Tooltip
Secomea Security zertifikat

SICHERHEITSZERTIFKAT | Sicherheit als oberste Priorität
Sicherheit als oberste priorität

SICHERHEITSZERTIFIZIERTE FERNZUGRIFFSLÖSUNG

In November 2014 wurde die Fernzugrifflösung von Secomea offiziell als die erste und einzeige Lösung weltweit sicherheitszertifiziert. Dies wurde getan, um unsere Position als Marktführer im Bereich Fernzugriff für die Automatisierungs- und Maschinenindustrie weiter zu stärken, und um unsere Kernaussage: “Sicherheit ist unsere erste Priorität” zu unterstreichen.

Die Fernzugriffslösung von Secomea besteht aus einem Software- oder Hardwaremodul (ein SiteManager), das normalerweise in einer Fabrik installiert wird, und einem Software-Client (ein LinkManager), der von einem Servicetechniker oder einem Bediener einer Maschine verwendet wird. Diese beiden Komponente werden über einen M2M-Kommunikationsserver (ein GateManager) miteinander verbunden, der als Cloud-basierter und alleinstehender-Server verfügbar ist.

SICHERHEITSAUDIT VON DER PROTECTEM GMBH

IT-Sicherheitsstandards und Rahmenbedingungen für diese Lösungsart haben entweder de-facto-Status oder sind Work-in-progress, Secomea entschied sich deshalb dafür sich auf relevante Elemente der führenden Standards zu konzentrieren.

Secomea hat das geschätzte deutsche Sicherheitsunternehmen ProtectEM GmBH aufgesucht, das eng mit der technischen Hochschule Deggendorf zusammenarbeitet.

Das ProtectEM GmBH hat die Zertifizierung durchgeführt im Rahmen von:

  • Prüfungsprozess gemäss NIST SP800-115 & ISECOM OSSTMM
  • Konzeptprüfung auf der Basis vom BSI (Bundesamt für Sicherheit), ISA 99 und IEC 62443
  • Komponentenprüfung. Individuelle Analyse und Extrembelastung von Komponenten.
  • Systemprüfung. Eingehende Prüfung von End-to-End-Sicherheit

SICHERHEITSAUDIT ERFOLGREICH BESTANDEN

Anhand der Ergebnisse und das Feedback im Rahmen des Prüfungsprozesses entwickelte Secomea eine Reihe von Sicherheitsoptimierungen, die in die verschiedenen Lösungskomponenten konsolidiert und überprüft wurden.

Am 11. November konnte ProtectEM ein umfassender und abschließender Sicherheitsprüfungsbericht und ein offizielles Sicherheitszertifikat erstellen mit der Aussage: “Mit Erfolg bestanden”.

Mit Secomea Fernzugriffslösung Version 5.8 lanciert am 19. November, hat Secomea eine Fernzugriffslösung präsentiert, die neue Sicherheitsstandards für die Industrie setzt.

NEUE SICHERHEITSSTANDARDS FÜR DIE INDUSTRIE SETZEN

Mit dem Launch der Secomea Fernzugrifflösung Version 5.8 am 19. November stellt Secomea eine Fernzugrifflösung dar, die neue Standards für die Industrie setzt.

Produkt anfragen

INDUSTRIE 4.0 ZERTIFIKAT
by ProtectEM GmbH

SECOMEA LÖSUNG IST INDUSTRIE 4.0 ZERTIFIZIERT

In November 2015 wurden die Fernzugriffslösung und alle Komponenten von Secomea offiziell Industrie 4.0-zertifiziert. Dies gewährleistet die Übereinstimmung und Freigabe der Referenzarchitekturmodell-Industrie 4.0 (RAMI4.0) in Bezug auf die IEC/PAS 62443-3 für die Komponenten GateManager, SiteManager, LinkManager, LinkManager Mobile. Die Zertifizierung ergänzt die im Jahr 2014 erhaltene allgemeine Sicherheitszertifizierung Secomeas.

INDUSTRIE 4.0 COMPLIANCE & ENABLEMENTAUDIT VON PROTECTEM GMBH

Der Industrie 4.0 Compliance & Enablementaudit (Audit zur Überprüfung der Vorschrifteneinhaltung und Befähigung) wurde von der angesehenen deutschen Sicherheitsorganisation ProtectEM GmbH von Prof. Dr. Peter Fröhlich, der aktives Mitglied des Sicherheitsarbeitsausschusses für Industrie 4.0 ist, durchgeführt. ProtectEM ist im Allgemeinen auf Beratung, Konzeptentwicklung und Sicherheitsaudits in der Industrie- und Prozessautomatisierung und einer Reihe von anderen Branchen, die sich auf kritische Prozesse stützen, spezialisiert.

BEREITSTELLUNG VON PROZESSLEITLINIEN UND VERFAHREN

„Ziel der Prüfung war es, deutlich zu validieren, ob unsere Produkte den aktuellen Anforderungen der RAMI4.0-Architektur entsprechen und sich als I40-Enabler eignen und ich bin stolz, dass der Bericht dies bestätigt”, sagte Produktmanager Peter Koldig Hansen von Secomea, und fährt fort: „Ein weiteres Ziel war, sich aktiv an der Entmystifizierung von I40 in Bezug auf den Fernzugriff zu beteiligen und auf der Grundlage des Berichts, Prozessleitlinien und Verfahren zur Lösungsentwicklung bereitzustellen, die in vollem Umfang den I40-Kriterien entsprechen.”

Produkt anfragen

INFORMATIONEN FÜR MANAGEMENT | 10 Gründe Secomea als Ihren Remote-Management Partner zu wählen
10 Gründe Secomea als Ihren Remote-Management Partner zu wählen

Vor der Wahl einer industriellen Kommunikationslösung, die sowohl Strategisch- als auch Wettbwerbskritisch für das Unternehmen sein kann, hat ein Entscheidungsträger im Management in der Regel eine Reihe von Bedenken und Fragen:

  1. Die Lösung muss speziell für die Automatisierungsindustrie entwickelt sein.
  2. Die Lösung muss von Maschinenbauern und SPS-/HMI-Herstellern unterstützt und empfohlen werden.
  3. Die Lösung muss sicher sein.
  4. Die Lösung muss einfach zu implementieren und zu pflegen sein.
  5. Die Lösung muss den Sicherheitsnormen entsprechen.
  6. Die Lösung muss skalierbar sein.
  7. Die Lösung muss voll unterstützt werden und darf dennoch nicht abhängig vom Lieferanten sein.
  8. Die Lösung muss aktiv dazu beitragen Verpflichtungen zur Wartung der installierten Maschinen zu erfüllen.
  9. Die Lösung muss ihre Investitionen durch eingesparte Wartungskosten amortisieren.
  10. Der Anbieter der Lösung muss ein engagiertes und finanziell gesundes Unternehmen sein.

