audako IoT Plattform ist sicher… und wie sicher, werden Ihnen die nächsten Abschnitte aufzeigen. Klar, IT-Sicherheit ist in jedem Munde und vermutlich kennt das doch sogar schon jeder Laie: Schutz vor Cyber-Angriffen ist wichtig, der Einsatz bester Sicherheitssoftware ist unausweichlich und da war doch noch was mit den vielen gesetzlichen Vorgaben für IT-Sicherheit. Ganz massiv trifft letztere auf KRITIS-Betreiber zu. Aber selbst als IT-Professional, ist es nicht immer so ganz einfach den Vorschriften-Dschungel zu durchqueren. Dann ist es doch besser, auf eine IoT Plattform zuzugreifen, die von Experten auf diesem Gebiet gebaut wurde.
Die Weiterentwicklung unserer sicheren und modularen audako IoT Plattform 4.0 basierte auf Grundlage von Anforderungen zur Gewährleistung eines angemessenen Schutzes für einen sicheren Netzbetrieb, der von der Bundesregierung im August 2015 über den IT-Sicherheitskatalog gemäß § 11 Absatz 1a EnWG, speziell für die Infrastruktur, verabschiedet wurde. Die ISO 27001 Zertifizierung ist der gelungene Beweis für unser Können. Unsere Expertisen in Sachen IT-Sicherheit gingen noch weiter, selbst jedes Unternehmen mit Automatisierungsprozessen und Gebäudebetreiber profitieren vom audako Sicherheitskonzept. Denn Ihr Datenmanagement ist bei uns in guten Händen. Wir möchten, dass Sie sich auf Ihr Kerngeschäft konzentrieren und sich keine Sorgen mehr um Datensicherheit machen müssen. Paragraphen-Phobien gehören der Vergangenheit an.
Wenn Sie Entwickler oder ein anderer IT-Professional sind und sich fragen, was macht audako in ihrer technischen Architektur so sicher gegen Angriffe von außen, dann sind Sie in diesem Blog Beitrag gut aufgehoben. Oder Sie suchen als Experte eine sichere Plattform 4.0 für Ihren Kunden, den Sie ebenso von audako überzeugen müssen, dann sollten Sie einfach dranbleiben:
Alle Komponenten der audako IoT Plattform wurden mit modernster Softwarearchitektur entwickelt und lassen sich beliebig skalieren. Sowohl die Last teilt sich auf die Anzahl der laufenden Komponenten gleicher Art auf wie auch jede gleichartige Komponente nahtlos den Dienst der ausfallenden Komponente übernimmt.
Die Skalierung kann pro Komponente vorgenommen werden. Unterschiedliche Applikationen nutzen die zugrunde liegenden Komponenten unterschiedlich stark. Bei Applikationen mit dem Schwerpunkt auf historischen Daten bspw. kann unser audako Historian, welcher für die Speicherung und das zur Verfügung stellen von diesen Daten zuständig ist, auf weitere Serversysteme skaliert werden, während alle anderen Komponenten weiterhin lediglich einfach im Gesamtsystem vorhanden sind.
Georedundanz bedeutet die Nutzung von zwei Rechenzentren zum redundanten Betrieb einer Plattform, die sich gemäß Anforderungen des BSI mindestens 200 Kilometer voneinander entfernt befinden. Die audako IoT Plattform unterstützt diesen Betrieb über Rechenzentrumsgrenzen hinweg und ist dabei weder in der Zahl der genutzten Rechenzentren begrenzt noch auf besonders schnelle Verbindungen zwischen den Rechenzentren angewiesen.
Egal, ob normaler Benutzer, Betriebsleiter oder Projektierer: alle greifen über die verschlüsselt übertragene Weboberfläche auf die Plattform zu. Bei der HTTPS-/SSL-Verschlüsselung wird auf den modernsten TLS-Standard in der Version 1.3 gesetzt. Die Datenübertragung zwischen der Plattform und den IoT Edge Gateways wird ebenso verschlüsselt. Die Anbindung der IoT Edge Gateways an das zentrale Netzwerk, in welchem die audako IoT Plattform betrieben wird, erfolgt mittels dem etablierten OpenVPN, auf Kundenwunsch kann hier allerdings auch IPsec eingesetzt werden.
Es erfolgt kein Einsatz von Vermittlern oder anderen Dritten in der Kommunikation, sodass die Kommunikation tatsächlich End-To-End erfolgt. Es wird weder ein Cloud-Dienst von narz systems noch von Dritten benötigt, wenn der Kunde sich entscheidet seine IoT Plattform selbstständig zu betreiben. Neben der Kommunikation zwischen den technischen Komponenten wird auch bei der Übertragung von Ereignissen per Fernalarmierung auf Verschlüsselung und die Vermeidung von Dritten in der Kommunikation gesetzt.
Durch sichere IoT Edge Gateways werden OT-Komponenten komplett abgeschottet. IoT Edge Gateways wie unser audako IoT Gateway trennen SPS-Steuerungen und andere Komponenten vom Internet und stellen dennoch einen sicheren Kommunikationskanal zwischen diesen und der audako IoT Plattform her. Unsere IoT Edge Gateways basieren auf einem aktuellen und sicheren Linux-Kernel mit den minimalst notwendigen Kernelmodulen und verfügen auf den WAN-Schnittstellen über keine geöffneten Ports. Zur Verwaltung der Gateways dient eine per verschlüsselter Kommunikation bereitgestellte Weboberfläche. Im Gateway werden die unterschiedlichsten Protokolle aus der Feldebene in ein standardisiertes Protokoll zur Kommunikation mit der audako IoT Plattform umgesetzt. Das zentralisierte Management der IoT Gateways dient dazu diese immer auf dem aktuellen Stand der Software zu halten und so für Sicherheit zu sorgen.
Zu einer modernen Plattform gehört ein ebenso modernes, zentrales Identitätsmanagement. Die audako IoT Plattform nutzt ein Identitäts- und Zugriffsmanagement, welches die aktuellsten, sicheren Standard in diesem Bereich implementiert. Dazu gehören bspw. OpenID Connect und OAuth 2.0.
Selbstverständlich gehören zum Identitätsmanagement sichere Passwortrichtlinien, die darüber bestimmen wie sicher Benutzer ihr Passwort gestalten müssen und wie oft sie dies ändern müssen. Weiter ermöglicht der Einsatz von einem zweiten Faktor zur Authentifizierung von Benutzern eine große Steigerung des Schutzes vor Hackern und Betrügern.
Das zentrale Identitätsmanagement kann außerdem für mehrere Instanzen der audako IoT Plattform eingesetzt werden und unterstützt darüber hinaus ein Single-Sign-On über die verschiedenen Instanzen hinweg. Für den Einsatz im Unternehmensnetzwerk besteht die Möglichkeit einer Anbindung des Identitätsmanagements von audako an LDAP- oder Active-Directory-Verzeichnisdienste.
narz systems stellt die benötigten Softwarekomponenten für audako Umgebungen in Form von Containern zur Verfügung. Container trennen die Laufzeitumgebung einer Anwendung von der eigentlichen Hostumgebung des Rechnersystems.
Die Container werden im Rahmen des Entwicklungsprozesses auf sogenannten Basis-Images erstellt. Diese Basis-Images stellen eine minimalst lauffähige Linux-Umgebung dar und bilden aufgrund der sehr eingeschränkten Funktionalität eine ebenso kleinstmögliche Angriffsfläche für mögliche Sicherheitslücken. Die Basis-Images verzichten auf sämtliche unnötige Teile des Linux-Kernels und bringen keine vorinstallierten Anwendungen mit. Die zur Verfügung gestellten Container beinhalten neben diesem Basis-Image dann lediglich die für den jeweiligen Container angedachte Softwarekomponente. Im Betrieb werden zwischen dem Container und dem Hostsystem nur absolut notwendige Dateien sowie Netzwerk-Ports ausgetauscht bzw. freigegeben.
Die Images für die Container werden im Rahmen eines ISO 27001 zertifizierten Prozesses in einem nicht-öffentlichen und nur Kunden zugänglichen Software-Depot zur Verfügung gestellt. Damit wird im Gegensatz zur Bereitstellung mit Hilfe öffentlicher Software-Depots der Containerisierungs-Anbieter vermieden, dass ungeprüfte oder gar schadhafte Anwendungen den Weg auf die Systeme finden.
Containerumgebungen können nicht über einen herkömmlichen Installationsprozess mit Sicherheitsupdates & Patches versorgt werden. In Containerumgebunden erfolgt das Aktualisieren der Container durch den Austausch des kompletten Images, dabei bleiben die Anwendungsdaten selbstverständlich erhalten. Durch narz systems werden permanent freigegebene, getestete Container-Images auf dem aktuellsten Stand mit allen verfügbaren Sicherheitsupdates & Patches zur Verfügung gestellt. Die Containerumgebung kann dabei so konfiguriert werden, dass Container, zu denen ein neues Image zur Verfügung steht, vollautomatisch aktualisiert werden.
Die audako IoT Plattform basiert im kompletten Funktionsumfang auf reiner HTML5-Technologie und benötigt keinerlei Installationen, Plugins und Addons auf Seite der Nutzer. Ebenso ist das komplette Engineering webbasiert und benötigt zugleich nur einen kompatiblen Webbrowser zur Projektierung.
Durch diesen konsequenten Verzicht auf clientseitige Zusatzkomponenten wird eine Vielzahl von Sicherheitslücken bereits kategorisch vermieden. Gepaart mit den vielen weiteren Maßnahmen, die wir zum Schutz der Nutzer und der Applikationen bereits an anderer Stelle getroffen haben, bieten wir ein sehr hohes Schutzniveau für unsere Kunden.