Fachverlag x-technik
search
 

Schließen

PDF


Sicherheit und Benutzerfreundlichkeit – kein Widerspruch

: Weidmüller


Manche kritischen Stimmen äußern Vorbehalte, für sie gelten Fernwartungslösungen als Einfallstore für mutwillige, unlautere Angriffe. Die heutigen Optionen einer effizienten Fernwartung brach liegen zu lassen, wäre aber im wahrsten Sinne des Wortes kontraproduktiv. Deshalb bietet Weidmüller ein gestuftes Sicherheitsmanagement bei seiner Fernwartungslösung u-link. Dabei dienen ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall, die Authentifizierung durch x.509 basierte Zertifikate und eine manuelle Zugriffsfreigabe an der Anlage einem sicheren Remote-Zugang.

/xtredimg/2017/Automation/Ausgabe195/14891/web/u-link_mit_Wolke.jpg
Weidmüller bietet bei seiner Fernwartungslösung u-link ein gestuftes Sicherheitsmanagement. Dabei dienen ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall, die Authentifizierung durch x.509 basierte Zertifikate und eine manuelle Zugriffsfreigabe an der Anlage einem sicheren Remote-Zugang.

Weidmüller bietet bei seiner Fernwartungslösung u-link ein gestuftes Sicherheitsmanagement....

Trotz aller Security-Maßnahmen: Eine 100-prozentige Sicherheit gibt es im IT-Zeitalter nicht. Demnach geht es darum, ein Bewusstsein für Risiken zu schaffen bzw. dieses zu schärfen und das Risiko derart zu senken, dass potenzielle Angriffe stark erschwert und/oder unverhältnismäßig aufwendig werden. Auch die Architektur in einem industriellen Automatisierungssystem gilt es zu berücksichtigen. Fernwartungslösungen sollten bei der Planung und Integration Automatisierungssysteme von nicht-Automatisierungssystemen und kritische von unkritischen Systemen logisch trennen.

Systemarchitektur sinnvoll konfigurieren

Empfohlen wird, Fernwartungskomponenten nicht direkt im Produktionsnetz, sondern in einer vorgelagerten Zone anzubringen. Fernwartungszugänge sollen außerdem vorhandene Sicherheitsmechanismen nicht umgehen. Zudem soll ein Fernwartungszugriff eindeutig und strukturiert pro IP und Port geregelt erfolgen. Dies grenzt nicht nur den erreichbaren IP-Adressraum einer Anlage ein, sondern schottet auch die übrigen IP-Adressbereiche ab. Exakt diesem Prozedere entspricht der Lösungsansatz von Weidmüller, er stellt die direkte Punkt-zu-Punkt-Verbindung mit dem Weidmüller Industrial Router und dem Webportal u-link her. u-link steht synonym für eine sichere und schnelle Kommunikation zwischen Nutzer und Anlage. Die gesicherte und verschlüsselte Kommunikation gestattet durchgängige Diagnosen aller kommunikationsfähigen Geräte. Eine intuitive Bedienoberfläche mit klarer Nutzerführung unterstützt ein effizientes Management und
/xtredimg/2017/Automation/Ausgabe195/14891/web/u-link-Fernwartung.jpg
u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle, mit denen Integrität, Vertraulichkeit und Authentizität gewährleistet sind.

u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle,...

ermöglicht eine User-, Gruppen- und Rechteverwaltung gemäß individuellem Bedarf.

Generell gilt: Ein Fernzugriff sollte stets – sofern irgend möglich – aus der Anlage heraus initiiert werden. Ein Anlagenbetreiber muss also den Fernzugriff selbst aktivieren bzw. freigeben, um etwaige Gefahrensituationen an lokalen Anlagen zu verhindern. Denn aus der Fernsteuerung einer Anlage darf kein Gefährdungspotenzial für Mensch und Anlage resultieren.

Authentifizierung und Autorisierung

Die intuitiv bedienbare Oberfläche der webbasierten Fernwartungslösung u-link lässt sich auf einfache Art und Weise anlagenbezogen konfigurieren und auf die vorhandenen Gegebenheiten zuschneiden. Auch mehrere Anlagen und User sind dank einer klaren, übersichtlichen Struktur einfach zu verwalten. Die Fernwartungslösung u-link ist nicht limitiert, Administratoren können somit beliebig viele Router und User im Portal anmelden und deren Anzahl auch laufend erweitern.

Dem spezifischen Systemmanagement dient u-link mit einer individuellen Rechteverwaltung: u-link verwaltet User, Gruppen sowie deren Zugangsrechte nach individuellen Vorgaben. Dazu zählen die Gruppenzuordnung sowie Rechte auf Zugriffe von Anlagen.