Dieses Dokument hat den Zweck darzustellen, wie Secomea zu allen diesen Themen eine Lösung entwickelt hat, die aus drei Komponenten besteht:

  • LinkManager
  • SiteManager
  • GateManager

 

Die Anliegen und Fragen in Bezug auf die oben genannten zehn Themen sind in der Regel nicht sehr technisch, sondern berühren vielmehr die Auswirkungen auf den Vertrieb, den Support und die Geschäftsstrategie. Für technische Details, beziehen Sie sich bitte auf „Informationen für IT-Experten“.

 

1. Gewissheit, dass diese Lösung die Beste Wahl in ihrem Segment ist

Die Secomea-Lösung wurde für die Automatisierungsindustrie entwickelt und exakt auf sie abgestimmt. Dies gilt für kleine Maschinenanlagen mit geringen Budgets, sowie für große Maschinenanlagen, die wegen strengen Wartungsverbindlichkeiten empfindlich auf sofortige Maßnahmen reagieren.

Seit der ursprünglichen Entwicklung der Secomea-Lösung, wird sie ständig verbessert, basierend auf Markttrends, Wissen über den Wettbewerb und Kunden-Feedbacks. Obwohl Secomea vielleicht noch nicht von der gesamten Automatisierungsindustrie wahrgenommen wird, sehen wir unsere Lösung als die vollständigste und dedizierteste Lösung für dieses Geschäftssegment an.

 

2. Die Gewissheit, dass diese Lösung bewährt ist

Die Komponenten der Secomea Fernzugriffslösung, basieren auf Secomeas Office-Sicherheitstechnologie, die im Jahre 2003 eingführt wurde. Die Technologie wurde von der 1. Generation im Jahr 2005, bis zur aktuellen Lösung der 3. Generation, die im Jahr 2008 eingeführt wurde, ständig weiterentwickelt.

Die Secomea-Lösung ist heute in Tausenden von Fabriken auf der ganzen Welt installiert.

Einige größere Maschinenhersteller (von denen einige hier aufgeführt sind) montierten einen Secomea SiteManager als Standard-Komponente in den Schaltschrank Ihrer Maschinen. Für diese Unternehmen ist die Lösung nicht nur technisch bewährt, die Investition hat sich auch durch Verringerung von Reisekosten amortisiert. Aber vielleicht noch interessanter ist es, dass die Lösung die allgemeine Akzeptanz und Billigung durch IT-Experten erhielt, als eine akzeptable Methode für den Zugriff auf Geräte hinter Firmen-Firewalls, ohne die Sicherheit zu beeinträchtigen.

Darüber hinaus ist Secomea formale Allianzen mit einer Reihe der großen SPS-Herstellern eingegangen, nicht nur um volle Kompatibilität mit den Produkten zu gewährleisten, sondern auch im Zusammenhang mit aktuellen Kunden-Projekten, bei denen Fernzugriff eine Voraussetzung für den Abschluss des Angebots ist.

 

3. Die Gewissheit, dass diese Lösung sicher ist

Es kann nicht oft genug betont werden: Secomeas oberste Priorität ist Sicherheit!

Office-Netzwerk-Infrastrukturen verwenden oft Microsoft-basiertes Management von Anmeldeinformationen, kombiniert mit Firewalls und VPN, für die sichere Erweiterung des Intranets auf das Internet. Wartung und Konfiguration einer solchen Infrastruktur erfordern IT-Ressourcen und doch kann sie anfällig für Angriffe und Lecks im Anschluss an komplexe Konfiguration oder allgemeines menschliches Verhalten sein.

Die Secomea-Lösung für die Automatisierungsindustrie, schliesst auch relevante IT-Sicherheitskomponenten für Internet-basierte Kommunikation, wie starke End-zu-End-Verschlüsselung, Zwei-Faktor-Sicherheit, Event-Audit-Trails und rollenbasiertes Account-Management ein. Aber zusätzlich zu diesen, umfasst die Lösung auch Standard-Maßnahmen zur Beseitigung von Schwachstellen-Risiken, die aus Fehl-Konfiguration oder menschlicher Unachtsamkeit entstehen.

Dies wird durch die ständige Analyse von Kunden-Feedbacks in Kombination mit eingehender Beobachtung von globalen Sicherheitsrisiken erreicht. Die anschließende Bewertung des Bedarfs gegenüber Bedrohungen ist entscheidend, um sicherzustellen, dass die Lösung das gleiche hohe Sicherheitsniveau und gleichzeitig ihre primäre Funktionalität und Benutzerfreundlichkeit beibehält. Dies ist nur möglich für Lösungen mit einem gut definierten Anwenungsbereich, nicht für ein Generisches Produkt für mehrere Anwendungen.

Die Sicherheitsaspekte werden im Abschnitt „Informationen für IT-Experten” dokumentiert, die dem Zweck dienen, dem IT-Administrator des Kunden zu versichern, dass die Lösung sicher ist und nicht die vorhandene Infrastruktur gefährdet.

 

4. Die Gewissheit, dass diese Lösung einfach ist

Wie bereits erwähnt, hat Sicherheit für uns oberste Priorität. Aber es ist auch unsere Überzeugung, dass Benutzerfreundlichkeit eine entscheidende Voraussetzung für die Gewährleistung eines hohen Maßes an Sicherheit ist. Je einfacher eine Lösung ist, desto wahrscheinlicher ist es, dass sie wie beabsichtigt betrieben wird und dass die Sicherheit anschließend so bestehen bleibt, wie sie entworfen wurde.

