Remote Visualisierung auf ein HMI (Anlage-Bedienoberfläche)
Warum via Remote Visualisierung auf eine Anlage zugreifen?
Die Remote-Visualisierung ermöglicht einen schnellen und ortsunabhängigen Zugriff auf eine Anlage-Bedienoberfläche. Dies führt zu kürzeren Reaktionszeiten bei der Quittierung oder Einflussnahme der Anlagensteuerung. Gleichzeitig erfolgt eine effizientere Ressourcennutzung von Personen die mit der Anlagen in Kontakt kommen, da diese nicht mehr vor Ort bei der Anlage erscheinen müssen sondern die Anlage-Bedienobfläche auf dem eigenen Gerät anzeigen und bedienen.
Darauf gilt es zu achten:
Mehrere Anlagen und Standorte
Anlagen und Standorte müssen über eine ordnungsgemäße Netzwerksegmentierung verfügen, damit sich Cyberangriffe nicht auf das gesamte Netzwerk ausbreiten können.
Keine direkten Zugriffe auf Anlagen (Anwendung Priviligiertes Access Management)
Die Sperrung einer Umgebung (Anlagen und Systeme) für direkte Zugriffe von Aussen ist die eine Grundvoraussetzung. Es sollen nur privilegierte Konten auf bestimmte Anlagen und Systeme zugreifen können. Direkte Endpunktbenutzer auf eine Anlage sind zu vermeiden. Die Umsetzung dazu erfolgt über das Jump-Host/Appliance Prinzip.
Auswahl der Protokolls
Für die Visualisierung stehen unterschiedliche Protokolle zur Verfügung vie VNC, RDP oder HTTPS.
VNC (Virtual Network Computing) und RDP (Remote Desktop Protocol) sind Remote-Protokolle, die es ermöglichen, den Bildschirminhalt eines entfernten Rechners auf einem lokalen Bildschirm darzustellen und zu bearbeiten. Der Hauptunterschied zwischen den beiden ist, dass RDP eine virtuelle Sitzung ist, während VNC den physischen Bildschirm erfasst. Wichtig bei VNC: Verwendung eines SSH-Tunnels, um eine sichere Authentifizierung und verschlüsselte Übermittlung zu erreichen.
RDP ist in die Windows-Architektur integriert und nur für Windows verfügbar, während VNC betriebssystemunabhängig ist und auf den meisten Plattformen verfügbar ist. RDP ist auch performanter als VNC und bietet umfangreiche Verschlüsselungsmöglichkeiten für eine sichere Verbindung. VNC hingegen ist weniger effizient und bietet keine erweiterten Funktionen wie Druckerfunktion, Tonausgabe und Mikrofon.
HTTPS ist ein Protokoll zur sicheren Übertragung von Webinhalten. Im Gegensatz zu VNC und RDP ist HTTPS nicht für die Fernsteuerung von Computern gedacht, sondern für die Übertragung von Daten über das Internet. Der Vorteil von HTTPS ist seine hohe Sicherheit durch Verschlüsselung und Zertifikate, aber es erfordert einen Webbrowser.
Multi-Faktor-Authentifizierung
Neben Benutzername und Passwort als Login für die Remote-Visualisierung einer Anlagenoberfläche ist eine weitere Authentifizierung zwingend notwendig, gängig ist die Verwendung einer Authenticator App für die Eingabe eines 2.ten Codes.
Rollenbasiertes Zugriffsmanagement
Zugriffsberechtigungen von Funktionen müssen nach Rollen unterteilt und unterschieden werden können. Mit dieser Grundvoraussetzung können sowohl die zentralisierte Benutzerverwaltung mit entsprechenden Rollen, als auch die priviligierten Zugriffe auf Anlagen und Systeme über PAM sauber implementiert werden.
Zentralisierte Verwaltung der Benutzer
Idealerweise erfolgt die Benutzerverwaltung durch das zentrale Benutzerverwaltungssystem des Unternehmens (z.B. via Azure AD). Mit der Synchronisation (z.B. Azure-Sync) werden die Benutzer der Software welche die Remote-Visualisierung auf eine Analgenoberfläche durchführen automatisch synchronisiert und aktualisiert.
Dadurch entfällt das manuelle Nachführen und regelmässige Überprüfen von Benutzerrollen und Berechtigungen
Zeitlich begrenzter Zugriff
Statt einem Benutzer dauerhaft privilegierten Zugriff zu gewähren, sollte dieser nur bei Bedarf gewährt und dann wieder entzogen werden. Durch die Automatisierung von Zugriffsregeln für gewisse Zeitabschnitte werden manuelle Aufwände reduziert.
Aufzeichnung aller Aktivitäten bei einer Remote-Visualisierung
Die Remote-Visualisierung einer Anlage durch eine Benutzerin sollte alle Aktivitäten von Anfang bis Ende vollständig protokollieren, via Video-Stream aufzeichen und archivieren. Dadurch wird eine lückenlose Nachvollziehbarkeit der Aktivitäten sichergestellt und ein Unternehmen erhält dadurch jederzeit die volle Transparenz.
Überwachung, Kontrollierung und Auditierung von Aktivitäten
Die kontinuierliche Überwachung und aktive Protokollierung aller Aktivitäten beim Zugriff auf eine Anlage via Remote-Visualisierung ist von entscheidender Bedeutung, um sicherzustellen, dass ein Unternehmen über die nötigen Erkenntnisse zum Schutz seiner Anlage verfügt. Entscheidend ist aber auch, dass die Protokolle regelmäßig auditiert werden.
iDIP IoT Service Portal für die Remote Visualisierung von Anlagen
Mit iDIP IoT werden Anlagen, Standorte und Benutzer ganzheitlich für den sicheren Zugriff auf eine Anlagen-Benutzeroberfläche verwaltet.
Dezentrale sowie zentrale Anlagen und Infrastrukturbereiche lassen sich mit grösstmöglicher Sicherheit und glasklarer Übersicht administrieren. Dabei verschmelzen die Anforderungen aus OT- und IT-Sicherheit zu einem Guss durch den Einsatz unserer Gateway Varianten.
Mehr dazu unter ➡️ www.idip-solution.com/remote-visu
Wollen Sie mehr dazu wissen?
Gerne zeigen wir Ihnen welche Vorteile Sie mit iDIP in Ihrem Unternehmen erzielen.
Chris Tuchschmid | Customer Success Manager iDIP