Bearbeitungsmaschinen
in der Industrie müssen
ständig
gewartet und überprüft werden,
um Ausfallzeiten durch Verschleiß und sonstige Mängel so
gering wie möglich
zu halten. Weiterhin ist es bei modernen Bearbeitungsmaschinen möglich, den Steuerungsrechner
der Maschinen über
das Internet und das Inteanet mit einem Servicerechner des Herstellers
der Maschine zu verbinden, um die Daten der Industriemaschine laufend
zu überprüfen und
gegebenenfalls Wartungsarbeiten über
das Internet und Inteanet an der Bearbeitungsmaschine vorzunehmen.
In diesem Fall muss das Servicepersonal nicht vor Ort in der Firma
des Betreibers der Industriemaschine erscheinen, sondern kann eine
sogenannte Fernwartung und Ferndiagnose der Maschine vornehmen.
Ein
solches System ist aus der
DE
101 52 765 A1 bekannt, welches zur Rechner gestützten Handhabung
und Verwaltung einer numerisch gesteuerten industriellen Bearbeitungsmaschine
genutzt wird. Die Bearbeitungsmaschine verfügt dabei über einen maschinenseitigen
Arbeitsrechner, welcher mit einem Hauptrechner beim Hersteller oder der
Servicefirma über
eine Datenkommunikationsverbindung wie das Internet verbunden ist.
Der Hauptrechner ist in der Lage, in Echtzeit Maschinenzustandsdaten
vom Arbeitsrechner der verarbeitenden Maschine abzurufen, an den
Hauptrechner zu übertragen
und dann auf dem Hauptrechner eine Analyse und Auswertung durchzuführen. Anschließend können wieder
Daten an den maschinenseitigen Arbeitsrechner zurückübertragen
werden, um etwaige Probleme zu beheben, denn aus den abgefragten
Maschinenzustandsdaten können
z. B. auftretende Probleme an der numerisch gesteuerten industriellen Bearbeitungsmaschine
rechtzeitig erkannt und entsprechende Gegenmaßnahmen frühzeitig eingeleitet werden.
Des weiteren können
die Maschinenzustandsdaten dahingehend ausgewertet werden, dass
verbesserte Maschinendaten der Bearbeitungsmaschine vom Hauptrechner
zur Verfügung
gestellt werden.
Bei
einem solchen System spielt die Identifikation und Autorisierung
des Servicepersonals eine entscheidende Rolle, da es kein Betreiber
einer Bearbeitungsmaschine akzeptieren kann, dass Unbefugte auf
den Rechner seiner Bearbeitungsmaschine zugreifen. Es muss daher
unbedingt sicher gestellt werden, dass tatsächlich nur der Hersteller oder
die Wartungsfirma, welche für
die Bearbeitungsmachine zuständig
ist, auf den Rechner der Bearbeitungsmaschine zugreifen kann. Da
der Rechner der Bearbeitungsmaschine und der Hauptrechner beim Hersteller
meist über
eine Internetverbindung miteinander kommunizieren, ist diese Kommunikation
mit allen vom Internet her bekannten Gefahren verbunden. Um diese
Gefahren zu minimieren, ist es Stand der Technik, die Verbindung
zwischen Bearbeitungsmaschinenrechner und Hauptrechner zu verschlüsseln oder
den Zugriff auf den Rechner der Bearbeitungsmaschine nur durch bestimmte
Rechner zu erlauben.
Viele
Betreiber von Bearbeitungsmaschinen möchten außerdem einen festen Ansprechpartner beim
Hersteller oder der Wartungsfirma ihrer Maschine haben, da sie sichergehen
möchten,
dass ihre Maschine nur von bestimmten ihnen vertrauten Personen
gewartet wird.
Es
ist daher Aufgabe der vorliegenden Erfindung, einen anonymen Zugriff
des Servicepersonal auf Daten oder die Bedienoberfläche des
Rechners einer Bearbeitungsmachine zu vermeiden, um die Akzeptanz
der Kunden von Fernwartung und Ferndiagnose zu erhöhen.