Das Prinzip von Secomea besteht darin, den typischen Benutzern und Administratoren in dem Industrie-Segment zu analysieren und die Lösung dann auf deren typischen Kenntnisstand und Arbeitsweise anzupassen.

Daher erfordert die Lösung kein IT- oder Netzwerk-Wissen, obwohl die Lösung über hochentwickelte End-to-End-Kommunikationseigenschaften verfügt, die in der Regel nur durch die Einrichtung von VPN-Infrastrukturen, kombiniert mit komplexen Routing- und Firewall-Regeln zustande kämen.

 

5. Die Gewissheit, dass die Lösung Sicherheits – Standards erfüllt

Innerhalb der Automatisierungsbranche, wird Sicherheit oft als ein ebenso wichtiges Thema wie Security angesehen. Bewegungsbasierte Geräte, wie z. B. Verpackungsmaschinen, werden sogar staatlich Reguliert welches Maschinenanbietern vorschreibt vorsicherzustellen, dass ein Fernzugriff auf die Maschine richtig an den Betreiber signalisiert wird.

Bei der Secomea-Lösung können Sie zum Beispiel einen Licht-Turm an einen digitalen Ausgang der SiteManager-Hardware-Einheit anschliessen, der aktiviert wird, wenn Fernzugriff durchgeführt wird. Zusätzlich kann der Kunde einen Ein/Aus-Schalter oder ein Panel an einem Eingangs-Port anschließen, damit der Maschinenbediener den Fernzugriff verhindern kann, falls dieser eine Verletzungsgefahr herbeiführen könnte.

Die Secomea-Lösung befasst sich also bereits mit dem Sicherheitsaspekt und gewährleistet damit, dass unsere Kunden die Maschineninstallationen so vorbereiten können, dass sie mit solchen Richtlinien konform sind.

 

6. Die Gewissheit, dass die Lösung Skalierbar ist

Skalierbarkeit war immer ein wichtiges Ziel bei der Entwicklung der Secomea-Lösung.

Ein typisches Szenario ist, dass ein Maschinenbauer mehrere Standorte mit mehreren Geräten an jedem Standort hat und mehrere Serviceingenieure individuell darauf zugreifen müssen.

Ein solches „many-to-many” Kommunikations-Setup mit einer VPN-Infrastruktur, erfordert sehr gute IT-Kenntnisse und kann ein administrativer Albtraum sein. Auch wenn das Setup funktioniert, birgt es viele Schwachstellen, aufgrund der manuellen Handhabung von Routing- und Firewall-Regeln.

Mit der Secomea-Lösung, brauchen Sie keine Regeln einrichten. Sie kontrollieren einfach auf der Benutzerkonten-Ebene, welche Benutzer auf welchen Kundenstandort Zugriff haben. Dies kann bis zu einem Detail-Level unterteilt werden, wo zum Beispiel ein Servicetechniker ein bestimmtes Gerät programmieren kann, während ein anderer Servicetechniker nur Zugriff auf sein Web-Interface hat. Das Secomea-GateManager Administrator-Portal bietet eine klare Übersicht über alle Benutzerkonten und deren individuelle Zugänge, unabhängig davon, wie viele Standorte, Geräte und Benutzer verwaltet werden.

Skalierbarkeit beinhaltet auch die Möglichkeit, das Hosting des zentralen GateManager-Servers zu optimieren. Viele Kunden beginnen zunächst mit der gehosteten Secomea-Lösung und migrieren später zu einem eigenen Server oder sogar zu einem Cloud-basierten Server in einem Virtualisierungscenter.

 

7. Die Gewissheit, dass Secomea Support für die Lösung bereitstellt

Secomea ist stolz auf die schnelle Beantwortung technischer Fragen, ständig aktualisierte Online-Hilfe und Anleitungen, die auf Kundenfeedback basieren.

Für Secomea bedeutet Support auch, unseren Partnern die Sicherheit zu geben, dass sie ihre Kunden auch dann weiter unterstützen können, sollte Secomea aufhören zu existieren. Secomea bietet daher Escrow-Vereinbarungen, die einem Partner den Zugriff auf den Quellcode für alle Produkt-Firmware, Software und Dokumentation gewährleistet.

(Alle Quellcodes von Secomea unterliegen einer strengen Versionskontrolle und alle Software-und Firmware-Produkte werden jede Nacht erstellt, als Teil eines automatischen Erstellungsverfahrens.)

 

8. Die Gewissheit, dass die Lösung die Verbindlichkeiten des Unternehmens unterstützt

Haftung gegenüber dem Kunden involviert natürlich ein sofortiges Eingreifen durch den Zugriff auf das Gerät um das Problem zu lösen. Natürlich ist dies der Hauptzweck einer Fernzugriffslösung, und ist besonders wichtig für den Maschinenbauer während der Inbetriebnahme.

Verbindlichkeiten erfordern jedoch mehr als nur etwas zu reparieren. Sie beinhalten auch die Notwendigkeit, Audit-Trails der vergangenen Ereignisse zur Verfügung zu stellen. Die Secomea-Lösung umfasst die Protokollierung aller Ereignisse im System, einschließlich wann auf Geräte zugegriffen wurde und von wem, oder wann ein Gerät offline gegangen ist.

Die Audit-Trails des Secomea-GateManagers haben daher zwei Ziele:

  • Dem Kunden zu dokumentieren, dass Sie Ihre Wartungsverpflichtungen erfüllen
  • Zu dokumentieren, dass aus Sicht der Sicherheit, das System nicht beschädigt wurde. Und wenn dies vermutet wird, ausführliche Protokolle zu bieten.

 

Beide Zwecke sind unerlässlich für die Unterstützung der Verbindlichkeiten des Maschinenbauers aus rechtlicher Sicht.

 

9. Die Gewissheit, dass die Lösung Ihre Investition wert ist

Eine gute Produkt-Investition in dieser Branche zeichnet sich durch folgende Merkmale aus:

  • Die Inbetriebnahme erfordert keine großen Investitionen.
  • Der Preis pro Installation kann genau berechnet werden.
  • Kein Auftauchen versteckter Kosten, wenn die Lösung in die Produktion involviert ist.
  • Nachfolgende Käufe folgen einer linearen oder sogar sinkenden Kurve für die Kosten pro Installation.
  • Eine Erweiterung der Lösung erfordert kein zusätzliches Personal, um die Lösung zu erhalten.

