Suchen

HMI-Authentifizierung und Login per RFID Passwort? Es geht auch ohne! Was Login per RFID-Chip kann

Autor / Redakteur: Horst Friedrich* / Dominik Stephan

Warum Login per RFID-Chip auch in sensiblen Produktionsbereichen die bessere Lösung ist – Gerade in sensiblen Industriebranchen verhindert ein abgestuftes Rechtemanagement und geeignete Authentifizierungsmechanismen am HMI Fehlbedienungen. Doch für Mitarbeiter, die häufig die Stationen wechseln, werden herkömmliche Login-Verfahren schnell zur Plage. Geht es im Industrie-4.0-Zeitalter nicht auch ohne Passwort? Eine Antwort darauf kann die Kombination von RFID-Chips und geeigneter Softwarelösungen sein.

Firmen zum Thema

Mittlerweile gibt es integrierte RFID-Reader für die schnelle und sichere Zugriffskontrolle auf HMI-Systeme auch für den Einsatz im Ex-Bereich.
Mittlerweile gibt es integrierte RFID-Reader für die schnelle und sichere Zugriffskontrolle auf HMI-Systeme auch für den Einsatz im Ex-Bereich.
(Bild: R. Stahl)

Auf einen Blick alles im Griff: Mit fortschreitender Digitalisierung in der Pharma- und Prozessindustrie erweitern sich die Anforderungen an die Bedien- und Beobachtungssysteme, um vom Feld bis zur Leitstelle den zuverlässigen Zugriff auf Produktionsabläufe, Prozesswerte und Anlagenzustände zu gewährleisten. Die Vernetzung von Automatisierung und Kommunikation erhöht einerseits das Datenaufkommen, zum anderen forcieren Industrie-4.0-Anwendungen und die Notwendigkeit, Speicher- und Rechnerkapazitäten effizient zu nutzen, die Virtualisierung hardwarebasierter Steuerungs- und Kommunikationsarchitekturen.

Für die HMIs bedeutet das einen Spagat zwischen robuster Betriebssicherheit auf der einen und flexibler Usability auf der anderen Seite. Ganz besonders, da in größeren Anlagen und Betrieben Mitarbeiter oft die Bedienstationen wechseln müssen, zählt eine dynamische Rechteverwaltung zu den zentralen Sicherheitsaspekten. Sie ermöglicht von verschiedenen Terminals aus den Zugriff auf Prozesse und Anlagen.

Bildergalerie
Bildergalerie mit 6 Bildern

Die Tücken der Technik: Wenn zuviel Sicherheit unsicher wird...

Allerdings erfordert dieser Wechsel jedes Mal eine Ab- sowie eine Neuanmeldung mit Benutzernamen- und Passworteingabe am System. Ungünstige Rahmenbedingungen, wie das Tragen von Schutzhandschuhen oder inakkurat auslösende Keyboards, können die Ab- und Anmeldung zusätzlich erschweren.

Dies wirkt sich nicht selten kontraproduktiv aus, wenn etwa Mitarbeiter zur Vereinfachung Passwörter ohne Schutzfunktion wählen, die Zugangscodes offen einsehbar sind oder das Ausloggen vergessen wird. Einen ergonomischen Ausweg stellen biometrische Verfahren zur Prüfung der Zugriffsberechtigung per Fingerprint oder Gesichtserkennung dar.

Doch besonders in sensiblen Produktionsbereichen, wie sie für die Pharma­branche typisch sind, ist häufig das Tragen von Schutzkleidung, Handschuhen und Mundschutz obligatorisch. Eine biometrische Authentifizierung ist daher kaum umsetzbar – die Frage bleibt, was nun?

Eine Alternative ist die Authentifizierung über einen RFID-Werks­ausweis. In Kombination mit einer Server-Client-Anwendung wie Log­onplus (Ipas-Systeme), die die Anmeldesteuerung für Produktions-Anwendungen übernimmt, können sich User so ganz einfach gegenüber dem Active Directory des Betriebes authentifizieren und über einen anwendungsspezifischen Connector an der Zielanwendung – z.B. einem PLS – anmelden.

Berührungslos angemeldet dank RFID und Transponder

Grund genug für den Sicherheits- und HMI-Spezialisten R. Stahl, seine explosionsgeschützten Thin Clients mit berührungsloser RFID-Authentifizierung auszustatten, um den Anmeldeaufwand deutlich zu reduzieren. Dafür war es allerdings nötig, auch entsprechende Lesegeräte für den Einsatz in Zone 1/21 und 2/22 zu entwickeln. Diese sind wahlweise in das Gehäuse integriert, als separate Einheiten mit USB-Schnittstelle zum Fronteinbau verfügbar oder – bei Thin-Client-Modellen für die Öl- und Gasindustrie – fest hinter einer Frontscheibe installiert.

Bildergalerie
Bildergalerie mit 10 Bildern

Besonders wichtig für Pharma-­Anwendungen: Die RFID-Zugriffskontrolle ersetzt die übliche An- und Abmeldung im Automatisierungssystem und entspricht den aktuellen Sicherheitsanforderungen nach FDA und GAMP, versichern die Entwickler. Nach der Nutzer-Authentifizierung per Karte oder Chip wird der User z.B. am Leitsystem angemeldet. Die RFID-­Reader unterstützen neben Transpondern mit den Leseverfahren Mifar, Desfire, EV1 oder Legic Advant jetzt auch den Einsatz eines besonders komfortablen Anmeldesystems.