Erfindungsgemäß wird die
vorliegende Aufgabe durch die Patentansprüche 1 und 9 gelöst. Vorteilhafte
Ausgestaltungsformen der Erfindung sind den Unteransprüchen und
der Zeichnung zu entnehmen. Bei dem erfindungsgemäßen System
weist die Maschine des Betreibers wenigstens einen ersten dieser
Maschine zugeordneten Rechner auf, welcher über eine Netzwerkverbindung
mit wenigstens einem zweiten Rechner beim Hersteller oder einer
Service- und Wartungsfirma kommunizieren kann. Eine solche Kommunikationsverbindung
kann z. B. über
das Internet aufgebaut werden, wobei eine solche Verbindung nur
dann bestehen muss, wenn tatsächlich
Daten vom ersten Rechner zum zweiten Rechner und umgekehrt übertragen
werden sollen. Grundsätzlich ist
es nur möglich,
den Aufbau der Verbindung über das
Internet zwischen dem ersten Rechner und dem zweiten Rechner vom
ersten Rechner aus zu aktivieren, da dieser gegenüber dem
Internet durch eine sogenannte Firewall geschützt ist, eine Sicherheitssoftware,
welche den Datenverkehr aus dem Internet überwacht und insbesondere unbefugte
Zugriffe auf den ersten Rechner von außen verhindert. Es ist aber auch
möglich
den Verbindungsaufbau durch ein spezielles an anderer Stelle dieser
Anmeldung beschriebenes Verfahren vom zweiten Rechner aus zu starten.
Um nun einen anonymen Zugriff auf die Daten des ersten Rechners
der Maschine zu vermeiden, ist erfindungsgemäß vorgesehen, dass ausschließlich vom
zweiten Rechner aus und nicht von einem unautorisierten dritten
Rechner aus ein Zugriff auf die Daten oder Bedienoberfläche des
ersten Rechners möglich
ist, dass der zweite Rechner eine Autorisierungseinrichtung aufweist,
in der die Zugriffsdaten für zugriffsberechtigtes
Personal hinterlegt sind und dass vor einem Zugriff auf die Daten
bzw. die Bedienoberfläche
des ersten Rechners auf einer mit dem ersten Rechner verbundenen
Anzeigevorrichtung eine das zugriffsberechtigte und identifizierte
Personal des zweiten Rechners erkennbar machende Anzeige erfolgt.
Zunächst ist
damit sichergestellt, dass tatsächlich
nur von dem zweiten Rechner, d. h. von dem Rechner des Herstellers
oder der Servicefirma überhaupt
auf die Daten des ersten Rechners zugegriffen werden kann, insbesondere
werden nur Daten an diesen ausgewählten zweiten Rechner übertragen. Rechner
von Dritten können
somit nicht mehr unbefugt auf den ersten Rechner zugreifen, da an
ihre Rechner keine Daten übertragen
werden. Der zweite Rechner dient somit als Filter für Zugriffe
auf den ersten Rechner, so dass nur Personen auf Daten des ersten
Rechners zugreifen können,
welche mittels des zweiten Rechners dazu autorisiert sind. Dazu muss
sich das Servicepersonal an einem mit dem zweiten Rechner in Verbindung
stehenden weiteren Rechner anmelden. Eine solche Autorisierungseinrichtung
verlangt z. B. die Eingabe eines Benutzernamens und eines dazugehörigen Passworts
des entsprechenden Bedienpersonal. Mit diesen Daten kann das zugreifende
Personal eindeutig identifiziert und so ein anonymer Zugriff vermieden
werden. Die Daten des so identifizierten Servicepersonals können dann
auf einer Anzeigevorrichtung wie z. B. einem Bildschirm des ersten
Rechners angezeigt werden, so dass der Betreiber der Maschine auf
dem Bildschirm klar erkennen kann, welche Person nun tatsächlich auf
die Daten seiner Maschine zugreifen möchte.
In
einer Ausgestaltung der Erfindung ist vorgesehen, dass ein dem jeweiligen
identifizierten Personal eindeutig zuzuordnendes Passbild bei der Identifizierung
auf der Anzeigevorrichtung des ersten Rechners angezeigt wird. Neben
oder an Stelle von persönlichen
Daten wie dem Namen der zugreifenden Person erhält so der Betreiber der Maschine
eine weitere optische Darstellung des zugreifenden Personals. Realisiert
werden kann eine solche Darstellung z. B. dadurch, dass das Passbild
Bestandteil der Zugriffsdaten ist und auf dem zweiten Rechner hinterlegt
ist. Vor dem Zugriff auf die Daten des ersten Rechners wird das
Bild dann zusammen mit anderen Identifizierungsdaten zu diesem Rechner
hin übertragen.
Auf dem Bildschirm des ersten Rechners wird der Name und ein Bild
des entsprechenden Servicepersonals angezeigt. Die Übermittlung
eines solchen Bildes unterstreicht die persönliche Ansprache des Betreibers
der Maschine und verringert weiterhin die unerwünschte Anonymität.
