Sie sind hier: HomeSteuerungsebeneFernwirken

Fernwartung: Kommunizieren über sicheren Tunnel

Mit der zunehmenden Verbreitung von Konzepten wie Industrie 4.0 oder dem Internet of Things – kurz IoT – wird es für Unternehmen immer wichtiger, einerseits Maschinen in inner- und zwischen­betrieblichen Wertschöpfungsketten zu vernetzen und andererseits IT-Systeme und Maschinenparks mit maximaler Sicherheit betreiben zu können.

Internet of Things in Maschinenparks Bildquelle: © Netop Solutions

Gängige Verfahren für Fernzugriffe in Unternehmen sind heutzutage oft nicht sicher genug. So stellen alle vorhandenen Maschinen und Geräte, die mit dem Firmennetz verbunden sind, ein Security-Problem dar, solange deren Ports offen stehen und sie somit Angriffen von außen schutzlos ausgesetzt sind. Grundsätzlich ist VPN ein gangbarer Weg zum Aufbau sicherer Kommunikationskanäle. Virtual Privat Networks zeichnen sich zwar durch eine gute Verschlüsselung aus, bringen jedoch im Hinblick auf Fernzugriffe diverse Nachteile mit sich: Für die Installation, Konfiguration und Nutzung ist stets besonderes IT-Know-how notwendig, zudem müssen die entsprechenden Lösungen sehr aufwendig gewartet werden. Denn beim Einrichten eines VPN muss das Netzwerk eines Unternehmens geändert werden. Nicht zuletzt können durch unzureichend konfigurierte oder gewartete VPN-Verbindungen in einem Unternehmen weitere Risiken und Schwachstellen entstehen.

Dass dies nicht aus der Luft gegriffen ist, bestätigen die Ergebnisse einer Studie, die vom Marktforschungsunternehmen Spiceworks im Auftrag von Netop durchgeführt wurde. Die im Februar diesen Jahres erhobene Umfrage unter 192 IT-Verantwortlichen hat ergeben, dass für 42 % der Befragten das größte Problem von VPN-Anwendern darin besteht, dass die Mitarbeiter Schwierigkeiten haben, einen Fernzugriff aufzubauen. Die Zuverlässigkeit der Verbindung gaben 35 % als gravierendes Problem an. Darüber hinaus kritisierten 27 % die erforderlichen Spezialkenntnisse für die Konfiguration, 26 % das Einloggen bei VPN.

Vor diesem Hintergrund hat Netop mit ‚SecureM2M‘ eine Lösung entwickelt, mit der Unternehmen auf einfache Art und Weise auf ihre Systeme und Gerätegruppen, die an das Internet angebunden sind, aus der Ferne zentralisiert und sicher zuzugreifen können, um sie zu verwalten und zu managen. Das Besondere an der Lösung: SecureM2M erfordert keine öffentlichen IP-Adressen, Firewall-Ausnahmen, Änderungen am Netzwerkverzeichnis oder Änderungen der Benutzerprofile eines Firmennetzwerks. Um eine Ad-hoc-Verbindung zwischen zwei Geräten aufzubauen, lässt sich jedes zur Verfügung stehende Kommunikationsmedium nutzen – zum Beispiel Ethernet, Wi-Fi, 3G, 4G oder auch Satelliten. Die Verbindung ist verschlüsselt und ferner werden sämtliche Fernzugriffe zu Dokumentations- und Revisionszwecken protokolliert.

Architektur der SecureM2M-Lösung Bildquelle: © Netop Solutions

Die Architektur der SecureM2M-Lösung ist Cloud-basiert und sieht eine ­Verschlüsselung bis zu den Endpunkten vor. Der Konnektor ist für die Anfrage zum Erstellen eines sicheren Tunnels mit dem Gateway verantwortlich.

Konkret besteht SecureM2M aus den drei Modulen Cloud(-Umgebung), Konnektor und Gateway, mit deren Hilfe sich ein sicherer Tunnel aufbauen lässt. Dazu verbindet sich die Lösung mit den Geräten über einen portspezifischen Zugang. Sie schirmt die IP-Adressen vor unberechtigten Zugriffen aus dem öffentlichen Internet ab und erstellt zentrale Regeln für die Zugriffsberechtigung. Die Lösung lässt sich zusammen mit Industriesteuerungen und anderen Geräten als Plug-and-Play-Hardware-Komponente einsetzen oder direkt auf den Servern oder Geräten ­installieren.

Beim erwähnten Gateway handelt es sich um eine Software-Anwendung oder um ein Hardware-Gerät, das sich in dem Netzwerk befindet, auf das der Kommunikationskanal gerichtet ist. Die Software-Anwendung erlaubt den Aufbau des sicheren Tunnels zwischen dem Konnektor und dem Gerät, auf dem das Software-Gateway installiert ist.

Der Konnektor – ebenfalls eine Software-Anwendung –, enthält eine Liste der ­vorhandenen Gateways, die zu einem Benutzerkonto gehören. Er startet beziehungsweise initialisiert die Kommunikation zwischen dem Gerät, auf dem er sich befindet, und dem Gateway. Die technischen Voraussetzungen beziehungsweise Port-Anforderungen zum Aufbau des sicheren Tunnels bestehen lediglich darin, dass der ausgehende TCP-Port auf Port 6502 und 443 geöffnet sein muss. Eingehende Ports hingegen müssen nicht geöffnet sein.

Die Cloud liefert schließlich mehrere Dienste: Zum einen Connectivity Services, die den Tunnel errichten. Diese arbeiten wie eine Vermittlung, die die Verbindungsdienste zwischen dem Konnektor und dem Gateway routet. Zum anderen Authentifizierungsdienste für den Zugriff auf Gateways, die zu einem Konto gehören.