 

Secomea kann alle diese Wünsche erfüllen.

Die Secomea-Lösung hat niedrige Inbetriebnahmekosten und basiert auf den bei Secomea gehosteten Servern. Wartungskosten fallen erst an, wenn die Anzahl der Installationen 100 erreicht, oder wenn mehr als 2 Ingenieure gleichzeitig Fernzugriff auf Geräte haben müssen. Die Wartungsgebühr ist Ihre Versicherung für schnelle Reaktionszeiten bei der Unterstützung und proaktiven Aktualisierungsservice der Lösungskomponenten für viele kommende Jahre.

Die Preisstruktur von Secomea hinsichtlich des Stückpreises und der Wartungskosten, basiert auf den Feedback von unseren Kunden in der Industrie, kombiniert mit einer Einschätzung, welche Preismodelle am besten zu den Vertriebs- und Wartungsmodellen der Endkunden passt.

 

10. Die Gewissheit, dass Secomea ein vertrauenswürdiger und langjähriger Partner sein wird

Secomea ist ein konsolidiertes Unternehmen mit einer Wachstumsrate von mehr als 30% pro Jahr seit 2008. Die Gewinne werden in die Entwicklung und Expansion des Unternehmens sowie seiner Dienstleistungen investiert.

Q4 2011 bis Q1 2012 war der Zeitraum mit der höchsten Einführungsquote neuer Produkte in der Geschichte des Unternehmens, die sich auf höhere Flexibilität in der Anwendung konzentrieren und einen noch höheren Grad an Benutzerfreundlichkeit in der Kernfunktionalität gewährleisten.

Zusätzlich wurden im Jahr 2012 Produkte für den Endverbraucher in Form von Fernzugriff auf webfähige Geräte, wie Smartphones und Tablets eingeführt. Abgesehen davon, dass wir damit ein praktisches Werkzeug für den Betriebsleiter zur Überwachung seiner eigenen Anlagen anbieten, rechtfertigt dies auch die zusätzlichen Kosten für die Fernzugriffslösung für die Endnutzer.

Im Jahr 2013 lag der Schwerpunkt auf einfachere Migration von Partnern oder Kunden, die ihre eigenen GateManager-Server, vollständig unabhängig von Secomea, haben wollen.

Im Jahr 2014 wurde die Secomea-Lösung weiter Sicherheitsoptimiert und erhielt ein Sicherheitszertifikat von einem externen Sicherheitsunternehmen, das die Lösung gemäss NIST SP800-115 & OSSTMM, BSI-Grundschutz-Katalog und IEC 62443 prüfte.

Produkt anfragen

INFORMATIONEN FÜR IT-EXPERTEN | Sicherheit hat bei uns oberste Priorität!
Sicherheit hat bei uns oberste Priorität!

1. Wie wird die Sicherheit am Produktionsstandort gewährleistet

Am Produktionsstandort wird der SiteManager installiert. Der SiteManager erhält eine IP-Adresse über einen DHCP-Server, genau wie ein PC. Der SiteManager nutzt typischerweise die bestehende Infrastruktur des Unternehmens, um ins Internet zu gelangen und um eine AES-verschlüsselte Verbindung zu einem zentralen GateManager-Server über Standard-Web-Ports (https/443) aufzubauen, genau wie ein Web-Browser das tun würde. Bei der Installation wird der SiteManager konfiguriert, um sich zu einem bestimmten GateManager (IP oder DNS) und einer bestimmten Kunden-Domain auf dem GateManager zu verbinden.

Die Verbindung basiert auf TLS und ist gegen Man-in-the-Middle-Angriffe geschützt, indem jeder GateManager ein einzigartiges TLS-Zertifikat/Schlüssel hat, zu dem der SiteManager verbindet (auch bekannt als  “Trust-on-first-use). Um die Bindung zwischen einem SiteManager und dem GateManager zu entfernen, müssen Sie explizit die GateManager-Einstellungen im SiteManager neu konfigurieren. Da ein Man-in-the-Middle dies nicht tun kann, indem er nur die Verbindung abfängt, kann er nicht die SiteManager-Verbindung zu einem anderen GateManager leiten, selbst wenn er einen hätte.

In einem normalen Setup ist der SiteManager dauerhaft verbunden und gibt dem GateManager alle 10 Minuten ein “Lebenszeichen”, damit der GateManager seine Funktion erkennt. Jedoch kann der Fernzugriff auf/von dem SiteManager zusätzlich durch den Nutzer kontrolliert werden, entweder durch das Ausschalten des SiteManager, wenn er nicht verwendet wird, oder durch den Anschluss eines Ein/Aus-Schalters auf ein Eingangssignal des SiteManagers, das die GateManager-Verbindung öffnet und schließt.

Im SiteManager konfigurieren Sie sogenannte Device-Agents, die den LinkManager-Nutzern, denen der Zugang zu den Agents gewährt wurde erlauben, mit ihrem LinkManager-Client zu den Geräten, die durch den Device-Agent vertreten werden, zu verbinden. Der LinkManager-Nutzer kann keinen konfigurierten Agenten zu anderen Geräten umleiten, es sei denn, ihm wurde speziell Zugang zur Neukonfiguration des SiteManagers gewährt. Wenn zum Beispiel ein Agent als „Siemens/Ethernet” definiert wurde, wird dieser Agent nur die Ports öffnen, welche für Siemens Geräte relevant sind. Oder wenn Sie einen PC-Agenten für einen Microsoft-Server konfigurieren, können Nutzer aus der ferne nur Zugriff auf den Remote-Desktop dieses Servers erhalten, aber zu keiner der anderen Services, die auf diesem Server laufen.