Weiterhin
ist vorgesehen, dass persönliche, hinterlegte
Daten des Bedienpersonals von diesem selbst nicht veränderbar
sind. Aufgrund der hohen Sicherheitsanforderung des Betreibers der
Maschine ist es wichtig, dass der Betreiber sicher sein kann, dass
die Ihm übermittelten
persönlichen
Daten, wie z. B. der Name und dass Passbild des zugreifenden Servicepersonals
auch der tatsächlich
zugreifenden Person eindeutig zuzuordnen sind. Aus diesem Grund
darf das zugreifende Servicepersonal seine Daten auch nicht selbst ändern können, da
sonst ein Tor für
Manipulationen geöffnet
würde.
Das Bedienpersonal hat lediglich die Möglichkeit, sich mit seinem Benutzernamen
und seinem Passwort oder durch eine andere Identifizierung beim
zweiten Rechner anzumelden und dann den Datenzugriff vorzunehmen.
Das Servicepersonal hat aber keinen Einfluss auf die Anzeige seiner
persönlichen
Daten auf dem Bildschirm des ersten Rechners, so dass eine Manipulation
durch das Bedienpersonal nicht möglich
ist.
In
einer besonders vorteilhaften Ausgestaltung der Erfindung ist vorgesehen,
dass die Daten des Bedienpersonals nur mit Administratorzugriffsrechten
veränderbar
sind. In bestimmten Abständen müssen die
Daten des Bedienpersonals unter Umständen aktualisiert werden, z.
B. dann, wenn neues Servicepersonal eingestellt und mit der Wartung
der jeweiligen Maschine betraut wird oder sich die Daten des Wartungspersonals
aus anderen Gründen
geändert
haben. Diese Änderung
der Daten kann jedoch nur von einer bestimmten Person, nämlich dem
Systemadministrator des zweiten Rechners vorgenommen. Auch dadurch
ist sichergestellt, dass diejenige Person, welche die Daten des
Bedienpersonals ändert,
nicht identisch mit dem Bedienpersonal selbst ist. Auch mit dieser
Sicherheitsmaßnahme
wird dafür gesorgt,
dass eine Manipulation der Daten des Bedienpersonals erschwert wird,
denn als Administrator ist nur eine Person zugelassen, die dann
für alle Änderungen
an den hinterlegten Daten des Servicepersonals allein verantwortlich
ist.
Vorteilhafter
Weise ist außerdem
vorgesehen, dass auf wenigstens einem der Rechner für die Dauer
des Datenaustausches zwischen den Rechnern eine Speichermöglichkeit
zur Protokollierung des stattfindenden Datenaustauschs besteht.
Um bei gegebenenfalls auftretenden Problemen oder Reklamationen
durch den Betreiber der Maschine eine Möglichkeit zu schaffen, den
Datenaustausch nachzuvollziehen, kann dieser entweder auf dem ersten Rechner
oder dem zweiten Rechner oder einem weiteren Rechner mitprotokolliert
werden. Da durch dass erfindungsgemäße System außerdem die
den Datenaustausch auslösende
Person eindeutig identifizierbar ist, können die protokollierten Daten
dieser Person eindeutig zugeordnet werden. Somit ist nachvollziehbar,
welche Person welche Daten zu welchem Zeitpunk mit welcher Maschine
ausgetauscht hat und welche Probleme bei diesem Austausch aufgetreten
sind und gegebenenfalls von wem sie ausgelöst wurden. Dies erhöht sowohl
die Sicherheit beim Betreiber der Maschine als auch beim Hersteller
der Wartungsfirma, da die Umstände
des Datenaustauschs einfach nachzuvollziehen sind.
Vorteilhafter
Weise kann außerdem
vorgesehen sein, dass auf dem ersten Rechner ein Bedienungselement
vorgesehen ist, mit welchem der Zugriff vom zweiten Rechner aus
auf die Daten des ersten Rechners abgelehnt wird. Nachdem die persönlichen
Daten auf dem Bildschirm des ersten Rechners beim Betreiber angezeigt
worden sind, hat es der Betreiber selbst in der Hand, den Zugriff
auf seinen Rechner mittels eines Bedienungselements zu verwehren.
