Weidmüller u-link: Sicherheit und Benutzerfreundlichkeit – kein Widerspruch

Manche kritischen Stimmen äußern Vorbehalte, für sie gelten Fernwartungslösungen als Einfallstore für mutwillige, unlautere Angriffe. Die heutigen Optionen einer effizienten Fernwartung brach liegen zu lassen, wäre aber im wahrsten Sinne des Wortes kontraproduktiv. Deshalb bietet Weidmüller ein gestuftes Sicherheitsmanagement bei seiner Fernwartungslösung u-link. Dabei dienen ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall, die Authentifizierung durch x.509 basierte Zertifikate und eine manuelle Zugriffsfreigabe an der Anlage einem sicheren Remote-Zugang.

Weidmüller bietet bei seiner Fernwartungslösung u-link ein gestuftes Sicherheitsmanagement. Dabei dienen ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall, die Authentifizierung durch x.509 basierte Zertifikate und eine manuelle Zugriffsfreigabe an der Anlage einem sicheren Remote-Zugang.

Weidmüller bietet bei seiner Fernwartungslösung u-link ein gestuftes Sicherheitsmanagement. Dabei dienen ein Webportal mit integriertem VPN-Rendezvous-Server in Deutschland, ein Router mit integrierter SPI-Firewall, die Authentifizierung durch x.509 basierte Zertifikate und eine manuelle Zugriffsfreigabe an der Anlage einem sicheren Remote-Zugang.

Trotz aller Security-Maßnahmen: Eine 100-prozentige Sicherheit gibt es im IT-Zeitalter nicht. Demnach geht es darum, ein Bewusstsein für Risiken zu schaffen bzw. dieses zu schärfen und das Risiko derart zu senken, dass potenzielle Angriffe stark erschwert und/oder unverhältnismäßig aufwendig werden. Auch die Architektur in einem industriellen Automatisierungssystem gilt es zu berücksichtigen. Fernwartungslösungen sollten bei der Planung und Integration Automatisierungssysteme von nicht-Automatisierungssystemen und kritische von unkritischen Systemen logisch trennen.

u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle, mit denen Integrität, Vertraulichkeit und Authentizität gewährleistet sind.

u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle, mit denen Integrität, Vertraulichkeit und Authentizität gewährleistet sind.

Systemarchitektur sinnvoll konfigurieren

Empfohlen wird, Fernwartungskomponenten nicht direkt im Produktionsnetz, sondern in einer vorgelagerten Zone anzubringen. Fernwartungszugänge sollen außerdem vorhandene Sicherheitsmechanismen nicht umgehen. Zudem soll ein Fernwartungszugriff eindeutig und strukturiert pro IP und Port geregelt erfolgen. Dies grenzt nicht nur den erreichbaren IP-Adressraum einer Anlage ein, sondern schottet auch die übrigen IP-Adressbereiche ab. Exakt diesem Prozedere entspricht der Lösungsansatz von Weidmüller, er stellt die direkte Punkt-zu-Punkt-Verbindung mit dem Weidmüller Industrial Router und dem Webportal u-link her. u-link steht synonym für eine sichere und schnelle Kommunikation zwischen Nutzer und Anlage. Die gesicherte und verschlüsselte Kommunikation gestattet durchgängige Diagnosen aller kommunikationsfähigen Geräte. Eine intuitive Bedienoberfläche mit klarer Nutzerführung unterstützt ein effizientes Management und ermöglicht eine User-, Gruppen- und Rechteverwaltung gemäß individuellem Bedarf.

Generell gilt: Ein Fernzugriff sollte stets – sofern irgend möglich – aus der Anlage heraus initiiert werden. Ein Anlagenbetreiber muss also den Fernzugriff selbst aktivieren bzw. freigeben, um etwaige Gefahrensituationen an lokalen Anlagen zu verhindern. Denn aus der Fernsteuerung einer Anlage darf kein Gefährdungspotenzial für Mensch und Anlage resultieren.

Der u-link VPN-Server agiert als zentraler Meeting-Point (Rendezvous Server) und verbindet einen Service-PC (VPN-Client) mit einem Router im Zielnetzwerk, um die mit dem Router verbundenen Ethernet-Geräte erreichen zu können.

Der u-link VPN-Server agiert als zentraler Meeting-Point (Rendezvous Server) und verbindet einen Service-PC (VPN-Client) mit einem Router im Zielnetzwerk, um die mit dem Router verbundenen Ethernet-Geräte erreichen zu können.

Authentifizierung und Autorisierung

Die intuitiv bedienbare Oberfläche der webbasierten Fernwartungslösung u-link lässt sich auf einfache Art und Weise anlagenbezogen konfigurieren und auf die vorhandenen Gegebenheiten zuschneiden. Auch mehrere Anlagen und User sind dank einer klaren, übersichtlichen Struktur einfach zu verwalten. Die Fernwartungslösung u-link ist nicht limitiert, Administratoren können somit beliebig viele Router und User im Portal anmelden und deren Anzahl auch laufend erweitern.

Dem spezifischen Systemmanagement dient u-link mit einer individuellen Rechteverwaltung: u-link verwaltet User, Gruppen sowie deren Zugangsrechte nach individuellen Vorgaben. Dazu zählen die Gruppenzuordnung sowie Rechte auf Zugriffe von Anlagen. Ein Zugriff auf die Fernwartungsplattform von u-link ist ausschließlich für User möglich, die seitens eines Systemadministrators dazu autorisiert wurden und sich erfolgreich authentifizieren können. Erst nach Authentifizierung und Prüfung seiner Autorisierung kann der User bestimmte Aktionen durchführen, für die er eine Berechtigung besitzt.

Verschlüsselte Datenübertragung

Weidmüller bietet bei u-link mehrere Lizenzmodelle. Allen u-link Remote Access Service Versionen gemeinsam ist die webbasierte Portal-Anwendung für den einfachen und sicheren Zugriff von Service-PCs auf Ethernet-Geräte in einem entfernten Netzwerk. Der Weidmüller Portaldienst (VPN-Server) und ein im Zielnetzwerk befindlicher Weidmüller Industrial Security Router ermöglichen den VPN-gestützten Fernzugriff durch einen Service-PC. Dabei agiert der u-link VPN-Server als zentraler Meeting-Point (Rendezvous Server) und verbindet einen Service-PC (VPN-Client) mit einem Router im Zielnetzwerk, um die mit dem Router verbundenen Ethernet-Geräte erreichen zu können. Dank des zentralen VPN-Meeting-Points lässt sich eine VPN-Verbindung sowohl von der Fernzugriffsseite (Service-PC) als auch Router-seitig stets als ausgehende Kommunikation initiieren – sie wird somit, in Übereinstimmung mit den typischen IT-Sicherheitsanforderungen, in der Regel zugelassen.

Jeder u-link Kunden-Account verwendet separate Datenbanken- und Server-Instanzen, setzt also eine sichere Mandantentrennung um. Die Datenkommunikation zwischen u-link VPN-Server und Remote Clients (Service-PCs und Router) erfolgt über eine zertifikatsgesicherte OpenVPN-Verbindung (Datenverschlüsselung RSA 2048, x509 Zertifikate). u-link nutzt für die Datenübertragung nur zuverlässige Sicherheitsprotokolle, mit denen Integrität, Vertraulichkeit und Authentizität gewährleistet sind. Hierzu zählen TLS/SSL Verschlüsselungsprotokolle sowie darauf aufbauende Protokolle wie zum Beispiel HTTPS. Kryptografische Verfahren und Schlüssellängen nach neuesten Standards tragen ebenfalls zu einer sicheren Datenübertragung bei.

Filtern

Suchbegriff

Unterkategorie

Firmen

Inhaltstyp

Firmentyp

Land