Überblick über OT-Base, das Inventar- und Konfigurationsmanagementsystem für die digitale Industrieautomation. Gründe für ein Systeminventar der Leit- und Automatisierungstechnik gibt es viele:

  • Instandhalter brauchen es für die Systemwartung, denn im Zuge der Digitalisierung sind Konfigurationsparameter von SPSen, PCs und Netzwerkkomponenten genauso wichtig für die Prozesszuverlässigkeit geworden wie elektrische Eigenschaften
  • Anlagenplaner brauchen es insbesondere im Hinblick auf Industrie 4.0, denn die vielen neuen digitalen Geräte, die an das Prozessnetz angeschlossen werden, müssen alle sachgerecht geplant und auch dokumentiert werden.
  • IT-Experten schließlich benötigen Konfigurationsmanagement für die Cyber Security. Tatsache ist, dass JEDER Cyber-Sicherheitsstandard ein vollständiges und aktuelles Systeminventar zugrunde legt — egal ob Sie an das deutsche IT-Sicherheitsgesetz denken, an IEC 62443 oder an die SANS Critical Security Controls.

 

 

Digitale Industrieautomation erfordert ein leistungsfähiges Inventar- und Konfigurationsmanagement. Dafür wurde OT-BASE entwickelt. Dieses Video erläutert die Grundfunktionen dieses leistungsfähigen Tools.

Obwohl also an der Notwendigkeit und am Nutzen von Systeminventaren kein Zweifel besteht, sieht die Wirklichkeit eher bescheiden aus. Bei den meisten Firmen besteht das Systeminventar einer unvollständigen und veralteten Excel-Liste.

Damit kommt man nicht besonders weit. Warum das so ist, ist leicht erklärt.

 

Langner OT-Base Systeminventar

 

Eine Excel-Tabelle ist naturgemäß eine zweidimensionale Liste, die als Systeminventar in der Regel wenig mehr als IP-Adressen und Gerätenamen enthält. Aber wo bleiben Details zur Eine Excel-Tabelle ist naturgemäß eine zweidimensionale Liste, die als Systeminventar in der Regel wenig mehr als IP-Adressen und Gerätenamen enthält. Aber wo bleiben Details zur

  • Softwarekonfiguration
  • Hardwarekonfiguration
  • Netzwerktopologie
  • Datenflüssen und
  • zu personellen Verantwortlichkeiten?

Hinzu kommt die Zeitachse. Denn Änderungen müssen in einer Versionshistorie ebenfalls dokumentiert werden.Und zu guter Letzt: Wollen Sie alle diese Konfigurationsdetails per Hand eingeben? Sicher nicht. Mit zunehmender Systemkomplexität, wie wir sie im Zuge der fortschreitenden Digitalisierung sehen, brauchen Sie eine automatisierte Ermittlung und Überwachung der digitalen Konfiguration.

Die Lösung für all diese Probleme lautet OT-BASE.

OT-BASE ist eine zentrale Datenbank, in der alle Konfigurationsdaten Ihrer Leit- und Automatisierungssysteme gespeichert sind. Der Zugriff auf diese Datenbank ist web-basiert.

Das Systeminventar

 

Langner OT-Base Systeminventar 2

 

Nach der Anmeldung bei OT-BASE können Sie sich das Systeminventar auflisten lassen — beziehungsweise den Teil des Systeminventars, für den Sie eine Zugriffsberechtigung haben. Darüber sprechen wir später noch.

Das Systeminventar in OT-BASE sieht zunächst mit seiner Tabellendarstellung ähnlich wie eine Excel-Tabelle aus. Ein wesentlicher Unterschied ist, dass die Ausgabe nach verschiedenen Merkmalen gefiltert werden kann. In dieser Liste zum Beispiel sehe ich alle Komponenten aus zwei Beispielwerken in Baden-Württemberg.

Sie fragen sich jetzt bestimmt, wie diese ganzen Daten in OT-BASE hineinkommen. Das erkläre ich später beim Thema Systemarchitektur und Auto-Discovery.

