Zum Inhalt

Sicherheit

Sicherheit und Datenschutz der Cloud-Plattform aedifion.io.

├ťbersicht

Die Cloud-Plattform aedifion.io bietet cloudbasierte Datenerfassung und -analyse sowie eine cloudbasierte Steuerung. Diese Dienste erfordern zwangsl├Ąufig eine Verbindung zwischen Ihrem Geb├Ąudeautomationsnetzwerk (.d.h. dem des Kunden) und der Cloud-Plattform aedifion.io, sowie die Speicherung und Verarbeitung von Daten auf dieser Plattform.

Einige unserer Kunden haben anfangs Bedenken, ihr Geb├Ąudenetzwerk mit dem Internet zu verbinden, und sei es nur mit unserer Plattform. Typische Bedenken sind:

"Aus Sicherheitsgr├╝nden ist das Geb├Ąudeautomationsnetzwerk nicht mit dem Internet verbunden."

- Gro├čer deutscher Immobilienbetreiber


"80 % unserer Kunden bestehen auf einer physikalischen Trennung von Geb├Ąudeautomationsnetzwerk und Internet, zum Beispiel ├╝ber serielle Kommunikation."

- Anbieter von Cloud-basierten Steuerungsalgorithmen


"Wir brauchen mehr Informationen, um den Geb├Ąudebetreiber zu ├╝berzeugen."

- Energiedienstleister


Viele Bedenken unserer Bestandskunden konnten ausger├Ąumt werden, nachdem sie genau verstanden haben, welche Verbindungen hergestellt werden, wie sie hergestellt werden und aus welchen Gr├╝nden. In diesem Artikel erl├Ąutern wir daher, welche Vorkehrungen und Sicherheitsma├čnahmen aedifion trifft, um Ihr Geb├Ąudenetzwerk und Ihre Daten zu sch├╝tzen.

Das Edge Device

Hardware

Das Edge Device ist ein kleiner Industrie-PC, der gegen Spritzwasser, extreme Temperaturen, Vibrationen, Ersch├╝tterungen, etc. gesch├╝tzt ist. Er kann auf Standard-DIN-Schienen montiert werden. Das Edge Device ist nach deutschen Standards konstruiert, montiert und zugelassen. Wir verwenden derzeit folgende Hardware:

Software

Auf dem Edge Device wird Ubuntu 18.04.1 LTS Server ausgef├╝hrt und automatisch t├Ąglich Sicherheitsupdates eingespielt. Die Anmeldung am Ger├Ąt ist nur ├╝ber SSH m├Âglich und das Root-Benutzerkonto ist deaktiviert. Jedes Edge Device durchl├Ąuft umfangreiche Funktions- und Sicherheitstests, bevor es zum Einsatz kommt.

Auf Wunsch kann die Software des Edge Device auf Ihrer eigenen Hardware und Ihrem Betriebssystem ausgef├╝hrt werden.

Verbindung zum Gebaudeautomationsnetzwerk

Das Edge-Ger├Ąt hat zwei eingebaute Netzwerkadapter. Der erste Netzwerkadapter muss direkt mit dem lokalen Geb├Ąudeautomationsnetzwerk verbunden sein. Dies ist wichtig, um die automatische Erkennung von Ger├Ąten und deren Datenpunkten zu erm├Âglichen, da viele Kommunikationsprotokolle f├╝r Geb├Ąude, wie z.B. BACnet, ├ťbertragungen im lokalen Netzwerk zur automatischen Erkennung verwenden und diese ├ťbertragungen standardm├Ą├čig nur innerhalb des lokalen Netzwerks weitergeleitet werden. Das Edge-Ger├Ąt kommuniziert nur auf dem/den Port(s), die dem jeweiligen Netzwerkprotokoll der Geb├Ąudeautomation zugeordnet sind, z.B. dem Port 47808 f├╝r BACnet.

Installation und Anschluss des Edge Devices erfolgt durch den Techniker des Kunden vor Ort. aedifion wird in keinem Fall einen physischen Zugang zu Ihren Netzwerken ben├Âtigen.

