deen
IIoT / Industrie 4.0
Wireless
Industrial Ethernet
Feldbus
Mobilfunk
Fernzugriff
Virtual Private Network (VPN)

Kapitel 3:

Sicherheit & Zuverlässigkeit des Fernzugriffs gewährleisten

Auch wenn dir das Internet den Fernzugriff auf Netzwerke und Maschinen auf der ganzen Welt ermöglicht und damit viele geschäftliche Vorteile bietet, eröffnet es gleichzeitig Möglichkeiten für bösartige Cyberangriffe – ein Risiko, das heute leider nur allzu häufig vorkommt. In diesem Kapitel lernst du die Grundlagen der Internetsicherheit kennen und erfährst, wie Ewon deine Rechner und Daten mit der Talk2M‑Sicherheitsarchitektur nach dem Prinzip der „Tiefenwirkung“ schützt.

Ein Überblick über das aktuelle Bedrohungspotential

Große Sicherheitsverletzungen, die meist mit Kreditkartenbetrug und Identitätsdiebstahl verbunden sind, werden häufig in den Nachrichten thematisiert. Deutlich bedrohlicher – und potenziell verheerender – sind jedoch Cyberangriffe auf kritische Infrastrukturen und Maschinen, etwa bei öffentlichen Versorgungseinrichtungen, Notfallsystemen, Gebäudeleittechnik sowie Industrieanlagen.

Die Datenpanne beim US‑Einzelhändler Target im Jahr 2013 entstand dadurch, dass ein Angreifer über ein angebundenes Wartungssystem für Heizungs‑, Lüftungs‑ und Klimaanlagen (HVAC) in das Unternehmensnetzwerk von Target eindringen konnte.

Auch politisch oder sozial motivierte Hackergruppen können versuchen, internetangebundenen Industriemaschinen gezielt zu schaden. Eine weitere Bedrohung kann von Nationalstaaten ausgehen, die Maschinen angreifen, um unterschiedliche Ziele zu erreichen.

So wird beispielsweise angenommen, dass der 2010 entdeckte Stuxnet‑Wurm von einer oder mehreren Nationen entwickelt wurde, um das iranische Atomprogramm zu sabotieren. Der Wurm infizierte anfällige programmierbare Logiksteuerungen (PLCs) sowie Siemens‑Step7‑Software in den iranischen Atomanlagen in Natanz. In der Folge wurden Zentrifugen so manipuliert, dass sie mit variablen Geschwindigkeiten liefen. Das führte zu übermäßigen Vibrationen und zerstörte die Zentrifugen.

Sicherheit muss daher für alle Maschinenbauer, Erstausrüster (OEMs) und Systemintegratoren oberstes Gebot sein – insbesondere dann, wenn sie die Maschinen ihrer Kunden über das Internet per Fernverbindung erreichbar machen wollen.

Maschinen können angegriffen werden, um verschiedenste Ziele zu erreichen.

So gilt es erneut als wahrscheinlich, dass der 2010 entdeckte Stuxnet‑Wurm von einer oder mehreren Nationen entwickelt wurde, um das iranische Atomprogramm zu beeinträchtigen. Der Wurm infizierte anfällige PLCs sowie Siemens‑Step7‑Software in den Atomanlagen in Natanz. Dadurch drehten sich Zentrifugen mit variablen Geschwindigkeiten, was starke Vibrationen auslöste und die Zentrifugen zerstörte.

Deshalb ist Sicherheit für Maschinenbauer, OEMs und Systemintegratoren unverzichtbar, wenn du über das Internet eine Fernverbindung zu den Maschinen deiner Kunden ermöglichen willst.

Firewalls und virtuelle private Netzwerke (VPNs) verstehen

Firewalls kontrollieren den Datenverkehr zwischen Netzwerken – zum Beispiel zwischen einem lokalen Netzwerk (LAN) und dem Internet. Normalerweise wird eine Firewall am Rand des zu schützenden Netzwerks installiert. Sie kann als Hardware‑Appliance, als Software oder als Kombination aus Hardware und Software umgesetzt sein.

Du kannst dir einen Router (den ich in Kapitel 2 bespreche) wie das Tor zu einer mittelalterlichen Burg vorstellen – und die Firewall wie die Zugbrücke am Eingang, die den Zugang zur Burg kontrolliert.

Auch wenn es viele fortschrittliche Firewall‑Designs und ‑Technologien gibt, bleibt die Grundfunktion einer Firewall gleich: Sie prüft den gesamten eingehenden Datenverkehr aus einem nicht vertrauenswürdigen Netzwerk (zum Beispiel dem Internet) anhand einer Reihe konfigurierte Regeln.