Einige unserer Kunden bewerten „Sicherheit” und „Sicherung” im gleichen Prozess. Der SiteManager ist für die verschiedenen Sicherheitsvorschriften vorbereitet, denen die industrielle Kommunikation unterliegt, wie z. B. die Richtlinie „EN415, Sicherheit von Verpackungsmaschinen”, die unter anderem verlangt, dass die Maschinenbauer sicherstellen, dass der Fernzugriff auf die Maschinen ordnungsgemäß an die Betreiber signalisiert wird. Alle SiteManager unterstützten ein Ausgangssignal, das z. B. mit einer Warnleuchte verbunden werden kann, welche die lokalen Betreibern informiert, dass eine Fernwartung im Gange ist, und dass sie beim Betrieb oder bei der Wartung der Ausrüstung besonders vorsichtig sein sollten.

 

2. Wie wird die Sicherheit im Office-Netzwerk gewährleistet

Der SiteManager hat eine Stateful Inspection Firewall zwischen dem Uplink-Port, der für den GateManager-Zugriff verwendet wird und dem Geräte-Anschluss, der zu dem Netzwerk mit den Industriegeräten verbindet. Dies bedeutet, dass keine Kommunikation aus dem Firmennetz auf das Gerätenetzwerk und umgekehrt möglich ist. Die Firewall ist so konfiguriert, dass sie jegliche Kommunikation, mit Ausnahme von autorisierten und verschlüsselten Daten, zwischen dem SiteManager und dem GateManager blockiert. Außerdem basiert der SiteManager auf einem gehärteten Betriebssystem, das verhindert, dass feindliche Personen oder Programme die Verbindung nutzen. Dieses verhindert sowohl interne als auch externe Bedrohungen.

Der SiteManager kann so konfiguriert werden, um mit dem GateManager über eine sichere Web-Proxy (einschließlich NTLM) zu verbinden, was der IT-Abteilung ermöglicht, den Zugang weiter zu steuern und zu überwachen. Die IT-Abteilung kann ausserdem entscheiden, den Zugang zum Internet, der auf der IP-Adresse oder der MAC-Adresse des SiteManager basiert zu begrenzen. Alternativ kann auch die Verbindung zu einem anderen Port (11444) begrenzt werden, was der IT-Abteilung dann ermöglicht, den Internetverkehr durch den SiteManager von dem anderer Benutzer zu unterscheiden.

Wenn die IT-Unternehmensrichtlinien jede Form des Internetzugangs über das Firmennetzwerk verbietet, haben Sie ausserdem die Möglichkeit, den SiteManager über 2G/3G/4G zu verbinden. Selbst die SiteManager-Modelle ohne integrierte Breitbandmodems können, einfach durch Einsetzen eines Standard-USB-Breitbandmodems in den SiteManager, auf das Internet zugreifen. Diese Option ist auch als vorübergehende Lösung ideal, im Fall, dass die Fernwartung von Maschinen beginnen muss, bevor der IT-Genehmigungsprozess abgeschlossen wurde.

 

3. Wie wird die Sicherheit auf der Nutzerseite gewährleistet

Der LinkManager ist die Nutzersoftware, welche auf dem PC des Technikers installiert wird.

Der LinkManager verbindet zum GateManager auf die gleiche Weise wie der SiteManager. Der LinkManager speichert das Zertifikat/den Schlüssel jedes GateManagers von dem er LinkManager-Zertifikate erhalten hat. Also wenn ein Man-in-the-Middle die Verbindung abfängt, verbindet der LinkManager einfach nicht. Kombiniert mit der Zwei-Faktoren-Sicherheit des LinkManagers (unter Verwendung eines lokalen x509-Zertifikats mit Passwort), gewährt der LinkManager maximale Sicherheit.

Bei der Anmeldung, wird der LinkManager über den virtuellen Adapter des LinkManagers auf dem PC, eine verschlüsselte Verbindung herstellen. Der Adapter ist für jeden anderen Verkehr geschlossen und lässt nur Verkehr durch, der durch die Verbindung mit GateManager generiert wird. Wenn der LinkManager-Nutzer sich anmeldet, sieht er eine Liste von Standorten und Geräten, zu denen sein Konto die Erlaubnis hat sich zu verbinden. Bei der Verbindung zu einem bestimmten Gerät, wird ein Routing-Eintrag auf dem PC erstellt, der den Zugriff auf die IP-Adresse und die spezifischen Ports des Geräte-Agenten repräsentiert.  Der LinkManager-Nutzer hat keine Möglichkeit die Verbindungen auf den LinkManger neu zu konfigurieren.

Alle Informationen über den GateManager, mit dem zu verbinden ist und dem Konto werden in einem x.509-Zertifikat verschlüsselt. Der Benutzer des LinkManagers konfiguriert daher gar nichts, sondern installiert nur die LinkManager-Software, installiert das x.509-Zertifikat und meldet sich mit dem zugehörigen Passwort an. Das reduziert auch den Support erheblich und eliminiert Sicherheitsrisiken durch Fehlkonfiguration. In der Tat ist die größte Gefahr, wenn der PC mit dem LinkManager gestohlen wird und das LinkManager-Zertifikat mit einem schwachen Passwort erstellt wurde, das eine Person leicht erraten könnte. Sollte dies tatsächlich geschehen, kann das LinkManager-Konto mit einem Klick vom GateManager-Administrator geschlossen werden.

 

4. Wie wird die Sicherheit auf dem zentralen M2M-Server gewährleistet

Im Mittelpunkt der Lösung steht der GateManager M2M-Server, der als sicherer Proxy für den SiteManager und die LinkManager-Datenverbindungen fungiert. Dieser basierend auf den Zugangsdefinitionen, die der GateManager-Administrator konfiguriert.

Der GateManager ist die einzige Komponente in der Lösung, dessen Ports dem Internet freiliegen, aber nur Verbindungen, die durch ein geeignetes x.509-Zertifikat validiert sind, werden erlaubt. Der GateManager kann sogar durch die Kombination von Passwort und Zertifikat mit einem einmaligen, per SMS empfangenem PIN-CODE, mit Drei-Faktor-Sicherheit betrieben werden. Das einzige theoretische Sicherheitsrisiko wäre, wenn ein Man-in-the-middle den privaten Schlüssel abfangen könnte. Andern-falls kann die TLS-Verbindung nicht hergestellt werden. Ein bekanntes Sicherheitsrisiko von TLS ist es, mit dem Zertifikat/Schlüssel zu starten und nach dem Handshake die TLS-Verbindung um Re-Sync zu bitten (bei anwesenheit eines Man-in-the-middle). Wir haben dies einfach dadurch beseitigt, dass wir bei unserer TLS-Implementierung kein Re-sync unterstützen, so dass der Man-in-the-middle diese TLS-Risiko nicht nutzen kann.