Ein Zugriff auf die Fernwartungsplattform von u-link ist ausschließlich für User möglich, die seitens
/xtredimg/2017/Automation/Ausgabe195/14891/web/u-link_Remote_Maintenance_PR.jpg
Der u-link VPN-Server agiert als zentraler Meeting-Point (Rendezvous Server) und verbindet einen Service-PC (VPN-Client) mit einem Router im Zielnetzwerk, um die mit dem Router verbundenen Ethernet-Geräte erreichen zu können.

Der u-link VPN-Server agiert als zentraler Meeting-Point (Rendezvous Server)...

eines Systemadministrators dazu autorisiert wurden und sich erfolgreich authentifizieren können. Erst nach Authentifizierung und Prüfung seiner Autorisierung kann der User bestimmte Aktionen durchführen, für die er eine Berechtigung besitzt.

Verschlüsselte Datenübertragung

Weidmüller bietet bei u-link mehrere Lizenzmodelle. Allen u-link Remote Access Service Versionen gemeinsam ist die webbasierte Portal-Anwendung für den einfachen und sicheren Zugriff von Service-PCs auf Ethernet-Geräte in einem entfernten Netzwerk. Der Weidmüller Portaldienst (VPN-Server) und ein im Zielnetzwerk befindlicher Weidmüller Industrial Security Router ermöglichen den VPN-gestützten Fernzugriff durch einen Service-PC. Dabei agiert der u-link VPN-Server als zentraler Meeting-Point (Rendezvous Server) und verbindet einen Service-PC (VPN-Client) mit einem Router im Zielnetzwerk, um die mit dem Router verbundenen Ethernet-Geräte erreichen zu können. Dank des zentralen VPN-Meeting-Points lässt sich eine VPN-Verbindung sowohl von der Fernzugriffsseite (Service-PC) als auch Router-seitig stets als ausgehende Kommunikation initiieren – sie wird somit, in Übereinstimmung mit den typischen IT-Sicherheitsanforderungen, in der Regel zugelassen.

Jeder u-link Kunden-Account verwendet separate Datenbanken- und Server-Instanzen, setzt also eine sichere Mandantentrennung um. Die Datenkommunikation zwischen u-link VPN-Server und Remote Clients (Service-PCs und Router) erfolgt über eine zertifikatsgesicherte OpenVPN-Verbindung (Datenverschlüsselung RSA 2048, x509 Zertifikate). u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle,
mit denen Integrität, Vertraulichkeit und Authentizität gewährleistet sind. Hierzu zählen TLS/SSL Verschlüsselungsprotokolle sowie darauf aufbauende Protokolle wie zum Beispiel HTTPS. Kryptografische Verfahren und Schlüssellängen nach neuesten Standards tragen ebenfalls zu einer sicheren Datenübertragung bei.

Weidmüller bietet bei seiner Fernwartungslösung u-link ein gestuftes Sicherheitsmanagement. Dabei dienen ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall, die Authentifizierung durch x.509 basierte Zertifikate und eine manuelle Zugriffsfreigabe an der Anlage einem sicheren Remote-Zugang.
u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle, mit denen Integrität, Vertraulichkeit und Authentizität gewährleistet sind.
Der u-link VPN-Server agiert als zentraler Meeting-Point (Rendezvous Server) und verbindet einen Service-PC (VPN-Client) mit einem Router im Zielnetzwerk, um die mit dem Router verbundenen Ethernet-Geräte erreichen zu können.



Zum Firmenprofil >>


Bericht in folgenden Kategorien:
Ind Kommunikation, Security

Special Automation aus der Cloud

cloud.JPG Immer mehr Teile der industriellen Automatisierung sollen in die Cloud verlegt werden. Nicht nur die in rapide steigenden Mengen generierten Daten, sondern neben Auswerte-, Überwachungs- und Kontrollmechanismen auch Steuerungs-, Regelungs- und sogar Safety-Algorithmen. Wozu eigentlich? Was lässt sich vernünftig in die Cloud verlegen? Was sollte man dabei beachten? Und was ist das überhaupt, die Cloud?
mehr lesen >>

Im Gespräch

/xtredimg/2018/Automation/Ausgabe223/16046/web/g_lifecycle_robotics_de_2011_11_neu.jpgUnterstützung von A wie Applikationsanalyse bis CE
Pilz gilt seit jeher als „sichere“ Adresse, wenn es um kompetente Unterstützung bei der korrekten Umsetzung relevanter Normen und Richtlinien geht. Auf Wunsch werden die Kunden bis zur fertigen CE-Konformitätserklärung begleitet. Das angebotene Dienstleistungsportfolio umfasst u. a. Applikationsanalysen, Risikobeurteilungen und die Erstellung von normgerechten Sicherheitskonzepten bzw. technischen Dokumentationen. Genaueres dazu verrät der Certified Machinery Safety Expert Ing. Bernhard Buchinger, der bei Pilz als Senior Manager Consulting Services für Westösterreich tätig ist. Das Gespräch führte Sandra Winter, x-technik
Interview lesen >>

Newsletter abonnieren