Die Inventarliste kann ich weiter einschränken oder ausweiten. In unserem Fall wollen wir uns nur Geräte des Werks in Ludwigshafen anschauen. Dazu öffne ich die Filtereinstellungen und grenze die Ausgabe auf „Ammoniakwerk Ludwigshafen“ ein. Sie sehen, wie gleich mit der Eingabe die Ausgabeliste geändert wird.

Weitere Filtermöglichkeiten wären zum Beispiel, nur einen bestimmten Schaltschrank anzuzeigen, oder nur Komponenten, die zu einem bestimmten Leitsystemprodukt gehören.

Schauen wir uns jetzt die Ausgabeliste aber etwas genauer an. Neben IP-Adressen finden sich in der Liste die Gerätetypen. Zur Unterscheidung dieser Gerätetypen verwendet OT-BASE auch Farbcodes, zum Beispiel Grau für Automatisierungskomponenten und Blau für Netzwerkkomponenten. Ich kann außerdem durch einen Klick auf den Spaltenkopf die Tabelle sortieren. Ein „V“ hinter dem Komponententyp zeigt, dass es sich um eine virtualisierte Komponente handelt. Gebe ich etwas ein im Spaltenkopf, wird die Liste sofort im Hinblick auf diese Eingabe gefiltert. Will ich beispielsweise nur die SPSen sehen, gebe ich werden in Rot hervorgehoben.

Die gleiche Listenansicht kann ich auch für die installierte Software bekommen, indem ich oben auf „zu Software wechseln“ klicke. In dieser Liste kann ich beispielsweise durch Filterung schnell herausfinden, wo bestimmte Software-, Firmware- oder Betriebssystemversionen installiert sind, sagen wir Windows XP.

Konfigurationsdetails

 

Langner OT-Base Konfigrationsdetails

Schauen wir uns nun die Konfigurationsdetails einzelner Komponenten an. Hierzu gehe ich wieder zurück in das Hardwarelisting und selektiere die Komponente, die mich interessiert.

Dort öffne ich mit einem Doppelklick die Konfigurationsdetails. In den einzelnen Tabs des Dialogs sind nun die Daten zu Produkt, Netzwerkkonfiguration, Software, Hardwarekonfiguration mit eventuellen zusätzlichen Modulen, weitere Konfigurationsitems (Freitextfelder), personelle Verantwortlichkeiten, Änderungsfälle, Virtualisierung, Datenflüssen, und Konfigurationshistorie.

Ich kann die Auflistung auch noch benutzerfreundlicher als Report anzeigen, indem ich oben rechts im Dialog auf den Vergrößerungspfeil klicke.

Ein Vorteil dieser Reportansicht besteht darin, dass ich zu referenzierten weiteren Komponenten per Klick navigieren kann. Außerdem kann ich auch zugehörige Dokumentation öffnen, die im Internet oder auf einem lokalen Server gespeichert ist.

Die Reportansicht kann auch ausgedruckt werden.

Netzwerke und Datenflüsse

Als nächstes schauen wir uns die in OT-BASE integrierten Netzwerk- und Datenflussdiagramme an. Netzwerkdiagramme sind ein neuralgischer Punkt für die meisten Betreiber, da jeder weiß, wie wichtig sie sind, aber fast niemand vollständige und aktuelle Diagramme hat. Veraltete Visio-Diagramme sind leider der Standard.

OT-BASE erzeugt Netzwerkdiagramme automatisch aus den Konfigurationsdaten. Wie das funktioniert, zeige ich Ihnen hier. Wir gehen im Inventar auf den Punkt „Netzwerke“. Dort erscheint zunächst eine Liste mit allen Netzwerken, in der auch Feldbusse enthalten sind. Hier sehen Sie beispielsweise gleich anhand des Farbcodes Violett eine Reihe von Profibus-Netzen. Aber zu den Diagrammen. Ich wähle den Bereich aus, für den ein Netzwerkdiagramm gezeichnet werden soll – in unserem Fall das Werk in Ludwigshafen. Hier sehe ich nun eine Übersicht über die am Standort bekannten Netzwerke zusammen mit ihren Beziehungen. Netze werden als Wolken dargestellt, und die Verbindungen – Gateways oder Router – zwischen den Netzwerken werden stets im Detail gezeigt.