Standardmäßig ist der gesamte ausgehende Datenverkehr aus dem vertrauenswürdigen Netzwerk erlaubt – etwa vom LAN ins Internet. Eingehender Verkehr, der als Antwort auf eine aktive ausgehende Verbindung gesendet wird, wird dynamisch zugelassen. Wenn zum Beispiel ein PC‑Benutzer in einem Unternehmens‑LAN einen Webbrowser öffnet und www.ewon.biz aufruft, lässt die Firewall den eingehenden Webseitenverkehr automatisch passieren, weil er eine Antwort auf die vom Browser initiierte Anfrage ist.

Dagegen wird eingehender Datenverkehr, der nicht ausdrücklich mit einer ausgehenden Anfrage verbunden ist, standardmäßig blockiert. Wenn du bestimmten eingehenden Datenverkehr aus dem Internet zulassen möchtest, musst du Firewall‑Regeln so konfigurieren, dass sie eine bestimmte Art von Datenverkehr von einer bestimmten Quelle zu einem bestimmten Ziel erlauben.

Eine Firewall schützt zwar Systeme (einschließlich Maschinen) und Daten in einem LAN vor unbefugtem Zugriff, sie schützt jedoch nicht automatisch die Vertraulichkeit und Integrität des Datenverkehrs, der auf seinem Weg zum oder vom LAN durch das Internet läuft. Genau dafür ist ein virtuelles privates Netzwerk – kurz VPN – da.

VPN‑Technologie bietet Verschlüsselungs‑ und Tunneling‑Funktionen für Netzwerkverkehr über das Internet. Dabei werden Daten in einem IP‑„Wrapper“ gekapselt, der über das Internet transportiert wird. Beim Senden müssen die Daten an einem Gateway „verpackt“ und mit einem Verschlüsselungsalgorithmus verschlüsselt werden. Am anderen Ende der Verbindung muss das Ziel‑Gateway die Daten wieder „auspacken“, entschlüsseln und anschließend an ihr Ziel weiterleiten.

Warum solltest du eine im Web gehostete Architektur verwenden?

Wie stellst du die VPN‑Kommunikation zwischen deinem PC (als Benutzer) und dem Router auf der Maschinenseite her? Du könntest auf deinem PC eine Hardware‑ oder Softwarekomponente installieren, die als Endpunkt des VPN‑Tunnels dient, den die Maschine initiiert. Ein Beispiel ist ein VPN‑Server: eine Softwareanwendung, die alle eingehenden VPN‑Verbindungen verschiedener Maschinen verwaltet.

Diese Methode setzt voraus, dass du die VPN‑Server‑Software auf einem PC installierst und konfigurierst. Das ist nicht ganz einfach und erfordert spezielle IT‑Kenntnisse und Fähigkeiten. Ein Vorteil dieser Einrichtung ist jedoch: Ist der VPN‑Server einmal konfiguriert, muss sich der Maschinenbauer im Wesentlichen um Wartung kümmern und weniger um IT‑Fragen. Bei einer Serveranwendung verbinden sich die Benutzer mit denselben Servern wie die Maschine. Der VPN‑Server stellt dann die Verbindung zwischen Benutzer und Maschine her, wie in Abbildung 3‑1 dargestellt.

ewon-einfache-fernwartung

Wenn der VPN‑Server jedoch von einer unabhängigen Organisation in einer Cloud als Software‑as‑a‑Service (SaaS) betrieben wird (wie ich es in Kapitel 2 erläutere), kann er von mehreren Maschinenherstellern gemeinsam genutzt werden. Jeder Hersteller hat dabei ein eigenes, privates Konto und kann Benutzer sowie Maschinen individuell konfigurieren. Diese Lösung senkt die Kosten für die Web‑Infrastruktur des einzelnen Maschinenbauers bzw. OEM, weil sich die Kosten auf mehrere Maschinenbauer verteilen lassen.

Eine Cloud‑basierte Architektur ist von Natur aus besser skalierbar als eine reine Hardware‑Architektur, die nur auf Hardware‑Gateways oder internen Softwareanwendungen basiert. Tatsächlich kann eine Web‑Architektur eine Lastausgleichsfunktion bereitstellen, um die Anzahl der benötigten VPN‑Verbindungen bzw. Tunnel auf mehrere Server zu verteilen. Außerdem kann sie Redundanz bieten, um die Ausfallsicherheit von Fernzugriffsdiensten im Falle einer Betriebsunterbrechung oder Katastrophe zu gewährleisten.