Schnelles, sicheres Login an der HMI - ohne Passwort und Touchscreen

Die mit vielen gängigen Card Readern und Prozessleit- oder Scada-Systemen kompatible Logon­plus-Software ermöglicht eine RFID-Authentifizierung über Mitarbeiterausweise. Ebenfalls ein Sicherheitsplus: Auch im Falle eines Serverausfalls oder während Wartungsarbeiten ist ein Login über den Thin Client weiterhin möglich. Zudem können sich Benutzer ihren Werksausweis selbst zuordnen, ohne dass dafür zusätzlicher Aufwand entsteht.

Für häufigere Arbeiten an einem Gerät oder einer Station kann zur schnellen Wiederanmeldung ein Zeitraum, die so genannte „Smart Logon Session“, konfiguriert werden, in dem Folge-Logins ohne Passworteingabe akzeptiert werden. Damit beschränken sich ­erneute Anmeldevorgänge für die definierte Dauer auf das bloße ­Auflegen des Ausweises.

Ein zusätzlicher Gewinn im Hinblick auf Sicherheit und Compli­ance besteht in der Möglichkeit, den Benutzer bei Entfernen des Ausweises vom Lesegerät automatisch abzumelden, sodass „offene Systeme“ der Vergangenheit angehören.

Um den hohen Standards an IT-Sicherheit, Compliance und QM zu entsprechen, werden optional alle An- und Abmeldevorgänge in einem Audit-­Trail zentral dokumentiert. Darüber hinaus lässt sich der Desktopzugriff durch eine Bildschirm-Tastatur verriegeln. Sensible Daten werden durch Verschlüsselung geschützt.

Natürlich braucht es neben der Hardware auch die entsprechende Software: Daher hat R. Stahl seine Thin Clients mit einer modernen Industrial Grade Remote HMI Firmware für das Industrie-4.0-­Zeitalter fit gemacht. Die Firm­ware auf Basis von Windows 10 IoT Enterprise gewährleistet die sichere, manipulationsgeschützte Fernsteuerung von virtuellen oder realen Workstations in einem Netzwerk als geschlossenes System unter einem einheitlichen Bedienkonzept und unterstützt alle wichtigen Fern­zugriff-Protokolle wie VNC und RDP.

Zukunftssichere Firmware garantiert die Authentifizierung

Über das App-Konzept lassen sich auch Citrix-Zugriffe, Protokolle wie die Delta V Remote Desktop Connection (DRDC), Browser, CCTV-­Apps oder beliebige andere Anwendungen sicher und ohne Modifikationen der Remote HMI Firmware betreiben.

Die neue Firm­ware findet sich serienmäßig in den Bedienstationen der Modellreihe 500, erklärt R. Stahl. Die auf drei Technologieplattformen für die Chemie- und Pharmaindustrie, Maschinenbedienung sowie die Öl- und Gasindustrie aufgebauten Thin Clients sind in explosionsgeschützter Ausführung für den nach Atex und IECEx zertifizierten Betrieb in Zone 1/21 und 2/22, als auch für den Standard-Industrieeinsatz erhältlich. Damit, ist sich der Hersteller sicher, stehen in diesem Produktsegment zukunftssichere Lösungen für die Prozesssteuerung und Visualisierung im Ex- wie Non-Ex-Bereich zur Verfügung.

Die schlanken HMIs lassen sich in redundant abgesicherte Netzwerke einbinden, sind in ver­schiedensten Displaygrößen und -auflösungen sowie optional in Dual-Screen-Ausführungen er­hältlich. Für eine hohe Performance setzt der Hersteller leistungsstarke Quad-Core-Prozessoren (je 1.91 Ghz) aus der Baytrail-Generation von Intel sowie 4 GB RAM Arbeitsspeicher ein. Zudem bieten die Clients optimierte Hardwarefunktionen (Intel VT) für Virtualisierungsumgebungen. Der integrierte HD-Grafikchip unterstützt Direct X 11.1 und soll so selbst bei hochdynamischen Prozessbildern für eine optimale Darstellung sorgen. Außerdem hat der HMI-Spezialist auch eine reinraumtaugliche Spezialausführung mit Multi-­Touch-Display im 24-Zoll Widescreen-Format im Programm, die den Kriterien der GMP-Reinheitsklasse C entspricht.

Sicher bis in Zone 1: Die Kombination aus Thin Clients mit einer auf die Anforderungen moderner Steuernetzwerke ausgerichteten Firmware und speziell für Ex-­Bereiche entwickelten RFID-­Readern vereinfacht das Authentifizierungsmanagement auch bei strengen Anforderungen an Prozess- und Zugriffssicherheit, ist man sich bei R. Stahl sicher. Die Kompatibilität des Readers zu verschiedenen Leseverfahren vereinfacht die Einführung dort, wo die Mitarbeiter bereits über entsprechen- de Transponderkarten für an- dere Anwendungsbereiche verfügen.

Den Zugriff im Griff: RFID-Reader, Ausweis und HMI-Client aus einer Hand

Überdies bietet die Logonplus-­Unterstützung einen deutlichen Komfortgewinn im Rahmen hoher Sicherheitsstandards. Dabei werden Benutzer mittels RFID-Werks­ausweis identifiziert, gegenüber dem Active Directory des Betriebes authentifiziert und dann von der Software über einen spezifischen Connector an der Zielanwendung – z.B. einem PLS – angemeldet. Auf Nachfrage liefert der HMI-Spezialist auch gleich entsprechende, mit geprüften Transpondern bestückte Ausweiskarten und Schlüsselanhänger zum Einsatz im Ex-Bereich.

* * Der Autor ist Director Product Marketing bei R. Stahl HMI Systems, Köln.

(ID:46732515)