Wenn bestimmte Datenpunkte oder ganze Geb├Ąudebereiche nicht ausgelesen werden d├╝rfen, kann dies entweder im Vorfeld technisch verhindert (z.B. durch Netzwerkmasken oder VLANs) oder flexibel innerhalb der Einstellungen des Edge Devices umgesetzt werden. Gemeinsam mit Ihnen w├Ąhlen wir aus, welche Datenpunkte beschrieben oder gespeichert werden sollen und welche nicht, da diese als kritisch oder in Bezug auf Datenschutz als sensibel eingestuft werden k├Ânnen.

Verbinden mit aedifion.io

Der zweite Netzwerkadapter des Edge Device muss mit einem Netzwerk mit Internetzugang verbunden sein. ├ťber diese Netzwerkschnittstelle stellt das Edge Device eine Verbindung zu den Servern her, auf denen die Cloud-Plattform aedifion.io gehostet wird. Diese Verbindung wird z.B. f├╝r die Datenerfassung und die Fernadministration genutzt. Die gesamte Kommunikation zwischen dem Edge Device und der Cloud-Plattform aedifion.io ist ├╝ber TLS oder SSH gesichert.

In den meisten Einsatzszenarien werden lokale Netzwerke mit Internetzugang durch Firewalls gesch├╝tzt, die ausgehende Verbindungen begrenzen. In diesen Firewalls m├╝ssen die folgenden Ports ge├Âffnet werden:

  • 22/TCP Secure Shell (SSH)
    Wird nur bei Bedarf verwendet, um eine sichere Verbindung vom Edge Device zu einem von zwei dedizierten Servern f├╝r die Fernadministration herzustellen, z.B. um Software-Updates ohne manuelle Interaktion vor Ort durchzuf├╝hren. SSH ist de facto das Standardprotokoll f├╝r die Fernadministration in Cloud-Umgebungen und wird weltweit in Millionen von IT-Systemen verwendet.
  • 123/TCP - Network Time Protocol (NTP)
    NTP ist ein Standardprotokoll zur Synchronisation der Systemzeit und stellt eine ausgehende Verbindung zu einem Pool von Zeitservern her. Auf Wunsch kann das Edge Device kundenseitige Zeitserver, z.B. im lokalen Netzwerk, zur Zeitsynchronisation nutzen. In diesem Fall kann der Port 123/TCP in der Firewall des Kunden geschlossen bleiben. Standardm├Ą├čig verwendet das Edge Device die Standard-Zeitserver von Ubuntu.
  • 443/TCP Hypertext Transfer Protocol Secure (HTTPS)
    • Das Edge Device sendet in regelm├Ą├čigen Abst├Ąnden "Heartbeats" an zwei dedizierte Server. Anhand dieser R├╝ckmeldungen ├╝berwacht aedifion die Erreichbarkeit, den Status und die Funktionalit├Ąt aller Edge Devices. Die gesamte Kommunikation erfolgt ├╝ber HTTPS (HTTP ├╝ber TLS), dem Standard f├╝r sichere Kommunikation im Internet, der z.B. zur Absicherung von Online-Banking, Mail-Konten, usw. verwendet wird. Er wird von Firewalls, Angriffserkennungs- und Daten├╝berwachungssystemen (Deep Packet Inspection) unterst├╝tzt.
    • Das Edge Device kontaktiert das Ubuntu Paketverzeichnis, um jede Nacht nach Sicherheitsupdates zu suchen. Verf├╝gbare Updates werden automatisch installiert. Die gesamte Kommunikation mit dem Ubuntu Paketverzeichnis wird sicher ├╝ber HTTPS abgewickelt.
  • 8884/TCP Message Queuing Telemetry Transport Secure (MQTTS)
    MQTT ist ein zunehmend popul├Ąres standardisiertes Protokoll f├╝r das Internet der Dinge und wird von aedifion verwendet, um Messdaten, die aus dem Geb├Ąudenetzwerk gesammelt werden, in nahezu Echtzeit an den Message Broker der Cloud-Plattform aedifion.io zu ├╝bertragen. Alle MQTT-Nachrichten werden ausschlie├člich ├╝ber TLS transportiert. Als Alternative zu MQTTS k├Ânnen Messdaten gesammelt und in Paketen ├╝ber HTTPS hochgeladen werden. Diese Option geht jedoch zu Lasten der beinahe Echtzeitverf├╝gbarkeit der gesammelten Daten.