Stellt z. B. der Betreiber fest, dass eine ihm unbekannte Person
oder eine für
die Wartung seiner Maschine nicht autorisierte Person auf den ersten Rechner
seiner Maschine zugreifen möchte,
so kann er dies aufgrund des eindeutig zuzuordnenden Namens und
Passbildes dieser Person ohne weiteres erkennen und dann den Wartungszugriff
des Bedienelements ablehnen. Dadurch wird der Zugriff dieser Person
auf die Daten seines Rechners zunächst einmalig verhindert. Diese
Ausgestaltung kann aber noch dahingehend erweitert werden, dass
der Betreiber der Maschine die von Ihm zurückgewiesene Person für weitere
Zugriffe auf seinen Rechner sperrt, so dass die von ihm abgelehnte
Person auch in Zukunft keinerlei Zugriffe auf seinen Rechner mehr
durchführen
kann. Durch das erfindungsgemäße System
und das erfindungsgemäße Verfahren
wird im hohen Maße
den Wünschen
des Betreibers Rechnung getragen, dass er über den Zugriff auf seinen
Rechner selbst bestimmen kann und jeder Zeit in der Lage ist zu
erkennen, wer genau auf seinen Rechner zugreifen möchte. Trotzdem
ist es möglich,
dass das Servicepersonal den Wartungszugriff jeder Zeit auslösen kann
und nicht an feste Wartungsintervalle gebunden ist.
Gemäß der Figur
dient das erfindungsgemäße System
zur Abfrage von Daten bzw. zum Zugriff auf eine Bedienoberfläche bei
der Wartung und Diagnose einer Druckmaschine 9. Die Druckmaschine 9 ist über eine
Verbindungsleitung 8 mit einem ersten Rechner 3 verbunden,
welcher sich beim Betreiber der Druckmaschine 9 befindet.
Der erste Rechner 3 kann zugleich der Steuerungsrechner
der Druckmaschine 9 sein und weist zweckmäßigerweise
einen Bildschirm 16 auf. Gemäß der Figur ist der erste Rechner 3 in
der Lage, über
ein erstes Internet 4, welches innerhalb der Räume des
Betreibers der Druckmaschine 9 installiert ist, und das
Internet 5 eine Verbindung zur Datenübertragung zu einem zweiten
Rechner 1, welcher in den Räumen des Herstellers der Druckmaschine
steht, aufzubauen. Der erste Rechner 3 und der zweite Rechner 1 sind
derart programmiert, dass die Daten des ersten Rechners 3 nur
vom zweiten Rechner 1 aus empfangen werden können. Dies
dient der Verhinderung des Zugriffs durch Unbefugte auf die Daten
des ersten Rechners 3. Mit dem zweiten Rechner 1 sind über eine
zweites Intranet 13 beim Hersteller der Druckmaschine weitere
Rechner 11 verbunden, über
welche das Servicepersonal die Fernwartung der Druckmaschine 9 vornehmen
kann. Jede zur Wartung berechtigte Person kann so nach erfolgreicher
Identifizierung über
ihren Laptup 11, die zweite Intranetverbindung 13 und
den zweiten Rechner 1 auf die Daten des ersten Rechners 3 zugreifen.
Gemäß der Figur
ist weiterhin das erste Intranet 4 gegenüber dem
Internet 5 mittels einer Firewall 6 abgesichert,
um das Eindringen Unbefugter in das erste Intranet 4 des
Betreibers der Druckmaschine 9 zu verhindern. Da die Firewall 6 grundsätzlich auch
Zugriffe des zweiten Rechners 1 über das Internet 5 auf
den ersten Rechner 3 verhindern würde, wird der Zugriff auf die
Daten des ersten Rechners 3 immer von ersten Rechner 3 ausgehend
aktiviert. Der Verbindungsaufbau wird dabei vom ersten Rechner üblicherweise
durch eine lokale Eingabe des Bedieners ausgelöst, indem ein Wartungsknopf
gedrückt wird.