Sollte jemand in der Lage sein, sich Zugang zum Server zu verschaffen, auf dem der GateManager läuft, wäre es immer noch nicht möglich, zu einem der Geräte die der zentrale Proxy verwaltet zu verbinden, einfach weil die Verbindungen nicht statisch offen sind, wie bei den VPN-Lösungen. Diese Verbindungen werden nur auf Antrag eines LinkManager-Nutzers geöffnet und das nur von Programmen, die sich auf dem PC dieses LinkManagers befinden.

Auch der GateManager-Administrator muss sich mit einem Web-Browser mit Zwei-Faktor-Authentifizierung anmelden, wie bei Online-Bankinglösungen. Die wichtigsten Eigenschaften des GateManager-Administrator-Portal GUIs, ist die Erstellung von LinkManager-Benutzerkonten, die Organisation von SiteManager und Device-Agents in logische Domains und die Zugriffsgewährung auf diese Domains für bestimmte LinkManager-Nutzer. Ein wesentliches Entwicklungsziel war es, dies intuitiv zu gestalten, um das Risiko einer unbeabsichtigten Zugangsgewährung zu eliminieren. Es ist alles per Drag and Drop gesteuert und mit klaren Hinweisen, wer Zugriff auf was hat.

Grundsätzlich erfüllt die Secomea-Lösung alle Sicherheitsstandards, die durch das National Institute of Standards and Technology (https://www.nist.gov) für die Verschlüsselung und das wichtigste Schlüsselmanagement festgelegt sind. Sie bietet komplette End-to-End-Sicherheit, um sicherzustellen, dass niemand – und nichts – ohne Erlaubnis auf die Geräte zugreifen kann.

Vor allem stellt der GateManager sicher, dass alle Ereignisse protokolliert werden. Wenn ein LinkManager zu einem bestimmten Gerät eine Verbindung hergestellt hat, wenn eine Änderung der Konfiguration auf einem SiteManager gemacht wurde, wenn ein SiteManager neu gestartet wird, wenn eine Firmware aktualisiert wird, wenn eine Warnung per E-Mail oder SMS ausgelöst wurde usw. Alle diese Ereignisse werden mit Zeitstempel, Beschreibung und dem Benutzer, der das Ereignis ausgelöst hat protokolliert.

HINWEIS: Secomea bietet Hosting Ihres Kontos auf unseren GateManager-Servern. Nur autorisierte Secomea-Mitarbeiter haben Zugang zu Ihrem Konto und werden auf Ihr Konto nur im Zusammenhang mit Unterstützungsanfragen, die von einem authorisierten Repräsentanten des Kunden eingeleitet werden, zugreifen. Alle Handlungen von Secomea werden im Ereignisprotokoll Ihres Kontos aufgeführt.

Wenn die Vorschriften Ihrer IT-Richtlinien nicht zulassen, dass Dritte auf Ihre Anlagen zugreifen, oder wenn Sie Regelungen haben, die eine Abhängigkeit von Dritten nicht erlauben, können Sie Ihren eigegenen GateManager-Server hosten. Ein GateManager wird entweder als ein virtuelles Image zur Verfügung gestellt, das auf einem ESXi, VMWare oder HyperV-Server installiert wird, oder als Stand-alone-Server-Hardware mit einem speziellen gehärteten Betriebssystem, das die Notwendigkeit beseitigt Ihr OS mit Sicherheits-Patches auf dem neuesten Stand zu halten.

Produkt anfragen

Secomea Technologie Schema

DIE SECOMEA LÖSUNG VS. TRADITIONELLER VPN
Durchgängige Lösung für jede Anwendung

WIE ÜBERWINDET MAN DIE BEGRENZUNGEN VON TRADITIONELLEM VPN?

Secomeas “Relay VPN” und traditionellen VPN dienen grundsätzlich dem gleichen Zweck. Beide ermöglichen zwei IP-fähige Geräte sicher per Fernzugriff über das Internet miteinander zu kommunizieren, genau als wären die Geräte im gleichen physischen Netzwerk miteinander verbunden. Obwohl traditionellen VPN weit verbreitet ist und den allgemeinen Zweck der Verbindung von entfernten Netzwerken ganz gut erfüllt, hat es einige gravierende Nachteile für die Geräteüberwachung und das Gerätemanagement aus der ferne. Secomeas erste Generation basierte auf traditionellem VPN aber mit deutlicher Optimierung auf die Schaffung von Tunneln. Die aktuelle Lösung der 3. Generation wurde jedoch zu einer Internet-basierten Technologie entwickelt, die speziell auf die Sicherheit und Anforderungen an die Benutzerfreundlichkeit bei der Verknüpfung von Service-Ingenieuren mit Industrieanlagen abzielt.

1.   Subnetz-Konflikte:
– Netzwerke, die über traditionelle VPN verbunden sind, dürfen nicht das gleiche lokale Subnetz benutzen. Aber ein Maschinenbauer/Systemintegrator, der eine Vielzahl von Kundeninstallationen verwaltet, ist gebunden, sich an vielen Standorten mit der gleichen Subnetzadresse anzumelden. Anfragen beim Kunden, seine Adress-Schemata zu ändern, ist selten eine Option und jonglieren mit NAT-Regeln, um vorhandene Adress-Schemata zu umgehen, kann einfach zum Alptraum werden.
– Mit den Secomea Relay VPN könnten alle Standorte das gleiche Subnetz haben und alle Anlagen die gleiche IP-Adresse. Der Ingenieur und das Gerät sind einfach mit Ihrer IP-Adresse miteinander verlinkt.

2.   Vorkonfigurierte Verbindungen sind erforderlich:
– Verbindungen zwischen traditionellen VPN-Peers können nicht dynamisch auf Anfrage hergestellt werden, sondern müssen vorher konfiguriert werden. Dies erfordert die Hilfe von IT-Personal und verbraucht Zeit – jedes Mal.
– Sobald der Ingenieur mit dem LinkManager-Client über ein, durch sein persönliches x.509-Zertifikat, verifizierten Account auf dem GateManager verfügt, kann der GateManager-Administrator durch Point-and-Click-Assoziierung, das Konto mit genau dem Standort oder einer Gruppe von Geräten verbinden, zu denen der Techniker Zugang haben sollte. Dies wird sofort in die Liste der Standorte im LinkManager-Client eingetragen und die Liste aktualisiert.

3.   Erweiterte Routing Herausforderungen:
– Anschließen von zwei Netzwerken mit traditionellen VPN über einen zentralen VPN-Konzentrator erfordert Konfiguration und Verwaltung der erweiterten Routing-Regeln für die Weiterleitung. Zusätzliches Routing-Equipment muss in der Regel in der Lage sein, NAT-T- und UDP-Kapselung zu unterstützen.
–  Relay VPN verwendet kein Routing und daher sind keine NAT-Regeln erforderlich. IP-Adressen werden einfach über einen zentralen Proxy-Server verbunden. Traditionalle VPN ist für Eins-zu-Eins oder Viele-zu-Eins-Verbindungen geeignet, aber nicht für Eins-zu-Viele (ein Ingenieur zu vielen Standorten) oder Viele-zu-Viele (viele Ingenieure zu vielen Standorten). Die Fernzugangslösung von Secomea verwaltet leicht Tausende von Ingenieuren, die Zugriff auf Tausende von Standorten brauchen, einschließlich der Verwaltung von individuellen Zugriffsrechten und begrenzt dabei sogar den Zugriff auf bestimmte Arten von Geräten oder bestimmte Protokolle/Dienste der Anlage.

4.   Herausforderungen bei der Firewallöffnung:
– IPSec basiertes VPN benötigt spezielle offene Ports und offene Protokoll in Firewalls, um durch sie zu kommunizieren.
– Alle Verbindungen des SiteManagers und LinkManagers werden von innen heraus gestartet, dabei werden nur Standard-Web-Ports verwendet (z. B. 443). Alle diese verschlüsselten Verbindungen enden am zentralen, Internet-basierten GateManager-Server und durch diese verschlüsselten Verbindungen, werden die Verknüpfungen zwischen Ingenieuren und Geräten dynamisch aufgebaut.

5.   Herausforderungen bei der Firewallblockierung:
– VPN routet alles und nicht nur die Protokolle, die Sie benötigen, ausser, wenn die Bemühungen zur Erstellung und Verwaltung einer Reihe von Firewall-Regeln auch wirklich umgesetzt werden.
– Die Geräte-Agenten, die auf dem SiteManager definiert werden, sind automatisch begrenzt auf den Zugang zu Ports oder Dienstleistungen, die für den Agententyp definiert sind, zum Beispiel bei der Definition eines Beckhoff PLC-Agenten auf dem SiteManager, sind die Ports, die geöffnet werden, TCP-Port 987, 5120, 48897 -48899 und UDP 48898-48899. Nur diese Ports werden aktiviert, wenn ein LinkManager sich mit dem Agenten verbindet, der Beckhoff PLC repräsentiert.

6.   Zertifikatmanagement:
– Gute VPN basiert in der Regel auf x.509-Zertifikaten, die von einer Certificate Authority (CA) ausgetauscht oder signiert werden. Dies erfordert Verwaltungsaufwand und erschwert das Einrichten einzelner Verbindungen.
– Der GateManager fungiert als CA-Authority für den SiteManager sowie die LinkManager-Clients. Der Client-Zugriff wird durch ein Zwei-Faktor-System (Zertifikat und Passwort), das von Internet-Banking-Lösungen bekannt ist, gesichert. Aber das x.509-Zertifikat der Secomea-Lösung ist nicht nur eine Sicherheitsmaßnahme. Mit der Einführung von LinkManager haben wir dem Zertifikat alle Konfigurationsdaten-Details beigefügt und dadurch die Notwendigkeit der Konfiguration für den Anwender eliminiert. Installieren Sie den LinkManager sowie das Zertifikat und der LinkManager erkennt, wohin er verbinden muss. Es wird keine weitere Konfiguration des LinkManagers benötigt.

7.   Aktivitäts-Protokollierung:
– Das Prinzip der traditionellen VPN ist es, zwei Netzwerke miteinander zu verbinden, damit alles zwischen den beiden Peers zugänglich wird. Daher wird die Protokollierung allenfalls beim Verbindungsaufbau durchgeführt, aber sobald die Verbindung steht wird nichts mehr protokolliert.
– Der GateManager-Server wird nicht nur zentral protokollieren, wer die Verbindung hergestellt hat und wohin, sondern auch wann die Verbindung hergestellt wurde, und welche Leistungen abgerufen wurden. Das Protokoll wird zentral auf dem GateManager gehalten, kann nicht von Administratoren gelöscht werden und kann daher als Beweismittel im Fall von Rechtsstreitigkeiten dienen.

8.   Verwalten des „Konzentrators”
– Typische IPSec-basierte VPN-Lösungen erfordern einen IT-verwalteten Konzentrator, da Netzwerkkenntnisse erforderlich sind. Außerdem müssen individuelle Konzentratoren typischerweise bei jedem Dienstanbieter installiert werden, um sehr komplexe triangulare Routing- und Firewall-Einstellungen zu vermeiden. SSL VPN-basierte Lösungen, räumen einige der Fragen von IPSec basierten VPNs aus, aber erweiterte Routing- und Firewall-Konfigurationsregeln sind keine Services, die dem Kunden bei gehostete Lösungen offengelegt werden.
– Der „Konzentrator” für die Fernzugriffslösung von Secomea ist ein zentraler Dienst in Form des GateManager-Servers, auf dem jeder Dienstleistungserbringer ein isoliertes Konto bekommt. Hier werden vom Administrator Account-Zertifikate zugeteilt, seine Anlagen und Benutzer in Domain-Strukturen organisiert und dynamisch gesteuert, zu welchen Anlagen und welchen Standorten jeder Serviceingenieur Zugang haben sollte. Es sind keine Netzwerk- oder andere IT-Fähigkeiten erforderlich.

Produkt anfragen

Secomea Technologie Schema

DIE SECOMEA LÖSUNG VS. WÄHLLEITUNGSMODEMS
State-of-the-Arts Fernwartungs Technologie

WIE KÖNNEN DIE VORTEILE VON WÄHLLEITUNGSMODEMS GENUTZT WERDEN

Dial-up-Modems werden seit Jahrzehnten erfolgreich eingesetzt. Viele Internetbasierte Lösungsversuche wurden unternommen, um die offensichtlichen Nachteile zu beseitigen aber dies erfolgte oft auch auf Kosten der Vorteile des Wählleitungsmodem-Konzepts.

Die Secomea-Lösung wurde entwickelt, mit dem Workflow der Wählleitungsmodem-Lösungen im Hinterkopf. Sie sollte nicht nur einfach zu verstehen sein, sondern auch einfach zu installieren und zu verwalten. Dabei natürlich auch immer die Sicherheitsaspekte einschliessen.

 

1.   Verbesserung der Geschwindigkeit
– Das offensichtliche Problem einer Wählleitungsverbindung ist die niedrige Geschwindigkeit der traditionellen analogen Leitungen. Neue Maschinen erfordern größere PLC/HMI-Programme folglich ist die Übertragungszeit kritisch.
– Die Nutzung des Internets als Datenträger ist die offensichtliche Wahl für jede Fernzugangslösung.

 

2.   Wiederverwendung der bestehenden Internet-Infrastruktur
– Wählleitungsmodem-Lösungen brauchen natürlich eine Telefonleitung sowohl für den Servicetechniker als auch am Anlagenstandort. Die Etablierung einer neuen analogen Telefonleitung ist teuer und dauert in der Regel Wochen von der Bestellung bis zur Installation, wenn sie überhaupt hergestellt werden kann. Zusätzlich müssen Sie in der Regel Gebühren und Minutenpreise zahlen.
– Die Secomea-Lösung nutzt die bestehende IT-Infrastruktur sowohl für Serviceingenieure als auch für SiteManager. Der SiteManager kann durch die Netzwerk-Firewall des Unternehmens nach außen verbinden und auch eine vollständige Trennung zwischen dem Unternehmensnetzwerk und dem technischen Netzwerk-Hosting der Industrieanlagen herstellen. Auch LinkManager-Nutzer, die vollen Zugriff auf alle Anlagen im technischen Netzwerk haben, bekommen keinen Zugriff auf das Unternehmensnetzwerk. Optional kann der SiteManager einen separaten Zugang in Form eines 2G/3G/4G Moduls verwenden.

 

3.   Automatisieren des „Telefonbuchs”
– Wählleitungslösungen sind konzeptionell einfach zu verstehen und zu verwalten. Jeder Standort verfügt über eine einzigartige öffentliche Telefonnummer. Wählleitungslösungen machen in der Regel Gebrauch von einer Excel-Tabelle mit Dial-up-Nummern und Passwörter, das unter den Serviceingenieuren verteilt wird. Hinzufügen eines neuen Standorts erfordert jedoch die Aktualisierung des “Telefonbuchs”. Typischerweise wird das gesamte “Telefonbuch” an alle Serviceingenieure verteilt, auch wenn der Serviceingenieur nur den Zugriff auf ein paar Standorte benötigt.
– In der Secomea-Lösung wird das „Telefonbuch”, durch Zuordnung der Kundenstandorte und Anlagengruppen zu den LinkManager-Konten zentral verwaltet. Wenn der Serviceingenieur sich mit seinem LinkManager verbindet, sieht er nur, was der Administrator ihn sehen lässt. Wenn der Administrator dem Konto ein neues Gerät oder Kundenstandort zuordnet, steht dieses sofort für den LinkManager-Nutzer zur Verbindung zur Verfügung. Außerdem benötigt seine Zwei-Wege-Authentifizierung (Zertifikate und Passwort), für die LinkManager Anmeldung, keine weiteren Passwörter für die zusätzlichen Geräte, für welche dem Nutzer der Zugang erteilt wurde.

 

4.   Zulassung mehrerer gleichzeitiger Verbindungen
– Wählleitungsmodems begrenzen die Anzahl der gleichzeitigen Nutzer. Typischerweise ist die Leitung besetzt, wenn ein Nutzer versucht, eine Verbindung herzustellen, während ein anderer Nutzer online ist. Dies kann akzeptabel sein, wenn das Modem einem Dienst auf dem Computer zugeordnet ist, aber nicht, wenn das Modem eine Anlaufstelle für mehrere Dienste auf dem Gerät sein soll.
– Die SiteManager ermöglichen den gleichzeitigen Zugriff durch mehrere Nutzer, zu mehreren Diensten auf dem gleichen Gerät (http, Remote Desktop, SPS-Programmierung, HMI-Programmierung, SCADA-Systeme, Telnet, FTP usw.). Außerdem unterstützen die SiteManager den Zugriff auf mehrere Rechner am gleichen Standort. Zusätzlich stellt das Secomea Account-Management sicher, dass auf der gleichen Maschine ein LinkManager-Nutzer nur auf bestimmte Dienste (z. B. http) zugreifen kann und ein anderer LinkManager-Nutzer auf andere Dienste (z. B. SPS-Programmierungs-Ports) Zugriff hat.

 

5.   Widerruf des Zugriffs von ehemaligen Mitarbeitern
– Ein bekanntes Problem der Wählleitungsmodems ist die Frage der Sicherheit, wenn Serviceingenieure das Unternehmen verlassen, da sie Zugang zu Telefonnummern und Passwörter haben. Ein verärgerter ehemaliger Mitarbeiter kann also viel Schaden anrichten.
– Wenn ein Nutzer der Secomea-Lösung das Unternehmen verlässt, deaktiviert der Administrator den zugehörigen Account und das Zertifikat des Nutzers wird sofort ungültig. Alternativ kann der Administrator auch ein zeitlich begrenztes Zertifikat erteilen, das nach Ablauf von z. B. einem Tag oder eine Woche verfällt.

Produkt anfragen

Online Anfrage