# Sicherheit

## Allgemeine Informationen

Das Vertrauen unserer Kunden in die Informations- und Datensicherheit der ENLYZE Plattform stellt für uns einen entscheidenden Faktor für eine erfolgreiche und langfristige Kundenbeziehung dar. Die Sicherheit Ihrer Daten und Informationen ist daher ein zentrales Anliegen von uns und spielt im Entwicklungsprozess unserer Soft- und Hardware, dem produktiven Betrieb unserer Lösungen, sowie der Datenhaltung eine wesentliche Rolle.

Bezüglich allgemeiner Fragen rund um das Thema Datenschutz verweisen wir an dieser Stelle auf unsere [Nutzungsbedingungen](https://www.enlyze.com/AGB). Insbesondere Punkt 10 (Dateneigentum und Vertraulichkeit der Daten), Punkt 11 (Vertraulichkeit), Punkt 12 (Kundendaten und Freistellung) und Punkt 13 (Datenschutz und Informationssicherheit) stellen hier unser Selbstverständnis im Umgang mit Daten unserer Kunden im besonderen Maße heraus.

Technologisch übersetzt sich dieses Selbstverständnis wie folgt: Als Grundprinzip unseres Sicherheitskonzepts setzen wir technisch auf eine durchgängige *Defense-in-Depth-Strategie* aus mehreren Kontrollschichten (Defense). Durch interne und externe Risikoanalysen hinterfragen wir unser bisherigen Vorkehrungen permanent und implementieren bei Bedarf weitere technische und organisatorische Sicherheitsmaßnahmen. Auf diese Weise können wir unseren Kunden ein Höchstmaß an technologisch gewährbarer Informations- und Datensicherheit anbieten.

## Systemaufbau

Zum Auslesen und Weiterleiten von Prozessdaten einer Produktionsanlage in die ENLYZE Plattform setzen wir unser eigenes Edge-Device ein, den ENLYZE Edge Device. Dieser wird in das Netzwerk unserer Kunden integriert, sodass zum einen eine Verbindung zu einer Maschine und zum anderen eine Weiterleitung der Prozessdaten in die ENLYZE Cloud stattfinden kann.

Uns ist bewusst, dass unser System durch die Integration ins Herzstück vieler produzierender Unternehmen besonderen sicherheitstechnischen Anforderungen genügen muss. Im Folgenden stellen wir einige unserer Grundprinzipien dieser Integration dar und bemühen uns somit um bestmögliche Transparenz.

<figure><img src="/files/AIc436T9NzFnZg0pt8kD" alt=""><figcaption><p>Schematische Darstellung des Systemaufbaus.</p></figcaption></figure>

### ENLYZE Edge Device

Das ENLYZE Edge Device verfügt über getrennte und gegeneinander abgesicherte Subnetze, eines für die Anbindung einer Maschine und eines für eine Internetverbindung. Durch diese Trennung wird sichergestellt, dass nur eines der Subnetze des ENLYZE Edge Device mit dem Internet verbunden wird, die Maschine aber weiterhin komplett getrennt von einer Internetverbindung bleibt.

Das Edge Device kommuniziert ausschließlich lesend mit Datenquellen der Maschine, wie bspw. einer Maschinensteuerung. **Ein schreibender Zugriff ist nicht implementiert.** Dadurch ist sichergestellt, dass auch eine mögliche Fehlfunktion der ENLYZE Edge Device-Software keine negativen Auswirkungen auf die Maschine hat, da das Edge Device „by-design“ keinen Einfluss auf die Ansteuerung der Maschine haben kann.

### ENLYZE Cloud & App

Alle Datencenter und Server, auf denen die ENLYZE Cloud & App aufbauen, stehen in Deutschland. Maschinendaten werden in der *Google Cloud Platform (GCP*) verarbeitet, wobei die hierfür eingesetzten Instanzen in Frankfurt am Main gehostet sind.

