DE102021131205A1 - Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung - Google Patents

Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung Download PDF

Info

Publication number
DE102021131205A1
DE102021131205A1 DE102021131205.1A DE102021131205A DE102021131205A1 DE 102021131205 A1 DE102021131205 A1 DE 102021131205A1 DE 102021131205 A DE102021131205 A DE 102021131205A DE 102021131205 A1 DE102021131205 A1 DE 102021131205A1
Authority
DE
Germany
Prior art keywords
technical
technical device
data
access
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021131205.1A
Other languages
English (en)
Inventor
Julia J. Jürgens
Michael Niehaus
Joost Kolkhuis Tanke
Sven Kröger
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inosoft GmbH
Lenze SE
Original Assignee
Inosoft GmbH
Lenze SE
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inosoft GmbH, Lenze SE filed Critical Inosoft GmbH
Priority to DE102021131205.1A priority Critical patent/DE102021131205A1/de
Publication of DE102021131205A1 publication Critical patent/DE102021131205A1/de
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Small-Scale Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung, insbesondere eine Maschine oder Anlage, wobei mittels eines netzwerkfähigen Endgeräts auf die technische Einrichtung zugegriffen wird. Im Bereich der technischen Einrichtung wird ein ortsgebundener Identifikator zur Verfügung gestellt und der Zugriff auf die technische Einrichtung mittels des Endgeräts nur dann zugelassen, wenn durch eine Interaktion des ortsgebundenen Identifikators mit dem Endgerät die Anwesenheit des Endgeräts im Bereich der technischen Einrichtung bestätigt wird.

