Sicherheit im Internet der Dinge – Hier liegen die größten Risiken

Dass die Umsetzung einheitlicher Sicherheitsstandards und adäquater Schutzmaßnahmen bei Milliarden von unterschiedlichen IoT-Geräten und einer exorbitant großen Menge an transferierten Daten eine große Herausforderung bedeutet, versteht sich von selbst. Die größten Gefahren gehen dabei vor allem von vier IoT-typischen Schwachstellen aus, nämlich begrenzter Rechenleistung, unkontrollierten Umgebungen, veralteten Netzwerken und Betriebssystemen sowie mangelnder Sicherheitstechnologie.

Begrenzte Rechenleistung verhindert wirksame Sicherheit

Ausreichend Sicherheit benötigt ausreichend Performance – das dürfte jedem klar sein. Für das Internet der Dinge wird dies aber schnell zum Problem,  denn anders als traditionelle PCs und Mobilgeräte besitzen die meisten IoT-Geräte eine begrenzte Rechenleistung. Dies beeinträchtigt ihre Sicherheit, denn für das Ausführen wirksamer Security-Maßnahmen bleiben so kaum Ressourcen übrig. Man denke etwa an smarte Glühbirnen, die zwar eine IP-Adresse besitzen, deren Rechenlistung aber sehr begrenzt sein dürfte. Viele insbesondere günstigere Geräte sind daher nur mit einem Minimum an Sicherheit ausgestattet und vernachlässigen insbesondere wichtigen Malwareschutz. Die Hacker indes können sich freuen, denn ihnen bieten sich viele neue und vor allem lukrative Angriffsziele.

Hacker profitieren von unkontrollierten Umgebungen

IoT-Devices und Mobilgeräte haben viel gemeinsam. Beide speichern, übermitteln und verarbeiten sensible Kundendaten in unkontrollierten und möglicherweise schadhaften Umgebungen. Die Hersteller mobiler Software können die Verarbeitung sensibler Informationswerte allerdings auf zentralisierte und vertrauenswürdige Server verlegen und so besser schützen. Bei IoT-Geräten sieht die Situation etwas anders aus, denn diese sammeln ihre Informationen typischerweise in der physischen Welt. Selten werden die Daten auf dem Gerät verarbeitet, bevor sie zum Backend-Server geschickt werden. Aufgrund inhärenter Schwachstellen bieten IoT-Geräte Cyberkriminellen daher eine deutlich größere Angriffsfläche als Mobilgeräte.

Überholte Systeme öffnen Cyberkriminellen Tür und Tor

Ein weiteres vermeidbares Sicherheitsrisiko geht von veralteten Netzwerken und Betriebssystemen aus. So erfreut sich Windows XP trotz offiziellem Support-Ende immer noch größter Beliebtheit und ist Untersuchungen zu Folge noch immer das am dritthäufigsten genutzte Betriebssystem. Obwohl das Sicherheitsdesign von XP konzeptionell komplett veraltet ist und z.B. zahlreiche moderne Verschlüsselungsalgorithmen nicht unterstützt werden und die Software zudem regelmäßig von schwerwiegenden Sicherheitslücken betroffen ist, verharren viele Unternehmen – darunter auch Betreiber kritischer Industrie 4.0-Anlagen oder IT-Verantwortliche in großen Kliniken – auf dem Betriebssystem-Grufti.

Innovative Sicherheitstechnologien werden noch immer sparsam eingesetzt

IoT-Geräte können auf vielfältige Weise angegriffen und mit Schadsoftware infiziert werden  – oftmals reichen dafür einfache kostenlose Hacking-Werkzeuge aus dem Internet. Effektive Sicherheitstechnologien, die Angreifer wirksam identifizieren und Manipulationen verhindern können, werden dennoch spärlich eingesetzt. In Sachen effektive IoT-Sicherheit haben Unternehmen und Software-Entwickler noch einiges nachzuholen, denn sie überschätzen in vielen Fällen die Wirksamkeit herkömmlicher Endpoint-Lösungen und verlassen sich auf klassischen Anti-Virus, Firewalls oder aber auch statische Verschlüsselungs- und Verschleierungsprogramme, die in Zeiten des IoTs jedoch längst nicht mehr ausreichend sind. Wer IoT-Anwendungen schützen möchte, muss deshalb auf eine Sicherheitslösung setzen, die in der Software selbst verankert ist, anstatt nur einen Zaun um sie zu bauen. So müssen Software und Applikationen bereits am Ende ihres Entwicklungsprozesses mit Härtungs-Technologien ausgestattet werden, die das Einschleusen von Malware verhindern und Datendiebstahl unterbinden. Zudem muss IoT-Software grundsätzlich so ausgestattete sein, dass sie eine schadhafte Modifikation ihrer Laufzeit jederzeit erkennt und abwehren kann – natürlich ohne dabei die Performance der Anwendung zu beeinträchtigen.

Das Internet der Dinge wird unser Leben nachhaltig verändern. Eine absolute Sicherheit vor Datendiebstahl und Manipulationen wird es dabei nie geben, denn die zunehmende Vernetzung wird zwangsläufig dafür sorgen, dass Unternehmen aber auch Privatpersonen die Kontrolle über ihre Daten verlieren und sie letztlich nicht mehr in Kenntnis darüber sind, wo sich ihre Informationen befinden bzw. wer darauf Zugriff hat. Dennoch müssen Unternehmen und IoT-Entwickler proaktiv dafür sorgen, dass das Herzstück ihrer IoT-Lösungen die Sicherheit und nicht die Innovation ist.

Vorausschauende Wartung im Zeitalter von Industrie 4.0

Kürzere Produktlebenszyklen und schnellere Technologiesprünge erhöhen in Fertigungsunternehmen die Anforderungen an einen effizienten Umgang mit den Produktionsmitteln. Ausfälle, Minderleistungen und Qualitätseinbußen stellen ein hohes Risiko dar. Gerade vor dem Hintergrund einer Neustrukturierung der Fertigungsprozesse im Rahmen des Konzepts Industrie 4.0, das moderne Informationstechniken und klassische industrielle Prozesse verbindet kommen Wartung und Instandhaltung – Maintenance – eine wachsende Bedeutung zu. Sie sorgt bei der digitalen Vernetzung von Maschinen, Herstellungsverfahren aber auch Vertriebs- und Lagersysteme für eine hohe Verfügbarkeit der Produktionsanlagen und eine Minimierung von Ausfällen.

Eine hohe Verfügbarkeit erfordert neben hochwertigen Anlagen im Falle eines Ausfalls eine zeitnahe und schnelle Instandsetzung und -haltung. Das erfordert jedoch das Vorhalten entsprechender Ressourcen wie Fachkräfte, Ersatzteile oder Logistik. Um den dafür notwendigen Aufwand zu minimieren ist es wiederum notwendig, eine möglichst zuverlässige Vorhersage von Schadensereignissen zu bekommen, da nur so die notwendigen Mittel zur Instandhaltung bedarfsgerecht zur Verfügung stehen. Dafür braucht man eine Instandhaltungsstrategie, die mögliche Fehler oder Störungen in den Anlagen erkennt, bevor sie eintreten und die so die Planung einer optimalen Wartung ermöglicht. „Prescriptive Maintenance“ liefert einen wichtigen Baustein für eine derartige Strategie.

Daten sind auch hier ein entscheidender Faktor: Aus den Betriebsdaten, die mit Industrie 4.0 beziehungsweise Internet der Dinge nicht nur massenhaft anfallen, sondern die auch überall verfügbar gemacht werden können, wo es eine Internet-Verbindung gibt, können umfassende technische Informationen abgeleitet werden. Mit den Daten – Drehzahl, Öldruck, Temperatur oder Kühlmittelstand – kann man zum einen die individuellen Systeme steuern und kontrollieren, so dass Hersteller oder Service-Dienst­leister ihre Maßnahmen optimal planen können; zum anderen sammeln sich über alle Anlagen hinweg umfangreiche Informationen über das Verhalten der Systeme an. Wenn man diese entsprechend aufbereitet, lassen sich daraus statische Wahrscheinlichkeiten für das Auftreten bestimmter Service-Fälle ableiten: Wenn beim System X die Drehzahl über eine Toleranz hinaus schwankt, ist mit einer Wahrscheinlichkeit von n mit einem Achsbruch innerhalb der nächsten m Tage zu rechnen. Je mehr Daten verfügbar sind, desto besser können die jeweiligen Algorithmen die Eintrittswahrscheinlichkeit eines Schadens bestimmen.

Mit dem Einsatz dieser Prescriptive Maintenance können Instandhaltungsausgaben in Fertigungsunternehmen drastisch verringert werden: Typischerweise lassen sich ungeplanten Stillstandzeiten von Maschinen innerhalb von zwei Jahren um 40 bis 60 Prozent reduzieren; Arbeitsaufwand und Materialkosten um 35 bis 60 Prozent. Gleichzeitig kann die operative Lebensdauer einer Anlage um 30 bis 60 Prozent erhöht werden. Zugleich wird natürlich die Verfügbarkeit der Anlagen im Sinne eines unterbrechungsfreien Produktionsprozesses verbessert, was in Hightech-Indus­trien wie der Automobilherstellung, ein entscheidender Wettbewerbsfaktor ist.

Von der Vorausschau zum Decisioning

Prescriptive Maintenance kann vor allem da schnell eingeführt werden, wo Sensoren bereits umfangreich Daten erfassen, und eine entsprechende Kommunikationsinfrastruktur verfügbar ist; ansonsten lohnt sich aber auch das nachträgliche Aufrüsten von Monitoring-Systemen, nur dauert es dann länger bis sich der Ertrag tatsächlich einstellt.

Das Konzept von Prescriptive Maintenance reicht aber über die bloße Vorhersage von Schadensereignissen hinaus. Moderne Lösungen führen zunächst Predictive Maintenance und Decisioning zusammen. Es werden dabei, auf Basis von Analysen aber auch von historischen Modellen und Kontextinformationen, Entscheidungsstrategien integriert. Das System bildet Modelle unter Berücksichtigung von Geschäftsregeln, Strategien und Richtlinien, und schlägt konkrete Maßnahmen beziehungsweise Bearbeitungsschritte vor, beispielsweise wie eine Reparatur am besten durchzuführen ist.

In einem weiteren Schritt wird das Konzept um Adaptive Analytics erweitert. Das System wird in die Lage versetzt, selbständig zu lernen und die vorgeschlagene „Next Best Actions“ basierend auf Echtzeitinformation und einem kontinuierlichen Feedbackkreislauf immer weiter zu optimieren. Mit diesem Ansatz passt sich Prescriptive Maintenance optimal in Industrie-4.0-Strategien ein und sichert die langfristige Verfügbarkeit komplexer industrieller Anlagen.

Forscher hacken Jeep – schon wieder

Eine solche Übernahme wäre für die mitfahrenden Personen lebensgefährlich. Julian Totzek-Hallhuber, Solution Architect bei Veracode, bezieht im Folgenden Stellung zu den Gefahren von Connected Cars:

„Die Sicherheitslücke bei Fiat ist nicht die erste Lücke in vernetzten Fahrzeugen. KFZ-Hersteller, Komponentenhersteller und unabhängige Softwarefirmen stehen gleichermaßen vor der großen Herausforderung, ein sicheres Programm zur Anwendungsentwicklung aufzusetzen. Dazu muss ihnen unbedingt bewusstwerden, wie gefährlich das Hacken der Fahrzeuge und gerade der Fahrzeugsteuerung sein kann. Sie sollten aus den aktuellen Sicherheitslücken lernen und verstärkt ihren Fokus darauf legen, die Sicherheit schon während der Entwicklung von Anwendungen zu erhöhen. Im Moment können wir froh sein, dass sich die Fahrzeuge noch in der Entwicklung – und nicht auf der Straße – befinden.

Was wir in der Automobilindustrie beobachten können, ist ein Mikrokosmos dessen, was aktuell in der Finanzbranche, dem Gesundheitswesen und praktisch jeder anderen Branche passiert – es werden unzählige Anwendungen programmiert, ohne auf die Sicherheit zu achten. Applikationen aus dem Internet erobern derzeit das Automobil, doch sie stellen ein enormes Risikofeld dar, das unbedingt in den Fokus der KFZ- und Softwarehersteller rücken muss.

Denn eine kürzlich veröffentlichte Studie von Veracode und IDC zeigt, dass Autofahrer durchaus Bedenken haben. 57 Prozent der deutschen Autofahrer macht sich Sorgen um die Sicherheit von vernetzten Assistenzsystemen im Auto. Und auch den Herstellern geht es nicht anders: sie haben große Sicherheitsbedenken gegenüber Anwendungen, die sie nicht selbst entwickelt haben. Bis Anwendungen und Systeme im Auto ausreichend vor Cyberangriffen geschützt sind, wird es wohl noch bis zu drei Jahren dauern.“

vSphere-Monitoring per PowerCLI

Das Verwalten und Automatisieren von vSphere-Umgebungen findet zunehmend über PowerShell statt. VMwares Power-Shell-Implementation hört auf den Namen PowerCLI und hat die Perl-basierte Remote-Verwaltung per RemoteCLI in vielen Unternehmen abgelöst. Mit Erscheinen der PowerShell-Version 6.0 ist die Kommandoschnittstelle noch mächtiger geworden. Selbst Nutzer mit wenig Programmiererfahrung können leicht nach fertigen CMDLets oder gar ausgefeilten Power-CLI-Skripten googlen, von denen Viele frei verfügbar sind.

vCheck kann mehr

Sehr populär ist z. B. vCheck vom Power-CLI-Entwickler Alan Renouf (virtu-al.net). Dabei ist vCheck schon längst nicht mehr nur ein einfaches PowerCLI-Skript, sondern über die Jahre zu einer ausgefeilten Berichts-Engine mit HTML-Ausgabe mutiert. Das Skript lässt sich sogar dank einer ebenfalls stetig wachsenden Plugin-Familie erweitern.

VCheck hat eine offizielle Projektseite, lässt sich aber am schnellsten als ZIP-Datei via Github herunterladen und in einem beliebigen Verzeichnis entpacken. Zum Ausführen braucht man zwangsläufig eine Windows-Maschine mit installierter PowerCLI.
vCheck konfigurieren
Für die Erst-Konfiguration von vCheck braucht man die FQDN oder IP-Adresse des vCenter-Servers, eines administrativen Account, dar wenigstens das Leserechte auf sämtliche Objekte im vCenter hat und die FQDN oder IP-Adresse eines SMTP-Servers, sofern man die eigenen Berichte per Mail empfangen möchte. Nach dem Starten der PowerCLI (als Administrator) wechselt man in das Verzeichnis des heruntergeladenen vCheck-Skriptes und setzt zunächst die die Execution-Policy wie folgt auf „Unrestricted“:

Set-ExecutionPolicy Unrestricted

Danach kann man das vCheck-Skript wie folgt starten:

.\vCheck.ps1

, wobei ein Ersteinrichtungsassistent mit einer Reihe meist selbsterklärender Fragen durch die initiale Konfiguration führt. Danach folgen Fragen zur eigenen Umgebung, wobei man Parameter und Schwellenwerte sinnvollerweise so wählt, dass der Bericht möglichst kurz ausfällt oder später nur Abweichungen vom Normalbetrieb zeigt, d. h. Checks wie „License Reporting“ oder Anfragen, die sich auf eine vSAN-Umgebung beziehen, können wohl viele Nutzer einfach deaktivieren.

Was aber tatsächlich an die eigene Umgebung angepasst werden muss sind Ausschlussparameter wie z. B. der Name des Benutzers, der Snapshots anlegen darf (etwa für Veeam Backup) oder die Namen etwaiger lokaler Datastores auf den Hosts. Sollten die Einstellungen nicht (mehr) passen, kann man den vCheck-Einrichtungsassistenten jederzeit mit

.\vCheck.ps1 –config

erneut aufrufen.

Übernimmt man im ersten Teil des Einrichtungsassistenten die meisten Default-Vorschläge, wird vCheck so eingerichtet, dass der Bericht nach dem Ausführen einmalig im Browser angezeigt, nicht aber per Mail versandt wird, d. h. für ein unbeaufsichtigtes Ausführen müsste man solche Einstellungen quasi umkehren.

vCheck benutzen

Ist die Erstkonfiguration abgeschlossen, startet vCheck unmittelbar mit dem „Einsammeln“ von Betriebsdaten und erstellt dann den Bericht, wozu das Skript Benutzername und Passwort für den Zugriff auf die vSphere-Umgebung abfragt. Selbstverständlich ist es auch möglicher, den Skript-Lauf in eine Scheduled-Task zu packen und quasi nach den eigenen Zeitplan-Vorstellungen automatisch laufen zu lassen.

Modernes Energiemanagement für die Tiefkühltorte

Tiefgekühlte Backwaren in alle Welt

Die Conditorei Coppenrath & Wiese wurde 1975 von dem Kaufmann Coppenrath und dem Konditor Wiese gegründet. Ihre – damals revolutionäre – Idee war es, Torten und Kuchen herzustellen, um sie in Lebensmittelläden überall in Deutschland zu verkaufen. Um dies zu ermöglichen, hat man bei Coppenrath & Wiese die Produkte gleich nach der Herstellung schockgefrostet. Heute werden die ausschließlich in Deutschland produzierten Backwaren dank ausgefeilter Tiefkühltechnik sogar in alle Welt exportiert.

So arbeitet das intelligente Energiesystem.
So arbeitet das intelligente Energiesystem.

Ressourcenschonend und kostenoptimiert

Coppenrath & Wiese wollte bei der energieintensiven Produktion von Tiefkühlprodukten einmal mehr Maßstäbe setzen – und den Verbrauch an elektrischer Energie, Gas und Wasser in den nächsten Jahren weiter reduzieren. Das erklärte Ziel: eine möglichst ressourcenschonende, kostenoptimierte Produktion, um auch zukünftig qualitativ hochwertige Produkte umweltverträglich fertigen und mit einem guten Preis-/Leistungs-Verhältnis anbieten zu können. So fiel bei Coppenrath & Wiese die Entscheidung für das vollständig webbasierte und hochmoderne Energiemanagementsystem von WEBfactory. WEBfactory i4Energy sorgt für die Erfassung, Aufbereitung und Visualisierung aller relevanten Messdaten der gesamten Produktion – zur Abbildung der Energie- sowie Medienverbräuche – und bietet gleichzeitig noch die Möglichkeit zur Kostenabrechnung. Das i4Energy System wird in Osnabrück im werkseigenen Rechenzentrum von Coppenrath & Wiese gehostet, läuft prinzipiell aber auch in einer Private Cloud bzw. auf den Servern bei WEBfactory.

Moderne Standardsoftware

i4Energy ist ein gelungenes Beispiel für ein proaktives Energiemanagement-System. Die WEBfactory GmbH aus Buchen im Odenwald ist ein renommierter Anbieter von Standardsoftware für die Überwachung und Steuerung von Maschinen und Industrieanlagen sowie für die Onlineanalyse und -auswertung von Produktionsdaten: Funktionen, die man heute gern unter dem Dachbegriff Industrie 4.0 fasst. i4Energy, das als Modul zur großen WEBfactory i4 Plattform gehört, ist trotz seiner Leistungsfähigkeit sehr übersichtlich, flexibel und einfach zu handhaben. Das Energiemanagementsystem lässt sich an unterschiedlichste Anforderungen anpassen und kommuniziert mit praktisch allen am Markt verfügbaren Steuerungen, und für fast alle gängigen Messgeräte sind geeignete Schnittstellenadapter integriert. i4Energy gestattet ein Energiemanagement nahezu in Echtzeit. Moderne Nutzeroberflächen, die dem Siegeszug der Touchscreens Rechnung tragen, sorgen zudem für eine einfache, intuitive Bedienbarkeit.

Ein Praxisbeispiel mit vielen Tausend Messstellen

Wie alle Module der WEBfactory i4 Plattform nutzt auch i4Energy moderne HTML5-Technologie – und ist damit von Betriebssystemen und Endgeräten unabhängig: HTML5-Applikationen funktionieren in allen aktuellen Webbrowsern. So haben die Anwender maximale Flexibilität bei der Wahl des Endgeräts, ob Notebook, Tablet oder Smartphone. Die Auswertungen und Darstellungen in i4Energy lassen sich zudem sehr gut an spezifische Erfordernisse und Wünsche der Anwender anpassen – und nach oben gibt es so gut wie keine Beschränkungen. Für das Energiemanagement lassen sich ohne Weiteres viele tausend Messstellen erfassen und auswerten. Nicht zuletzt sind dadurch auch größere Unternehmen mit komplexen Strukturen und verteilten Produktionsstandorten in der Lage, ihre Energiekosten deutlich zu senken. Etliche Anwender der i4 Plattform und ihrer Module kommen aus der Fertigungsindustrie, viele aus dem Automotive-Bereich, aber das Beispiel Coppenrath & Wiese macht deutlich, wie sinnvoll modernes Energiemanagement auch für einen Lebensmittelhersteller sein kann.

Ressourcenschonung und Kostensenkung

i4Energy macht ein sorgfältig geplantes, gut durchdachtes Management der Medienverbräuche möglich, dient der Identifizierung und Umsetzung wirksamer Energiesparmaßnahmen in der Produktion und sorgt dafür, dass Anwender nachhaltige Erfolge erzielen. So lassen sich gleich mehrere Ziele gleichzeitig realisieren: Ressourcenschonung, Klimaschutz und Kostensenkung – bei gleichzeitiger Sicherstellung des Strom- und Medienbedarfs der jeweiligen Verbraucher. Als proaktives Energiemanagementsystem erfasst i4Energy eine Vielzahl von Daten direkt von unterschiedlichen Verbrauchern, Erzeugern und Energiespeichern nahezu in Echtzeit. Das System wertet sie aus und kann sie mithilfe hinterlegter Algorithmen optimal miteinander vernetzen. Auf Basis dieser Erkenntnisse lassen sich Spitzenlast, Verbrauch und Kosten nachhaltig reduzieren.

Erfassen, Aufbereiten, Visualisieren

Dank ihres neuen Energiemanagementsystems haben die Energieverantwortlichen bei Coppenrath & Wiese nun jederzeit alle relevanten Werte im Blick: die aktuellen Messwerte ebenso wie Abweichungen zu bestimmten Zielvorgaben. Ausgangspunkt sind aussagekräftige Übersichtsbilder in i4Energy, die – nach dem sogenannten Drill-down-Prinzip – einfach per Mausklick bis hinunter zu Detaildarstellungen verfeinert werden können. Wählt man beispielsweise in der Übersichtsmaske den seitlichen Button „Energie“, lässt sich der Verbrauch nach Medium (Strom, Wärme, Gas oder Wasser) weiter spezifizieren und gegebenenfalls bis auf Zählerebene herunterbrechen. Genauso kann man Verbräuche auch nach Produktionslinien, einzelnen Verbrauchern bzw. Gebäuden sortieren. Neben den klassischen Säulen-, Kuchen- und Liniendiagrammen, mit denen Verbräuche, Kosten und CO2-Bilanzen visualisiert werden, sind bei der Darstellung der Messwerte in i4Energy auch anspruchsvollere oder individuell gestaltete Dashboards möglich. Die Anordnung und Gruppierung der Dashboards werden in hierarchischen Baumstrukturen frei organisiert. Dadurch lassen sich die unterschiedlichsten Aggregationsstufen abbilden: wie zum Beispiel Energiekosten pro Stunde, Monat und Jahr, der Energieverbrauch bezogen auf die einzelnen Produktionslinien oder die Energiekosten pro Tonne Teig. Gemäß seinen Zugriffsrechten werden dem einzelnen Benutzer dabei immer nur die Auswahlmöglichkeiten angeboten, die für ihn wirklich relevant sind und für die er die entsprechende Berechtigung besitzt.

Praxisgerechte Auswertung

Bei der Auswertung in i4Energy können Anwender jederzeit spezifische Gegebenheiten berücksichtigen, zum Beispiel hinterlegte Geodaten, die jeweiligen Nutzflächen oder sogar die aktuellen Außentemperaturen. Die Messwerte werden vom System dann mit entsprechenden mathematischen Formeln verknüpft und grafisch dargestellt. Das Resultat sind Werte, die sinnvoll miteinander vergleichbar sind und sich für Kennzahlenvergleiche (KPI) unterschiedlicher Objekte nutzen lassen. In die Berechnung dieser dynamischen KPIs kann i4Energy auch externe Daten einbeziehen, etwa aus Produktionsprogrammen oder dem ERP-System. Dadurch lassen sich Optimierungsmaßnahmen bei Coppenrath & Wiese jetzt sehr gezielt einleiten, da quasi in Echtzeit zu sehen ist, wo welche Werte gegebenenfalls aus dem Ruder laufen und vorgegebene Grenzwerte überschritten werden könnten.

Bedarfsgerechtes Reporting

Auch durch zahlreiche weitere Funktionen unterstützt das System die Energieverantwortlichen bei Coppenrath & Wiese: etwa durch Sankey-Diagramme oder Jahresdauerkennlinien, die bis zu einem Zeitraum von drei Jahren genau zeigen, wann der Verbrauch wie hoch war. Auch ein Blick in die aktuellen und historischen Online-Alarmmeldungen ist möglich. Anwender können sich Störungen als interaktive Liste mit vielfältigen Sortier- und Gruppierfunktionen anzeigen lassen. Und der Report-Server gestattet es, beliebig viele interaktive, tabellarische, grafische oder Freiformberichte zu erstellen. Diese Berichte können – ganz dem Bedarf des Benutzers oder der Benutzergruppe entsprechend – knapp und übersichtlich sein oder auch eine umfangreiche Datenvisualisierung umfassen. Auch ein Export in Excel oder CSV für die Weiterverarbeitung in anderen Programmen wird vom System unterstützt.

Maßnahmen für die Zukunft planen und umsetzen

Noch eine weitere Möglichkeit von i4Energy weiß man bei der Conditorei Coppenrath & Wiese zu schätzen: Mit dem System können auch vielversprechende Energiemanagement-Maßnahmen für die Zukunft geplant und verwaltet werden. Mögliche Einsparpotenziale bleiben dank des Systems gleichsam im Hinterkopf und lassen sich dann zu gegebener Zeit prüfen und bei Bedarf umsetzen. Bei Coppenrath & Wiese will man jedenfalls auch in Zukunft die Herstellung der tiefgekühlten Backwaren kontinuierlich optimieren und die Nachhaltigkeit der Produktion weiter steigern. Nachhaltiges Energiemanagement kennt keinen Stillstand.

 

Firewallregeln für SQL Server 2012/2014

Sie können SQL Server 2012 mit den Verwaltungstools von anderen Servern oder Arbeitsstationen aus verwalten oder auf Core-Servern installieren.

Anschließend schalten Sie die Ports für den Remotezugriff frei. Dazu müssen Sie die Windows-Firewall auf dem Server konfigurieren:

netsh advfirewall firewall add rule name = SQLPorttcp dir = in protocol = tcp action = allow localport = 1433-1434 remoteip = localsubnet profile = DOMAIN

netsh advfirewall firewall add rule name = SQLPortudp dir = in protocol = udp action = allow localport = 1433-1434 remoteip = localsubnet profile = DOMAIN

Der Server-Broker des SQL-Servers nutzt den Port 4022. Auch dieser muss über die Firewall freigeschaltet werden, wenn Dienste nicht funktionieren. Welcher Port auf Ihrem SQL-Server genutzt wird, erfahren Sie über die Abfrage:

SELECT name, protocol_desc, port, state_desc

 FROM sys.tcp_endpoints

 WHERE type_desc = ‚SERVICE_BROKER‘

Sicherung für die Hybrid Cloud

Mit Azure Backup Server können Sie über ein Microsoft Azure Abonnement lokale Server und VMs in einen Sicherungstresor in Microsoft Azure sichern, aber auch auf lokale Festplatten, NAS oder SAN. Microsoft Azure Backup Server setzt auf Technologien von System Center Data Protection Manager und Azure Backup. Der Server steht kostenlos zur Verfügung, erfordert aber ein Microsoft Azure-Abonnement.  Sie können mit der Sicherungslösung problemlos lokale Server und Serveranwendungen wie Exchange, SQL-Server oder Domänencontroller sichern, allerdings benötigen Sie dazu zwingend ein Microsoft Azure Abonnement. Außerdem können Sie keine Sicherungen auf Bandlaufwerke durchführen, sondern die Daten nur auf die Festplatten des Sicherungsservers sichern.

Die Lizenzierung des Servers entspricht im Grunde genommen der Lizenzierung von Azure Backup (https://azure.microsoft.com/de-de/pricing). Sie müssen nur die gesicherten Daten bezahlen, die in der Cloud abgelegt werden. Azure Backup Server selbst steht kostenlos zur Verfügung. Den Downloadlink erhalten Sie im Microsoft Azure-Portal nach der Einrichtung des Sicherungs-Tresors. Den Server können Sie aber auch im Downloadcenter herunterladen (https://www.microsoft.com/de-de/download/details.aspx?id=49170).

Troubleshooting vSphere Networking mit netcat

Am Beispiel der Diagnose der Konnektivität zwischen VMKernel-Adapter und iSCSI-Target sollen hier kurz die wichtigsten Parameter erläutert werden.

Voraussetzung ist, dass der vSphere-Admin Zugang zur ESX-Shell hat, wahlweise direkt am ESXI-Host, via SSH, über eine Server-Managementsoftware oder KVM-Lösung, via RemoteCLI oder über die vMA (VMware Management Assistant).

Horch wer kommt von draußen rein

Bei der IP-Storage-Fehlersuche ist es oft hilfreich, die physische Netzwerkkonnektivität zwischen ESXI-Host und ISCSI-Target prüfen zu können. Dabei hilft zwar auch schon ein vmkping, vmkping prüft aber nur den physikalischen Pfad und dass die Ziel-IP-Adresse auf ICMP antwortet. Das heißt aber noch nicht, dass die Remote-IP auch am iSCSI-TCP-Port 3260 horcht und TCP-Sessions vom ESXi-Host akzeptiert.
Beim Tieferschürfen leistet „netcat“ (nc) wertvolle Dienste. Im folgenden Beispielszenario sind zwei VMKernel-Adapter iSCSI1 und iSCSI 2 mit einem iSCSI-Target (einer Synology-SAN) verbunden, das die Adresse 192.168.0.252 hat.

Nach dem Öffnen einer SSH-Verbindung auf den ESXi-Host besteht der erste Schritt darin, mit

nc -z 192.168.0.252 3260

zu prüfen, dass der angegebene Server auch tatsächlich auf dem Standard-iSCSI-Port lauscht. Der Parameter-z etabliert eine Session über den 3-Wege-TCP-Handshake und schließt sie anschließend wieder bei Erfolg mit der Meldung …

Connection to 192.168.0.252 3260 port [tcp/*] succeeded!

Ferner ist es mit der Port-Scan-Komponente von nc möglich zu überprüfen, dass sich jede der IP-Adressen der VM-Kernel-Adapter erfolgreich verbinden kann. Dazu kann man mit dem Parameter –s das „ausgehende“ Interface explizit  angeben, im Beispiel 192.168.0.7 und 192.168.0.9

nc -z -s 192.168.0.7 192.168.0.252 3260
nc -z -s 192.168.0.9 192.168.0.252 3260

Falls es doch zu Fehlermeldungen kommt, weil z. B. das Target nach einen Reboot einfach noch nicht soweit ist, kann die Option –w hilfreich sein. Ist nämlich der Remote TCP-Port tatsächlich nicht erreichbar oder vermutet man, dass dies so ist, möchte nc aber mehrfach erneut einsetzen, kann man den per Default recht langen nc-Timeout mit –w herabsetzen, z. B. auf 1 Sekunde.

nc -z -w 1 192.168.0.9 3260

Die vier häufigsten Missverständnisse unter Cloudnutzern

Das fortschrittsfeindliche Werk von wirtschaftsfremden Bürokraten? Oder eine notwendige Modernisierung veralteter Regelungen? Die neue Datenschutz-Grundverordnung der Europäischen Union hat für einige Kontroversen gesorgt. Nun ist sie allerdings beschlossen und in Kraft getreten – mit einer Übergangsfrist bis Mai 2018. Sie ersetzt die längst eingestaubte EU-Datenschutzrichtlinie aus dem Jahr 1995. Doch was das genau bedeutet und was sich ändern wird, ist nicht jedem bewusst.

Das neue Gesetz wurde nicht zuletzt mit dem Ziel verabschiedet, den Datenschutz im digitalen Zeitalter klarer zu gestalten. Gerade auch für Cloudnutzer soll in Zukunft eindeutiger sein, was erlaubt ist und was nicht. Zunächst einmal erreichen die neuen Regelungen jedoch das genaue Gegenteil: Sie sorgen für zusätzliche Verwirrung, wie nun mit Daten in der Cloud umgegangen werden soll.

Deshalb räumen wir im Folgenden mit den vier häufigsten Missverständnissen auf:

Missverständnis Nr. 1: Die Datenschutz-Grundverordnung verbietet Unternehmen, personenbezogene Daten in der Cloud zu speichern

Was müssen Unternehmen beachten, die personenbezogene Daten erheben, archivieren und verarbeiten? Dass sie in Zukunft vollends auf Cloud-Services und SaaS verzichten müssen, ist natürlich eine Fehlinformation. Es besteht neuerdings jedoch die Pflicht, den Datenaustausch mit der Cloud exakt zu dokumentieren. Außerdem sollen Unternehmen „geeignete technische und organisatorische Maßnahmen“ ergreifen, um die unrechtmäßige Verarbeitung personenbezogener Daten und vergleichbares Fehlverhalten zu verhindern. Im Hinblick auf Daten, die nicht als personenbezogen klassifiziert werden können, ist die Richtlinie übrigens weniger strikt – spezifische Maßnahmen oder Vorkehrungen werden hier nicht gefordert.

Missverständnis Nr. 2: Unternehmen aus der Europäischen Union dürfen fortan keine Verträge mehr mit Cloud- oder SaaS-Anbietern abschließen

Die herrschende Verwirrung hat einige Unternehmen dazu bewogen, von Verträgen mit SaaS- und Cloud-Providern vorerst Abstand zu nehmen. Sie verzichten damit auf eine der wichtigsten Innovationen des digitalen Zeitalters – und das letztlich grundlos. Denn entscheidend ist lediglich, dass Unternehmen personenbezogene Daten in der Cloud angemessen schützen und den Datenaustausch dokumentieren. Sind diese Voraussetzungen erfüllt, steht der Nutzung entsprechender Services nichts im Weg.

Missverständnis Nr. 3: Unternehmen, die Daten in der Cloud speichern, erwartet eine Strafe

Wer in der Cloud mit personenbezogenen Daten hantiert, dabei seine Sorgfaltspflicht verletzt und dann Opfer eines Datendiebstahls wird, den erwartet tatsächlich eine Strafe. Sofern diese drei Bedingungen jedoch nicht gleichzeitig gegeben sind, haben Unternehmen nichts zu befürchten. Das einfache Speichern von Daten in der Cloud ist selbstverständlich nicht verboten und wird auch nicht bestraft.

Missverständnis Nr. 4: Kommt es zu einem Datendiebstahl, sehen Cloudnutzer hohen Geldstrafen entgegen

Die neue Datenschutz-Grundverordnung verlangt von Unternehmen, geeignete Maßnahmen zu ergreifen um sicherzustellen, dass alle persönlichen Daten in der Cloud ausreichend geschützt sind. Kommen sie dieser Verpflichtung nicht nach, erwarten sie im Falle einer Kompromittierung der Daten tatsächlich schwerwiegende Geldstrafen. Wer unverschuldet Opfer eines Datendiebstahls wird, hat jedoch keine zusätzliche Bestrafung zu befürchten. Es reicht deshalb aus, in Zukunft ein verstärktes Augenmerk auf Sicherheit zu legen.

Fazit: Die Cloud besser absichern

Die Datenschutz-Grundverordnung der Europäischen Union trifft Cloudnutzer weniger hart als oftmals befürchtet. Doch trotz aller Missverständnisse: Das neue Gesetz konfrontiert Unternehmen mit neuen Anforderungen. Wenn sie personenbezogene Daten in der Cloud speichern wollen, müssen sie in Zukunft verstärkt dafür sorgen, dass diese auch ausreichend geschützt sind. Außerdem muss der Datenaustausch sorgfältig dokumentiert werden. Kommen sie diesen Verpflichtungen nicht nach, erwarten sie Bußgelder in erheblicher Höhe. Das notwendige Know-how müssen entweder die eigenen Mitarbeiter bereitstellen oder externe Dienstleister, die auf Datenschutz und Sicherheit spezialisiert sind. Angesichts der gestiegenen Anforderungen auf die Cloud zu verzichten, wäre natürlich keine gute Idee: Unternehmen würden sich damit der wichtigsten Plattform für die Digitalisierung ihrer Geschäftsprozesse berauben – und somit zwangsläufig hinter ihre Konkurrenz zurückfallen.

Export von Ersatzteilen – Richtige Güterklassifizierung und kürzere Lieferzeiten durch Nutzung von Verfahrenserleichterungen

Der Export von Ersatzteilen und Komponenten stellt viele Maschinenhersteller in der Praxis vor große Herausforderungen. Für die Lieferung von Ersatzteilen wie Dichtungen, Sensoren, Pumpen, Hydraulikteilen oder Ventilen kann eine behördliche Ausfuhrgenehmigung selbst dann erforderlich sein, wenn die Lieferung der Hauptmaschine oder Anlage genehmigungsfrei möglich ist. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) hat jetzt das Merkblatt „Exportkontrolle für Ersatzteile des Anhangs I der EG-Dual-Use-VO“ (Stand: April 2016) veröffentlicht, das auf vier Informationsveranstaltungen basiert, die das BAFA in 2015 gemeinsam mit dem VDMA durchgeführt hat. Das 28-seitige Merkblatt soll Unternehmen Hilfestellung bei der Ausfuhr von Ersatzteilen und Komponenten geben. Es enthält unter anderem Antworten dazu, welche Hilfsmittel es für die Prüfung der Genehmigungspflichtigkeit von Ersatzteilen und Komponenten gibt und welche Verfahrensvereinfachungen genutzt werden können.

Prüfung spezieller Güterlisten erforderlich

Für die Prüfung, ob die Ausfuhr von Ersatzteilen genehmigt werden muss, ist die Kenntnis von speziellen Güterlisten Grundvoraussetzung. In den Güterlisten sind solche Waren, Software und Technologie aufgelistet, deren Export eingeschränkt ist und einer behördlichen Genehmigung bedarf. Von besonderer Bedeutung ist hier vor allem der Anhang I zur EG-Dual-Use-Verordnung. Mit Dual-Use-Gütern sind solche Güter gemeint, die sowohl einer zivilen als auch einer militärischen Endverwendung zugeführt werden können. Zu prüfen sind nicht nur zu exportierende Hauptware oder Anlage, sondern auch Hauptbestandteile, die leicht entfernbar sind, sowie Ersatzteile und Komponenten. Dabei liegt es primär in der Verantwortung der Unternehmen, selbst zu prüfen, ob für die Ausfuhr eine Genehmigung durch das BAFA erforderlich ist. Eine sorgfältige Prüfung ist auch vor dem Hintergrund essentiell, dass bei etwaigen Verstößen nicht nur die handelnden Personen verantwortlich sind, sondern sowohl gegen den Ausfuhrverantwortlichen des Unternehmens als auch gegen andere Mitglieder des Vorstandes bzw. der Geschäftsführung Verfahren wegen einer Aufsichtspflichtverletzung durchgeführt werden können. Auch kann das Unternehmen eine hohe Unternehmensgeldbuße treffen.

Hilfsmittel für die Prüfung

In dem Merkblatt des BAFA sind die Besonderheiten beim Export von Ersatzteilen zusammengefasst. Hilfsmittel für die Prüfung durch die Unternehmen sind das sogenannte „Gemeinsame Stichwortverzeichnis“ sowie das „Umschlüsselungsverzeichnis“. Beide sind auf der Homepage des BAFA veröffentlicht. Das Umschlüsselungsverzeichnis stellt die einschlägige Nummer des Warenverzeichnisses für die Außenhandelsstatistik der in Betracht kommenden Güterlistennummer nach der Dual-Use-Verordnung oder der deutschen Ausfuhrliste gegenüber. Ist die Ware im gemeinsamen, unverbindlichen Stichwortverzeichnis zu Teil I der deutschen Ausfuhrliste und zu Teil I der EG-Dual-Use-Verordnung aufgeführt, spricht das für eine Genehmigungspflichtigkeit der Ware. Gerade beim Gebrauch des Stichwortverzeichnisses ist aber Vorsicht geboten, weil ein Gut möglicherweise unter einem Stichwort zu finden ist, das man nicht auf den ersten Blick vermutet. Beide Hilfsmittel können daher nur einen Einstieg in die Güterlistenprüfung darstellen.

Genehmigungsverfahren und Vereinfachungen

Das BAFA bietet verschiedene Genehmigungsverfahren an. Als Verfahrenserleichterungen, die kurze Lieferzeiten ermöglichen sollen, kommen insoweit Allgemeingenehmigungen (AGG), Sammelausfuhrgenehmigungen (SAG) sowie die Anwendung der sogenannten „25 %-Regelung“ im Falle von Einzelausfuhrgenehmigungen in Betracht. Gibt es eine AGG, ist eine separate Genehmigung einer konkreten Ausfuhr nur dann erforderlich, wenn die Voraussetzungen der AGG von einer solchen Ausfuhr nicht erfüllt werden. Eine AGG für Ausfuhren bestimmter Waren in privilegierte Länder existiert beispielsweise für Ventile und Pumpen („AGG 14“). SAG sind eine besondere Form der Genehmigung. Mit einer SAG kann eine Vielzahl von Ausfuhren an verschiedene Empfänger und in verschiedene Empfängerländer genehmigt werden, wenn das Unternehmen als Zuverlässiger Ausführer angesehen wird. In dem Merkblatt werden im Wesentlichen zwei SAG-Modelle für Ersatzteillieferungen von Dual-Use-Gütern behandelt: Das Modell I erlaubt die Ausfuhr von Ersatzteilen an in der Genehmigung namentlich benannte Empfänger. Dabei handelt es sich insbesondere um Fälle, in denen die Hauptware, für die das Ersatzteil bestimmt ist, nicht gelistet ist und folglich die Ausfuhr der Hauptware nicht genehmigt wurde. Beim Modell II geht es um die Lieferung von Ersatzteilen zur Instandhaltung/Reparatur von Hauptgütern, die ursprünglich mit einer deutschen Ausfuhrgenehmigung desselben Ausführers oder eines Ausführers im Konzernverbund ausgeführt wurden. Die sogenannte „25 %-Regelung“ schließlich kann angewendet werden, wenn der Ausführer einer gelisteten Hauptsache auch die Ersatzteilversorgung übernimmt. Mit dem Antrag auf Erteilung einer Ausfuhrgenehmigung für eine Hauptsache kann der Ausführer dann ebenfalls die Genehmigung für die Ausfuhr von gelisteten Ersatzteilen, die für die Aufrechterhaltung der Betriebsbereitschaft der gelisteten Hauptsache erforderlich sind, im Wert von bis zu 25 % des Wertes der Hauptsache beantragen. Die Beantragung ist auch noch nachträglich möglich, solange die Genehmigung für die gelistete Hauptsache noch gültig ist.

Sonstige Informationen

Darüber hinaus enthält das Merkblatt auch Informationen zu den Zuständigkeiten innerhalb des BAFA für Technische Fragen/Einstufungsfragen sowie Kontaktinformationen. Antworten auf häufig gestellte Fragen lassen sich in den „FAQ bei der Exportkontrolle von Ersatzteilen“ am Ende des Merkblatts finden.

Innerbetriebliche Organisation

Das BAFA bietet mit dem Merkblatt hilfreiche Informationen zum Verfahren und auch praktische Hilfestellungen zur Identifizierung kontrollierter Ersatzteile an. Das Merkblatt kann den Unternehmen allerdings nicht die Prüfung im Einzelfall abnehmen, ob die Ware oder das Ersatzteil tatsächlich gelistet ist oder nicht. Die Kennzeichnung nach erfolgter Prüfung kann in SAP/in der Materialiste/im Anlageverzeichnis des Unternehmens erfolgen. Eine solche Prüfung sollte immer gemeinsam vom Exportkontrollbeauftragten und vom Techniker im Unternehmen vorgenommen werden. Wichtig ist hier, die Verantwortlichkeiten für die Prüfung der Güter ausdrücklich festzulegen, etwa in einer Arbeits- und Organisationsanweisung.  In Zweifelsfällen kann eine sogenannte Auskunft zur Güterliste beim BAFA eingeholt werden. Bei der Masse von Ersatzteilen ist das häufig nicht für jedes Ersatzteil möglich, bietet sich aber z. B. für bestimmte Produktgruppen an. Gerade angesichts regelmäßig kurzer Lieferzeiten ist weiterhin wichtig, dass die Prüfung von Anträgen durch das BAFA möglichst schnell erfolgt. Die Bearbeitungszeiten können hier nach wie vor ein großes Problem darstellen. Möglichst detaillierte Informationen bereits mit der Antragstellung fördern insoweit eine schnelle Bearbeitung durch das BAFA. Darüber hinaus ist aber auch zu beachten, dass spezielle Regelungen einschlägig sein können, wenn das Ersatzteil in ein Embargoland geliefert wird, so dass bei der Prüfung auch auf das Empfängerland und den Endverwender zu achten ist.