Der Lock im Schaltschrank des Bäckerei-Betriebes: Mit dem Anschluss von Strom- und RJ45-Kabel ist die Inbetriebnahme eine Sache von fünf Minuten.

© Tosibox/Heuft

Der kryptografische Key wird vor dem Fernzugriff einmalig über den USB-Anschluss an den Lock angeschlossen. Innerhalb von 20 Sekunden werden Lock und Key miteinander serialisiert, ein Vorgang, der auch als Personalisierung bezeichnet wird. Sobald die Leuchtdiode am Key aufhört zu blicken, ist die Personalisierung vollzogen. Bei der Personalisierung von Lock und Key werden Sicherheits-Zertifikate ausgetauscht, und es entsteht ein neues, gesichertes Netzwerk zwischen authentifizierten Geräten. Dieses Verbindungssystem ermöglicht es, dass sich der Key über das Internet mit dem zuvor personalisierten Router verbinden kann, auch über Firewalls hinweg.

Der Betreiber der Fernwartung behält durch die physische Personalisierung die direkte Kontrolle über die Router und die gesamte Verwaltung der Zugriffsrechte, ohne selbst VPN-Konfi­gurationen vornehmen oder über umfangreiche Netzwerk-Kenntnisse verfügen zu müssen. Die Fernwartungslösung kombiniert bekannte Sicherheitsstandards, wie OpenVPN, OpenSSL, Public-Key-Infrastruktur, RSA-Kryptosystem, X.509-Zertifikate, 2-Faktor-Authentifizierung, TLS/SSL mit Diffie-Hellman-Schlüsselaustausch-Protokoll, Blowfish- oder AES-Verschlüsselung, zu einem intelligenten, gesamtheitlichen Sicherheitssystem.

Thomas Kahl, stell­vertretender Kundendienstleiter bei Heuft Backofenbau: Der entscheidende Vorteil der neuen Lösung liegt in der besonders einfachen Inbetriebnahme. Früher war die Abstimmung mit den IT-Fachleuten auf Kundenseite sehr zeitaufwendig.

© Tosibox/Heuft

Ein Hauptelement des Systems ist der bereits angesprochene Key. Sicherheitsrelevante Authentifizierungsdaten werden hier auf einem geschlossenen Speicher des Kryptoprozessors vor externen Angriffen geschützt. Der Key nutzt keine öffentliche, sondern eine vom System erzeugte virtuelle IP-Adresse. Der mit dem Lock personalisierte Key wird als Master Key bezeichnet. Durch die Personalisierung übernimmt dieser die Administratorfunktion und verwaltet alle Zugriffsrechte der personalisierten Locks. Über den Master Key und eine Key-Benutzeroberfläche lassen sich mit maximal drei Klicks neue untergeordnete Keys (Sub Keys) oder Android- und iOS-Mobile-Clients mit vollen oder beschränkten Zugriffsrechten definieren. Auch die Aktivierung neuer Geräte erfolgt durch physische Vorgänge unter der Kontrolle des Betreibers. Wenn der Benutzer des Master Key einen Sub Key oder Backup Key zum System hinzufügt, muss der neue Key einmalig an denselben Computer wie der Master Key angeschlossen werden. Beim Aktivieren eines Mobile Clients erzeugt die Key-Software einen QR-Code, der dann mit dem Smartphone gescannt und somit aktiviert wird.

Die sofortige und konfigurationslose VPN-Verbindung zwischen Lock und Key basiert auf einem vom Hersteller patentierten Verbindungsverfahren, bei dem Verbindungsdaten in Sekundenbruchteilen über das Internet an authentifizierte Geräte übermittelt werden. ­Sobald sich die entsprechenden Komponenten im Internet gefunden haben, wird eine gesicherte Punkt-zu-Punkt-Verbindung zwischen den Geräten aufgebaut. Die Authentifizierung findet mit 1024-Bit-Verschlüsselung und bei Mobile Clients mit 2048-Bit-Verschlüsselung statt, während die übertragenen Softwaredaten mit bis zu 256 Bit verschlüsselt werden. Zur Verschlüsselung stehen sowohl Blowfish als auch AES zur Verfügung. Je nach dem spezifischen Anwendungsfall kann Layer 2 oder 3 ausgewählt werden.

Bei der Anwendung bei Heuft wurde eine Lock-Konfigurationsdatei auf dem Master Key gespeichert, um die serienmäßige Inbetriebnahme von ­neuen Locks beim Kundendienst in ­Sekunden durchzuführen und darüber hinaus menschliche Konfigurationsfehler zu vermeiden. Mit einem Key kann der Heuft-Servicetechniker oder der Betreiber über einen beliebigen Rechner mit Internet-Anschluss gesichert auf eine Backofen-Anlage zugreifen. Vor dem ersten Fernzugriff mit dem Key wird der Benutzer einmalig aufgefordert, eine Clientsoftware auf dem betroffenen Rechner zu installieren. Die Clientsoftware zeigt eine Übersicht der über Internet verbundenen Locks und der angeschlossenen Backofen-Anlagen. Neben der einfachen Inbetriebnahme vor Ort innerhalb weniger Minuten und der hohen Datensicherheit besteht ein weiterer Vorteil für die Anwender darin, dass etwaige Einrichtungskosten für die VPN-Verbindung komplett entfallen. Eine Erweiterung der Lösung stellt ein Monitoringsystem dar, welches Logdaten und Verbindungsstörungen an die Leitzentrale des Kundendienstes meldet.

Die Bilanz von Thomas Kahl: „Die Tosibox-Lösung hat einen wichtigen Beitrag geleistet, um unseren Kundendienst stärker Service-orientiert aufzustellen, besonders mit Hinblick auf die wachsenden Auslandsmärkte. Immerhin liegt der Export-Anteil mittlerweile bei über 60 %, wobei insbesondere Nordamerika, Australien und Japan zu wichtigen Märkten geworden sind.“

Autor: Alexej on Glasenapp ist Vertriebsleiter bei Tosibox für die DACH-Region.