AT15082U1 - Vorrichtung und Verfahren zur Übermittlung von Daten - Google Patents

Vorrichtung und Verfahren zur Übermittlung von Daten Download PDF

Info

Publication number
AT15082U1
AT15082U1 ATGM50132/2016U AT501322016U AT15082U1 AT 15082 U1 AT15082 U1 AT 15082U1 AT 501322016 U AT501322016 U AT 501322016U AT 15082 U1 AT15082 U1 AT 15082U1
Authority
AT
Austria
Prior art keywords
data
certificate
communication
memory area
interface
Prior art date
Application number
ATGM50132/2016U
Other languages
English (en)
Inventor
Ing Andreas Aldrian Dipl
Original Assignee
Avl List Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Avl List Gmbh filed Critical Avl List Gmbh
Priority to ATGM50132/2016U priority Critical patent/AT15082U1/de
Publication of AT15082U1 publication Critical patent/AT15082U1/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS] or computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/32Operator till task planning
    • G05B2219/32126Hyperlink, access to program modules and to hardware modules in www, web server, browser
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

Die Erfindung betrifft eine Vorrichtung (1) zur Übermittlung von Daten zwischen zumindest einer Daten generierenden Einheit (2a-2f) und einer fernen Kommunikationseinheit (5a-5c). Die Vorrichtung (1) weist zumindest eine Schnittstelle (6a-6d) für ein webfähiges Kommunikationsprotokoll zur gesicherten Kommunikation mit der fernen Kommunikationseinheit (5a- 5c) über ein nicht proprietäres und vorzugsweise öffentlich zugängliches Netzwerk (7) und zumindest eine Schnittstelle (8a-8i) für ein hardwarenahes Kommunikationsprotokoll zur Kommunikation mit der Daten generierenden Einheit (2a-2f) auf. Weiters weist die Vorrichtung einen Sicherheitskontroller (9) auf, der zur Steuerung der Kommunikation über die Webfähige(n) Schnittstelle(n) (6a-6d) und über die hardwarenahe(n) Schnittstelle(n) (8a-8i) fähig ist, wobei dem Sicherheitscontroller (9) ein sicherer Speicher (10) zugeordnet ist, der definierte Speicherbereiche (A, B, C, D) aufweist. Zumindest einem Speicherbereich (A, B, C, D) ist zumindest ein Zertifikat (a, b, c) zugeordnet.

