IT Sicherheit
Allgemeine Informationen
Das Vertrauen unserer Kunden in die Informations- und Datensicherheit der ENLYZE Plattform stellt für uns einen entscheidenden Faktor für eine erfolgreiche und langfristige Kundenbeziehung dar. Die Sicherheit Ihrer Daten und Informationen ist daher ein zentrales Anliegen von uns und spielt im Entwicklungsprozess unserer Soft- und Hardware, dem produktiven Betrieb unserer Lösungen, sowie der Datenhaltung eine wesentliche Rolle.
Bezüglich allgemeiner Fragen rund um das Thema Datenschutz verweisen wir an dieser Stelle auf unsere Nutzungsbedingungen. Insbesondere Punkt 10 (Dateneigentum und Vertraulichkeit der Daten), Punkt 11 (Vertraulichkeit), Punkt 12 (Kundendaten und Freistellung) und Punkt 13 (Datenschutz und Informationssicherheit) stellen hier unser Selbstverständnis im Umgang mit Daten unserer Kunden im besonderen Maße heraus.
Technologisch übersetzt sich dieses Selbstverständnis wie folgt: Als Grundprinzip unseres Sicherheitskonzepts setzen wir technisch auf eine durchgängige Defense-in-Depth-Strategie aus mehreren Kontrollschichten (Defense). Durch interne und externe Risikoanalysen hinterfragen wir unser bisherigen Vorkehrungen permanent und implementieren bei Bedarf weitere technische und organisatorische Sicherheitsmaßnahmen. Auf diese Weise können wir unseren Kunden ein Höchstmaß an technologisch gewährbarer Informations- und Datensicherheit anbieten.
Systemaufbau
Zum Auslesen und Weiterleiten von Prozessdaten einer Produktionsanlage in die ENLYZE Plattform setzen wir unser eigenes Edge-Device ein, den ENLYZE SPARK. Dieser wird in das Netzwerk unserer Kunden integriert, sodass zum einen eine Verbindung zu einer Maschine und zum anderen eine Weiterleitung der Prozessdaten in die ENLYZE Cloud stattfinden kann.
Uns ist bewusst, dass unser System durch die Integration ins Herzstück vieler produzierender Unternehmen besonderen sicherheitstechnischen Anforderungen genügen muss. Im Folgenden stellen wir einige unserer Grundprinzipien dieser Integration dar und bemühen uns somit um bestmögliche Transparenz.
ENLYZE SPARK
Der ENLYZE SPARK verfügt über getrennte und gegeneinander abgesicherte Subnetze, eines für die Anbindung einer Maschine und eines für eine Internetverbindung. Durch diese Trennung wird sichergestellt, dass nur eines der Subnetze des ENLYZE SPARK mit dem Internet verbunden wird, die Maschine aber weiterhin komplett getrennt von einer Internetverbindung bleibt.
Der SPARK kommuniziert ausschließlich lesend mit Datenquellen der Maschine, wie bspw. einer Maschinensteuerung. Ein schreibender Zugriff ist nicht implementiert. Dadurch ist sichergestellt, dass auch eine mögliche Fehlfunktion der ENLYZE SPARK-Software keine negativen Auswirkungen auf die Maschine hat, da der SPARK „by-design“ keinen Einfluss auf die Ansteuerung der Maschine haben kann.
ENLYZE Cloud & App
Alle Datencenter und Server, auf denen die ENLYZE Cloud & App aufbauen, stehen in Deutschland. Maschinendaten werden in der Google Cloud Platform (GCP) verarbeitet, wobei die hierfür eingesetzten Instanzen in Frankfurt am Main gehostet sind.
Darüber hinaus nutzen wir Virtual Machines des Cloud Providers Hetzner in Falkenstein und Nürnberg, um unsere Applikationsdatenbanken und Batchverarbeitungsprozesse zu hosten.
Die von uns eingesetzten Dienstleister sind nach ISO 27001 und weiteren Richtlinien zertifiziert und genügen damit höchsten Ansprüchen an IT Security, Datensicherheit und Vertraulichkeit.
Trennung vom Operativen System und ENLYZE Plattform
📌 Die ENLYZE Plattform nimmt Prozessdaten rein lesend auf und greift nicht aktiv in Ihre Produktionsprozesse ein. Ein theoretischer Ausfall der ENLYZE Infrastruktur hat daher keine direkten Auswirkungen auf Ihre Produktion im Sinne eines Ausfalls bzw. Stillstandes.
Trotz dieser Trennung zwischen Ihren Operativen Systemen und dem ENLYZE-System ist die ENLYZE GmbH im Eigentum einer branchenüblichen Haftpflichtversicherung für Vermögensschäden. Diese schützt unsere Kunden vor finanziellen Schäden, welche durch das Verschulden der ENLYZE GmbH auftreten könnten.
Verbindungsaufbau im Detail
Verbindung ENLYZE SPARK ←→ Maschine
Zum Auslesen von Maschinendaten kann der Anschluss an eine Maschinensteuerung je nach vorhandener Netzwerkarchitektur direkt oder indirekt über zwischengeschaltete Firewalls/Switches erfolgen. Falls weitere Maschinensteuerungen über diesen Switch erreichbar sind, können (falls erwünscht) mehrere Anlagen durch einen einzigen SPARK ausgelesen werden.
Falls die örtlichen Gegebenheiten und die Netzwerkarchitektur das Auslesen aller nötigen Maschinensteuerungen über einen einzigen SPARK nicht zulassen, wird ein SPARK pro Maschine bzw. Datenquelle installiert.
Direkte Verbindung
Bei der direkten Verbindung wird der SPARK im Schaltschrank der anzubindenden Maschine verbaut. Die Verbindung wird direkt über ein Ethernet-Kabel oder eine serielle Schnittstelle hergestellt. Bei einer direkten Verbindung muss sichergestellt sein, dass zusätzlich ein Ethernet-Port mit Internet-Zugang im Schaltschrank vorhanden ist.
Indirekte Verbindung
Bei der indirekten Verbindung wird der SPARK in ein vorhandenes Maschinennetzwerk integriert und nicht direkt mit der Maschinensteuerung verbunden.
Hierbei ist eine eventuell vorhandene Firmen-Firewall zwischen SPARK und Maschine so zu konfigurieren, dass der SPARK eine Verbindung zu den IP-Adressen und Ports der jeweiligen Maschinensteuerungen aufbauen und über diese kommunizieren kann. Eingehende bzw. Schreibende Verbindungen vom SPARK zur Maschine finden nicht statt.
Gewöhnlicherweise sind die IP-Adressen der Steuerungen individuell je nach Netzwerkarchitektur vergeben worden und ENLYZE daher im Vorfeld mitzuteilen. Die genutzten TCP-Ports unterscheiden sich je nach Hersteller der Maschinensteuerung. Falls die Maschinensteuerung per OPC DA oder OPC UA angebunden werden soll, sind weitere individuelle TCP-Ports zu öffnen. Falls das Kommunikationsprotokoll, die IP-Adressen oder TCP-Ports nicht bekannt sind, kann dies auch bei einem Vor-Ort-Termin von uns herausgefunden werden.
Verbindung ENLYZE SPARK ←→ ENLYZE Cloud
Zur sicheren Speicherung und Weiterverarbeitung der ausgelesenen Maschinendaten stellt der ENLYZE SPARK eine authentifizierte und verschlüsselte VPN-Verbindung zwischen dem Gerät und der ENLYZE Cloud her. Eingesetzt wird das so genannte WireGuard VPN-Protokoll, welches als Peer-to-Peer-Protokoll ausschließlich über UDP arbeitet. Das Umgehen von Firewalls per TCP, wie es OpenVPN auf den HTTP/HTTPS-Ports anbietet, ist nicht möglich. Weitere Informationen können Sie dem WireGuard Whitepaper entnehmen.
Durch Firewallregeln (siehe unten) wird die Kommunikation der SPARKs, abseits der initial notwendigen DNS- und NTP-Anfragen, exklusiv auf den freigegebenen VPN-Server beschränkt. Der VPN-Server selbst beschränkt weiterhin die Kommunikation durch den VPN-Tunnel auf eine Liste freigegebener Hosts. Somit wird im Sinne einer Defense-in-Depth-Strategie jegliche ungewöhnliche Netzwerkaktivität des SPARKs blockiert. Eine Kommunikation der SPARKs untereinander über das VPN ist ebenfalls nicht möglich.
Über den VPN-Tunnel ist es weiterhin möglich, den SPARK-Status einzusehen, einen SPARK aus der Ferne zu konfigurieren und die SPARK-Software zu aktualisieren. Der Fern- bzw. Remote-Zugriff auf einen SPARK ist lediglich für einzelne geschulte Mitarbeiter der ENLYZE GmbH über einen einzigen Server möglich. Dieser Server ist physisch durch eine elektronische Zugangskontrolle gegen den Zugang Dritter geschützt. Sämtliche Festplatten des Servers sind verschlüsselt.