F├╝r Anwendungen mit kritischen Sicherheitsanforderungen, z.B. Krankenh├Ąuser oder Banken, k├Ânnen die aufgef├╝hrten Anforderungen darauf reduziert werden, nur den Port 443/TCP f├╝r HTTPS-Verkehr zu ├Âffnen. Es k├Ânnen zus├Ątzliche Sicherheitsma├čnahmen wie VPN-Tunnel eingesetzt werden. Die ausschlie├čliche Nutzung des Ports 443/TCP f├╝hrt jedoch zwangsl├Ąufig zu Einschr├Ąnkungen in der Funktionalit├Ąt der Plattform, z.B. bei der Integration von Live-Daten.

Die Kommunikation ├╝ber die oben aufgef├╝hrten Ports muss nur f├╝r einen festen Satz von Servern ge├Âffnet werden, d.h. alle anderen Ziele au├čer den folgenden Auflistung k├Ânnen von der Firewall blockiert werden.

Port/Protokoll Hauptserver Backupserver
22/TCP - SSH ssh2.aedifion.io
IP: 94.130.225.123
ssh3.aedifion.io
IP: 88.99.34.202
123/TCP - NTP 0.ubuntu.pool.ntp.org
1.ubuntu.pool.ntp.org
2.ubuntu.pool.ntp.org
3.ubuntu.pool.ntp.org
ntp.ubuntu.com
443/TCP - HTTPS discovery2.aedifion.io
IP: 94.130.225.123

auth.aedifion.io
IP: 94.130.225.123

security.ubuntu.com
archive.ubuntu.com
discovery3.aedifion.io
IP: 88.99.34.202

auth3.aedifion.io
IP: 78.46.145.51
8884/TCP - MQTTS mqtt2.aedifion.io
IP: 94.130.225.123
mqtt3.aedifion.io
IP: 78.46.145.51

Die gesamte Kommunikation erfolgt unidirektional, d.h. vom Edge Device zur Cloud-Plattform aedifion.io und kann in Ihren Firewalls entsprechend freigegeben oder gesperrt werden. Es findet niemals ein externer Zugriff auf Ihr Netzwerk statt. Ihre Netzwerke k├Ânnen durch Ihre bestehenden Firewalls komplett geschlossen und somit vor externen Zugriffen gesch├╝tzt bleiben. Es gibt also keine direkte Verbindung des Geb├Ąudeautomationsnetzwerks und der Hardware mit dem Internet.

Die Cloud-Plattform aedifion.io

Hosting

Die Cloud-Plattform aedifion.io und alle darauf aufbauenden Dienste werden auf dedizierten und virtuellen Servern der Hetzner Online GmbH mit Sitz in Gunzenhausen, Deutschland, gehostet. Hetzner ist f├╝r seine IT-Sicherheitsstandards nach DIN ISO/IEC 27001 zertifiziert und hat zahlreiche Auszeichnungen erhalten. Hetzner betreibt Rechenzentren in Deutschland und Finnland. Die Cloud-Plattform aedifion.io wird auf Servern gehostet, die sich in deren Rechenzentren in N├╝rnberg und Falkenstein, Deutschland, befinden.

Bei Bedarf speichert und verarbeitet aedifion Ihre Daten auf dedizierten Servern und schlie├čt damit Restrisiken durch Colocation von virtuellen Maschinen aus.

