3. Ein genauerer Blick auf die Sicherheit der Priva-Dienste
Die Priva-Dienste und die zugrundeliegende Infrastruktur lassen sich in mehrere Sicherheitsebenen unterteilen. Es beginnt mit dem Verwaltungssystem, das über das Edge Gateway mit der Cloud verbunden ist. Die Cloud ist der Ort, an dem die Daten gespeichert und die Dienste gehostet werden. Dies ist auch der Ort, an dem die Benutzer auf ihre Dienste zugreifen. Die folgende Abbildung gibt einen Überblick über die Architektur des Dienstes. Die Sicherheit der einzelnen Komponenten innerhalb der Architektur des Dienstes wird im Folgenden erläutert.

3.1 Das Managementsystem
Das Managementsystem ist das Netzwerk von Controllern, das das Klimasystem steuert. Im Allgemeinen sind die Regler und andere zugehörige Geräte nur begrenzt sicher. Auch der Netzwerkverkehr zwischen den Teilen des Managementsystems ist häufig unverschlüsselt, da unverschlüsselte Protokolle verwendet werden und eine Zusammenschaltung erforderlich ist. Es wird erwartet, dass diese Geräte über ein Jahrzehnt lang 24 Stunden am Tag in Betrieb sind. Daher ist es sehr schwierig, sie während ihrer gesamten Lebensdauer auf dem neuesten Stand und sicher zu halten.
Managementsysteme sollten immer ein separates technisches Netz verwenden, das Sicherheit bietet, indem es das Managementsystem von allen möglichen Zugriffsmöglichkeiten von außen trennt. Daher sollten Verwaltungssysteme niemals in Netzen mit Internetzugang betrieben werden.
3.2. Das Edge-Gateway
Um Cloud-Dienste nutzen zu können, muss das Verwaltungssystem mit dem Internet verbunden sein. Wir verwenden das Priva Edge Gateway, um eine sichere Verbindung zwischen dem Verwaltungssystem und dem Internet herzustellen. Das Priva Edge Gateway ist ein geschlossenes System, das nur für Priva-Dienste konfiguriert und verwendet werden kann. Nicht-Priva-Software kann nicht darauf laufen.
Um das Internet physisch vom technischen Netzwerk unserer Steuerungen zu trennen, werden drei separate Netzwerkkarten verwendet, die keine Daten miteinander austauschen können. Dadurch sind die Steuerungen logisch vom Internet getrennt.
Die erste Netzwerkkarte, LAN1, stellt die Verbindung zur Außenwelt her. Zum Schutz vor möglichen Eindringlingen verwendet LAN1 ausgehende Verbindungen und nur die minimal notwendigen eingehenden Verbindungen. Jede Kommunikation zwischen dem Managementsystem und der Cloud wird immer vom Edge Gateway initiiert.
LAN2 verbindet das Edge Gateway mit dem technischen Netz. Um eine Verbindung zu den anderen Geräten herzustellen, hat LAN2 Ports für eingehenden Verkehr geöffnet.
LAN3 ist für den Vor-Ort-Service vorgesehen. Über LAN3 kann auf das lokale Web-UI zugegriffen werden, um auf Geräte- und Netzwerkeinstellungen zuzugreifen und diese zu ändern.
Für die Kommunikation zwischen dem Managementsystem und der Cloud verwenden wir Standardkomponenten von Microsoft. Insbesondere nutzen unsere Dienste IoT Hub und Service Bus von Microsoft Azure. Der Netzwerkverkehr zwischen dem Priva Edge Gateway und der Cloud ist verschlüsselt. Im Gegensatz zu anderen Zugriffsmethoden, wie z. B. VPN, verwendet unsere Architektur ein nachrichtenbasiertes System. Es gibt also keine vollständige Datenverbindung zwischen dem Verwaltungssystem und der Außenwelt. Es werden nur sehr wenige relevante Daten ausgetauscht.
3.3. Cloud-Sicherheit: Zugriffskontrolle
Der wichtigste Schutz vor unbefugtem Benutzerzugriff auf unsere Cloud-Dienste ist eine Authentifizierungsschicht auf der Grundlage des OAuth2-Protokolls. Wir verwenden Azure Active Directory B2C (AAD B2C) als Identitätsanbieter und eine Identity Server-Implementierung stellt die Autorisierungsregeln für diese Identitäten bereit. Es ist so eingerichtet, dass die Kommunikation mit allen unseren Diensten immer über HTTPS (TLS v1.2 oder höher) erfolgt.
Nach der Authentifizierung eines Benutzers durch AAD B2C werden seine Berechtigungen in einem JSON Web Token verschlüsselt und mit einem privaten Schlüssel signiert. In dem Moment, in dem eine unserer Anwendungen den Zugriff auf Ihre Daten anfordert, muss diese Anwendung das Token dem Dienst anbieten, der die Daten speichert. Dieser Dienst verwendet dann den öffentlichen Schlüssel, um zu überprüfen, dass das Token nicht verändert wurde und dass der Benutzer zum Zugriff auf die angeforderten Informationen berechtigt ist.
Benutzer von Priva-Diensten verwenden die Zugriffskontrolle. Damit können Benutzer mit Verwaltungsrechten innerhalb einer Organisation überprüfen, welche Konten auf welche Funktionen und Standorte zugreifen dürfen. Beim Kauf eines Dienstes geben wir dem Käufer Zugriffsrechte, woraufhin der Käufer andere Personen einladen und deren Rechte verwalten kann.
Standardmäßig ist die MFA (MultiFactorAuthentication) für neue Benutzer aktiviert. Dies bietet ein höheres Maß an Sicherheit während des Anmeldevorgangs. Zusätzlich zum Benutzerpasswort verwendet MFA einen zweiten Authentifizierungsfaktor, z. B. eine Textnachricht mit einem einmaligen Code, um auf Cloud-Dienste zuzugreifen.
Darüber hinaus unterstützen unsere Dienste auch die Verwendung des AAD des Kunden, das dem Kunden umfangreichere Möglichkeiten zur Verwaltung von Sicherheitsrichtlinien bietet.
3.4. Welche Endgeräte nutzen die Priva-Dienste?
Für die Verbindung zu Diensten in der Cloud verwendet unser Edge Gateway Fully Qualified Domain Names (FQDNs). Eine vollständige Liste der spezifischen FQDNs finden Sie in der Edge Gateway-Dokumentation.
3.5 Wer ist der Eigentümer der Daten?
Es ist unser Grundsatz, dass die Daten dem Eigentümer des Systems gehören, das die Daten erzeugt. Wir behalten uns jedoch das Recht vor, die Daten nach ihrer Anonymisierung für Entwicklungszwecke zu verwenden. Die vollständige Politik von Priva in Bezug auf die Verwendung von Daten ist in unseren allgemeinen und dienstleistungsspezifischen Geschäftsbedingungen sowie in unserer Datenschutzrichtlinie beschrieben.
3.6 Wo werden Ihre Daten gespeichert?
Alle unsere Cloud-Dienste werden in der Region Westeuropa von Microsoft Azure gehostet. Die Datenzentren in dieser Region befinden sich derzeit in/bei Amsterdam. Zum Zwecke der Notfallwiederherstellung sind diese Microsoft-Rechenzentren mit den Azure-Rechenzentren in der Region Nordeuropa verbunden. Diese befinden sich physisch in/bei Dublin in Irland. In einem Notfall können Ihre Daten zwischen diesen beiden Standorten übertragen werden. Für diesen Datentransfer wird stets die unternehmenseigene Kommunikationsinfrastruktur von Microsoft genutzt.