Darüber hinaus nutzen wir Virtual Machines des Cloud Providers *Hetzner* in Falkenstein und Nürnberg, um unsere Applikationsdatenbanken und Batchverarbeitungsprozesse zu hosten.

Die von uns eingesetzten Dienstleister sind nach ISO 27001 und weiteren Richtlinien zertifiziert und genügen damit höchsten Ansprüchen an IT Security, Datensicherheit und Vertraulichkeit.

* [Zertifizierungen der Google Cloud Platform](https://cloud.google.com/security/compliance/offerings)
* [Zertifizierungen Hetzner](https://www.hetzner.com/de/unternehmen/zertifizierung/)

### Trennung vom Operativen System und ENLYZE Plattform

{% hint style="info" %}
📌 Die ENLYZE Plattform nimmt Prozessdaten rein lesend auf und greift nicht aktiv in Ihre Produktionsprozesse ein. Ein theoretischer Ausfall der ENLYZE Infrastruktur hat daher keine direkten Auswirkungen auf Ihre Produktion im Sinne eines Ausfalls bzw. Stillstandes.
{% endhint %}

Trotz dieser Trennung zwischen Ihren Operativen Systemen und dem ENLYZE-System ist die ENLYZE GmbH im Eigentum einer branchenüblichen Haftpflichtversicherung für Vermögensschäden. Diese schützt unsere Kunden vor finanziellen Schäden, welche durch das Verschulden der ENLYZE GmbH auftreten könnten.

## Verbindungsaufbau im Detail

### Verbindung ENLYZE Edge Device ←→ Maschine

***

Zum Auslesen von Maschinendaten kann der Anschluss an eine Maschinensteuerung je nach vorhandener Netzwerkarchitektur **direkt** oder **indirekt** über zwischengeschaltete Firewalls/Switches erfolgen. Falls weitere Maschinensteuerungen über diesen Switch erreichbar sind, können (falls erwünscht) mehrere Maschinen durch einen einzigen Edge Device ausgelesen werden.

Falls die örtlichen Gegebenheiten und die Netzwerkarchitektur das Auslesen aller nötigen Maschinensteuerungen über einen einzigen Edge Device nicht zulassen, wird ein Edge Device pro Maschine bzw. Datenquelle installiert.

#### **Direkte Verbindung**

Bei der direkten Verbindung wird das Edge Device im Schaltschrank der anzubindenden Maschine verbaut. Die Verbindung wird direkt über ein Ethernet-Kabel oder eine serielle Schnittstelle hergestellt. Bei einer direkten Verbindung muss sichergestellt sein, dass zusätzlich ein Ethernet-Port mit Internet-Zugang im Schaltschrank vorhanden ist.

#### **Indirekte Verbindung**

Bei der indirekten Verbindung wird das Edge Device in ein vorhandenes Maschinennetzwerk integriert und nicht direkt mit der Maschinensteuerung verbunden.

Hierbei ist eine eventuell vorhandene Firmen-Firewall zwischen Edge Device und Maschine so zu konfigurieren, dass das Edge Device eine Verbindung zu den IP-Adressen und Ports der jeweiligen Maschinensteuerungen aufbauen und über diese kommunizieren kann. Eingehende bzw. Schreibende Verbindungen vom Edge Device zur Maschine finden nicht statt.

Gewöhnlicherweise sind die IP-Adressen der Steuerungen individuell je nach Netzwerkarchitektur vergeben worden und ENLYZE daher im Vorfeld mitzuteilen. Die genutzten TCP-Ports unterscheiden sich je nach Hersteller der Maschinensteuerung. Falls die Maschinensteuerung per OPC DA oder OPC UA angebunden werden soll, sind weitere individuelle TCP-Ports zu öffnen. Falls das Kommunikationsprotokoll, die IP-Adressen oder TCP-Ports nicht bekannt sind, kann dies auch bei einem Vor-Ort-Termin von uns herausgefunden werden.

### Verbindung ENLYZE Edge Device ←→ ENLYZE Cloud

Zur sicheren Speicherung und Weiterverarbeitung der ausgelesenen Maschinendaten stellt der ENLYZE Edge Device eine authentifizierte und verschlüsselte VPN-Verbindung zwischen dem Gerät und der ENLYZE Cloud her. Eingesetzt wird das so genannte WireGuard VPN-Protokoll, welches als Peer-to-Peer-Protokoll ausschließlich über UDP arbeitet. Das Umgehen von Firewalls per TCP, wie es OpenVPN auf den HTTP/HTTPS-Ports anbietet, ist nicht möglich. Weitere Informationen können Sie dem [WireGuard Whitepaper](https://www.wireguard.com/papers/wireguard.pdf) entnehmen.

Durch Firewallregeln (siehe unten) wird die Kommunikation der Edge Devices, abseits der initial notwendigen DNS- und NTP-Anfragen, exklusiv auf den freigegebenen VPN-Server beschränkt. Der VPN-Server selbst beschränkt weiterhin die Kommunikation durch den VPN-Tunnel auf eine Liste freigegebener Hosts. Somit wird im Sinne einer Defense-in-Depth-Strategie jegliche ungewöhnliche Netzwerkaktivität des Edge Devices blockiert. Eine Kommunikation der Edge Devices untereinander über das VPN ist ebenfalls nicht möglich.

Über den VPN-Tunnel ist es weiterhin möglich, das Edge Device-Status einzusehen, einen Edge Device aus der Ferne zu konfigurieren und die Edge Device-Software zu aktualisieren. Der Fern- bzw. Remote-Zugriff auf einen Edge Device ist lediglich für einzelne geschulte Mitarbeiter der ENLYZE GmbH über einen einzigen Server möglich. Dieser Server ist physisch durch eine elektronische Zugangskontrolle gegen den Zugang Dritter geschützt. Sämtliche Festplatten des Servers sind verschlüsselt.

#### Notwendige Firewall-Einstellungen

Zur Integration des Edge Devices sind folgende **ausgehende** Verbindungen in der Firewall zu erlauben. Die Edge Devices können dabei über ihre jeweiligen MAC-Adressen im Netzwerk identifiziert werden. Eingehende Verbindungen zum Edge Device (über Portfreigaben) sind grundsätzlich nicht notwendig.

<table><thead><tr><th width="217">Host</th><th width="123">Port</th><th width="128">Transport</th><th>Zweck</th></tr></thead><tbody><tr><td>1.1.1.1</td><td>53 (DNS)</td><td>TCP, UDP</td><td>Auflösung von Hostnamen zu IP-Adressen</td></tr><tr><td>8.8.8.8</td><td>53 (DNS)</td><td>TCP, UDP</td><td>Auflösung von Hostnamen zu IP-Adressen</td></tr><tr><td>8.8.4.4</td><td>53 (DNS)</td><td>TCP, UDP</td><td>Auflösung von Hostnamen zu IP-Adressen</td></tr><tr><td>iot-edge-1.enlyze.com<br>(159.69.177.150)</td><td>51821<br>(WireGuard)</td><td>UDP</td><td>Datentransfer in die ENLYZE-Cloud, Edge Device-Konfiguration, Einspielen von Updates</td></tr><tr><td>ntp1.enlyze.com<br>(157.90.230.207)</td><td>123<br>(NTP)</td><td>UDP</td><td>Synchronisierung Systemzeit</td></tr><tr><td>ntp2.enlyze.com<br>(162.55.43.234)</td><td>123<br>(NTP)</td><td>UDP</td><td>Synchronisierung Systemzeit</td></tr></tbody></table>

### Verbindung von Buchungssystemen

***

Die Anbindung von Buchungssystemen (ERP/MES/BDE) erfolgt i.d.R. ebenfalls über den ENLYZE Edge Device. Die Anbindung an das jeweilige Buchungssystemen dient zur Erfassung weiterer produktionsrelevanter Daten. Erst hierdurch lassen sich ausgelesene Maschinenparameter mit gefertigten Aufträgen bzw. Produkten und deren detaillierten Komponenten korrelieren.

Die Datenerfassung und -verarbeitung der ENLYZE Plattform umfasst ausdrücklich keine personenbezogenen Daten (Verweis: [ENLYZE Nutzungsbedingungen](https://enlyze.com/nutzungsbedingungen/), Punkt 13 „Datenschutz und Informationssicherheit“) **.** Falls diese heute innerhalb Ihres ERP-/MES-/BDE-Systems abgelegt werden, werden diese explizit nicht von ENLYZE ausgelesen, gespeichert oder in sonstiger Form verwertet.

Die konkrete Kommunikation des ENLYZE Edge Devices mit einem Buchungssystemen unterscheidet sich je nach verwendetem System, den notwendigen Daten und über welche Zugriffswege die relevanten Daten verfügbar sind. Eine Anbindung erfolgt entweder über vorhandene Schnittstellen oder über einen Zugriff auf die zugrundeliegenden Server-Datenbanken.

#### Anbindung über Server-Datenbanken

Die Anbindung erfolgt entweder über einen schon vorhandenen Edge Device aus dem Maschinennetz oder einen dedizierten Edge Device speziell für diese Anbindung. Eine eventuell vorhandene Firmen-Firewall zwischen Edge Device und Buchungssystem muss so konfiguriert werden, dass eine Verbindung zu der IP-Adresse und dem TCP-Port des Servers aufgebaut und kommuniziert werden kann. Eingehende Verbindungen vom Buchungssystem zum Edge Device müssen dabei nicht erlaubt werden.

Zudem wird ein Benutzernamen mit rein lesendem Zugriff für die relevanten Bereiche des Datenbankservers benötigt. Dieses Vorgehen liegt in beiderseitigem Interesse, da somit Leseoperationen auf das Buchungssystem durch ENLYZE sauber von Operationen anderer Teilnehmer getrennt und nachvollzogen werden können. Kritische Daten werden so nur im nötigen Umfang geteilt. Zudem werden sämtliche Schreibzugriffe technisch unmöglich gemacht.

Alternativ können die relevanten Daten beispielsweise auch in eine dedizierte .csv-Datei exportiert werden und diese mit ENLYZE über einen FTP/SMB-Server geteilt werden. Damit kann weiter sichergestellt werden, dass das ERP/BDE/MES-System unberührt bleibt.

Nach abgeschlossener Implementierung erhält der Kunde eine Liste aller Datenpunkte, welche durch das ENLYZE System ausgelesen werden. Im Falle einer Anpassung erhält der Kunde eine aktualisierte Liste und ist somit jederzeit vollständig über alle erfassten Datenpunkte aufgeklärt.

#### Anbindung über Schnittstellen

Falls Ihr vorhandenes ERP/MES/BDE-System über anderweitige Schnittstellen verfügt, können wir auch darüber eine Verbindung herstellen. Anbindungsmöglichkeiten müssen in diesem Fall besprochen werden. Bitte nehmen Sie hierzu Kontakt mit Ihrem Ansprechpartner bei ENLYZE auf und sprechen Sie die Option einer Anbindung über anderweitige Schnittstellen an.

## Weitere offene Fragen?

Wir hoffen, dass wir alle Ihre Fragen und Bedenken bezüglich der Integration eines Edge Device in Ihre Infrastruktur klären konnten. Falls weitere Fragen bzw. Bedenken bestehen schicken Sie uns gerne eine E-Mail an <support@enlyze.com> oder treten Sie mit Ihrem ENLYZE Ansprechpartner in Kontakt. Wir werden uns schnellstmöglich bei Ihnen zurückmelden.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.enlyze.com/connect/sicherheit.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.