Description

  • Die Erfindung betrifft ein Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung sowie eine technische Einrichtung, insbesondere eine Maschine oder eine Anlage.
  • Technische Einrichtungen, wie Maschinen und/oder Anlagen, weisen mittlerweile im Hinblick auf ihre Konnektivität und die daraus erwachsenden Möglichkeiten, mittels netzwerkfähiger Endgeräte auf die technischen Einrichtungen zuzugreifen, einen vergleichsweise hohen Entwicklungsstand auf. So sind Datenzugriffe auf technische Einrichtungen, insbesondere auf die Steuerungseinrichtungen von technischen Einrichtungen, häufig über entsprechende Datennetzwerkverbindungen grundsätzlich möglich. Steuerungseinrichtungen, wie beispielsweise speicherprogrammierbare Steuerungen und/oder Steuerungseinrichtungen, die Computer, insbesondere eingebettete Computer, aufweisen, können daher oft mit netzwerkfähigen Endgeräten angesprochen werden. Der hierbei erfolgende Datenzugriff auf die technische Einrichtung kann dabei beispielsweise über das Internet erfolgen. In diesem Fall ist ein Datenzugriff mit handelsüblichen netzwerkfähigen Endgeräten, wie beispielsweise Laptops, Tablets und/oder Handys möglich.
  • Die so ermöglichten Datenzugriffe auf die technische Einrichtung erleichtern eine Vielzahl betrieblicher Vorgänge. So ist beispielsweise das Ändern von Betriebsparametern der technischen Einrichtung von einem derartigen netzwerkfähigen Endgerät aus möglich. Während es lange Zeit notwendig war, mit spezialisierten Geräten Verbindungen über kabelgebundene proprietäre Schnittstellen zu den technischen Einrichtungen aufzubauen, um dort Betriebsparameter zu ändern, kann der Datenzugriff nun von einer Standard-Hardware, die lediglich mit einer entsprechenden geeigneten Software ausgestattet ist, in bequemer Weise erfolgen. Das netzwerkfähige Endgerät kann sich hierfür, insbesondere drahtlos, mit einem entsprechenden Datennetzwerk verbinden. Hierfür bieten sich insbesondere Internetverbindungen an, die beispielsweise über WLAN-Zugänge und/oder Mobilfunkzugänge ermöglicht sind. Der Techniker benötigt daher vor Ort nichts weiter als das netzwerkfähige Endgerät, welches er typischerweise ohnehin mit sich führt, und die Möglichkeit, sich mit dem Internet zu verbinden, welche ebenfalls üblicherweise zur Verfügung steht.
  • Die Einfachheit, mit der derartige Datenzugriffe auf technische Einrichtungen möglich sind, bringt jedoch auch Nachteile mit sich. Zwar können die Zugriffsmöglichkeiten mittels informationstechnischer Methoden abgesichert werden, um sicherzustellen, dass lediglich Berechtigte Zugriff auf die technischen Einrichtungen haben, in der Praxis ist es jedoch so, dass, auch wenn der Datenzugriff durch einen Berechtigten erfolgt, sicherheitstechnische Probleme durch die Einfachheit des Datenzugriffs entstehen können.
  • Aus betriebssicherheitstechnischen Überlegungen ist es nämlich oftmals erwünscht, dass ein Datenzugriff nur dann durchgeführt werden kann, wenn sich der Berechtigte, der den Datenzugriff durchführt, auch tatsächlich in unmittelbarer örtlicher Nähe der technischen Einrichtung befindet. Dies kann beispielsweise sinnvoll sein, damit der Berechtigte unmittelbar die Auswirkungen des Datenzugriffs überwachen und wahrnehmen kann und bei auftretenden unvorhergesehenen Problemen vor Ort eingreifen kann.
  • Auch kann es von Bedeutung sein, dass der Berechtigte vor Ort feststellen kann, ob der von ihm geplante Datenzugriff überhaupt die geeignete Maßnahme ist, beispielsweise um eine Betriebsstörung zu beheben. Die heute zur Verfügung stehenden technischen Möglichkeiten, auf derartige technische Einrichtungen praktisch von überall aus zuzugreifen, verleiten in vielen Situationen dazu, die technische Einrichtung gar aufzusuchen, sondern vielmehr lediglich den Datenzugriff durchzuführen. Dies kann dazu führen, dass Betriebseingriffe erfolgen, ohne dass derjenige, der den Datenzugriff durchführt auch physisch im Bereich der technischen Einrichtung anwesend ist, obwohl dies notwendig oder zumindest geboten wäre.
  • In der Praxis führt dies zu einem einfachen Dilemma: Entweder, man beschränkt die Möglichkeiten, mittels des Datenzugriffs auf die technische Einrichtung auf diese Einfluss zu nehmen, oder man ermöglicht den Datenzugriff weiterhin. Beide Alternativen sind unbefriedigend, im ersten Fall müsste man auf die Vorteile der ermöglichten Datenzugriffe verzichten, im letzteren Fall nimmt man in Kauf, dass in der Praxis Datenzugriff auf technische Einrichtung sozusagen „blind“ erfolgen.
  • Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren zum Bereitstellen eines Datenzugriff auf eine technische Einrichtung sowie eine technische Einrichtung bereitzustellen, bei denen der Datenzugriff zwar auf einfache Weise ermöglicht ist, dennoch die persönliche Anwesenheit des den Datenzugriff Durchführenden vor Ort sichergestellt ist.
  • Die Aufgabe wird gelöst durch ein Verfahren und eine technische Einrichtung mit den Merkmalen der unabhängigen Ansprüche. Die Merkmale der abhängigen Ansprüche betreffen vorteilhafte Ausführungsformen.