In einer weiteren Ausführungsform
kann der Verbindungsaufbau vom ersten Rechner zum zweiten Rechner 1 zu
jeder Zeit auch aus der Ferne ausgelöst werden, wenn der erste Rechner 3 mit
einem Modem 7 ausgestattet und an das Telefonnetz 2 angeschlossen
ist. Das Modem 7 ist so ausgelegt, dass es beim Eintreffen
eines bestimmten Klingelzeichen den Verbindungsaufbau vom ersten
Rechner 3 zum zweiten Rechner 2 auslöst, es werden
jedoch keine Daten über
das Telefonnetz 2 übertragen,
da nach dem Empfang des Klingelzeichens die Telefonverbindung wieder
unterbrochen wird. Mit diesem Klingelzeichen identifiziert sich
das zugreifende Servicepersonal zunächst als der Wartungsfirma
zugehörig. Das
Aussenden des Klingelzeichens kann dabei entweder vom Rechner 11 des
Servicepersonals über ein
in dem Rechner 11 integriertes Modem erfolgen, oder über jedes
andere Telefon, dessen Telefonnummer als autorisierendes Klingelzeichen
für die
Auslösung
des Verbindungsaufbaus vom ersten Rechner 3 zum zweiten
Rechner 1 hin freigegeben ist. Gemäß der Figur kann das Klingelzeichen
auch von einem zugelassenen Mobiltelefon 15 über eine
Mobilfunkverbindung 14 und eine Mobilfunkstation 12 in
das Telefonnetz 2 weitergeleitet werden. Alternativ kann auch
der Laptop 11 mit einer GSM-Mobilfunkkarte als Mobilfunkmodem ausgestattet
sein und so das Klingelzeichen über
die Mobilfunkverbindung 14 zum Modem 7 des Rechners 3 übertragen.
Somit kann der Verbindungsaufbau zur Datenübertragung vom ersten Rechner
zum zweiten Rechner nur von Telefonanschlüssen der Wartungsfirma ausgehen
und nicht von unbefugten Dritten. Der zweite Rechner 1 ist durch
eine weitere Firewall 10 gegenüber dem Internet 5 geschützt.
Bevor
das Wartungspersonal jedoch Daten von seinem Rechner 11 aus
abrufen kann, muss es sich auf dem Rechner 11 an einer
Software eines Serviceportals zunächst identifizieren. Dazu muss das
Personal zumindest seinen Benutzernamen und ein zugeordnetes Passwort
eingeben. Es wird erfindungsgemäß eine starke
Authentisierung gefordert, die z.B. durch die Verwendung von Einmal-Passwörtern, die
durch eine Token-Karte erzeugt werden, gekennzeichnet ist. Weiterhin
kann noch ein Fingerabdruckleser oder eine Kamera zur Iriserkennung
am Laptop 11 vorhanden sein, um die Identifizierung des Servicepersonals
fälschungssicher
zu machen. Die Daten des Servicepersonals sind dabei auf dem zweiten
Rechner 1 hinterlegt, so dass grundsätzlich von jedem Rechner 11,
welcher mit dem zweiten Rechner 1 verbunden ist und über die
Software des Serviceportals verfügt,
eine Identifizierung und anschließende Datenabfrage oder ein
Zugriff auf die Bedienoberfläche
getätigt
werden kann.
Wenn
die Identifizierung des Personals erfolgreich ist und der Datenabruf über das
Telefnnnetz 2 erfolgreich initiiert wurde, werden zunächst, bevor der
eigentliche Datenabruf stattfindet, die persönlichen Daten des zugreifenden
Servicepersonals vom zweiten Rechner 1 über das Internet 5 an
den ersten Rechner 3 übertragen.
Auf dem Bildschirm 16 des ersten Rechners 3 ist
dann zumindest der Name des Servicepersonals zu sehen, wobei vorzugsweise auch
ein Passbild des Servicepersonals angezeigt wird. Der Betreiber
der Druckmaschine 9 kann so zweifelsfrei erkennen, welche
Person gerade auf seinen Rechner 3 zugreifen möchte. In
einem Wartungsvertrag zwischen dem Hersteller und dem Betreiber
der Druckmaschine 9 kann z. B. vereinbart werden, dass
nur bestimmte Personen die Druckmaschine 9 warten dürfen. Erkennt
der Betreiber auf dem Bildschirm 16 eine ihm unbekannte
oder von ihm unerwünschte
Person, so kann er über
die Tastatur seines Rechners 3 den Zugriff auf seine Daten und
seine Bedienoberfläche
verhindern und die unerwünschte
Person ablehnen. Das erfindungsgemäße System kann weiterhin so
programmiert sein, dass nach einmaliger Ablehnung der unerwünschten
Person noch eine begrenzte Anzahl von Zugriffsversuchen für diese
Person auf den ersten Rechner 3 möglich ist. Alternativ kann
das Serviceportal aber auch so programmiert sein, dass eine Person,
die einmal abgelehnt wurde, für
weitere Zugriffe auf den ersten Rechner 3 zukünftig gesperrt
ist. Der Betreiber der Druckmaschine 9 ist somit immer
informiert, welche Person gerade auf seinen Rechner 3 zugreifen möchte und
er kann unerwünschte
Personen ablehnen.