Notwendige Firewall-Einstellungen
Zur Integration des SPARKs sind folgende ausgehende Verbindungen in der Firewall zu erlauben. Die SPARKs können dabei über ihre jeweiligen MAC-Adressen im Netzwerk identifiziert werden. Eingehende Verbindungen zum SPARK (über Portfreigaben) sind grundsätzlich nicht notwendig.
| Host | Port | Transport | Zweck |
|---|---|---|---|
1.1.1.1 | 53 (DNS) | TCP, UDP | Auflösung von Hostnamen zu IP-Adressen |
8.8.8.8 | 53 (DNS) | TCP, UDP | Auflösung von Hostnamen zu IP-Adressen |
8.8.4.4 | 53 (DNS) | TCP, UDP | Auflösung von Hostnamen zu IP-Adressen |
iot-edge-1.enlyze.com (159.69.177.150) | 51821 (WireGuard) | UDP | Datentransfer in die ENLYZE-Cloud, SPARK-Konfiguration, Einspielen von Updates |
ntp1.enlyze.com (157.90.230.207) | 123 (NTP) | UDP | Synchronisierung Systemzeit |
ntp2.enlyze.com (162.55.43.234) | 123 (NTP) | UDP | Synchronisierung Systemzeit |
Verbindung von Buchungssystemen
Die Anbindung von Buchungssystemen (ERP/MES/BDE) erfolgt i.d.R. ebenfalls über den ENLYZE SPARK. Die Anbindung an das jeweilige Buchungssystemen dient zur Erfassung weiterer produktionsrelevanter Daten. Erst hierdurch lassen sich ausgelesene Maschinenparameter mit gefertigten Aufträgen bzw. Produkten und deren detaillierten Komponenten korrelieren.
Die Datenerfassung und -verarbeitung der ENLYZE Plattform umfasst ausdrücklich keine personenbezogenen Daten (Verweis: ENLYZE Nutzungsbedingungen, Punkt 13 „Datenschutz und Informationssicherheit“) . Falls diese heute innerhalb Ihres ERP-/MES-/BDE-Systems abgelegt werden, werden diese explizit nicht von ENLYZE ausgelesen, gespeichert oder in sonstiger Form verwertet.
Die konkrete Kommunikation des ENLYZE SPARKs mit einem Buchungssystemen unterscheidet sich je nach verwendetem System, den notwendigen Daten und über welche Zugriffswege die relevanten Daten verfügbar sind. Eine Anbindung erfolgt entweder über vorhandene Schnittstellen oder über einen Zugriff auf die zugrundeliegenden Server-Datenbanken.
Anbindung über Server-Datenbanken
Die Anbindung erfolgt entweder über einen schon vorhandenen SPARK aus dem Maschinennetz oder einen dedizierten SPARK speziell für diese Anbindung. Eine eventuell vorhandene Firmen-Firewall zwischen SPARK und Buchungssystem muss so konfiguriert werden, dass eine Verbindung zu der IP-Adresse und dem TCP-Port des Servers aufgebaut und kommuniziert werden kann. Eingehende Verbindungen vom Buchungssystem zum SPARK müssen dabei nicht erlaubt werden.
Zudem wird ein Benutzernamen mit rein lesendem Zugriff für die relevanten Bereiche des Datenbankservers benötigt. Dieses Vorgehen liegt in beiderseitigem Interesse, da somit Leseoperationen auf das Buchungssystem durch ENLYZE sauber von Operationen anderer Teilnehmer getrennt und nachvollzogen werden können. Kritische Daten werden so nur im nötigen Umfang geteilt. Zudem werden sämtliche Schreibzugriffe technisch unmöglich gemacht.
Alternativ können die relevanten Daten beispielsweise auch in eine dedizierte .csv-Datei exportiert werden und diese mit ENLYZE über einen FTP/SMB-Server geteilt werden. Damit kann weiter sichergestellt werden, dass das ERP/BDE/MES-System unberührt bleibt.
Nach abgeschlossener Implementierung erhält der Kunde eine Liste aller Datenpunkte, welche durch das ENLYZE System ausgelesen werden. Im Falle einer Anpassung erhält der Kunde eine aktualisierte Liste und ist somit jederzeit vollständig über alle erfassten Datenpunkte aufgeklärt.
Anbindung über Schnittstellen
Falls Ihr vorhandenes ERP/MES/BDE-System über anderweitige Schnittstellen verfügt, können wir auch darüber eine Verbindung herstellen. Anbindungsmöglichkeiten müssen in diesem Fall besprochen werden. Bitte nehmen Sie hierzu Kontakt mit Ihrem Ansprechpartner bei ENLYZE auf und sprechen Sie die Option einer Anbindung über anderweitige Schnittstellen an.
Weitere offene Fragen?
Wir hoffen, dass wir alle Ihre Fragen und Bedenken bezüglich der Integration eines SPARK in Ihre Infrastruktur klären konnten. Falls weitere Fragen bzw. Bedenken bestehen schicken Sie uns gerne eine E-Mail an support@enlyze.com oder treten Sie mit Ihrem ENLYZE Ansprechpartner in Kontakt. Wir werden uns schnellstmöglich bei Ihnen zurückmelden.
Last updated