Ewons mehrschichtiges Remote‑Access‑Sicherheitskonzept

Eine der größten Herausforderungen beim Fernzugriff auf industrielle Steuerungssysteme besteht darin, die Anforderungen eines Ingenieurs oder SPS‑Technikers mit dem Auftrag der IT‑Abteilung zu verbinden, Sicherheit, Integrität und Zuverlässigkeit des Netzwerks zu gewährleisten. Eine Lösung zu finden, die von beiden Gruppen akzeptiert wird, ist seit vielen Jahren schwierig – und häufig eine Quelle von Frustration und Ineffizienz für alle Beteiligten.

Damit die IT eine Lösung akzeptiert, ist es entscheidend, dass die Netzwerksicherheit verlässlich aufrechterhalten wird. Gleichzeitig wirst du als Anwender keine Lösung nutzen, die komplex, schwer zu bedienen ist oder deine Produktivität behindert. Durch den Fokus auf Sicherheit und Benutzerfreundlichkeit hat Ewon eine Fernzugriffslösung entwickelt, die sowohl für Endanwender als auch für IT‑Manager geeignet ist.

Sicherheit und Zuverlässigkeit sind zwei zentrale Aspekte der Talk2M‑Cloud. Talk2M basiert auf einer „Defense‑in‑Depth“-Strategie, bei der mehrere Sicherheitsmaßnahmen auf mehreren Ebenen von Sicherheitskontrollen eingesetzt werden – wie in Abbildung 3‑2 dargestellt.

Ewon Cyber Securety

Ziel ist es, die Integrität des Talk2M‑Verbindungs‑ und Informationssystems zu schützen. Die Strategie orientiert sich an zahlreichen Branchenveröffentlichungen, Richtlinien, Best Practices und etablierten Sicherheitsstandards, darunter:

  • ISO/IEC 27001 (Internationale Organisation für Normung und Internationale Elektrotechnische Kommission)
  • U.S. National Institute of Standards and Technology (NIST): Framework for Improving Critical Infrastructure Cybersecurity, Version 1.0
  • Open Web Application Security Project (OWASP)
  • Open Source Security Testing Methodology Manual (OSSTMM)

Von den Hardware‑Geräten bis hin zu Richtlinien und Verfahren ist Sicherheit eine Kernkompetenz, die auf jeder Ebene im Rahmen der Ewon‑Lösungen verankert ist. Die Ebenen der Defense‑in‑Depth‑Strategie von Ewon setzen sich wie folgt zusammen:

Ewon‑Gerät

Du musst als Benutzer authentifiziert sein und über Administrationsrechte verfügen. Der Datenverkehr auf der Maschinen‑/LAN‑Seite ist von der WAN‑/Kundenseite getrennt, und du kannst nur auf autorisierte Geräte im LAN zugreifen. Die spezifischen Kontrollen umfassen vier Schlüsselaspekte:

  • Netzwerktrennung: Industrierouter werden typischerweise im Maschinenbedienfeld installiert – die Maschine liegt auf der einen Seite (LAN), das Fabriknetz auf der anderen (WAN). Wenn eine Verbindung erforderlich ist, arbeitet das Ewon‑Gerät als Gateway und lässt den benötigten Datenverkehr passieren. Bereits bei der Erstkonfiguration des Ewon‑VPN‑Zugangs schränken die Sicherheitseinstellungen den Datenverkehr zwischen den beiden Netzwerkschnittstellen ein. Diese Trennung begrenzt den Fernzugriff auf Geräte, die am LAN des Ewon hängen; der Zugriff auf den Rest des Netzwerks wird verhindert.
  • Geräte‑Authentifizierung: Die Ewon‑Router selbst besitzen Zugriffsrechte auf Benutzerebene, getrennt vom Talk2M‑Login. Nur Benutzer mit passenden Zugangsdaten und Berechtigungen können Sicherheitseinstellungen am Ewon ändern. Entsprechend können bei Geräten mit Datendiensten nur autorisierte Benutzer Daten einsehen oder verändern.
  • Physischer Schlüsselschalter: Alle Ewon‑Hardwaregeräte verfügen über einen digitalen Eingang. Daran kannst du einen Schalter anschließen; sein Zustand aktiviert oder deaktiviert den WAN‑Anschluss. So behält der Endkunde die volle lokale Kontrolle darüber, ob das Gerät aus der Ferne zugänglich ist oder nicht.
  • IP‑Zuweisung und ‑Kontrolle: Der Ewon benötigt die gleichen Einstellungen wie ein PC im selben Netzwerk (IP‑Adresse, Subnetzmaske und Gateway sowie optionale Proxy‑Einstellungen). Er kann so konfiguriert werden, dass er diese Einstellungen automatisch über DHCP bezieht. Alternativ kann er auf eine statische IP‑Adresse eingestellt werden, die – falls gewünscht – von der IT‑Abteilung zugewiesen und kontrolliert wird.

Firewall

In der eCatcher‑Anwendung können Talk2M‑Kontoverwalter bzw. Administratoren Filter‑ und Firewall‑Regeln festlegen: welche Geräte hinter dem Ewon aus der Ferne erreichbar sind – und sogar über welche Ports (z. B. Ethernet, USB oder seriell) sowie mit welchen Protokollen. Talk2M bietet vier verschiedene Firewall‑Regelstufen, basierend auf Geräte‑IP, Ports, Gateways und Zugriff auf Ewon‑Dienste. Von der am wenigsten restriktiven bis zur sichersten Stufe sind das:

  • Standard: Zugriff auf alle mit dem Ewon‑LAN verbundenen Geräte ist erlaubt.
  • High: Zugriff nur auf explizit aufgelistete Geräte im Ewon‑LAN; zusätzlich sind Portbeschränkungen möglich.
  • Enforced: Der Zugang zum Ewon‑Gateway kann gesperrt werden.
  • Ultra: Zugriff auf Ewon‑Gerätedienste wie HTTP, FTP und SNMP kann blockiert werden.

In Kombination mit der Benutzerrechteverwaltung von Talk2M können Administratoren die Fernzugriffsrechte passgenau auf ausgewählte Benutzergruppen zuschneiden.

Verschlüsselung

Die Kommunikation zwischen dir als Remote‑Benutzer und Ewon ist vollständig verschlüsselt und nutzt SSL/TLS. Dadurch werden Authentizität, Integrität und Vertraulichkeit der Daten gewährleistet. Alle Benutzer und Ewon‑Einheiten werden mit X.509‑SSL‑Zertifikaten authentifiziert; der End‑to‑End‑Verkehr wird mit starken symmetrischen und asymmetrischen Algorithmen verschlüsselt.

Benutzerverwaltung und Rechenschaftspflicht

Jedes Talk2M‑Konto kann eine unbegrenzte Anzahl von Benutzern enthalten. Für jeden Benutzer, der remote auf Geräte zugreifen muss, können Administratoren eindeutige Logins anlegen. So lassen sich Zugriffsrechte einfach vergeben und bei Bedarf wieder entziehen. Darüber hinaus können Talk2M‑Account‑Administratoren einschränken, auf welche Remote‑Ewons bestimmte Benutzer zugreifen dürfen, welche Dienste hinter diesen Ewon erreichbar sind und sogar, welche Ports auf den Geräten sowie welche Kommunikationsprotokolle genutzt werden.

Ein Administrator kann zum Beispiel erlauben, dass Remote‑Benutzer die Web‑Dienste eines bestimmten Geräts zur Überwachung erreichen, während Ports für Programmieränderungen nur bestimmten Ingenieuren vorbehalten bleiben. Zu den Kontrollen gehören:

  • Rollenbasierte Zugriffskontrolle (RBAC): Legt fest, welche Benutzer auf welche Maschinen zugreifen dürfen, und ermöglicht unterschiedliche Zugriffsebenen.
  • Eindeutige Benutzeranmeldungen mit individuellen Passwortanforderungen (z. B. Mindestlänge, Buchstaben, Zahlen, Sonderzeichen, Gültigkeitsdauer und Passwort‑Historie).
  • Multi‑Faktor‑Authentifizierung (MFA): Du gibst nach Benutzername und Passwort zusätzlich einen einmaligen SMS‑Code ein.
  • Audit Trail und Protokollierung: Aktivitäten werden je Gerät nachvollziehbar erfasst, damit klar ist, wer sich wann und wie lange verbunden hat.

Talk2M‑Netzwerkinfrastruktur

Ewon bewertet die Talk2M‑Architektur regelmäßig als Teil des Risikomanagement‑Rahmenwerks. Passende Kontrollen werden implementiert, um maximale Sicherheitseffektivität zu erreichen und geltende regulatorische Anforderungen einzuhalten. Ewon hat Verträge mit mehreren Hosting‑Unternehmen, die folgende Anforderungen erfüllen:

  • Weltweit redundante Tier‑1‑Hosting‑Partner: Um Zuverlässigkeit zu erhöhen, Redundanz zu verbessern und Latenzen zu reduzieren, arbeitet Ewon mit mehreren Hosting‑Partnern weltweit zusammen.
  • 24/7/365‑Überwachung: Das Servernetzwerk wird rund um die Uhr überwacht, um maximale Verfügbarkeit und Sicherheit sicherzustellen. Zum Einsatz kommen unter anderem IDS und HIPS sowie verschiedene Alarmierungsmechanismen.
  • Zertifizierte Rechenzentren: Relevante Zertifizierungen sind u. a. SOC 1/SSAE 16/ISAE 3402, SOC 2 sowie ISO 27001/27002/27017/27018.
  • Corporate Member der Cloud Security Alliance (CSA): Ewon arbeitet mit Hosting‑Partnern, die Unternehmensmitglieder der CSA sind.

Richtlinien und Verfahren

Die Talk2M‑Fernzugriffslösung ist so konzipiert, dass sie zu bestehenden Sicherheitsrichtlinien der Kunden passt. Durch ausgehende Verbindungen über allgemein offene Ports (zum Beispiel 443 und 1194) und durch die Kompatibilität mit den meisten Proxy‑Servern greift der Ewon‑Router nur minimal in das Netzwerk ein und arbeitet innerhalb vorhandener Firewall‑Regeln. Talk2M‑Konto‑Administratoren können Passwortrichtlinien anpassen, um die Einhaltung von Unternehmensvorgaben durchzusetzen, und sie können festlegen, welche Benutzer remote auf welche Geräte zugreifen dürfen.

Außerdem können Talk2M‑Konto‑Administratoren den Talk2M‑Verbindungsbericht nutzen, um zu sehen, welche Benutzer sich wann mit welchen Geräten verbunden haben – und um zu prüfen, ob die Unternehmensrichtlinien für den Fernzugriff eingehalten werden.

Um die bestmögliche Geschäftskontinuität zu gewährleisten, stehen zwei Serviceangebote zur Verfügung:

  • Talk2M Pro ist ein kostenpflichtiger Dienst, der mit einer Service‑Level‑Vereinbarung (SLA) angeboten wird.
  • Talk2M Free+ bietet kostenlose Verbindungsdienste mit vollem Funktionsumfang – allerdings ohne SLA.

Der Talk2M‑Pro‑Dienst ist auf eine 99,6‑prozentige Betriebszeit ausgelegt.

Damit diese beiden Service‑Levels angeboten werden können, wird die Talk2M‑Architektur durch mehrere Richtlinien und Kontrollziele gestützt, darunter:

  • Hosting‑Anbieter‑SLAs: Talk2M‑Pro‑Dienste werden über weltweit redundante Tier‑1‑Hosting‑Partner gehostet, die eine 99,99‑prozentige Betriebszeit für den Internetzugang bieten. Für Talk2M Free+ werden mehrere Hosting‑Partner eingesetzt, die in der Regel eine Verfügbarkeit von über 99 Prozent bieten.
  • Erwerb von Informationssystemen: Wichtige Leistungsindikatoren (KPIs) aller Server werden überwacht. Alle Informationen werden auf einem Monitoring‑Dashboard angezeigt und zusätzlich auf einem Alarmserver für Ewons 24/7/365‑Mitarbeiter bereitgestellt.
  • Server‑Rollout: Mehrere Hardware‑Anbieter stellen sicher, dass VPN‑Verbindungen bei einem Serverproblem schnell von einem VPN‑Server (VS) auf einen anderen umgeleitet werden können.
  • Kontinuierliche Überwachungsdienste: Talk2M‑Dienste werden kontinuierlich von diensthabenden Technikern überwacht.

Um die Netzwerklatenz zu verringern, befinden sich die Rechenzentren auf fünf Kontinenten (Nordamerika, Europa, Asien, Afrika und Australien), und Ewon expandiert weiter in andere Regionen. Niedrige Latenzzeiten sind für einige industrielle PLC‑Protokolle wichtig, die mit kleinen TCP/IP‑Paketen arbeiten. Diese Protokolle reagieren deutlich empfindlicher auf Zeitüberschreitungen, die durch langsame Internetverbindungen und große Entfernungen zwischen dir und deinen Maschinen entstehen können. Ewon‑Produkte können sich dynamisch mit dem geografisch nächstgelegenen, am wenigsten ausgelasteten oder leistungsfähigsten VPN‑Server (VS) verbinden, um die Performance zu optimieren und Latenzen zu reduzieren.

nach oben
Kontakt
Ansprechpartner
Anfrageformular