  • Die Aufgabe wird gelöst durch ein Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung, bei der es sich insbesondere um eine Maschine oder Anlage handelt, bei der mittels eines netzwerkfähigen Endgeräts auf die technische Einrichtung zugegriffen wird. Zur Lösung der Aufgabe sieht die Erfindung insbesondere vor, dass im Bereich der technischen Einrichtung ein ortsgebundener Identifikator zur Verfügung gestellt wird und der Zugriff auf die technische Einrichtung mittels des Endgeräts nur dann zugelassen wird, wenn durch eine Interaktion des ortsgebundenen Identifikators mit dem Endgerät die Anwesenheit des Endgeräts im Bereich der technischen Einrichtung bestätigt wird.
  • Durch das Erzwingen der Anwesenheit des Endgeräts im Bereich der technischen Einrichtung wird in der Praxis ebenfalls erzwungen, dass sich der Bediener des Endgeräts ebenfalls im Bereich der technischen Einrichtung befindet. Dies trägt insbesondere auch zur informationstechnischen Absicherung der technischen Einrichtung gegenüber unbefugten Datenzugriffen durch Angreifer bei. Diese müssten physisch an der technischen Einrichtung anwesend sein, was in der Praxis zumindest mit erheblichem Aufwand verbunden sein dürfte. Auch ein rollenbasierter Zugang, d. h., die Ermöglichung eines Zugriffs auf die technische Anlage in Abhängigkeit der Rolle des Zugreifenden im Betrieb, und/oder eine anderweitige Zugangsbeschränkung auf bestimmte Personen, kann so in einfacher Weise abgebildet werden, in dem der tatsächliche räumliche Zugang zu der technischen Anlage lediglich Befugten gewährt wird. Dies ist insbesondere vorteilhaft, wenn im Betrieb bereits eine rollenbasierte räumliche Zugangsbeschränkung zu der technischen Anlage vorhanden ist. Dann führt diese räumliche Zugangsbeschränkung durch das vorstehend beschriebene Verfahren automatisch zu einer entsprechenden informationstechnischen Zugangsbeschränkung für die Datenzugriffe. Insbesondere das Anlegen und Pflegen einer entsprechenden Benutzerverwaltung für die Zugriffe mittels netzwerkfähiger Endgeräte wird hierdurch überflüssig.
  • Unter der Anwesenheit im Bereich der technischen Einrichtung ist in diesem Zusammenhang insbesondere zu verstehen, dass sich das Endgerät in einer derartigen örtlichen Nähe zu der technischen Einrichtung befindet, die nach Art der technischen Einrichtung und/oder der vorhandenen Möglichkeit, die Auswirkungen des Datenzugriffs zu überblicken und/oder zumindest wahrzunehmen, als unmittelbare Nähe anzusehen wäre. Dies kann beispielsweise bei einer Werkzeugmaschine bedeuten, dass sichergestellt ist, dass sich das Endgerät jedenfalls im selben Raum wie die technische Einrichtung befindet. Bei einer großtechnischen Anlage kann es sich bei dem Bereich der technischen Einrichtung beispielsweise um die Anwesenheit auf demselben Gelände handeln.
  • Das Verfahren kann insbesondere zum Anlernen von Industrierobotern genutzt werden. Für diese Tätigkeit ist es vorteilhaft, wenn sich der Bediener in unmittelbarer Sichtweite des Industrieroboters befindet, sich jedoch auch um diesen herum bewegen kann, um unterschiedliche Sichtwinkel zu ermöglichen und so insbesondere Maschinenschäden durch mögliche Kollisionen zu vermeiden. Der Einsatz eines mobilen netzwerkfähigen Endgerätes bietet sich daher an, um auf den Industrieroboter zuzugreifen. Alternativ und/oder ergänzend ist es bei komplexen technischen Einrichtungen auch möglich, mittels mehrerer ortsgebundener Identifikatoren die Anwesenheit des Endgeräts im Bereich eines bestimmten Teils der technischen Einrichtung sicherzustellen. So kann beispielsweise bei einer komplexen Produktionsanlage die Anwesenheit an einem bestimmten Apparat oder einer bestimmten Maschine sichergestellt werden. Der Bereich der technischen Einrichtung ist dann örtlich gegebenenfalls begrenzter als die gesamten Abmessungen der technischen Einrichtung selbst. Dies kann insbesondere bei komplexen technischen Einrichtungen den zusätzlichen Vorteil mit sich bringen, dass Verwechslungen hinsichtlich des Bestandteils der komplexen technischen Einrichtung, auf den zugegriffen werden soll, durch das Erzwingen der räumlichen Nähe zu genau dem tatsächlich gemeinten Bestandteil ausgeschlossen werden können. Dies ist insbesondere dann von Vorteil, wenn die technische Einrichtung eine größere Anzahl gleichartiger bzw. technischer ähnlicher Bestandteile, beispielsweise eine größere Anzahl elektrischer Antriebe, aufweist. Entsprechendes gilt auch für die Identifizierung abgerufener Daten und deren Zuordnung zu einem Bestandteil der technischen Einrichtung. Abrufbare Daten der technischen Einrichtung können beispielsweise danach gefiltert werden, ob sie einen Bestandteil der technischen Einrichtung betreffen, in dessen Nähe sich der Abrufende befindet. So kann beispielsweise ein bestimmter Istwert, Sollwert und/oder Fehlerzustand eines von einer Vielzahl Antrieben einer komplexen technischen Einrichtung unter einer Vielzahl entsprechender Daten schneller aufgefunden werden.
  • Bei dem Identifikator kann es sich beispielsweise um einen optischen Identifikator handeln. Als optischer Identifikator kann insbesondere ein grafischer Code vorgesehen sein. Bei dem grafischen Code kann es sich beispielsweise um einen Barcode und/oder einen QR-Code handeln. Derartige grafische Codes haben den Vorteil, dass mit ihnen Informationen hinterlegt werden können und die grafischen Codes mittels der Möglichkeiten, die netzwerkfähige Endgeräte der in Rede stehenden Art typischerweise bieten, eingelesen werden können. Zu diesem Zweck kann insbesondere die Kamera eines tragbaren Computers, eines Tabletcomputers und/oder eines Smartphones genutzt werden. Das Verfahren sieht in diesem Fall insbesondere vor, dass die Interaktion des ortsgebundenen Identifikators mit dem Endgerät das Einlesen des grafischen Codes, insbesondere des Barcodes und/oder des QR-Codes durch das Endgerät, beinhaltet.
  • Mittels der in dem grafischen Code enthaltenen Informationen kann dann eine Authentifizierung des Endgeräts über die Netzwerkbindung zu der technischen Einrichtung erfolgen.
  • Alternativ und/oder ergänzend kann die Interaktion den Aufbau einer Datenverbindung mit dem Identifikator beinhalten. Bei der Datenverbindung handelt es sich insbesondere um eine drahtlose Datenverbindung. Die Datenverbindung kann insbesondere mittels RFID-Technik aufgebaut werden, alternativ und/oder ergänzend kommen auch andere Arten der Datenverbindung infrage, beispielsweise eine NFC-, eine Bluetooth- oder eine WLAN-Verbindung. Bei dem Identifikator kann es sich insbesondere um einen Beacon, beispielsweise einen Bluetooth-Beacon handeln. Derartige Beacons - oder auch Funkbaken - sind mit unterschiedlichen Reichweiten verfügbar und ermöglichen so die Sicherstellung der Anwesenheit in entsprechender Entfernung zum Identifikator.
  • Bei einer derartigen Gestaltung des ortsgebundenen Identifikators wird die lokal begrenzte Reichweite des Datensignals einer derartigen Datenverbindung genutzt. Die geringe Reichweite, beispielsweise der RFID-Technik, erzwingt die Anwesenheit des Endgeräts im Bereich der technischen Einrichtung. Mittels des Datensignals können auch vergleichsweise komplexe Informationen vom Identifikator auf das Endgerät übertragen werden, zum anderen bietet insbesondere der drahtlose Weg der Sicherstellung der Anwesenheit des Endgeräts im Bereich der technischen Einrichtung die Möglichkeit, zwar die Anwesenheit des Bedieners des Endgeräts in unmittelbarer Nähe der technischen Einrichtung sicherzustellen, gleichzeitig jedoch die Identifikation aus einer bestimmten Distanz zuzulassen. Dies kann beispielsweise dann sinnvoll sein, wenn Sicherheitsabstände eingehalten werden müssen.
  • Das Verfahren kann vorsehen, dass im Bereich der technischen Einrichtung zwei unterschiedliche ortsgebundene Identifikatoren zur Verfügung gestellt werden und der Zugriff auf die technische Einrichtung mittels des Endgeräts nur dann zugelassen wird, wenn durch eine Interaktion beider ortsgebundener Identifikatoren mit dem Endgerät die Anwesenheit des Endgeräts im Bereich der technischen Einrichtung bestätigt wird. Dadurch kann eine mehrstufige Identifizierung realisiert werden. Dies kann zum einen die Sicherheit erhöhen, zum anderen können so bestimmte besonders kritische Zugriffe besonders abgesichert werden. Hierbei kommen vorzugsweise für beide Identifikatoren unterschiedliche Technologien zum Einsatz, die insbesondere einen unterschiedlichen maximalen Abstand zum Identifikator erfordert. So kann beispielsweise über eine drahtlose Datenverbindung zunächst eine bestimmte Auswahl an Zugriffsmöglichkeiten auf die technische Einrichtung zugelassen werden. Ein Zugriff auf bestimmte besonders geschützte Funktionen der technischen Einrichtung kann dann die Bestätigung der Anwesenheit in einem, vorzugsweise örtlich engeren Bereich, durch den zweiten Identifikator erfordern. Bei diesem zweiten Identifikator handelt es sich insbesondere um einen optischen Indikator und/oder einen Identifikator, mit dem einigen Interaktion über eine drahtlose Datenverbindung von geringerer Reichweite möglich ist, als im Fall des ersten Identifikators.
  • Die Interaktion mit dem Identifikator kann dabei insbesondere beinhalten, dass mittels der Identifikation Daten, die Informationen über die technische Einrichtung enthalten, auf das Endgerät übertragen werden. Diese Daten ermöglichen insbesondere die Identifikation der technischen Einrichtung während des Datenzugriffs. Auf diese Weise kann sichergestellt werden, dass der Datenzugriff auf die richtige technische Einrichtung erfolgt, beispielsweise, wenn in einer Produktionsumgebung einer Mehrzahl identischer Maschinen vorhanden ist, wird so eine Verwechselung ausgeschlossen. Bei den übertragenen Daten kann es sich in einfacheren Fällen beispielsweise um Seriennummern und/oder Zeichenketten, die den Identifikator und/oder die technische Einrichtung eindeutig identifizieren, handeln. Alternativ und/oder ergänzend können weitere Daten der technischen Einrichtung übertragen werden, beispielsweise Daten, die den Typ und/oder die Konfiguration der technischen Einrichtung betreffen.
