung der Einzelanlagen und Serverstationen wurde jedoch die Zugriffsverwaltung auf die Prozesse problematisch. Nicht alle Mitarbeiter an den Maschinen in den unterschiedlichen Prozessbereichen sollten kategorisch Zugriff auf alle Prozessdaten haben sollten. „Bedingt durch die Vernetzung der einzelnen Serverstationen war es wichtig, den Mitarbeitern in den verschiedenen Teilanlagen nur die für den jeweiligen Prozess erforderliche Berechtigungsstufe auf das Prozessleitsystem zu geben“, erläutert Ullrich Kneip, Leiter Elektrotechnik bei Hirtler, das Anforderungsprofil.

Elektronischer Schlüsselstatt Passwörter

Nach einer umfangreichen Marktanalyse hat man sich auf Grund der Umgebungsbedingungen sowie der flexiblen Einsatzmöglichkeiten für das innovative Electronic-Key-System (EKS). Das System wird bisher überwiegend in rauen Produktionsumgebungen bei allen namhaften Automobilherstellern sowie im Maschinenbau eingesetzt. EKS setzt sich aus zwei Komponenten zusammen: einem elektronischen Schlüssel und der dazu passenden Schlüsselaufnahme. Der Schlüssel in Form eines robusten Anhängers enthält einen Speicherchip und eine Antenne. Es handelt sich dabei um einen batterielosen Transponder, der seine Informationen induktiv und damit kontaktlos an eine Auswerteelektronik in der Schlüsselaufnahme überträgt.

Bei Inbetriebnahme wird der Schlüssel in die Schlüsselaufnahme gesteckt und sicher gehalten. Der Zugang zu PC-basierten Systemen kann mit EKS sicher und vor allem nachvollziehbar kontrolliert werden. Im normalen Betrieb lassen sich zum Beispiel ein „Login“ durch Stecken und ein „Logoff“ durch Ziehen des Schlüssels einfach steuern. Der Speicher des Schlüssels birgt in der Regel verschiedene, wichtige Informationen, wie beispielsweise Name, Abteilung und – ganz wichtig – unterschiedliche Zugangsberechtigungen. Geht ein Schlüssel einmal verloren oder verlässt ein Mitarbeiter das Unternehmen, so kann dessen Zugriffsmöglichkeit problemlos gelöscht werden. Ebenso lässt sich ein verlorener Schlüssel durch Programmierung wiederherstellen.
An jedem der bisher sechs Prozessterminals wurde ein EKS integriert. Jeder Benutzer hat einen eigenen EKS-Schlüssel erhalten, auf dem seine persönlichen Daten und die Berechtigungsstufe für seinen Arbeits- und Verantwortungsbereich hinterlegt sind. Da es in der Prozesskette kritische Parameter gibt, werden individuell Berechtigungsstufen vergeben, so dass nur die autorisierten und geschulten Benutzer wichtige Prozessparameter ändern dürfen. Die Beobachtung sämtlicher Prozessdaten, die mit dem EKS grundsätzlich möglich ist, wurde bei dem Seifenhersteller auf den jeweiligen Arbeitsbereich des Bedieners reduziert. „Hiermit wird erreicht, dass nicht alle Störmeldungen in der Prozesskette, sondern nur die in dem jeweiligen Produktionssegment betreffenden Störungen angezeigt und von dem Bediener bearbeitet werden“, begründet Ullrich Kneip die Entscheidung. Mit der Änderungshistorie können Datenänderungen nachvollzogen werden. Außerdem lassen sich die Produktionschargen den Mitarbeitern zuordnen.

Einfach und flexibel – die Verwaltung der Schlüssel

Die Schlüssel können entweder direkt vor Ort oder an einem separaten PC-Arbeitsplatz verwaltet werden. Bei dem Seifenhersteller geschieht der Datenaustausch der EKS-Schlüsselaufnahmen über Clients in den Produktionsbereichen, die über Ethernet (LWL) mit dem Server verbunden sind. Die EKS-Schlüsseldaten wurden über die Siemens-Niederlassung Freiburg in das beim PCS 7 bereits bestehende Logon-System eingebunden. Derzeit sind 20 verschiedene Berechtigungsstufen für die EKS-Schlüssel definiert. Dies lässt sich jedoch jederzeit erweitern und an neue zukünftige Bedürfnisse anpassen. Das EKS ist vollständig industrietauglich; der mechanische Aufbau lässt raue Umweltbedingungen zu. Auf Grund der hohen Schutzart IP 67 ist das System beständig gegen Wasser, Laugen und Öle. Auch die elektromagnetische Verträglichkeit ist so ausgelegt, dass das EKS in jeder industriellen Umgebung eingesetzt werden kann.

Fazit: Parameter kritscher Produktionsprozesse sollten nur von autorisierten und geschulten Mitarbeitern verändert werden dürfen. Berechtigungen an Bedienterminals müssen deshalb eingeschränkt und der Zugriff automatisch kontrolliert werden. Eine Lösung ist das Electronic-Key-System (EKS), bei dem der Zugang zu PC-basierten Systemen sicher und nachvollziehbar kontrolliert werden kann. Durch die Vergabe von Schlüsseln erhält jeder Mitarbeiter seine individuelle Zugangsberechtigung zu einzelnen Prozessparametern. Passwörter sind nicht mehr nötig, da alle Zugangsdaten auf dem EKS-Schlüssel gespeichert sind.

Heftausgabe: September 2007

Über den Autor

Thomas Raiser, Produktmanager, Euchner
Loader-Icon