Zentrale Benutzerverwaltung auf End of Life OT-Clients

Ein Lebenszyklus von 20 Jahren für Maschinen und Anlagen in der Produktion ist keine Seltenheit. Produzierende Unternehmen betreiben daher die integrierten Industrie-PCs in diesen Anlagen, aufgrund mangelnder wirtschaftlicher Alternativen für einen Austausch oder ein Upgrade, auch nach dem Support-Ende des Betriebssystemherstellers weiter. Diese Erfahrung teile auch die OT-Abteilung des Automotive-Konzerns.

Darüber hinaus waren nicht alle OT-Clients Teil der Domäne des Unternehmens. In beiden Fällen standen somit die zentralen Möglichkeiten der Benutzerverwaltung aus der IT nicht oder nicht mehr auf den OT-Clients zur Verfügung. Dadurch wurde auch die Einhaltung der Compliance-Vorgaben für die Verwendung von starken Passwörtern vor allem für administrative Accounts zur schier unlösbaren Aufgabe.

Die Verwendung von Standardkennwörtern verschärfte die Situation noch zusehends und sollte ebenfalls adressiert werden. Aus diesen Gründen wurde eine Lösung für die künftige Verwaltung der lokalen Benutzeraccounts auf den OT-Clients gesucht und mit ondeso SR auch gefunden.

Als erster Schritt erfolgte die zentrale Inventarisierung und Anzeige der aktuell vorhandenen Benutzeraccounts mit ondeso SR. Damit konnte der Ist-Zustand auf den OT-Clients ermittelt werden und die prozessbedingte Notwendigkeit von bestimmten Benutzeraccounts und -gruppen auf den verschiedenen Industrie-PCs aufgenommen werden.

Durch die zentrale Anzeige in der ondeso SR Admin GUI konnte schnell ausgemacht werden, welche verschiedenen Benutzeraccounts auf welchen OT-Clients vorhanden sind. Im nächsten Schritt wurden die nicht notwendigen Accounts über die automatisierte Ausführung von sogenannten Operations von den OT-Clients entfernt. Über weitere Operations wurde die Gruppenzugehörigkeit der verbleibenden Accounts angepasst und es wurden zudem neue Benutzeraccounts mit den minimal notwendigen Berechtigungen für die jeweilige Aufgabe angelegt.

Durch die Einführung eines Self-Service Portals ist es nun möglich, auf den jeweiligen OT-Clients nur den berechtigten Benutzern die benötigten Benutzeraccounts mit jeweils individuellen Passwörtern einzurichten. Dadurch kann die Client-Verwaltung trotz der Abschaffung von Standardkennwörtern und -konten weiterhin ohne Einschränkungen erfolgen.

Die zusätzliche Bereitstellung eines Self-Service Portals für die Benutzeranlage hat die Akzeptanz noch weiter erhöht“ stellt unser OT-Consultant Markus Kohlhäufl fest. „Dadurch ist es für jeden möglich einen berechtigten Zugang auf die notwendige Maschine anzufordern. Mit ondeso SR kann nach der Genehmigung eine automatische, zeitlich begrenzte Bereitstellung von Benutzerzugängen zur Verfügung gestellt werden.“

Unser Kunde freut sich über eine „praktische und gleichzeitig deutlich sicherere Lösung für lokale Benutzerkonten“ auf Altgeräten und OT-Clients außerhalb der Domäne. Dies ermöglicht die Einhaltung zentraler Compliance-Vorgaben hinsichtlich starker Passwörter und trägt wesentlich zur Steigerung der Security in der Produktion des Automobilkonzerns bei.

Klingt interessant?

Hier können Sie sich eine Zusammenfassung dieser Success Story als PDF downloaden.