Server Authentifizierung

Alle unsere Server und Dienste werden mit Standard X.509-Zertifikaten authentifiziert, die von Let's Encrypt ausgestellt und jedes Quartal erneuert werden. Stand Januar 2019 hat Let's Encrypt einen Marktanteil von mehr als 50%.

server-authentication
Figure 1: Unsere Zertifizierungskette

Verf├╝gbarkeit der Dienste

Alle Server verf├╝gen ├╝ber DoS-Schutz und mehrfach redundante Konnektivit├Ąt, um eine hohe Verf├╝gbarkeit zu gew├Ąhrleisten. aedifion garantiert 97 % Betriebszeit der Cloud-Plattform aedifion.io.

Individuelle Service Level Agreements (SLAs) mit h├Âheren Betriebszeitgarantien k├Ânnen ausgehandelt werden.

Speicherung und Verarbeitung

Die gesamte Speicherung und Verarbeitung von Daten auf der Cloud-Plattform aedifion.io ist streng gekapselt und bis auf die Systemebene getrennt. Praktisch bedeutet das in erster Linie, dass f├╝r jeden Kunden eine eigene Datenbank betrieben wird - die Kundendaten sind also getrennt. In zweiter Instanz bedeutet dies, dass virtuelle Benutzer im Backend, wie z.B. Microservices, aber auch reale Benutzer, standardm├Ą├čig nur die Rechte (Privilegien) erhalten, die sie f├╝r ihren Zweck ben├Âtigen. Zum Beispiel darf ein datenauswertender, also lesender Dienst standardm├Ą├čig keine Datenpunkte schreiben. In der dritten Instanz werden alle Prozesse auf Systemebene durch Docker-Container voneinander getrennt und nur bei Bedarf in dedizierten virtuellen Netzwerken miteinander verbunden. So ist beispielsweise die Analyse der Daten eines Kunden strikt von der Analyse der Daten eines anderen Kunden getrennt.

Benutzerauthentifizierung und -autorisierung

Standardm├Ą├čig erfolgt die Benutzerauthentifizierung ├╝ber Benutzernamen und Passwort. Weitere Authentifizierungsanbieter, z.B. LDAP und Active Directory, k├Ânnen ├╝ber OpenID connect, OAuth und SAML integriert werden. Damit sind unternehmensweite Single Sign-Ons und die Integration bestehender Benutzerdatenbanken m├Âglich.

Nach der Authentifizierung eines Benutzers werden alle seine Zugriffe auf die Cloud-Plattform aedifion.io durch ein umfassendes rollenbasiertes Zugriffskontrollsystem (RBAC) autorisiert. Es stehen vordefinierte, standardisierte Rollen zur Verf├╝gung. Sie k├Ânnen aber auch frei neue Rollen mit individuellen Berechtigungen feingranular ├╝ber die APIs definieren.

Der Zugriff kann bis auf die Granularit├Ąt des Lese- oder Schreibzugriffs auf einzelne Datenpunkte gesteuert werden. Sie k├Ânnen Sie z.B. Benutzern das Recht erteilen, die Temperatur in ihrem B├╝ro zu ├Ąndern, aber nirgendwo sonst.

Unser Sicherheitsversprechen

Wir sind ├╝berzeugt, dass die Digitalisierung und insbesondere der Einsatz von Cloud- und IoT-Technologie der Schl├╝ssel ist, um ressourcenschonende, energieeffiziente und nutzererweiternde L├Âsungen zu erm├Âglichen und umzusetzen. Dabei sind Sicherheit und Datenschutz kein Nice-to-have, sondern eine nicht verhandelbare Anforderung, die von Anfang an adressiert und in das Design von IT-Systemen eingebaut werden muss.

Deshalb verpflichtet sich aedifion, permanent h├Âchste Sicherheits- und Datenschutzstandards zu gew├Ąhrleisten. Sollten zu irgendeinem Zeitpunkt Unklarheiten ├╝ber die Funktion unserer Dienste oder die Gew├Ąhrleistung von Sicherheit und Datenschutz bestehen, kontaktieren Sie uns gerne jederzeit mit Ihren Fragen.

Dar├╝ber hinaus lassen wir Taten sprechen: aedifion befindet sich derzeit im Prozess der T├ťV-Zertifizierung f├╝r die Cloud-Plattform aedifion.io.


Letztes Update: