Home2net
Sicheres IoT ohne Gateways
Neue Smart-Cloud-Controller spulen Daten auf direktem Weg von der Feldebene in die Cloud und verzichten dabei auf Gateways. So ist das System sicherer und einfacher im Aufbau – und auch die Umsetzung von Big Data wird ermöglicht.
Traditionell werden produktrelevante Daten von Sensoren (Field Devices) erfasst und hierarchisch nach oben in sogenannte Control Devices weitergeleitet. Dort oder in übergeordneten Stationen und Work Centers werden die Daten gemäß ihrer jeweiligen Pflichtenhefte beziehungsweise Spezifikationen konsolidiert. Erst am Ende dieser Kette übertragen Gateways die Daten firmenweit beziehungsweise in die Cloud.
Aufgrund des relativ hohen Leistungsbedarfs dieser Gateways – typischerweise hat ein Linux-Rechner mindestens 10 bis 15 Watt Leistungsaufnahme – und der benötigten Rechenleistung für die Verschlüsselung war diese Strategie in der Vergangenheit durchaus sinnvoll. Auch wurde damit die zu übertragende Datenmenge stark reduziert, was in Anwendungen mit schlechter Infrastruktur-Anbindung auch heute durchaus noch ein Vorteil sein kann.
Der Nachteil dabei ist aber, dass in den oberen Ebenen nur Daten und Betriebszustände erfasst werden können, die vorher schon bekannt waren. Es besteht die Gefahr, dass unvorhergesehene oder unvorhersehbare Vorgänge teilweise oder gar komplett übersehen oder mit anderen Ereignissen nicht korreliert werden können, da nicht alle erzeugten Daten verfügbar sind. Auch das Aufrüsten einer Maschine mit weiteren Sensoren erfordert eine Verarbeitung dieser Daten durch die ganze Hierarchie hindurch, um diese neuen Daten schließlich auswerten zu können.
Besser wäre es, wenn erst einmal alle Daten direkt in die Cloud oder in ein lokales Repository eingelesen werden könnten. So hätte man die Möglichkeit, umfangreichere Datenanalysen vorzunehmen und neue Erkenntnisse und bisher unbekannte Korrelationen zu finden – und so Big-Data-Szenarien zu realisieren.

Kontron kooperiert mit Wibu-Systems und SQLstream
Kontron hat auf der embedded world zwei neue Partnerschaften verkündet: zum einen mit Wibu-Systems, um robuste Sicherheit für IoT-Anwendungen bereitzustellen; zum anderen mit SQLstream in puncto Cloud-basierter Echtzeit-Analysen.
Die Sicherheitsrisiken
Ein weiterer Schwachpunkt der herkömmlichen Vorgehensweise mit Gateways: Die Verbindungen zwischen Sensoren sowie Aktoren und ihrem Control Device sowie gegebenenfalls von diesem selbst zum jeweiligen Gateway verlaufen meist völlig ungeschützt.
Das Problem beim herkömmlichen Aufbau mit Gateway: Die Verbindung zwischen Aktor beziehungsweise Sensor ist ungeschützt. Bei der Lösung ohne Gateway entfällt dieser Weg – die Daten werden direkt in die Cloud gespult.
© Home2netDie Datenübertragung läuft dabei fast immer im Klartext beziehungsweise unverschlüsselt; und dies selbst über größere Strecken. Zwar befinden sich die Daten dort innerhalb einer Firma beziehungsweise auf einem geschlossenen Firmengelände, jedoch verursachen nach Statistiken über die Hälfte aller Sicherheitskompromittierungen – ob fahrlässig oder vorsätzlich – die eigenen Firmenmitarbeiter.
Doch selbst bei physikalisch gut geschützten Leitungen bleibt das Problem der komplexen Konfiguration. Zum Einrichten von externen Zugriffsmöglichkeiten müssen umfangreiche Konfigurationsarbeiten durchgeführt und in der Firewall für jede Anwendung ein oder mehrere Ports geöffnet werden. Diese Prozeduren sind unübersichtlich und fehleranfällig und müssen bei jeder Änderung im Netzwerk wie beispielsweise dem Ersatz eines ausgefallenen Gerätes wiederholt werden. Die Gefahr ist hoch, dabei Fehler zu machen und damit einem potenziellen Angreifer Tür und Tor zu öffnen oder die Verfügbarkeit durch Pannen zu verringern. Ein weiteres Problem: Die von vielen Herstellern zu Wartungszwecken eingebauten Hintertürchen (Backdoors), die oft nur mangelhaft gesichert sind und so ein zusätzliches Risiko darstellen. Als ein Beispiel seien hier UMTS-Modems zur Wartung und Diagnose per Funk genannt. Gelingt es einem Angreifer erst einmal, auf die sichere Seite der von der Firewall geschützten Festung zu kommen, so fällt es ihm danach relativ leicht, sich dort komfortabel einzurichten und womöglich jahrelang sein Unwesen zu treiben.
Gesamten Signalweg verschlüsseln
Am wirksamsten können Angriffe abgewehrt werden, wenn möglichst der gesamte Signalweg sicher verschlüsselt wird und dies ohne der Gefahr von gefährlichen Fehlbedienungen. Auf der Seite der Cloud, die physikalisch entweder im eigenem Rechenzentrum oder bei einem externen Dienstleister liegen kann, ist dies meist kein Problem: Schließlich steht hier eine leistungsfähige Infrastruktur samt qualifizierten Experten zur Verfügung. Schwieriger wird es auf der Geräte- beziehungsweise Sensorseite. Hier bräuchte man einfach zu bedienende und trotzdem sichere Zugangsgeräte, die günstig sind, wenig Strom aufnehmen und nicht konfiguriert werden müssen.
Controller zur Cloud-Anbindung
Die süddeutsche Firma Home2net hat sich dieser Aufgabenstellung gewidmet und die Web@ctrl-Gerätefamilie entwickelt. Die Anbindung der Smart-Cloud-Controller erfolgt über eine mit AES kryptografisch sicher verschlüsselte Verbindung mit 256 Bit Schlüssellänge. Der Aufbau der Verbindung kann grundsätzlich nur von den Geräten aus selbst erfolgen und dies, ohne dass dafür externe Zertifikate erforderlich wären. Die Trusted ID (gerätespezifische Kennung) aller Geräte wird bereits bei deren Fertigung in der Cloud-Datenbank gespeichert und so zum Aufbau eines privaten Netzwerks genutzt. Ein Angriff auf den Aufbau der Verschlüsselung durch ein Drittgerät kann dadurch sicher ausgeschlossen werden. Die Geräte reagieren nicht auf fremde Zugriffe aus dem Web und jegliche Kommunikation erfolgt grundsätzlich nur über einen einzigen, frei wählbaren Server.
Der Web@ctrl-Controller: Die optional integrierte Soft-SPS ist echtzeitfähig (Zykluszeit 1 ms) und kann mit einem Browser grafisch konfiguriert werden.
© Home2netDie neue Technik verzichtet vollständig auf Gateways. Daher müssen auch keine zusätzlichen Ports geöffnet oder Weiterleitungen konfiguriert werden. Für den sicheren Betrieb ist lediglich ein einziger Port zur Kommunikation und ein DHCP-Server zur beliebigen Adresszuweisung nötig; eine feste DHCP-Adresse ist nicht erforderlich.
Durch eine sichere End-to-End Verschlüsselung wie bei einem VPN, bei der auch der Pfad selbst mit verschlüsselt wird, ist der Datenfluss auf seinem Weg zum Cloud-Server nur schwer angreifbar. Für den unbedarften Anwender bleibt die Kommunikation transparent und auch die Konfiguration erfolgt zentral, sicher und selbstdokumentierend über den Cloud-Server. So stellt selbst weniger qualifiziertes Personal vor Ort keine Sicherheitslücke dar, da es ja nur für die nötigen elektrischen und mechanischen Verbindungen sorgen muss. Dabei wird das jeweilige Gerät über seine einmalige Kennung identifiziert und dann seiner virtuellen Konfiguration zugeordnet. Zur Installation vor Ort sind keine Netzwerk-Konfigurationen oder Setups notwendig – lediglich die Anschlüsse müssen verdrahtet werden.
Durch die automatisch selbstdokumentierende Prozedur bei der Installa-tion ist der jeweilige Revisionsstand von Hard-, Firm- und Software sowie die komplette Geräte-Historie jederzeit aus der Konfigurationsdatenbank abrufbar. Bei einem Ausfall können Geräte daher problemlos eins zu eins vor Ort ausgetauscht werden. Nach Aktualisierung der jeweiligen Geräte-Kennung – zum Beispiel über ein geschütztes Webportal – erfolgen dann Installation und Konfiguration vom Server automatisch so, dass der letzte Betriebszustand wieder hergestellt wird. Diese Daten werden besonders gesichert erhalten und gehen auch bei einem Stromausfall oder Hardware-Defekt nicht verloren. Der entscheidende Vorteil dieser Prozedur: Eine Installation beziehungsweise Reparatur kann auch durch vor Ort verfügbares, nicht extra dafür geschultes Fachpersonal erfolgen, ohne dass dabei die Sicherheit aufs Spiel gesetzt wird.
Soft-SPS ist integriert
Die derzeit eingesetzte, auf einem langzeitverfügbaren Ultra-low-power-Mikrocontroller basierende Hardware der Smart-Cloud-Controller-Familie verfügt über eine hohe Rechenleistung, um weitere Aufgaben übernehmen zu können. Zum Beispiel eine im Web@ctrl2 inte-grierte, IEC-konforme Soft-SPS, mit der sich auch zeitkritische Steuer- und Regelaufgaben in Automatisierungs- und Gebäudetechnik ohne weitere Zusatzgeräte erledigen lassen.
IEC 61161-3-kompatible Ausgänge, RS485- und RS232-Schnittstelle sowie ein virtueller COM-Port sind Standard; optional werden CAN, KNX, I ² C, 1-Wire, DALI, Modbus, DMX, Meter-Bus, Optibus sowie weitere Schnittstellen und Protokolle angeboten. Damit können auch umfangreiche Netzwerke von Sensoren und Aktoren mit speziellen Protokollen an eine Cloud beziehungsweise das IoT angebunden werden. Auch Zusatzgeräte wie etwa ein Isolator-Modul zur galvanischen Schnittstellentrennung sind verfügbar. Durch die geringen Maße und den modularen Aufbau können Hardware- und Treibervarianten so-wie Gehäuse-Ausführungen kombiniert werden.
Standardausführungen sind Hutschienengehäuse verschiedener Breiten für den rauen Industrie-Einsatz. Allen Geräten gemein ist die HTML5-basierende Bedien- und Programmieroberfläche. Diese ist für Android-, IOS-, Windows- und Linux-Geräte bereits vorkonfiguriert, für viele Apps aber bereits schlüsselfertig verfügbar. So können Anwender zu einer bestehenden App in kurzer Zeit eine Fernsteuerungs- und Anzeigemöglichkeit über ein Mobilgerät schaffen. Die optional integrierte Soft-SPS ist echtzeitfähig (Zykluszeit 1 ms) und kann auch ohne Programmierkenntnisse und ohne Entwicklungs-Software mit einem Browser grafisch konfiguriert werden. Mit der neuen App-Engine sind alle Apps künftig auch lokal und ohne Online-Verbindung nutzbar.
Geringe Leistungsaufnahme
Alle Kommunikationswege sind verschlüsselt: Die Apps können dabei die Daten sowohl aus der Cloud als auch über eine lokale, ebenfalls verschlüsselte Kommunikation abrufen.
© Home2netTrotz reichlich Peripherie und Echtzeitfähigkeit liegt der Leistungsbedarf eines Smart-Cloud-Controllers heute bei weniger als 500 mW – und optional kann damit noch eine komplette IEC-konforme Soft-SPS mitbetrieben werden. Die kommende Generation soll bei vergleichbarer Leistungsfähigkeit eine Leistungsaufnahme von weniger als 200 mW haben.
Angesichts der geringen Beschaffungs-, Betriebs- und Wartungskosten ist ein Smart-Cloud-Controller selbst für einen einzelnen Sensor rentabel. Der Sicherheitsgewinn gegenüber einer traditionellen Gateway-Lösung ist ohnehin oft unbezahlbar und die erweiterten Möglichkeiten zur Datenanalyse eröffnen völlig neue Geschäftsmodelle. Die Cloud kann im eigenen Betrieb stehen oder bei einem externen Dienstleister gekauft beziehungsweise gemietet werden.
Smart Cloud Controller ermöglichen eine Cloud-Anbindung auf allen Ebenen ohne den Zwang zu hierarchischen Strukturen oder dem Vorabkonsolidieren von Daten. Informationen, Daten und beliebige Auswertungen sind per Knopfdruck auf einem beliebigen Mobilgerät abrufbar – das ganze bei höherer Sicherheit und mit deutlich weniger Aufwand und damit Kosten.
Autor: Hans Mühlbauer ist Gründer und Technischer Geschäftsführervon Home2net.