  • Das Verfahren kann vorsehen, dass der Identifikator, insbesondere in Abhängigkeit einer Zeitmessung und/oder Messung der Anzahl der generierten Identifikatoren, dynamisch generiert wird. Die dynamische Generierung des Identifikators erfolgt dabei insbesondere durch die technische Einrichtung, beispielsweise durch die Steuereinrichtung der technischen Einrichtung. Hierdurch wird insbesondere die Sicherheit im Hinblick auf missbräuchliche Umgehungsversuche erhöht. So ist es beispielsweise bei einem dynamisch generierten Identifikator nicht möglich, diesen zu kopieren, an einen anderen Ort zu verbringen und von diesem aus die Anwesenheit an der technischen Einrichtung vorzutäuschen. Ein derartiges Szenario wäre beispielsweise denkbar, wenn ein statischer QR-Code abfotografiert oder anderweitig vervielfältigt würde. Ein dynamisch generierter Code hingegen wäre dann zu einem späteren Zeitpunkt und von einem anderen Ort aus idealerweise unbrauchbar, während ein statischer QR-Code zur Absicherung der Anwesenheit in missbräuchlicher Weise genutzt werden könnte.
  • Alternativ und/oder ergänzend kann das Verfahren vorsehen, dass der Identifikator ein Code ist. Der Code kann beispielsweise lesbar an der technischen Einrichtung angebracht sein. Er kann auch dynamisch, insbesondere in Abhängigkeit einer Zeitmessung und/oder einer Messung der Anzahl der Interaktionen, dynamisch durch die technische Einrichtung generiert werden. Die Interaktion kann insbesondere die Eingabe des Codes als Identifikator beinhalten. Die Gültigkeit des Codes kann hierbei insbesondere temporär und/oder bezüglich der Anzahl der Verwendungen des Codes begrenzt sein. Insbesondere dynamisch durch die technische Einrichtung generierte Codes mit begrenzter Gültigkeit als Identifikator garantieren für eine hohe Sicherheit.
  • Das Verfahren kann vorsehen, dass der Datenzugriff auf die technische Einrichtung nach erfolgter Bestätigung lediglich für einen bestimmten Zeitraum zugelassen wird. Auf diese Weise lässt sich in einfacher Weise verhindern, dass mittels des Verfahrens zwar zunächst die Anwesenheit an der technischen Einrichtung sichergestellt wird, die technische Einrichtung dann jedoch verlassen wird. Insbesondere bei Tätigkeiten, die eine größere Zeitdauer beanspruchen und entsprechend eine längerfristige Anwesenheit an der technischen Einrichtung verlangen, besteht grundsätzlich die Gefahr, dass sich die Person mit dem Endgerät nach einer gewissen Zeit wieder von der technischen Einrichtung entfernt. Durch die Beschränkung des Datenzugriffs auf einen bestimmten Zeitraum kann dem entgegengewirkt werden. Das Verfahren kann insbesondere vorsehen, dass nach einem bestimmten Zeitraum eine erneute Interaktion des ortsgebundenen Identifikators mit dem Endgerät erfolgen muss, um die Möglichkeit des Datenzugriffs aufrechtzuerhalten und/oder erneut zu ermöglichen.
  • Das Verfahren kann weiterhin vorsehen, dass die Interaktion die Eingabe eines personengebundenen Codes beinhaltet. Der Code ist insbesondere für den jeweiligen Nutzer der technischen Einrichtung spezifisch. Beispielsweise kann es sich um eine Zeichenkette, insbesondere ein Passwort, handeln. Die Eingabe erfolgt dabei insbesondere durch die das Endgerät bedienende Person, vorzugsweise um zu verhindern, dass eine nichtberechtigte Person mittels des Endgeräts das beschriebene Verfahren durchführt, und so Zugriff auf die technische Einrichtung erhält.
  • Der Datenzugriff des Endgeräts auf die technische Einrichtung kann insbesondere verschlüsselt erfolgen. In diesem Zusammenhang kann durch den Identifikator insbesondere eine Ende-zu-Ende-Verschlüsselung zwischen der technischen Einrichtung und dem Endgerät ermöglicht werden. Eine derartige Verschlüsselung verhindert das Mitlesen der übertragenen Daten durch Dritte, die in der Lage sein könnten, die insbesondere durch das Internet übertragenen Daten zwischen Endgerät und technischer Einrichtung mitzulesen.
  • Das Verfahren kann vorsehen, dass eine Visualisierung der technischen Einrichtung durch das Endgerät erfolgt. Die Visualisierung kann dabei die Wiedergabe einer optischen Abbildung der technischen Einrichtung selbst beinhalten, beispielsweise um noch eine zusätzliche Überprüfungsmöglichkeit, dass der Datenzugriff tatsächlich auf die korrekte technische Einrichtung erfolgt, sicherzustellen. Alternativ und/oder ergänzend können auch Eigenschaften der technischen Einrichtung visualisiert werden, beispielsweise Betriebsparameter der technischen Einrichtung, insbesondere grafisch, dargestellt werden.
  • Der Zugriff auf die technische Einrichtung mittels des Endgeräts kann insbesondere browserbasiert erfolgen. Der Vorteil eines derartigen browserbasierten Zugriffs auf die technische Einrichtung ist, dass keine spezialisierte Software auf dem Endgerät vorhanden sein muss. Es wird lediglich ein Webbrowser benötigt. Der Datenzugriff auf die technische Einrichtung erfolgt dann insbesondere über entsprechende Protokolle, die durch Webbrowser typischerweise beherrscht werden. Eine derartige Ausführungsform des Verfahrens hat den Vorteil, dass das Verfahren unabhängig von der Art der verwendeten Hardware in Bezug auf das Endgerät durchführbar ist. Mit anderen Worten ist das Verfahren hinsichtlich des Endgeräts plattformunabhängig. Es muss sich lediglich um ein Endgerät handeln, das über einen funktionsfähigen Webbrowser verfügt. Dies ist bei den Endgeräten der in Rede stehenden Art üblicherweise der Fall.