Wenn mir diese Darstellung, die ja automatisch erzeugt wird, nicht gefällt, kann ich auf die Schnelle ein paar Änderungen vornehmen. Beispielsweise kann ich Labels und Komponenten verschieben.

Ein Doppelklick auf eine Komponente zeigt die Konfigurationsdetails an. Klicke ich auf ein Netzwerk, dann erhalte ich ein Diagramm für dieses Netzwerk.

Schauen wir uns noch ein paar Details an. Dicke Linien zeigen Lichtwellenleiter an, wogegen dünne Linien für Kupferkabel stehen. Je nach Bedarf kann ich Feldbusse deaktivieren oder auch Punkt-zu-Punkt Verbindungen zuschalten. Ebenso kann ich die Adressinformationen abschalten und stattdessen Daten zu Port-IDs anzeigen.

Zeige ich mit der Maus auf eine bestimmte Komponente, werden automatisch die zugehörigen Datenflüsse angezeigt. Die verschiedenen Farbcodes stehen dabei für verschiedene Kategorien. So werden Projektierungen z.B. immer in Violett angezeigt, und Sollwerte in Orange, wie Sie das oben in der Legende auch sehen.

Datenflüsse lassen sich mit OT-BASE noch sehr viel genauer anzeigen und analysieren, aber das schauen wir uns in einem anderen Video im Detail an.

Benutzerverwaltung und Zugriffsrechte

Ein wesentlicher Teil der OT-BASE-Plattform ist die Benutzerverwaltung mit konfigurierbaren Zugriffsrechten.

Ein Systeminventar ist nur dann wirklich brauchbar, wenn es von unterschiedlichen Benutzergruppen verwendet werden kann, also zum Beispiel von Instandhaltern, IT-Abteilung und von Fremdfirmen. Mit Excel-Tabellen ist so etwas praktisch unmöglich, zumindest, wenn man auf Security wert legt. Tatsache ist, dass Systeminventare in Excel, die dann auf geteilten Verzeichnissen liegen, eine gravierende Sicherheitslücke darstellen.

OT-BASE dagegen verfügt über eine Anmeldeprozedur, die darüber entscheidend, ob und welchen Zugriff Sie auf die Daten bekommen.

Langener OT-Base Personal Verwaltung

 

In dieser Tabelle sehen Sie alle Benutzer aufgelistet. Die Farbcodes zeigen die verschiedenen Rollen der Benutzer an. So sind beispielsweise IT-und Netzwerkadministratoren durch eine violette Hinterlegung gekennzeichnet. Mitarbeiter von Fremdfirmen erscheinen grundsätzlich in Fettdruck.

Anhand der verschiedenen Rollen lassen sich verschiedene Zugriffsfreigaben setzen, was ich in einem anderen Video noch genauer erkläre. Hier möchte ich Ihnen aber noch zeigen, wie Sie den Zugriff auf die Datenbank pro Benutzer passgenau einschränken können.

Wenn ich ein Benutzerkonto öffne, kann ich dort im Bereich „Verantwortlichkeiten“ genau eingrenzen, für welche Systeme der betreffende Benutzer verantwortlich ist. In diesem Beispiel ist festgelegt, dass der Benutzer „Norbert Klein“ nur auf Laborsysteme in Ludwigshafen zugreifen darf.

 

Langner OT-Base Verwantwortlichkeiten

Der Benutzer „Bernd Mustermann“ hingegen hat Zugriff auf alle Systeme in Baden-Württemberg.

Ein weiteres Merkmal der Benutzerverwaltung ist die Mehrsprachigkeit. Wie Sie hier sehen, unterstützt OT-BASE mehrere Sprachen, was natürlich besonders für international tätige Unternehmen wichtig ist.

OT-BASE Systemarchitektur

 

Langner OT-Base Systemarchitektur

 

In diesem Diagramm sehen Sie die Systemarchitektur von OT-BASE.

In einem zentralen Server, der sich rechts von dem blauen Strich befindet, sind die Konfigurationsdatenbank und der Web-Server integriert. Diese Software läuft innerhalb der Continerplattform Docker.

Der Server wird normalerweise ins Enterprise-Netz gestellt, um zu ermöglichen, dass beispielsweise auch Fremdfirmen die Datenbank nutzen können.

Auf den OT-BASE Server greifen die Benutzer über eine Web-Schnittstelle zu. Der Zugriff funktioniert auf diese Weise z.B. auch von Tablet Computern und Laptops aus, und auch per Fernzugriff über VPN.

Auf der linken Seite des blauen Strichs befindet sich das Prozessnetz. Dort sehen Sie die Discovery- und Monitoring-Architektur von OT-BASE, mit der Systeme und Konfigurationen automatisch erfasst und überwacht werden. Hier kommen zwei verschiedene Produktkomponenten von OT-BASE zum Einsatz.

Der OT-BASE Network Discovery and Monitoring Agent ermittelt die Topologie Ihres Netzwerks inklusive Identität und Konfiguration der angeschlossenen Endpunkte, also z.B. SPSen und Windows-PCs, und läuft ebenfalls innerhalb von Docker.

Dieser Agent unterstützt eine ganze Reihe von Protokollen zur Erkennung der Konfiguration von Endpunkten, unter anderem SNMP, Profinet und das Windows Management Interface.

Wenn Sie mehrere voneinander isolierte Netzwerke verwenden, können Sie einfach einen Agent pro Netzwerk einsetzen — das hat keine Auswirkung auf die Lizenzkosten.

Administriert wird der Network Discovery & Monitoring Agent über eine Web-Schnittstelle.

Die Weitergabe der ermittelten Konfigurationsdaten an den OT-BASE Server erfolgt als Datei. Das gibt Ihnen die Möglichkeit, die Verbindung zwischen Prozessnetz und Enterprise-Netz ordentlich abzusichern, zum Beispiel mit einer DMZ oder mit einer Datendiode.

Der OT-BASE Endpoint Discovery and Monitoring Agent schließlich kommt zum Einsatz, wenn Sie nicht mit dem Windows Management Interface arbeiten wollen oder können – zum Beispiel für Standalone-Systeme ohne Netzwerkanschluss. Ein weiterer Vorteil dieses Agenten besteht darin, dass er auch ältere Windows-Versionen bis Windows 2000 unterstützt.

Lizenzierung und Testmöglichkeit

Die Lizenzierung von OT-BASE ist einfach und kundenfreundlich.

Die Kosten sind abhängig von der Anzahl der Komponenten in der Datenbank. Komponenten sind Computer, Netzwerk-Switches, SPSen, Busklemmen und so weiter. Wieviel Netzwerke Sie haben oder wie oft Sie die Softwareagenten zur automatischen Konfigurationsermittlung und -überwachung installieren möchten hat keine Auswirkung auf den Preis, ebenso wenig die Frage, wieviel Werke an einen zentralen OT-BASE-Server angeschlossen sind.

Alles hängt lediglich von der Zahl der im CMDB gespeicherten Geräte ab. Im Laufe der Benutzung können Sie Ihre Lizenz natürlich nach und nach erweitern, wenn neue Geräte hinzukommen.

Wenn Sie OT-BASE in Ihrer eigenen Umgebung testen möchten, bieten wir hierfür eine 30tägige Teststellung an. Sprechen Sie uns zu den Konditionen an

Auf unserer Webseite www.langner.com können Sie die Produktbroschüre zu OT-BASE herunterladen, die nochmal die wichtigsten Punkte dieses innovativen Konfigurationsmanagementsystems aufführt.

Melden Sie sich auch zu unserem Newsletter an, um über Neuigkeiten und weitere Videos zu OT-BASE automatisch informiert zu werden.