Description

Beschreibung
VORRICHTUNG UND VERFAHREN ZUR ÜBERMITTLUNG VON DATEN
[0001] Die Erfindung betrifft eine Vorrichtung zur Übermittlung von Daten zwischen zumindest einer Daten generierenden Einheit und einer fernen Kommunikationseinheit, wobei die Vorrichtung zumindest eine Schnittstelle für ein webfähiges Kommunikationsprotokoll zur gesicherten Kommunikation mit der fernen Kommunikationseinheit über ein nicht proprietäres und vorzugsweise öffentlich zugängliches Netzwerk und zumindest eine Schnittstelle für ein hardwarenahes Kommunikationsprotokoll zur Kommunikation mit der Daten generierenden Einheit aufweist. Weiters betrifft die Erfindung ein Verfahren zur Übermittlung von Daten zwischen einer solchen Vorrichtung und einer fernen Kommunikationseinheit.
[0002] Die technische Entwicklung in der Kommunikationstechnologie ermöglicht zunehmend Dienstleistungen, die noch vor kurzen unmöglich waren, da mittlerweile immer mehr technische Gegenstände in der Lage sind, Daten über das Internet zu übermitteln und zum Beispiel Steuerbefehle von der Ferne über das Internet zu erhalten. Beispiele dafür sind die Fernsteuerung einer Heizungsanlage vom Smartphone aus, oder im industriellen Bereich die Überwachung und Fernwartung von Produkten.
[0003] E in wichtiger Bereich dieser neuen Strategien wird als „Smart Services" bezeichnet, wobei darunter Dienstleistungen zu verstehen sind, die von einem Hersteller oder Dienstleistungsanbieter über das Internet an Geräten und Einrichtungen eines Kunden vorgenommen werden. Ein Problem besteht jedoch darin, dass die Voraussetzungen für solche Dienstleistungen oftmals noch geschaffen werden müssen, da die erforderliche serviceorientierte Architektur (SOA) noch nicht vorhanden ist.
[0004] Eine Voraussetzung für die Implementierung einer serviceorientierten Architektur liegt darin, dass alle eingebundenen Geräte auf irgendeine Weise zu einer Web-fähigen Kommunikation fähig sein müssen. Als „Web-fähig" werden im Zusammenhang mit der gegenständlichen Anmeldung Protokolle angesehen, die es erlauben, eine sicherbare, vorzugsweise AAA- Konforme und verschlüsselungsfähige Kommunikationsverbindung über offene, also Dritten zugängliche, Netzwerke, insbesondere das Internet aufzubauen und Datenverkehr darüber abzuwickeln. Der Protokollstapel eines Web-fähigen Protokolls bildet dabei alle 7 Schichten des OSI-Referenzmodells ab.
[0005] Hochkomplexe industrielle Anlagen, zum Beispiel zur Produktion oder zur Durchführung von Tests, umfassen im Allgemeinen Geräte zahlreiche Hersteller, wobei mehrere Spezialisten für die Wartung der einzelnen Komponenten zuständig sind. Für den Hersteller solcher Komponenten ist es von größtem Interesse, Informationen über die Nutzung seines Produkts vom Kunden zu erhalten, einerseits um Daten für die Weiterentwicklung zu erhalten, andererseits um angepasste Wartungs- und Servicestrategien anbieten zu können, die auch für den Kunden von Vorteil sind.
[0006] In Industriellen Umgebungen bestehen vor allem drei große Problemgruppen, die die Umsetzung verzögern: [0007] Erstens sind, im Gegensatz zu Consumer-Produkten, wie etwa Smartphones, viele Komponenten industrieller Systeme sehr spezifisch für ihre jeweilige Anwendung bestimmt und verfügen oft nur über sehr eingeschränkte Kommunikationsmöglichkeiten, von einer einfachen kabelgebundenen Analog-Signalausgabe, über Feldbusse, wie etwa CAN oder Profibus, bis hin zu einfachen Netzwerksystemen, wie etwa Ethernet. Hinsichtlich des OSI-Schichtmodells sind solche hardwarenahen Kommunikationsprotolle meist in den Schichten 1,2 und 3 einzuordnen. Solche Verbindungslösungen sind nur für lokale Netzwerke geeignet und es mangelt ihnen an Sicherheitssystemen. Eine Anbindung an das Internet wäre bei solchen Systemen nur über Gateways möglich, aber dadurch würde das System einer erheblichen Gefahr von Angriffen ausgesetzt, insbesondere wenn Dritten, also beispielsweise einem Serviceanbieter, ein Zugriff auf Daten des Systems eingeräumt werden soll. Daher werden solche Systeme nur isoliert AT 15 082 U1 2016-12-15
issjerreidsste paifiKta^t verwendet und diese isolierte Architektur schließt die Einbindung in eine serviceorientierte Architektur aus.
[0008] Zweitens handelt es sich meist um gewachsene Systeme, bei denen Bauelemente mehrerer Generationen gemeinsam verwendet werden. Aufgrund der langen Lebensdauer industrieller Komponenten können diese oft über Jahrzehnte im Einsatz sein. Alle Komponenten einer Anlage gleichzeitig gegen „internetfähige“ Geräte auszutauschen, kommt jedoch aus Kostengründen meist nicht in Frage und würde weitere Sicherheitsprobleme aufwerfen.
[0009] Drittens handelt es sich bei den Systemdaten oft um hochsensible Daten, die vor den Konkurrenten geheim gehalten werden sollen, und die oft auch nicht an die Hersteller der Systeme oder an Serviceanbieter herausgegeben werden sollen. Es ist für Firmen von großer Wichtigkeit, dass sie über die Nutzung ihrer Daten jederzeit bestimmen können. Aus naheliegenden Gründen der Datensicherheit kommen daher Kommunikationssysteme, die für Konsumenten geschaffen wurden, für industrielle Zwecke meist nicht in Frage.
[0010] Die gegenständliche Erfindung zielt darauf ab, die Nachteile des Standes der Technik zu überwinden. Insbesondere soll es möglich sein, auch Geräte in eine serviceorientierte Architektur einzubinden, die nur über hardwarenahe Kommunikationsprotokolle kommunizieren können. Dennoch muss ein Zugriff auf diese Geräte durch Unbefugte ausgeschlossen werden können. Erfindungsgemäß sollen dabei auch bestehende, alte Geräte die noch in Verwendung sind, in die serviceorientierte Architektur eingebunden werden können. Als weitere Sicherheitsanforderung soll es erfindungsgemäß einfach und nachvollziehbar möglich sein, die Datenzugriffsberechtigungen für alle Beteiligten genau festzulegen.
[0011] Als „hardwarenahe Kommunikationsprotokolle“ werden im Zusammenhang mit der gegenständlichen Beschreibung allgemein Kommunikationsprotokolle bezeichnet, deren Schichtaufbau bzw. Protokollstapel nicht alle 7 Schichten des OSI-Modells umfasst, insbesondere Protokolle, die keine Darstellungsschicht (Schicht 6) aufweisen, und daher weder eine systemübergreifende Kommunikation, noch eine Datenverschlüsselung erlauben. Ein Merkmal hardwarenaher Kommunikationsprotokolle ist es, dass sie keine Implementierung von Sicherheitsprotokollen ermöglichen, die eine zuverlässige, gesicherte Kommunikation über verteilte (Cloud-)Netzwerke erlauben würde.
[0012] Bestehende Kommunikationsschnittstellen für hardwarenahe Protokolle, die beispielsweise eine Feldbus-Technologie oder eine Punkt-zu-Punkt-Ethernetverbindung nutzen können, sind daher auf das bloße Minium der 7 Schichten des OSI-Modells beschränkt. Besonders einfache hardwarenahe Kommunikationsprotokolle nutzen lediglich die Bitübertragungsschicht (Schicht 1) oder eine Kombination von Bitübertragungs- und Sicherungsschicht (Schicht 2).
[0013] Zu Beispielen für Protokolle der Bitübertragungsschicht zählen V.24, V.28, X.21, RS 232, RS 422, RS 423 oder RS 499. Zu Beispielen, die Kombinationen aus Schicht 1 und 2, oder nur Schicht 2, nutzen, zählen das Ethernet-Protokoll, HDLC, SDLC, DDCMP, IEEE 802.2 (LLC), ARP, RARP, STP, IEEE 802.11 (WLAN), IEEE 802.4 (Token Bus), IEEE 802.5 (Token Ring) oder FDDI.
[0014] Zusätzlich können in hardwarenahen Kommunikationsprotokollen auch Protokolle höherer Schichten Verwendung finden. Zu Beispielen von Protokollen der Schichten 3 bis 5 zählen X.25, ISO 8208, ISO 8473 (CLNP), ISO 9542 (ESIS), IP, IPsec, ICMP, ISO 8073/X.224, ISO 8602, TCP, UDP, SCTP, ISO 8326 / X.215 (Session Service), ISO 8327 / X.225 (Connection-Oriented Session Protocol) oder ISO 9548 (Connectionless Session Protocol).
[0015] Zu Beispielen von hardwarenahen Kommunikationsprotokollen, die insbesondere für industrielle Anwendungen im Bereich von Testumgebungen, zum Beispiel im Automobilbereich, genutzt werden, zählen unter anderem das AK-Protokoll über RS232, CANopen über CAN und Profibus-DP über RS485. Besonders das AK-Protokoll des „Verbands der Automobilindustrie e.V. / Arbeitskreis Techniken zur Standardisierung der Abgasmessung“ ist immer noch ein de facto Standard bei vielen Testanlagen im Automobilbereich. Es wurde als einfaches Protokoll für die hardwarenahe Datenübertragung geschaffen und bietet keine Möglichkeiten, ein Triple- 2/13 AT 15 082 U1 2016-12-15 ssieisidsste A-System (Authentication, Autorization, Accounting - AAA) umzusetzen.
[0016] Erfindungsgemäß werden die oben definierten Ziele durch eine Vorrichtung der eingangs genannten Art erreicht, die einen Sicherheitskontroller aufweist, der zur Steuerung der Kommunikation über die Web-fähige(n) Schnittstelle(n) und über die hardwarenahe(n) Schnittstellein) fähig ist, wobei dem Sicherheitscontroller ein sicherer Speicher zugeordnet ist, der definierte Speicherbereiche aufweist, wobei zumindest einem Speicherbereich zumindest ein Zertifikat zugeordnet ist. Eine solche Vorrichtung kann über die hardwarenahen Schnittstellen mit den Daten generierenden Einheiten, also insbesondere mit einzelnen Komponenten der Anlage, die in die serviceorientierte Architektur eingebunden werden sollen, über deren hardwarenahe Kommunikationsprotokolle kommunizieren und entsprechende Daten generieren, die in einem bestimmten Speicherbereich abgelegt werden. Um die Daten abzurufen, kann von der fernen Kommunikationseinheit eine Fernabfrage über die Web-fähige Schnittstelle durchgeführt werden, wobei die Berechtigung zur Abfrage über das Zertifikat geprüft werden kann. Für jeden Speicherbereich können die jeweilig zugriffsberechtigten Zertifikate (bzw. die „Zertifikatsbegünstigten", die über dieses Zertifikat verfügen) einzeln festgelegt werden.
[0017] Ein Zertifikat bezeichnet allgemein ein Objekt, über das das Vertrauen und die Zuorden-barkeit/Nichtabstreitbarkeit einer Person oder Instanz sichergestellt werden kann. Dies betrifft insbesondere die Schritte der Authentifizierung und Autorisierung der sogenannten AAA- Konformität. Zertifikate können insbesondere zur Transport- und Zugriffsabsicherung verwendet werden. Dabei wird der öffentliche Teil des Zertifikats („Öffentlicher Schlüssel" bzw. „Public Key") zur Absicherung verwendet, sodass nur der Inhaber des entsprechenden privaten Teil des Zertifikats („Privater Schlüssel" bzw. „Private Key") die Möglichkeit hat, Zugriff auf oder Einsicht in die Daten zu haben. Der derzeit am weitesten verbreitete Standard für Zertifikate ist X.509, auch als „PKI-Store" bekannt, dem Fachmann sind jedoch auch weitere verwendbare Verfahren bekannt.
[0018] In vorteilhafter Weise kann zumindest ein Speicherbereich Programmcode enthalten, der auf dem Sicherheitskontroller lauffähig ist. Dadurch können sicherheitsrelevante Programmteile, die zum Beispiel die Arbeitsweise des Sicherheitskontrollers definieren, selbst im sicheren Speicher gegen Manipulationen geschützt werden und sie stehen ebenfalls einer Zugriffskontrolle über Zertifikate zur Verfügung.
[0019] Dabei kann in vorteilhafter Weise der Speicherbereich, der den Programmcode enthält, dem Zertifikat eines Hardwareanbieters des Sicherheitscontrollers zugeordnet sein. Grundlegende Programmteile können somit nur vom Hardwareanbieter des Sicherheitschips selbst geändert werden, sodass eine irrtümliche Deaktivierung von Sicherheitsmerkmalen durch Mitarbeiter oder eine mutwillige Beeinträchtigung durch Angreifer ausgeschlossen ist.
[0020] Eine vorteilhafte Ausführungsform der Erfindung kann vorsehen, dass zumindest ein Speicherbereich einer bestimmten Daten generierenden Einheit zugeordnet ist, wobei der Speicherbereich eine eindeutige Identifikation (Unique ID), Betriebsdaten, Steuerdaten, Konfigurationsdaten und/oder historische Daten der Einheit enthält. Dadurch ist es zum Beispiel für den Serviceanbieter möglich, auf relevante Daten mittels Fernzugriff zugreifen und diese je nach Berechtigung auch zu verändern (z.B. um sie nach einem Service zurückzusetzen). Indem mehrere Speicherbereiche einer einzigen Einheit zugeordnet werden, können durch Zuordnung unterschiedlicher Zertifikate auch komplexe Berechtigungsstrukturen umgesetzt werden.
[0021] Eine weitere vorteilhafte Ausführungsform der Erfindung kann vorsehen, dass zumindest ein Speicherbereich Zertifikate und/oder Zuordnungen enthält. Somit lassen sich auch die Zertifikate selbst mit dem selben System gegen fremden Zugriff schützen. Weiters lässt sich festlegen, wer berechtigt ist, die Zuordnungen, und somit die Zugriffsberechtigungen, zu verändern. Besonders vorteilhaft kann es dabei sein, wenn der Speicherbereich, der die Zertifikate und/oder die Zuordnungen enthält, dem Zertifikat eines Inhabers der Vorrichtung zugeordnet ist. Dies ist oft sinnvoll, da dadurch der Inhaber selbst definieren kann, welche Rechte er Dritten, und insbesondere dem Serviceanbieter, einräumt. Eine besonders hohe Sicherheitsstufe lässt sich erzielen, wenn die Zugriffsberechtigung im Programmcode des Sicherheitscontrollers 3/13 AT 15 082 U1 2016-12-15
ssterrekhiKte definiert ist.
[0022] In vorteilhafter Weise kann der Sicherheitscontroller Mittel zur Überwachung der an die hardwarenahen Schnittstellen angeschlossenen Daten generierenden Einheiten aufweisen. Dadurch lässt sich erkennen, falls ein Gerät zum Beispiel unberechtigt ausgewechselt wurde und ob die Daten des Geräts plausibel sind, zum Beispiel ob ein Betriebsstundenzähler streng monoton ansteigt.
[0023] Mithilfe der Vorrichtung lässt sich in vorteilhafter Weise ein Verfahren zur Übermittlung von Daten zwischen der Vorrichtung und einer fernen Kommunikationseinheit durchführen, das durch die folgenden Schritte gekennzeichnet ist: Herstellen einer Kommunikationsverbindung über eine Web-fähige Schnittstelle mit einer Kommunikationseinheit eines Zertifikatsbegünstigten, dem ein Zertifikat zugeordnet ist; Ermitteln des Zertifikats des Zertifikatsbegünstigten; Ermitteln eines Speicherbereichs der zu übermittelnden Daten; Prüfen der Zuordnung des Zertifikats des Zertifikatsbegünstigten zum Speicherbereich, und bei positiver Prüfung Übermitteln von in dem Speicherbereich gespeicherten Daten an die ferne Kommunikationseinheit und/oder Empfangen von Daten von der fernen Kommunikationseinheit und Speichern der empfangenen Daten in dem Speicherbereich. Mithilfe dieses Verfahrens lassen sich komplexe Sicherheitsarchitekturen praktisch und einfach umsetzen.
[0024] In vorteilhafter Weise kann das Verfahren weiters die folgenden Schritte aufweist: Empfangen bzw. Abrufen von (Betriebs-) Daten einer Einheit über eine hardwarenahe Schnittstelle; und Speichern der Betriebsdaten in einem der Einheit zugeordneten Speicherbereich des gesicherten Speichers. Dadurch können (Betriebs-) Daten der Einheiten entweder auf Basis eines Zeitplans, durch ein bestimmtes definiertes Ereignis oder aufgrund einer Benutzerabfrage von der Vorrichtung abgerufen werden. Bei einer nachfolgenden Fernabfrage ist dann kein Zugriff auf die Einheit selbst mehr erforderlich, da die Daten bereits im sicheren Speicher abgelegt sind. Erfindungsgemäß ist es somit nicht erforderlich, dass der durch das Zertifikat ausgewiesene Berechtigte zum Abruf der Daten direkt auf die Einheit selber zugreift. Dadurch werden Manipulationen an der Anlage, in der sich die Einheit befindet, sicher verhindert.
[0025] In einer besonders bevorzugten Ausführungsform kann die Kommunikation der Vorrichtung mit der fernen Kommunikationseinheit verschlüsselt erfolgen. Da der jeweilige Kommunikationspartner durch das Zertifikat ausgewiesen ist, kann die Verschlüsselung auf einfache Weise über Schlüsselpaare erfolgen, die den Zertifikaten zugeordnet sind.
[0026] In vorteilhafter Weise kann an der Web-fähigen Schnittstelle ein Protokoll implementiert werden, welches rein über Push-Mechanismen funktioniert. Solche Protokolle, zum Beispiel gemäß der MQTT-Spezifikation, erlauben auf Seiten der Web-fähigen Schnittstelle die Umsetzung von Firewall-Richtlinien, die Incomming Traffic sperren.
[0027] Die Erfindung wird im Folgenden unter Bezugnahme auf die beigefügten Zeichnungen detailliert beschrieben, wobei [0028] Fig. 1 eine schematische Darstellung von Netzwerkkomponenten zeigt, mit denen eine erfindungsgemäße Vorrichtung kommuniziert; [0029] Fig. 2 eine schematische Darstellung wesentlicher Elemente einer erfindungsgemäßen
Vorrichtung zeigt; [0030] Fig. 3 eine weitere schematische Darstellung der erfindungsgemäßen Vorrichtung zeigt, zur Erläuterung beispielhafter Kommunikationsprotokolle; und [0031] Fig. 4 schematisch ein Netzwerk mit einer serviceorientierten Architektur zeigt, in dem die erfindungsgemäße Vorrichtung an mehreren Stellen verwendet wird.
[0032] Fig. 1 zeigt eine beispielhafte Netzwerkanordnung, die sich im Wesentlichen in fünf Bereich einteilen lässt, nämlich den Bereich eines Industriestandorts 4, drei Bereiche 3a, 3b, 3c von in weiterer Folge als „Zertifikatsbegünstigte" bezeichneten Kommunikationsteilnehmern, nämlich einem Hardwareanbieter 3a, einem Serviceanbieter 3b und einem Inhaber 3c mit jeweils einer fernen Kommunikationseinheit 5a, 5b, 5c, und den Bereich eines nicht proprietären 4/13
Netzwerks 7, das eine Cloud-Infrastruktur aufweist, insbesondere das Internet.
[0033] Der Industriestandort 4 kann beispielsweise eine Produktionsstätte oder eine Testanlage, z.B. für den Automobilbereich, sein, wobei der Standort einem bestimmten Inhaber 3c zugeordnet ist. Dem Inhaber des Industriestandorts 4 kommt eine besondere Bedeutung zu, da er die Zugriffsberechtigungen festlegen muss, wie in weitere Folge noch erläutert werden wird. Auf dem Industriestandort 4 befinden sich eine Vielzahl an Daten generierenden Einheiten 2a bis 2f, wobei als „Daten generierende Einheit" im Wesentlichen alle Vorrichtungen angesehen werden, deren Status auf irgendeine Weise überwacht werden kann. Im Speziellen kann es sich insbesondere um Einheiten handeln, die von einem bestimmten Anbieter stammen, der Interesse daran hat, die von ihm verkauften Produkte zu überwachen, um eine etwaige Servicedienstleistungen schnell, vorausplanend und einfach bereitstellen zu können. Dem Serviceanbieter ist in Fig. 1 ein eigener Bereich 3b zugeordnet.
[0034] Am Industriestandort 4 ist eine erfindungsgemäße Vorrichtung 1 vorgesehen, wobei die Vorrichtung 1 mehrere hardwarenahe Schnittstellen 8a-8i aufweist, die auf verschiedene Weise mit den Daten generierenden Einheiten 2a-2f verbunden sind. Die Daten generierenden Einheiten 2a-2f können in mehreren Gruppen angeordnet sein, wobei in der dargestellten Anordnung die Einheiten 2c-2f eine Gruppe bilden die an einen gemeinsamen Feldbus angeschlossen ist, über den die Einheiten kommunizieren, wobei irgendein im Fachbereich bekanntes Kommunikationsprotokoll für Feldbussysteme verwendet werden kann, zum Beispiel CANopen oder Profibus-DP. Die Vorrichtung 1 ist über die Schnittstelle 8i ebenfalls mit dem Feldbus verbunden um mit den Einheiten 2c-2f der Gruppe kommunizieren zu können. Eine weitere Gruppe bilden die Einheiten 2a und 2b, die jeweils über ein End-to-End Protokoll an eine Schnittstelle 8b, 8d der Vorrichtung 1 angeschlossen sind.
[0035] Es ist anzumerken, dass die Einheiten im Allgemeinen keine Mittel aufweisen, um über Webfähige Protokolle Daten über das Internet zu übermitteln. Es kann jedoch auch sein, dass trotz der prinzipiellen Befähigung einer Einheit zur Web-fähigen Kommunikation eine Anbindung dieser Einheit an ein offenes Netzwerk nicht zulässig ist, da sich in dem Netzwerk andere Einheiten befinden, die dadurch einem unerlaubten Zugriff ausgesetzt werden könnten.
[0036] Dem Hardwareanbieter der Vorrichtung 1, bzw. der Hardwareanbieter von sicherheitsrelevanten Elementen der Vorrichtung 1, insbesondere des in der Vorrichtung enthaltenen Sicherheitscontrollers 9, ist ein weiterer Bereich 3a zugeordnet. Unter dem Begriff „Hardwareanbieter“ kann im Sinne der gegenständlichen Beschreibung insbesondere der eigentliche Chiphersteller oder aber auch ein Drittanbieter, zum Beispiel eine Zertifizierungsstelle, angesehen werden. Der Begriff „Hardwareanbieter“ bezeichnet insbesondere die Stelle, die für die Funktionsweise und die Weiterentwicklung des Sicherheitskontrollers verantwortlich ist. Ein besonderes Sicherheitsmerkmal der Vorrichtung kann vorsehen, dass ein Update des dem Sicherheitskontroller zugrunde liegenden Programmcodes nur durch die als Hardwareanbieter bezeichnete Stelle und gegebenenfalls unter weiteren speziellen Sicherheitsvorkehrungen vorgenommen werden kann.
[0037] Die Vorrichtung 1 der Fig. 1 weist mehrere Web-fähige Schnittstellen 6a-6d auf, über die eine systemübergreifende Kommunikation mit anderen Einheiten über offene oder proprietäre Netze, wie etwa ein Intranet, ein GSM-Netzwerk und/oder das Internet, hergestellt werden kann. Der Aufbau webfähiger Verbindungen, die Kommunikation über diese Verbindungen und die dazu verwendeten Protokolle sind im Fachbereich hinlänglich bekannt und müssen daher hierin nicht näher erläutert werden. In dem in Fig. 1 dargestellten Ausführungsbeispiel kommuniziert die Vorrichtung 1 mit einer ferne Kommunikationseinheit 5c des Inhabers 3c des Industriestandorts 4 über eine Intranetverbindung, und mit den fernen Kommunikationseinheiten 5a und 5b des Serviceanbieters 3a bzw. des Hardwareanbieters 3a über eine Internetverbindung.
[0038] Unter Bezugnahme auf Fig. 2 wird nunmehr die Funktionsweise der erfindungsgemäßen Vorrichtung 1 erläutert, wobei insbesondere auf die Funktion des Sicherheitscontrollers 9 eingegangen wird. Der Sicherheitscontroller 9 der Vorrichtung 1 kann als einzelner Chip oder als Kombination mehrere Chips ausgeführt sein, wobei der Sicherheitskontroller mit einem Mikro- kontroller 11 (ARM-CPU) zusammenarbeitet. Es ist auch möglich, den Sicherheitskontroller 10 und den Mikrokontroller 11 in einem einzigen Chip zu integrieren. Dies würde zwar hohe Sicherheitsstandards ermöglichen, wäre jedoch auch mit einem hohen Entwicklungsaufwand verbunden.
[0039] Der Sicherheitskontroller regelt die Kommunikation mit den Daten generierenden Einheiten 2a-2f über die hardwarenahen Schnittstellen 8a-8i, die Kommunikation über die Webfähigen Schnittstellen 6a-6d, und den Zugriff auf einen sicheren Speicher 10.
[0040] Der sichere Speicher 10 ist hardwaretechnisch so abgegrenzt, dass ein Zugriff ausschließlich durch den Sicherheitscontroller 9 erfolgen kann. Um die Vorrichtung verwenden zu können, muss er zuerst von einer ausgebenden Einheit „kommissioniert“ werden, wobei die Kommissionierung im dargestellten Fall vom Hardwareanbieter durchgeführt wird. Bei der Kommissionierung wird eine Aufteilung des Speichers 10 in einzelne Speicherbereiche A, B, C, D, etc. definiert, wobei in den ersten Speicherbereich A der Programmcode für die Steuerung des Sicherheitsprozessors 9 abgelegt wird. In Speicherbereich B werden für alle Instanzen, die für einen Zugriff berücksichtigt werden sollen, Zertifikate a, b, c, d abgelegt, wobei es sich um den öffentlichen Teil des Zertifikats handelt. Neben der Definition der Speicherbereiche A, B, C, D legt der Programmcode auch fest, welche Zertifikatsinhaber auf welche Speicherbereiche Zugriff haben sollen und ob die Zugriffsberechtigung auch das Ändern von Daten erlaubt.
[0041] Im dargestellten Beispiel ist der Speicherbereich A, in dem der Programmcode abgelegt ist, durch das Zertifikat a des Hardwareanbieters bzw. der Kommissionierungsstelle gesichert. Dies bedeutet, dass der Programmcode (und damit die Einteilung der Speicherbereiche und die Zugriffsberechtigungsstruktur) nur vom Hardwareanbieter 3a geändert werden kann. Änderungen am Programmcode können also weder vom Inhaber 3c der Vorrichtung, noch vom Serviceanbieter 3b vorgenommen werden, sondern nur vom Hardwareanbieter 3a, etwa wenn ein Update eingespielt werden soll. Wenn der Programmcode ein Update erfordert, kann eine weitere Sicherheitsfunktion zusätzlich eine Zustimmung des Inhabers 3a und/oder des Serviceanbieters 3b erfordern.
[0042] In der beschriebenen Ausführungsform wird also jede erfindungsgemäße Vorrichtung bei der Kommissionierung spezifisch auf die jeweiligen Einsatzbedingungen abgestimmt, so-dass nachträgliche Änderungen nicht oder nur eingeschränkt möglich sind. Je nach Sicherheitsbedingungen könnten nachträgliche Änderungen jedoch für einzelne Elemente erlaubt werden, wobei solche Möglichkeiten im Programmcode definiert sein müssen. So kann beispielsweise ein Austausch einzelner Zertifikate erlaubt werden, sobald diese abgelaufen sind und erneuert werden müssen.
[0043] Die weiteren Speicherbereiche C, D,... sind jeweils einer Daten generierenden Einheit 2a-2f oder einer Gruppe solcher Einheiten zugeordnet, wobei die in dem jeweiligen Speicherbereich abgelegten Daten ebenfalls über den Programmcode gesteuert werden. Die Aktualisierung von Daten kann entweder durch ein bestimmtes Ereignis ausgelöst werden (z.B. wenn der Serviceanbieter 3b nach einer Wartung einen Servicezähler zurücksetzt), oder sie können laufend oder in bestimmten Zeitintervallen erzeugt werden (z.B. für die Aufzeichnung von Betriebszeiten). In den jeweiligen Speicherbereichen C, D für die Einheiten 2a-2f können weiters eine einzigartige Kennung (Unique ID) der Einheit und Informationen über das zu verwendende Kommunikationsprotokoll enthalten sein.
[0044] Auch die Kommunikation über die Web-fähigen Schnittstellen 6a-6d wird vom Sicherheitskontroller 9 gesteuert, wobei bei jedem Aufbau einer Kommunikationsverbindung das jeweilige Zertifikat geprüft wird und die Kommunikationsverbindung vorzugsweise über das Zertifikat auch verschlüsselt wird, sodass nur der Inhaber des Privaten Schlüssels auf die Inhalte zugreifen kann. Somit ist genau definiert ist, auf welche Speicherbereiche der Inhaber eines Zertifikats zugreifen darf. Gegebenenfalls können die Daten in bestimmten Speicherbereichen zusätzlich mit einem Zertifikat verschlüsselt abgelegt sein. Dadurch kann jedoch nur mit einem einzigen Zertifikat auf den Inhalt zugegriffen werden. In anderen Fällen ist es bevorzugt, dass die Daten auf einer anderen Weise, etwa mit einem symmetrischen Schlüssel, verschlüsselt oder unverschlüsselt im Speicher abgelegt sind, und erst bei der Datenübermittlung vom Sicherheitscontroller mit dem jeweiligen Zertifikat verschlüsselt wird.
[0045] In der in Fig. 2 dargestellten Ausführungsform kann der Inhaber 3c mit dem Zertifikat 3c auf die Speicherbereiche B, C und D zugreifen, der Serviceanbieter 3b kann mit seinem Zertifikat auf Speicherbereich C zugreifen, und der Hardwareanbieter 3a kann mit seinem Zertifikat a ausschließlich auf den Speicherbereich A zugreifen.
[0046] Der Sicherheitskontroller 9 sorgt für eine strikte Trennung der Kommunikation über die hardwarenahen Schnittstellen 8 von der Kommunikation über die Web-fähigen Schnittstellen 6, sodass ein direkter Zugriff auf die Daten generierenden Einheiten 2a-2f über eine der Webfähigen Schnittstellen (6a-6d) unmöglich ist. Auch wenn es Angreifern gelingt, aller Sicherheitsvorkehrungen zu umgehen und den Sicherheitscontroller zu hacken, ist es ihnen damit noch nicht möglich, auch einen Zugriff auf die Daten generierenden Einheiten zu erhalten, da diese auf ganz anderen Protokollebenen kommunizieren, als dies bei den Kommunikationsprotokollen der Web-fähigen Schnittstelle der Fall ist.
[0047] Die Sicherheitsaspekte der Vorrichtungen und Verfahren der gegenständlichen Erfindung lassen sich beliebig an die jeweiligen Benutzerbedürfnisse anpassen, wobei sowohl zusätzliche Sicherheitsmaßnahmen implementiert werden können, als auch auf bestimmte Sicherheitsmerkmale verzichtet werden kann.
[0048] Fig. 3 zeigt eine weitere schematische Darstellung einer beispielhaften Ausführungsform der erfindungsgemäßen Vorrichtung, wobei die einzelnen Elemente hinsichtlich der funktioneilen Komponenten und der verwendeten Protokolle beispielhaft uns schematisch aufgegliedert sind. Die Vorrichtung der Fig. 3 weist fünf hardwarenahe Schnittstellen für einen direkten Anschluss von Einheiten auf, dies sind die Schnittstellen 8a (LAN), 8b (RS232 oder RS485), 8c (CAN), 8d (USB) und 8e (andere). Die weiteren hardwarenahen Schnittstellen sind die Schnittstellen 8f (LAN), 8g (Ethercat), 8h (USB) und 8i (CAN, CANOpen).
[0049] Fig. 4 zeigt schematisch ein Netzwerk mit einer serviceorientierten Architektur eines Serviceanbieters 3b, wobei die erfindungsgemäße Vorrichtung 1 bei mehreren Kunden (Inhaber 3c und 3c‘) des Serviceanbieters verwendet wird, um einen vom jeweiligen Inhaber definierbaren Zugriff auf Daten der vom Serviceanbieter 3b servicierten Daten generierenden Einheiten 2a-2c der Kunden zu ermöglichen. BEZUGSZEICHENLISTE:
Vorrichtung (1)
Daten generierende Einheit (2a-2f)
Zertifikatsbegünstigter (3)
Hardwareanbieter (3a)
Serviceanbieter (3b)
Inhaber (3c)
Industriestandort 4 ferne Kommunikationseinheit (5a-5c)
Web-fähige Schnittstelle (6a-6d) nicht proprietäres Netzwerk (7) hardwarenahe Schnittstelle (8a-8i)
Sicherheitscontroller (9)
Sicherer Speicher (10)
Mikrokontroller 11 Speicherbereiche (A, B, C, D)
Zertifikate a, b, c

Claims (11)

  1. Ansprüche
    1. Vorrichtung (1) zur Übermittlung von Daten zwischen zumindest einer Daten generierenden Einheit (2a-2f) und einer fernen Kommunikationseinheit (5a-5c), wobei die Vorrichtung (1) zumindest eine Schnittstelle (6a-6d) für ein webfähiges Kommunikationsprotokoll zur gesicherten Kommunikation mit der fernen Kommunikationseinheit (5a-5c) über ein nicht proprietäres und vorzugsweise öffentlich zugängliches Netzwerk (7) und zumindest eine Schnittstelle (8a-8i) für ein hardwarenahes Kommunikationsprotokoll zur Kommunikation mit der Daten generierenden Einheit (2a-2f) aufweist, dadurch gekennzeichnet, dass die Vorrichtung weiters einen Sicherheitskontroller (9) aufweist, der zur Steuerung der Kommunikation über die Web-fähige(n) Schnittstelle(n) (6a-6d) und über die hardwarenahe(n) Schnittstelle(n) (8a-8i) fähig ist, wobei dem Sicherheitscontroller (9) ein sicherer Speicher (10) zugeordnet ist, der definierte Speicherbereiche (A, B, C, D) aufweist, wobei zumindest einem Speicherbereich (A, B, C, D) zumindest ein Zertifikat (a, b, c) zugeordnet ist.
  2. 2. Vorrichtung nach Anspruch 1, dadurch gekennzeichnet, dass zumindest ein Speicherbereich (A) Programmcode enthält, der auf dem Sicherheitskontroller (9) lauffähig ist.
  3. 3. Vorrichtung nach Anspruch 2, dadurch gekennzeichnet, dass der Speicherbereich, der den Programmcode enthält, dem Zertifikat (a) eines Hardwareanbieters (3a) des Sicherheitscontrollers zugeordnet ist.
  4. 4. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass zumindest ein Speicherbereich (C, D) einer bestimmten Daten generierenden Einheit (2a, 3b) zugeordnet ist, wobei der Speicherbereich eine eindeutige Identifikation (Unique ID), Betriebsdaten, Steuerdaten, Konfigurationsdaten und/oder historische Daten der Einheit enthält.
  5. 5. Vorrichtung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass zumindest ein Speicherbereich (B) Zertifikate (a,b,c) und/oder Zuordnungen enthält.
  6. 6. Vorrichtung nach Anspruch 5, dadurch gekennzeichnet, dass der Speicherbereich, der die Zertifikate und/oder die Zuordnungen enthält, dem Zertifikat (c) eines Inhabers (3c) der Vorrichtung (1) zugeordnet ist.
  7. 7. Vorrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass Sicherheitscontroller (9) Mittel zur Überwachung der an die hardwarenahen Schnittstellen (8a- 8i) angeschlossenen Daten generierenden Einheiten (2a-2f) aufweist.
  8. 8. Verfahren zur Übermittlung von Daten zwischen einer Vorrichtung gemäß einem der Ansprüche 1 bis 7 und einer fernen Kommunikationseinheit (5a-5c), dadurch gekennzeichnet, dass das Verfahren die folgenden Schritte aufweist: - Herstellen einer Kommunikationsverbindung über eine Web-fähige Schnittstelle (6) mit einer Kommunikationseinheit (5a-5c) eines Zertifikatsbegünstigten (3), dem ein Zertifikat (a, b, c) zugeordnet ist; - Ermitteln des Zertifikats (a, c, b) des Zertifikatsbegünstigten (3); - Ermitteln eines Speicherbereichs (A, B, C, D) der zu übermittelnden Daten; - Prüfen der Zuordnung des Zertifikats (a, b, c) des Zertifikatsbegünstigten (3) zum Speicherbereich (A, B, C, D), und - bei positiver Prüfung Übermitteln von in dem Speicherbereich (A, B, C, D) gespeicherten Daten an die ferne Kommunikationseinheit (5a-5c) und/oder Empfangen von Daten von der fernen Kommunikationseinheit (5a-5c) und Speichern der empfangenen Daten in dem Speicherbereich.
  9. 9. Verfahren nach Anspruch 8, dadurch gekennzeichnet, dass das Verfahren weiters die folgenden Schritte aufweist: - Empfangen bzw. Abrufen von (Betriebs-) Daten einer Einheit (2a-2f) über eine hardwarenahe Schnittstelle (8); und - Speichern der Betriebsdaten in einem der Einheit (2a-2f) zugeordneten Speicherbereich (B, C,...) des gesicherten Speichers (10).
  10. 10. Verfahren nach Anspruch 8 oder 9, dadurch gekennzeichnet, dass die Kommunikation mit der fernen Kommunikationseinheit (5a-5c) verschlüsselt erfolgt.
  11. 11. Verfahren nach einem der Ansprüche 8 bis 10, dadurch gekennzeichnet, dass an der Web-fähigen Schnittstelle ein Protokoll implementiert wird, welches rein über Push-Mechanismen funktioniert. Hierzu 4 Blatt Zeichnungen
ATGM50132/2016U 2014-04-11 2014-04-11 Vorrichtung und Verfahren zur Übermittlung von Daten AT15082U1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
ATGM50132/2016U AT15082U1 (de) 2014-04-11 2014-04-11 Vorrichtung und Verfahren zur Übermittlung von Daten

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ATGM50132/2016U AT15082U1 (de) 2014-04-11 2014-04-11 Vorrichtung und Verfahren zur Übermittlung von Daten

Publications (1)

Publication Number Publication Date
AT15082U1 true AT15082U1 (de) 2016-12-15

Family

ID=57472135

Family Applications (1)

Application Number Title Priority Date Filing Date
ATGM50132/2016U AT15082U1 (de) 2014-04-11 2014-04-11 Vorrichtung und Verfahren zur Übermittlung von Daten

Country Status (1)

Country Link
AT (1) AT15082U1 (de)

Similar Documents

Publication Publication Date Title
AT513782B1 (de) Vorrichtung und Verfahren zur Übermittlung von Daten
EP3353610B2 (de) Verbindungseinheit, überwachungssystem und verfahren zum betreiben eines automatisierungssystems
DE102017124821A1 (de) Veröffentlichung von daten über eine datendiode für gesicherte prozesssteuerungskommunikationen
DE102010011657A1 (de) Verfahren und Vorrichtung zum Bereitstellen mindestens eines sicheren kryptographischen Schlüssels
DE102019106049A1 (de) Verfahren zur sicheren Kommunikation zwischen einem Feldgerät der Automatisierungstechnik und einem Endgerät sowie System zur sicheren Kommunikation zwischen einem Feldgerät und einem Endgerät
EP2400708B1 (de) Netzwerk-Schutzeinrichtung
EP3718263B1 (de) Verfahren und steuersystem zum steuern und/oder überwachen von geräten
EP3529967B1 (de) Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
DE102012112875A1 (de) Verfahren zum Fernbedienen eines Feldgeräts der Automatisierungstechnik
EP3861412A1 (de) Aggregatorvorrichtung für einen vereinheitlichten zugriff auf eine mehrzahl von netzwerksegmenten eines feldbussystems
EP2448182A1 (de) Verfahren zur Kommunikation in einem Automatisierungssystem
DE102011081803A1 (de) Verfahren und System zum Bereitstellen von gerätespezifischen Eigenschaftsdaten für ein Automatisierungsgerät einer Automatisierungsanlage
AT15082U1 (de) Vorrichtung und Verfahren zur Übermittlung von Daten
DE102020134439A1 (de) Honeypot für eine Verbindung zwischen Edge Device und cloudbasierter Serviceplattform
DE10245934A1 (de) Automatisierungssystem sowie Verfahren zu dessen Betrieb
DE102020127079A1 (de) Verfahren und System zum Einbinden von Feldgeräten der Automatisierungstechnik in eine cloudbasierte Serviceplattform
EP3339994A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und vorrichtung
WO2021122298A1 (de) Übertragungsvorrichtung zum übertragen von daten
WO2011113541A1 (de) Verfahren zur konfigurierung und verteilung von zugriffsrechten in einem verteilten system
WO2018114101A1 (de) Verfahren zum überprüfen einer mandantenzuordnung, computerprogrammprodukt und automatisierungssystem mit feldgeräten
WO2019091722A1 (de) Iot-computersystem sowie anordnung mit einem solchen iot-computersystem und einem externen system
EP3514640B1 (de) Vorrichtung und verfahren zur bereitstellung von maschinendaten
DE102014008654A1 (de) Temporäre Berechtigung
EP3427143B1 (de) Verfahren zum erzeugen und aktualisieren einer fernen instanz einer schirmansicht
EP4250146A1 (de) Interaktion physischer entitäten

Legal Events

Date Code Title Description
MM01 Lapse because of not paying annual fees

Effective date: 20180430