  • Das Verfahren kann vorsehen, dass im Bereich der technischen Einrichtung eine Mehrzahl unterschiedlicher Identifikatoren zur Verfügung gestellt wird. In Abhängigkeit von dem jeweiligen Identifikator, mit dem das Endgerät interagiert, kann lediglich ein selektiver Teilzugriff auf die technische Einrichtung zugelassen werden und/oder eine selektive Visualisierung erfolgen. Insbesondere bei komplexen technischen Einrichtungen kann eine derartige Vorgehensweise sinnvoll sein, um den Zugriff differenziert zu gestalten. Insbesondere dann, wenn es sich um eine örtlich ausgedehnte technische Einrichtung handelt, kann so sichergestellt werden, dass sich die Person mit dem Endgerät auch tatsächlich im unmittelbaren Bereich des betroffenen Teils der technischen Einrichtung befindet und nicht beispielsweise lediglich auf dem richtigen Werksgelände.
  • Insbesondere kann es sich um eine technische Einrichtung handeln, die eine Mehrzahl unterschiedlicher elektrischer Antriebssysteme aufweist. Einen derartigen selektiven Teilzugriff auf die technische Einrichtung kann der Datenzugriff beispielsweise auf ein einzelnes Antriebssystem und/oder einen einzelnen Antriebsstrang beschränkt werden.
  • Die technische Einrichtung, bei der sich insbesondere um eine Maschine oder Anlage handelt, ist insbesondere zur Bereitstellung des Identifikators und Ermöglichung des Zugriffs über das Netzwerk bei der Durchführung eines vorstehend beschriebenen Verfahrens ausgebildet. Dies heißt mit anderen Worten, dass die technische Einrichtung beispielsweise einen Identifikator aufweist, der an dieser angebracht ist, beispielsweise ein aufgeklebter QR- oder Barcode.
  • Alternativ und/oder ergänzend kann die technische Einrichtung zum Aufbau einer drahtlosen Datenverbindung, beispielsweise mittels RFID-Technik, ausgebildet sein, über die der Identifikator in Gestalt von Daten bereitgestellt werden kann. Weiterhin kann die technische Einrichtung zur Bereitstellung des Identifikators Mittel zur Generierung des Identifikators aufweisen. Beispielsweise kann die technische Einrichtung Mittel zur Generierung eines Barcodes, eines QR-Codes, eines Codes in Gestalt einer Zeichenkette und/oder eines an das Endgerät übertragbaren Datenpakets aufweisen. Die Mittel zur Generierung des Identifikators sind insbesondere dazu ausgebildet, den Identifikator dynamisch zu generieren. Dabei kann es sich insbesondere um eine dynamische Generierung handeln.
  • Alternativ und/oder ergänzend ist ein anderes Merkmal des Identifikators denkbar, das es erlaubt, den jeweils dynamisch generierten Identifikator eindeutig zu identifizieren, beispielsweise ein Code der von Generierung zu Generierung variiert wird, insbesondere um eine lediglich einmalige Verwendung des Identifikators sicherzustellen.
  • Die technische Einrichtung kann insbesondere ein elektrisches Antriebssystem aufweisen. Eine derartige technische Einrichtung verfügt vorzugsweise über eine Steuerungseinrichtung zur Steuerung des Antriebssystems. Eine derartige technische Einrichtung ist insbesondere dafür ausgebildet, dass ein Datenzugriff im Rahmen der Durchführung des vorstehend beschriebenen Verfahrens insbesondere auf die Steuerungseinrichtung erfolgt. Die Steuerungseinrichtung kann vorzugsweise auch zur Generierung des Identifikators ausgebildet sein. Vorzugsweise verfügt die Steuerungseinrichtung zu diesem Zweck über eine geeignete Netzwerkverbindung, insbesondere über eine Anbindung an das Internet.
  • Bei den Daten kann es sich insbesondere um Ist-Werte und Sollwerte betreffend den Betrieb der technischen Einrichtung handeln. Insbesondere kann es sich um Ist-Werte und/oder Sollwerte der Steuerung und/oder Regelung eines elektrischen Antriebssystems handeln. Es kann sich insbesondere um Drehzahl-, Drehmoment-, Leistungs-, Geschwindigkeits-, Spannungs- und/oder Stromstärken-Werte handeln. Diese können zwischen dem Endgerät und der technischen Einrichtung übertragen und insbesondere durch das Endgerät visualisiert werden.
  • Alternativ und/oder ergänzend kann es sich bei den Daten um Daten betreffend bestimmte Ereignisse im Betriebsablauf der technischen Einrichtung handeln. So kann es sich beispielsweise um Daten über Störungsmeldungen und/oder Fehlermeldungen handeln. Weiterhin kann es sich um Daten handeln, die die Betriebshistorie der technischen Einrichtung betreffen. Zu diesem Zweck kann die technische Einrichtung insbesondere eine Speichereinrichtung aufweisen, in der Daten betreffend den Betrieb der technischen Einrichtung gespeichert werden können. Das vorliegende Verfahren ermöglicht den Zugriff auf derartige Daten mittels des Endgeräts und insbesondere deren Visualisierung, beispielsweise zu Diagnosezwecken.
  • Die in der vorliegenden Beschreibung sowie in den Ansprüchen offenbarten Merkmale der Erfindung können sowohl einzeln als auch in beliebigen Kombinationen für die Verwirklichung der Erfindung in ihren verschiedenen Ausführungsformen wesentlich sein. Die Erfindung ist nicht auf die beschriebenen Ausführungsformen beschränkt. Sie kann im Rahmen der Ansprüche und unter Berücksichtigung der Kenntnisse des zuständigen Fachmanns variiert werden.

Claims (15)

  1. Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung, insbesondere eine Maschine oder Anlage, wobei mittels eines netzwerkfähigen Endgeräts auf die technische Einrichtung zugegriffen wird, dadurch gekennzeichnet, dass im Bereich der technischen Einrichtung ein ortsgebundener Identifikator zur Verfügung gestellt wird und der Zugriff auf die technische Einrichtung mittels des Endgeräts nur dann zugelassen wird, wenn durch eine Interaktion des ortsgebundenen Identifikators mit dem Endgerät die Anwesenheit des Endgeräts im Bereich der technischen Einrichtung bestätigt wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die Interaktion das Einlesen eines grafischen Codes, insbesondere eines Barcodes und/oder QR-Codes, als Identifikator durch das Endgerät beinhaltet.
  3. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die Interaktion den Aufbau einer insbesondere drahtlosen Datenverbindung, insbesondere mittels RFID-Technik, mit dem Identifikator beinhaltet.
  4. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass im Bereich der technischen Einrichtung zwei unterschiedliche ortsgebundene Identifikatoren zur Verfügung gestellt werden und der Zugriff auf die technische Einrichtung mittels des Endgeräts nur dann zugelassen wird, wenn durch eine Interaktion beider ortsgebundener Identifikatoren mit dem Endgerät die Anwesenheit des Endgeräts im Bereich der technischen Einrichtung bestätigt wird.
  5. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Identifikator, insbesondere in Abhängigkeit einer Zeitmessung und/oder Messung der Anzahl der Interaktionen, dynamisch generiert wird.
  6. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass die Interaktion die Eingabe eines Codes mit, insbesondere temporär und/oder bezüglich der Anzahl der Verwendungen, begrenzter Gültigkeit, als Identifikator, beinhaltet.
  7. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Datenzugriff nach erfolgter Bestätigung nur für einen bestimmten Zeitraum zugelassen wird.
  8. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass eine Visualisierung der technischen Einrichtung durch das Endgerät erfolgt.
  9. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass der Zugriff auf die technische Einrichtung mittels des Endgeräts browserbasiert erfolgt.
  10. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass im Bereich der technischen Einrichtung eine Mehrzahl unterschiedlicher Identifikatoren zur Verfügung gestellt wird und in Abhängigkeit von dem jeweiligen Identifikator, mit dem das Endgerät interagiert, lediglich ein selektiver Teilzugriff auf die technische Einrichtung zugelassen wird und/oder eine selektive Visualisierung erfolgt.
  11. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass es sich bei den Daten, die bei dem Datenzugriff übertragen werden, um Ist-Werte und/oder Sollwerte betreffend den Betrieb der technischen Einrichtung, insbesondere um Ist-Werte und/oder Sollwerte einer Steuerung und/oder Regelung eines elektrischen Antriebssystems, handelt.
  12. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass es sich bei den Daten, die bei dem Datenzugriff übertragen werden, um Drehzahl-, Drehmoment-, Leistungs-, Geschwindigkeits-, Spannungs- und/oder Stromstärken-Werte, insbesondere einer Steuerung und/oder Regelung eines elektrischen Antriebssystems handelt.
  13. Verfahren nach einem der vorigen Ansprüche, dadurch gekennzeichnet, dass es sich bei den Daten, die bei dem Datenzugriff übertragen werden, um Daten betreffend bestimmte Ereignisse im Betriebsablauf der technischen Einrichtung, insbesondere um Daten über Störungsmeldungen, Fehlermeldungen und/oder Daten, die die Betriebshistorie der technischen Einrichtung betreffen, handelt.
  14. Technische Einrichtung, insbesondere Maschine oder Anlage, dadurch gekennzeichnet, dass die technische Einrichtung zur Bereitstellung des Identifikators und Ermöglichung des Zugriffs über das Netzwerk bei der Durchführung eines Verfahrens nach einem der vorigen Ansprüche ausgebildet ist.
  15. Technische Einrichtung nach Anspruch 14, dadurch gekennzeichnet, dass die technische Einrichtung ein elektrisches Antriebssystem und eine Steuerungseinrichtung zur Steuerung des elektrischen Antriebssystems aufweist und für einen Datenzugriff auf die Steuerungseinrichtung im Rahmen der Durchführung des Verfahrens ausgebildet ist.
DE102021131205.1A 2021-11-29 2021-11-29 Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung Pending DE102021131205A1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102021131205.1A DE102021131205A1 (de) 2021-11-29 2021-11-29 Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021131205.1A DE102021131205A1 (de) 2021-11-29 2021-11-29 Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung

Publications (1)

Publication Number Publication Date
DE102021131205A1 true DE102021131205A1 (de) 2023-06-01

Family

ID=86317250

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021131205.1A Pending DE102021131205A1 (de) 2021-11-29 2021-11-29 Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung

Country Status (1)

Country Link
DE (1) DE102021131205A1 (de)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090065578A1 (en) 2007-09-10 2009-03-12 Fisher-Rosemount Systems, Inc. Location Dependent Control Access in a Process Control System

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090065578A1 (en) 2007-09-10 2009-03-12 Fisher-Rosemount Systems, Inc. Location Dependent Control Access in a Process Control System

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Time-based one-time password. In: Wikipedia, the free encyclopedia. Bearbeitungsstand: 16.11.2021. URL: https://en.wikipedia.org/w/index.php?title=Time-based_one-time_password&oldid=1055456863 [abgerufen am 15.07.2022]

Similar Documents

Publication Publication Date Title
EP3129888B2 (de) Übermittlung von daten aus einem gesicherten speicher
DE102017116161A1 (de) Zwei-Faktor-Authentifizierung für Benutzerschnittstelleneinrichtungen in einer Prozessanlage
DE102010011657A1 (de) Verfahren und Vorrichtung zum Bereitstellen mindestens eines sicheren kryptographischen Schlüssels
DE102017116311A1 (de) Authentifizierung und autorisierung zum kontrollieren des zugriffs auf prozesskontrolleinrichtungen in einer prozessanlage
EP3130167B1 (de) Verfahren zum gesicherten zugriff auf ein feldgerät
EP3070556B1 (de) Verfahren, recheneinrichtung, benutzer-einheit und system zum parametrieren eines elektrischen gerätes
EP3582033B1 (de) Verfahren zur gesicherten bedienung eines feldgeräts
DE102013111690A1 (de) Verfahren zum Bereitstellen von limitierten Zugangsschlüsseln für Feldgeräte
DE102017102677A1 (de) Verfahren zur Authentifizierung eines Feldgeräts der Automatisierungstechnik
EP3525390A1 (de) Einrichtung und verfahren zum bereitstellen mindestens eines sicheren kryptographischen schlüssels für den durch ein steuergerät initiierten kryptographischen schutz von daten
DE102016125169A1 (de) Vorrichtung und System zum Überwachen einer Anlage der Automatisierungstechnik
EP2529189B1 (de) System und verfahren zum bereitstellen von sensordaten
DE102021131205A1 (de) Verfahren zum Bereitstellen eines Datenzugriffs auf eine technische Einrichtung und technische Einrichtung
DE102020124820A1 (de) Sicherer externer zugriff auf prozesssteuerungsdaten durch eine mobile vorrichtung
DE102016119744A1 (de) Verfahren und System zum Verhindern eines unerwünschten Zugriffs auf ein Feldgerät
DE102019131833A1 (de) Verfahren zur Überprüfung der Einstellung von vorgegebenen Sicherheitsfunktionen eines Feldgeräts der Prozess- und Automatisierungstechnik
DE102016120306A1 (de) Verfahren und System zum Aktivieren zumindest einer Bedien-/Parametrierfunktion eines Feldgerätes der Automatisierungstechnik
EP3510453B1 (de) Kommunikationsvorrichtung zum durchführen einer steuerungs-interaktion zwischen einer bedienelektronik und einem stellgerät
EP4078916B1 (de) Übertragung von sicherheitseinstellungen zwischen einem ersten und einem zweiten feldgerät der automatisierungstechnik
DE102004006509B4 (de) Mobile Kommunikationseinrichtung zum Bedienen und/oder Beobachten einer Automatisierungskomponente
DE102017216677A1 (de) Verfahren und Anordnung zum Bereitstellen eines Zugriffs auf mindestens ein Feldgerät einer technischen Anlage
EP4264382A1 (de) Honeypot für eine verbindung zwischen edge device und cloudbasierter serviceplattform
DE102020124837A1 (de) Whitelisting für hart-kommunikationen in einem prozesssteuerungssystem
EP3306514B1 (de) Verfahren und vorrichtung zum zertifizieren einer sicherheitskritischen funktionskette
DE102015116401A1 (de) System, insbesondere Augmented-Reality-System, zu einer Bedienung und/oder zu einer Instandhaltung einer technischen Anlage

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication