Folgerichtig legten sich alle Beteiligten mächtig ins Zeug, z.B.:

• Hersteller entwickelten clevere «MUC-Controller» (Multi Utility Communication, d.h. Gateways zur Datenübertragung mehrerer Zähler, z.B. Strom, Wasser und Gas), z.B. die MUC-Lösung von Dr. Neuhaus die auch mit dem Vodafone Application Award 2009 ausgezeichnet wurde.
• Energieversorger starteten Pilotprojekte zum Thema «Smart Meter», z.B. von RWE das Projekt “Mühlheim zählt“.

Inzwischen hat sogar die Politik diese Schlagworte gelernt und sie gehen unseren Politikern nun genau so flüssig über die Lippen wie «Energiewende» oder «Elektromobilität», alles Begriffe die im positiven Sinne mit Fortschritt assoziiert werden. Da ist man doch gerne – ganz vorn – dabei.

Aber dann kam es so, wie es kommen musste:

• Bei einigen Bürgern regte sich Widerstand gegen «Smart Meter», wesentliche Besorgnis ist dabei eine mögliche Einschränkung der Privatsphäre durch den Einsatz dieser neuen Technik. Niedergeschlagen hat sich dieses Misstrauen gegen die Technik z.B. in zahlreichen Veröffentlichungen in der Presse, einer Petition an den Deutschen Bundestag oder auch im ersten Datenschutz-Gutachten zum Thema «Smart Meter». Wohlgemerkt, all diese – in der breiten Öffentlichkeit kaum wahrgenommenen – Reaktionen basierten auf Planungen und ersten Pilotprojekten. Welche Reaktionen bei einem “echten” Rollout zu erwarten sind, kann man aktuell in Kanada beobachten: Kanadier protestieren gegen Spion im eigenen Haus.

• Mit Stuxnet kam mit einem echten Paukenschlag die Erkenntnis, dass nicht nur klapperige Windows-PCs durch “Cyber-Angriffe” bedroht sind, sondern auch technische Infrastrukturen. Für “Insider” nicht wirklich überraschend, aber mit Stuxnet kam das Thema erstmals bis auf die Titelseiten und in die Tagesschau.

Und die Politik reagierte prompt:

Die Bundesregierung, genauer das das Bundesministerium für Wirtschaft und Technologie (BMWi), beauftragte im September 2010 das BSI (Bundesamt für Sicherheit in der Informationstechnik) mit der Erarbeitung eines verbindlichen Schutzprofils für «Smart Meter». Auch im Energiepaket, das vom Deutschen Bundestag am 30. Juni 2011 beschlossen wurde, ist das Schutzprofil verankert.

Das – noch nicht ganz fertige – Ergebnis findet sich auf den Themenseiten «Smart Metering Systeme» des BSI – und die haben es in sich:

• Zertifizierung nach «Common Criteria» (Evaluation Assurance Level 4, d.h. “methodisch entwickelt, getestet und geprüft“)

“Die Zertifizierung von Sicherheits-Systemen nach dem Common Criteria (CC) EAL4-Standard gehört zu den anspruchsvollsten und teuersten Zertifizierungstests denen sich ein Hersteller unterziehen kann.” [Quelle: Glossar  der Website SearchSecurity.de - http://www.searchsecurity.de/glossar/EAL/articles/186978/ ]

• d.h. ähnliche Sicherheitsanforderungen wie für Geldautomaten

In der Folge bedeutet dies  Zertifizierungskosten von geschätzten EUR 500.000,– (nur externe Kosten, nicht die eigentliche Entwicklung!) pro Metering-Gateway.

Als Zertifizierungsdauer werden zumindest 12 Monate angenommen.

Eine Nachzertifizierung existenter – fertig entwickelter – Geräte ist wohl nicht möglich.

Meine Meinung dazu:

Auf den ersten Blick könnte man sagen: “Alles OK, Sicherheit ist notwendig und muss sein. Endlich hat die Politik mal gehandelt”. Allerdings ist die Lösung mal wieder “typisch Deutsch”: Aufwändig, teuer, etwas langsam – aber dafür (fast) perfekt. Man sollte aber nicht vergessen, was auf der Strecke bleibt: Unsere Regierung – die ja lautstark für die Förderung des Mittelstandes steht – hat elegant und endgültig sämtliche kleineren Firmen aus dem Wachstumsmarkt Smart Grid gedrängt und so den Markt für Konzerne frei gemacht. Hier gewinnt zukünfitg nicht mehr Innovation und Schnelligkeit, sondern Finanzkraft.

Smart Meter und Smart Grid können sich für uns alle zu essentiellen Technologien entwickeln. Schade, dass es diesmal nicht zu einem – gesetzlich verankertem – innovativem Ansatz gereicht hat. Ich frage mich, ob es denn nicht auch auf Basis eines pragmatischen Datenschutzes (allem voran Datensparsamkeit!) und im Internet bewährter offener Technologien (Open-Source für eine öffentliche Überprüfung) ein deutlich nachhaltigerer Ansatz möglich wäre. Aber bevor die Politik aufwacht und zu diesem Schritt bereit ist, müssen die Piraten wohl noch einige Wahlerfolge erringen…

Wünschen wir uns zumindest, dass nicht noch allzu viele weitere M2M-Segmente den heutigen Trägern des M2M-Marktes – dem Mittelstand  – auf diese Weise entzogen werden.

Und noch ein Aspekt:

Wer wird wohl letztlich für die durch die Zertifizierung verursachten Mehrkosten aufkommen? Das ist mit an Sicherheit grenzender Wahrscheinlichkeit wieder der private Stromkunde – ähnlich wie bei der EEG-Umlage. Wenn die BMWi-Ideen die Kosten für den Messstellenbetrieb in die Höhe treiben, werden wir alle die Auswirkungen dieser „Innovation“ demnächst durch steigende Stromkostenabrechnungen erfühlen können. Einen volkswirtschaftlichen Nutzen – den man bei einer EEG-Umlage ja immerhin noch erkennen kann – sehe ich bei diesen Mehrkosten allerdings nicht.

Kasse machen mit Stromnetz-Hacks

Ein wirklich guter Einblick in das Schutzprofil für Smart Meter, inklusive einem Blick hinter die Kulissen mit einer Einschätzung  für die Auswirkungen auf existente Produkte, der Entwicklung neuer Produkte und deren potenzieller Wirtschaftlichkeit:
Sicherheit im Smart Metering: Das Schutzprofil für künftige intelligente Zähler

Studie des VDE: Gesamtkonzept zur IT-Sicherheit im Smart Grid fehlt

Nicht so schnell!

Praktisch alle M2M-Anwendungen basieren fundamental auf dem Internet (Datenfunkanwendungen nehmen wir mal aus). Auch wenn scheinbar “nur” ein Mobilfunknetz via GPRS/EDGE/UMTS oder LTE involviert ist, so wird häufig vergessen, dass die Verbindung des Backends zum Mobilfunknetz (genauer dem GGSN und APN) meist über einen VPN-Tunnel über das Internet realisiert ist. In vielen – insbesondere kleineren oder internationalen – M2M-Anwendungen tunneln selbst die Endgeräte direkt über das Internet zur Leitstelle.

Und an dieser Stelle kommt ACTA (das sog. Anti-Piraterie-Abkommen) ins Spiel:

Dieser im geheimen nur mit “den” Rechteinhabern verhandelte Vertrag, der immer noch in wesentlichen Teilen nicht veröffentlicht ist (nur das eigentliche, vollkommen schwammig gehaltene Abkommen ist “öffentlich”) erfordert nach meinem Verständnis zur finalen “DURCHSETZUNG DER RECHTE DES GEISTIGEN EIGENTUMS IM DIGITALEN UMFELD” tiefgreifenste Eingriffe in das Internet wie wir es derzeit kennen, u.a.:

• Allumfassende Deep Packet Inspection (DPI) und anschließende Filterung
• Verbot oder Sperrung sämtlicher verschlüsselter Verbindungen (inkl. VPN-Tunnel)

Für totalitäre Regimes sind dies alltägliche Maßnahmen, in einer demokratischen Gesellschaft sind dies aber vollkommen unannehmbare Kollateralschäden in der Folge der Durchsetzung der Interessen einer einzelnen Gruppe.

Es ist einleuchtend, dass in einer derartigen Umgebung auch M2M-Anwendungen nicht (oder zumindest nicht sicher) funktionieren werden. Jedenfalls wird kein verantwortungsvoller Projektleiter ein M2M-Projekt auf Basis eines – nach welchen Kriterien auch immer – zensierten gefilterten Internets realisieren (können).

Menschen benötigen sicherere, transparente und vertrauliche Kommunikationswege (Art. 10 unseres Grundgesetzes). Maschinen auch.

Einige Quellen zum Thema:

• ACTA: Häufig gestellte Fragen
• Spiegel Online: Warum Acta in den Papierkorb gehört
• Pakistan verbietet sichere Kommunikation
• Obama startet einen neuen Kryptokrieg

#M2M News “MerlinCryption Launches MerlinM2M Encryption Platform Solution” ow.ly/8NlnH

Offensichtlich kann (oder soll) hier mit Sicherheit und Verschlüsselung bei M2M-Anwendungen Geld verdient werden, was denn auch immer eine “M2M Encrytion Platform” ist.

Bei frühen M2M-Projekten waren alle Beteiligten zufrieden, wenn die Anwendung gut und verlässlich funktionierte. Fein, aber leider Geschichte…

Spätestens – Stuxnet sei Dank – seit der Erkenntnis, dass nicht nur eBay-Accounts oder Kreditkarten, sondern auch Zugänge zu Anlagen und Maschinen bei dunklen Gestalten begehrt sind, haben sich die Anforderungen auch an M2M-Lösungen und Komponenten deutlich verändert. Während früher das Thema Sicherheit (und in direkter Folge auch Datenschutz) nur in wenigen Branchen und in wenigen Köpfen ein wirkliches Thema war, so finden sich heute zu Recht diese Stichpunkte in praktisch jedem Anforderungsprofil und (fast) jedem Produktblatt von M2M-Komponenten oder Systemen.

Eine sicherlich positive Entwicklung, aber so richtig «wertvoll» wird dieses Umdenken erst dadurch, dass es aufgrund der breiten Diskussion nicht nur in den Köpfen der Techniker, sondern auch im Management und – besonders wichtig – in den kaufmännischen Abteilungen angekommen ist. Sicherheit darf jetzt vielleicht sogar etwas kosten!

Aber ich frage mich, ob denn Sicherheit in M2M-Projekten wirklich immer neuer propietäre Lösungen und Produkte bedarf. Die eigentliche Chance besteht aus meiner Sicht darin, dass nun das Thema Sicherheit in M2M-Projekten wirklich in allen Bereichen akzeptiert ist – gut für Projektleiter:

• Definieren Sie Sicherheit (und Datenschutz) von Beginn an als ein Projektziel!
• Sichern Sie sich ggf. externe Unterstützung oder Beratung zum Thema Sicherheit (aber bitte unabhängige Beratung!)

Lassen Sie sich nicht ins Bockshorn jagen, angemessene Sicherheit ist in jedem M2M-Projekt zu vernüftigen Kosten realsiertbar, auch ohne propietären Schnick-Schnack.

• Alarmeldezweitwege bei Sicherheits-/Überwachungsanlagen
• Status-/Ausfallmeldungen und Fernsteuerung von Komponenten in Versorgungsnetzen für Strom-, Wasser- und Abwasser
• Ortung von entwendeten oder entlaufenen Objekten

Befinden sich die zu überwachenden Geräte und Anlagen im Ausland, so ergibt sich bei Einsatz einer SIM-Karte eines deutschen Mobilfunkanbieters zumeist schon eine höhere Verfügbarkeit der Mobilfunkanbindung. Dies ist auf das sogenannte Roaming zurückzuführen, welches in der Regel mehrere Mobilfunknetze in dem jeweiligen Land als Einbuchungsoptionen anbietet. Sollte eines der Mobilfunknetze an dem jeweiligen Ort grundsätzlich oder temporär nicht verfügbar, so kann eines der alternativ verfügbaren Netze genutzt werden.

Die deutschen Mobilfunkanbieter haben bis dato kein innerdeutsches Roaming angeboten und der Einsatz ausländischer M2M SIM-Karten war bisher teuer. Beides hat sich in den letzten Monaten geändert:

• Vodafone D2 bietet über einen Partner seit diesem Jahr eine M2M SIM mit National Roaming an.

• Die Angebote ausländischer M2M Service Provider nähern sich preislich deutlich den nationalen Angeboten deutscher Anbieter an.

So kostet zum Beispiel eine von KASMOCOM in Deutschland vertriebene Multinetz M2M-SIM Karte nur 1,99 Euro Netto monatlich an Grundentgelt. Der Preis für das Datenvolumen liegt bei 0,59 Euro pro MByte bei Nutzung von E-Plus und Vodafone bzw. bei 1,58 Euro Netto für Telekom Deutschland (1 KByte Taktung, 12 Monate Vertragslaufzeit).

Fällt das Mobilfunk-Netz der ersten Wahl  aus, so meldet sich die Multi-Netz M2M SIM bei einem der Alternativ-Netze an, die an dem Standort verfügbar sind. So wird eine annähernd 100% Verbindungsverfügbarkeit möglich. Die Einbuchungsreihenfolge und –Priorität kann ggf. über Einstellungen im Mobilfunkmodul (Blacklisting bzw. Whitelisting, etc.) zusätzlich beeinflusst werden. Die Multi-Netz M2M SIM ist besonders geeignet für Anwendungen mit kleinen bis mittleren monatlichen Datenaufkommen.

In diesem Zusammenhang vielleicht auch interessant:
Dual-SIM: Sinn- oder Unsinn für M2M-Anwendungen?
Ausfälle von Mobilfunknetzen (GPRS/UMTS Datendienste)
DynDNS seit 2 Tagen gestört – auch M2M Anwendungen sind betroffen
M2M-Anwendungen und der T-Mobile Ausfall (April 2009)

Erstmalig international wird es am ersten Tag unter dem Titel “Remote Technology Meeting“. An diesem Tag ist die Tagungssprache Englisch!

Die Sessions im Überblick (jede Session enthält typ. 3 Vorträge und eine Podiumsdiskussion):

• Remote Plattforms – more than just VPN
• Platforms for ConditionMonitoring and Teleservice
• Condition Monitoring from different points of view
• Add-on technologies for remote solutions
• Zentrale Sicherheitskonzepte
• Dezentrale Sicherheitskonzepte
• Zentrale und dezentrale Sicherheit
• Sicherheit mit Mobilfunk
• ConditionMonitoring und Life-Cycle-Management
• Technologien für Kosteneinsparungen
• Sicherheit für online ConditionMonitoring und Teleservice
• Servicestrategien
• Mit Projekten zu bezahlten Remote Services
• Add-on für Remote
• Innovative Remote Projekte

Die Workshops (jeweils ein halber Tag):

• Remote Plattformen kennenlernen
• Einsatz und Auswahl von Remote Plattformen

Im ersten Workshop gibt es das interessante Thema “Warum VPN- Lösungen nicht notwendig sind“, gleichzeitig beschäftigen sich aber einige Vorträge  explizit mit dem Thema Sicherheit – und – VPN. Ein guter Aufmacher, aber ich glaube kaum, dass sich  diese provokante These voll umfänglich halten lässt.

Und hier einige – aus meiner subjektiven Sicht – interessante Vorträge:

• Erforderliche Standards für Hersteller und Betreiber
  Karl-Heinz Sauter, Karl-Heinz Sauter Services und Consulting GmbH
• Sicherheit und Kommunikation einfach in der Praxis managen
  Dr. Werner Eberle, INSYS Microelectronics GmbH
• Maschinen weltweit über Mobilfunk anbinden
  Helmut Aubermann, mdex GmbH
• Video im Serviceeinsatz
  Abdel H. Naji, AudiSoft Group SAS

Insgesamt bietet diese Veranstaltung im deutschsprachigen Raum wohl eine einmalige Informationsdichte zum Thema Fernwartung. Details gibt es in Form einer «Deutschen Agenda» und – ganz international – auch als «Englische Agenda».

Analog zum letzten Jahr fehlt mir in diesem Jahr eigentlich nur das Thema Datenschutz.

Im Auftrag des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (oder kurz ULD) hat Dr. Moritz Karg ein Gutachten

Datenschutzrechtliche Bewertung
des Einsatzes von „intelligenten“ Messeinrichtungen  (Smart Meter)
für die
Messung von gelieferter Energie

erstellt.

«Smart Metering» ist eine M2M-Anwendung, die bei näherer Betrachtung eben nicht “nur” die Übertragung von Messwerten, sondern sehr wohl auch eine  Verarbeitung von personenbezogener Daten und fällt daher unter eine Reihe von gesetzlichen Regelungen, die man tunlichst beachten sollte.

Auch wenn das Gutachten für Nicht-Juristen eine doch schon  etwas sperrige Lektüre ist, lohnt sich die Mühe doch: Der Leser erhält einen guten Eindruck, wie M2M-Anwendungen durch die “Datenschutz-Brille” betrachtet werden.

Thilo Weichert, Leiter des ULD:

„Neue Technologien eröffnen neue Möglichkeiten – Smart Meter z.B. zum Energiesparen – und neue Risiken. Das frühzeitige Beachten der Datenschutzvorgaben durch die Betreiber und Anbieter verhindert spätere Mehrkosten und Konflikte. Wer sicher gehen möchte, dass die eigenen Verfahren rechtskonform sind, kann diese zertifizieren lassen.“

Wer sich mit M2M-Projekten beschäftigt, muss sich also nicht nur mit technischen und kaufmännischen Problemen herumschlagen, sondern sollte tunlichst auch ein – professionelles – Auge auf das Thema Datenschutz werfen (lassen).

Auch wenn es auf den ersten Blick “nervt”, bin ich doch froh, dass in Deutschland das Thema Datenschutz – zumindest im Vergleich mit dem Rest der Welt – gesetzlich einigermassen gut verankert ist, auch wenn das Thema häufig noch nicht wirklich ernst genug genommen wird.

Der technische Fortschritt und die extrem stark zunehmende Verbreitung, die wir alle für M2M-Anwendungen in den nächsten Jahren erwarten, erfordert zwingend einen etablierten Datenschutz. Ohne Datenschutz wird es zukünftig keine Akzeptanz des Themas M2M in der Bevölkerung geben.

Mehr zum Thema auf dem M2M Weblog:

• http://m2m-blog.de/2009/01/12/m2m-produkt-mit-datenschutzsiegel/

Weitere Ressourcen im Netz:

• Zeit Online: Was der intelligente Stromzähler ausplaudern darf
• Mühlheimer Bürger Initialiven zur “ModellStadt Smart Metering”
• Heise Online: Intelligente Stromnetze: Ich weiß, ob du gestern geduscht hast

In den vergangenen Monaten in der Presse:

Immer mehr verlorene Festplatten und Laptops mit vertraulichen Daten in England, geklaute Kreditkartendaten in den USA und Millionen von Kunden- und Bankdaten in Deutschland zu verkaufen.

Heute weiß es Jedermann: Auch bei uns ist Deutschland es in Sachen Datenschutz nicht gut bestellt, von der Situation im Ausland wo teilweise sogar die gesetzlichen Grundlagen fehlen ganz abgesehen.

Die vermutlich aktivsten Verfechter des Datenschutzgedankens sitzen ganz im Norden unserer Republik im Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein oder kurz ULD. Neben der Kontrolle von Behörden und der Verfolgung von Datenschutzverstößen werden dort auch Schulungen (Stichwort Datenschutzakedemie) durchgeführt und vor allem auch präventive Arbeit in Form von Audits und Prüfung von Produkten (Datenschutz-Gütesiegel) geleistet.

Datenschutz spielt aber nicht nur im Rahmen personenbezogener Daten eine Rolle, sondern auch für M2M-Anwendungen sollte man sich fragen, ob die notwendigen Standards eingehalten werden. Neben warmer Worte gab es aber bisher schlicht und einfach “nichts”.

Aber jeder, der eine M2M-Anwendung plant oder bereits betreibt, sollte sich in einer ruhigen Stunde einmal fragen, was er denn über diese weichen (d.h. nicht rein funktionalen) Aspekte seiner Anwendung weiß und wie potentiellen Gefahren (Informationsweitergabe, Manipulation, Folgeschäden, Haftung) begegnet wird.

Insbesondere interessant ist der Nachweis der “notwendigen Sorgfalt” im Falle eines Falles zur Minimierung einer – evtl. auch persönlichen – Haftung.

Erstes M2M-Produkt mit Datenschutz-Gütesiegel

Jetzt hat das ULD mit dem Produkt fixed.IP – vertrieben durch die mdex GmbH und realisiert in den Rechenzentren der ic3s AG – das erste M2M-Produkt durch die Verleihung des Datenschutz-Gütesiegel ausgezeichnet (Kurzgutachten als PDF).

Aus dem Gutachten:

“Bei dem IT-Produkt „mdex fixed.IP“ handelt es sich um eine gut durchdachte technische Lösung zur sicheren IP-basierten Kommunikation von Mobilgeräten. Die Daten werden dabei zunächst durch den GSM spezifischen A5 Algorithmus verschlüsselt, dann durch das IPSEC-Protokoll (bei der Kommunikation zwischen dem Mobilfunknetzbetreiber und mdex) und im VPN durch deren spezifische Verschlüsselung bei der Kommunikation zwischen mdex und dem Anwender.

Das Rechenzentrum des Produktherstellers ist nach dem Stand der Technik gesichert. Es bestehen keine Bedenken, die Datenverarbeitung durch den Produkthersteller im Wege der Auftragsdatenverarbeitung durchführen zu lassen.

Das Produkt „mdex fixed.IP“ fördert den Datenschutz durch eine nach dem Stand der Technik gesicherte Möglichkeit der IP-basierten Kommunikation von Mobilgeräten.”

Ein weiteres Produkte für die M2M-Kommunikation über Mobilnetze (GPRS/EDGE/UMTS/HSDPA), das auf “fixed.IP” aufbaut, ist die Zugriffsvariante “mdex.WebDirect“.

Die Vorteile beim Einsatz eines VPN sind zahlreich, z.B.

• die Erreichbarkeit von über GPRS angebundenen Geräten („Provider-Firewall“)
• die Kommunikationskosten können gesenkt werden, weil Internetanbindungen meist günstiger als Direktverbindungen sind (siehe auch: M2M mit OpenVPN: Zum Ortstarif um die ganze Welt)
• die Vertraulichkeit der Daten wird gesichert: Schutz vor Manipulation, Aufzeichnung, Ausspähen, etc.
• administrativ und logistisch ergeben sich durch die zusätzliche Authentifizierung der VPN-Teilnehmer neue Möglichkeiten
• Verringerung der Latenzzeiten bei Start einer Datenverbindung

Dazu kommen spezielle Vorteile von OpenVPN:

OpenVPN ist durch seine Flexibilität, Einfachheit und Robustheit geradezu ideal, um Ordnung in die Vielzahl von unterschiedlichen Anbindungsszenarien von Maschinen und deren Fernwartung zu bringen.

Im Gegensatz zu anderen VPN-Implementierungen setzt OpenVPN nicht auf eigene Protokolle auf und kann deshalb Verbindungen in Konstellationen erzeugen, in denen andere Implementierungen chancenlos sind.

Wie jede Medaille hat auch der Einsatz von VPN zwei Seiten. Schon allein die Tatsache, dass man sich mit einer zusätzlichen Technologie befassen muss, stellt einen solchen Nachteil dar. Ein weiterer Nachteil von VPN ist, dass zusätzlicher Datenverkehr erzeugt wird. Dieser kann bei der M2M-Kommunikation für unerwartete und schwierig zu kalkulierende Kosten sorgen. Denn bei GPRS, EDGE und UMTS wird – im Gegensatz zu anderen Diensten – nicht nach Verbindungszeit sondern nach übertragenem Datenvolumen (Traffic) abgerechnet.

Im Folgenden soll der Overhead von OpenVPN betrachtet und eingeschätzt werden:

Funktionsweise von OpenVPN

Bei OpenVPN wird ein virtuelles Netzwerk erzeugt, indem der Client zunächst eine Datenverbindung zum Server herstellt und diese Verbindung aufrecht erhält. Durch diese Verbindung (auch Tunnel genannt) werden die eigentlichen Datenpakete gesendet. Die ursprünglichen Datenpakete müssen also in die Pakete eingebettet werden, die den Tunnel darstellen. Das bedeutet, dass insgesamt mehr Informationen übertragen werden müssen – ein zusätzlicher Overhead entsteht:

Betrachtung des Overhead

Dieser Overhead ist von Fall zu Fall unterschiedlich zu quantifizieren. Er hängt u.a. davon ab:

• wie das VPN konfiguriert ist und
• welche Daten übertragen werden.

OpenVPN kann Daten auf Level 2 (Bridging) oder auf Level 3 (Routing) tunneln:

Beim Bridging werden die zu tunnelnden Daten in neue Ethernet-Pakete gepackt, beim Routing in neue IP-Pakete. Daher führt Bridging zu weniger Overhead, da für die neuen Ethernet-Pakete etwas weniger zusätzliche Informationen übertragen werden müssen als für die neuen IP-Pakete beim Routing.

Bridging erscheint somit im ersten Moment sehr attraktiv, zumal sich als zusätzlicher Vorteil die einfache Vergrößerung des Netzes ergibt. In der Praxis ist Bridging aus Sicht der Netzwerkplanung allerdings nicht einsetzbar, denn der administrative Aufwand im zentralen Netz zur Berücksichtigung der Teilnehmer des erweiterten Netzes steigt. Aus diesem Grund ist Routing in den meisten Fällen die bevorzugte Variante.

Tunnel mit Hilfe von UDP-Paketen erzeugen wiederum weniger Overhead, als Tunnel mit TCP-Paketen. Per Default wird eine UDP-Verbindung bevorzugt. Dies ist nicht nur im geringeren Overhead begründet, sondern auch darin, dass die Latenzzeiten bei einem UDP-Tunnel geringer sind, als bei einem TCP-Tunnel. OpenVPN muss bei beiden Tunnelarten dafür sorgen, dass die Pakete an der Gegenstelle wieder ordentlich ausgepackt und zusammengesetzt werden. Beim bereits verbindungsgesicherten TCP tritt damit unnötige Redundanz auf.

TCP-Tunnel sollten nur eingesetzt werden, wenn sich UDP-Tunnel aus anderen Gründen, z.B. Firewall-Einstellungen nicht realisieren lassen.

Verschlüsselung der Daten vor der Übertragung

Mit OpenVPN ist es möglich, die zu tunnelnden Daten vor der Übertragung zu verschlüsseln und damit zusätzlich zu sichern. Dies ergibt zusätzlichen Overhead.

Hier ein Beispiel für den entstehenden Overhead bei einem verschlüsselten UDP-Tunnel mit Default-Einstellung:

Beim Tunneln von sehr kleinen Datenpaketen wiegt dieser Overhead schwerer als bei großen Datenpaketen. Da aber einerseits das Übertragen von sehr kleinen Datenpaketen auch ohne Tunnel bereits äußerst ineffizient ist und andererseits die 69 Byte bei großen Datenpaketen (theoretisch bis 1500 Byte) auch nicht überproportional viel mehr Traffic ausmachen, sollte der Overhead in den meisten Fällen gerechtfertigt sein.

Komprimierung

OpenVPN kann die zu tunnelnden Daten vor der Übertragung komprimieren. Zum Einsatz kommt hier der LZO-Algorithmus (Lempel-Ziv-Oberhumer). Dieser erreicht zwar nicht ganz die Komprimierungsgrade wie sie z.B. bei ZIP der Fall sind, dafür punktet LZO damit, dass sich die Daten nahezu in Echtzeit ver- und entpacken lassen.

LZO ist eine verlustlose Komprimierung, deshalb gibt es hier Grenzen. Ferner hängt der Komprimierungsgrad stark davon ab, welche Daten übertragen werden. Bereits komprimierte Daten wie z.B. gezippte Dateien oder komprimierte Bilder wie .jpg können nicht viel weiter komprimiert werden. Sehr gut komprimierbar sind Texte wie z.B. HTML, XML oder auch Bilder in Rohdatenformaten wie z.B. Bitmaps. Beim Surfen ergeben sich z.B. Komprimierungsgrade von weit über 60%.

Die per Grundeinstellung adaptive Kompression ist ein weiteres Feature von OpenVPN, um Rechenaufwand einzusparen und die Performance zu erhöhen. Dazu wird der Komprimierungsgrad überwacht. Sinkt der Komprimierungsgrad aufgrund der Datenbeschaffenheit unter einen festgelegten Wert, wird die Kompression so lange deaktiviert bis wieder komprimierbareres Datenmaterial zu versenden ist. Auf diese Weise wird zusätzlich Rechenleistung eingespart.

Weitere Aspekte

Abgesehen von dem Overhead der Tunnelpakete tritt noch zusätzlicher Traffic für das künstliche Netzwerk des VPNs auf. Einige Ursachen sind:

• Abhängig von der Art der Authentifizierung werden zur Authentifizierung Datenpakete übertragen noch bevor ein Tunnel aufgebaut ist.
• Verbindungsüberprüfung: Ein bestehender Tunnel sollte regelmäßig geprüft werden, ob er noch existiert.
• Es sollten in regelmäßigen Abständen Daten durch den Tunnel gesendet werden, damit die für den Tunnel benutzten Ports nicht von Routern geschlossen werden, die die beiden Tunnelenden verbinden (stateful Firwall).
• Vereinbarte Parameter für die Verschlüsselung der Datenpakete sollten regelmäßig erneuert werden.

Eine Beispielanwendung

Ein Feldgerät ist über einen GPRS/EDGE/UMTS-Router mit dem Internet verbunden. Der Router erstellt nach dem Verbindungsaufbau selbständig einen OpenVPN-Tunnel zu einer Leitstelle, in der ein OpenVPN Server läuft. Die Authentifizierung erfolgt über X.509 Zertifikate. Das Feldgerät erzeugt Daten (2000 Byte), die einmal pro Minuteper HTTP von der Leitstelle aus abgerufen werden sollen.

Für die einzelnen Vorgänge wird folgendes angenommen:

• Einwahl ins Internet und anschließender Tunnelaufbau: 13.000 Byte
• Erneutes Aushandeln der Verschlüsselung: 10.000 Byte
• Einmalige Verbindungsüberprüfung (Internetverbindung): 1000 Byte
• Einmalige Verbindungsüberprüfung (VPN-Tunnel): 81 Byte
• Abruf der eigentlichen Daten per HTTP: 3125 Byte

Die 3125 Byte für die eigentlichen Daten wurden empirisch ermittelt und stellen sich zusammen aus

• 2000 Byte Textdatei
• 1021 Byte TCP-Header, HTTP-Header und HTML-Code
• 104 Byte reiner OpenVPN Overhead

Das tägliche Datenaufkommen stellt sich wie folgt zusammen:

Ungefähr 10% des Datenaufkommens sind in diesem Beispiel für die Bereitstellung der Datenverbindung inklusive Tunnel notwendig. Der OpenVPN-Ping wird in diesem Fall nicht ausgeführt, denn auf die Tunnelüberprüfung wird verzichtet, wenn anderweitig Datenaufkommen existiert.

Verkürzung der Latenzzeiten

Ein großer Nachteil bei der Anbindung von Feldgeräten via GPRS kann die hohe Latenzzeit sein. Vor allem für das erste Paket nach einer längeren Übertragungspause können 1000 ms bis 2000 ms verstreichen. Mit einem OpenVPN-Tunnel und dessen Fähigkeit, mit „OpenVPN-Pings“ künstlich Datenverkehr zu erzeugen, kann man diese langen Latenzzeiten am Anfang einer Socketverbindung auf die Zeiten verringern, die sich im Laufe einer längeren Datenübertragung typischerweise einspielen. Dadurch erhöht sich zwar das Datenaufkommen, allerdings kann man auf diese Weise zeitkritische Anwendungen entschärfen, die über GPRS normalerweise nur mit Schwierigkeiten nutzbar wären und nur mit anderen Technologien wie z.B. EDGE oder UMTS funktionieren würden.

Ohne jeglichen Nutz-Datenverkehr und einem

• Ping-Intervall von 15 Sekunden vom Feldgerät zur Leitstelle und einem
• Ping-Intervall von 2 Minuten von der Leitstelle zum Feldgerät

ergibt sich aus {(4 x 60 x 24 x 81 Byte) + (30 x 24 x 81 Byte)}ein tägliches Datenaufkommen von 524.880 Byte.

Dieser „Dauerping“ kostet im Monat also ungefähr 12 MByte. Je nach Mobilfunkvertrag ist das mehr oder weniger akzeptabel und sollte sorgfältig überlegtwerden.

Fazit

Je höher das Datenvolumen ist, desto geringer wird der Anteil, der für den OpenVPN-Overhead und dessen Infrastruktur notwendig ist. Bei einem VPN mit OpenVPN kann durch die Komprimierung sogar der Effekt eintreten, dass weniger Datenaufkommen anfällt.

Resourcen zu OpenVPN im Internet:

• OpenVPN Homepage
• Deutsches OpenVPN Portal mit Forum und Wiki

Beispiele hierfür sind

• Baustellen – Überwachung des Baufortschritts
• Autobahnen / Straßen – Beurteilung der Verkehrssituation
• abgelegene Liegenschaften, z.B. Deponien / Lagerplätze
• …

Bis vor einiger Zeit wurde derartige Anforderungen meist nicht und nur in einigen wenigen Fällem unter Einsatz von viel Geld realisiert.

Seitdem jedoch

• gut ausgebaute Mobilfunknetzte (z.T. mit HSDPA/HSUPA),
• attraktive Datentarife für große Datenvolumen,
• intelligente IP-basierte Kameras (mit Motion-Detection, Kompression, …),
• robuste Mobilfunk-Router und
• Dienstleistungen für Sicherheit und Erreichbarkeit in Mobilfunknetzen

breit verfügbar sind, hat sich die Situation grundlegend geändert: Fast alles ist zu geringen Kosten möglich.

Den Trend erkannt haben inzwischen eine Reihe von Dienstleistern, die Komplettlösungen für die Videoüberwachung per Mobilfunk – teilweise sogar mit autarker Stromversorgung – anbieten.

In diesem Zusammenhang sind mir – ohne jeden Anspruch auf Vollständigkeit – besonders folgende Firmen aufgefallen:

• KLUGKIST Digital Works (Komplettsysteme)
  
• UL Consult (Komplettsysteme)
  
• Bauer Energietechnik (Komplettsysteme mit autarker Stromversorgung)
  
• FMN (Outdoor UMTS Video Router)

Bevor man jedoch kauft und installiert (bzw. installiern lässt), sollte man sich jedoch über die Mobilfunk-Abdeckung am geplanten Standort informieren (Karte T-Mobile, Karte Vodafone) und einen “großen” Datentarif – möglichst eine Flatrate – wählen.

Ein schön anzuschauendes Beispiel für diese M2M-Anwendung per Funk ist eine Baustellenansicht der Elbphilharmonie in Hamburg:

Quelle: http://www.hamburg.de/webcam/elbphilharmonie/

In diesem Zusammenhang vielleicht auch interessant:
Vorsicht Falle: 10MB-Tarif für Videoübertragung
Brennstoffzellen (Stromversorgung für autarke Video-Systeme)
High-Tech Fahrad-Diebstahlsschutz (u.a. mit Videoüberwachung)

Mit von der Partie sind die Firmen CEP, Digi, MECOMO, mdex und Mobotix, die gemeinsam Applikationsbeispiele zu verschiedenen Themenbereichen live vorstellen:

• Prozessautomatisierung
  Drahtlose Vernetzung von Sensoren und Aktoren im Bereich der Anlagen-und Prozesssteuerung. Die Übertragung der Daten an die Zentrale erfolgt über ein M2M Mobilfunk-Gateway und einer sicheren VPN Verbindung

• Videoüberwachung
  Überwachung einer Baustelle mit Bewegungssensoren und einer IP-Videokamera über Mobilfunk.

• Sicherheit
  Lokalisierung von Personen und Objekten, grafische Darstellung der zurückgelegten Routen und der aktuellen Position auf einem Ortungsportal.

Die Veranstaltung kann anhand der Vorführungen vermutlich einen guten Überblick über den derzeitigen Stand von M2M über Mobilfunk liefern.

Für jeden der ein konkretes Projekt anstehen hat, ist aber sicher die Möglichkeit die Referenten im Anschluß “auszuquetschen” der interessanteste Teil der Veranstaltung.

Die Teilnahme an der ganztägigen Veranstaltung kostet mit Mittagessen 30€. Weitere Informationen und eine Möglichkeit zur Anmeldung gibt es hier.

Heute wird dazu meist (noch) auf den guten alten analogen Telefonanschluß zurückgegriffen, eine einfache und recht zuverlässig funtionierende Technik. Allerdings mit einigen Einschränkungen:

• Wenn der Kunde nicht die Leitung stellt, entsteht ein erheblicher logistischer Aufwand zur Schaltung des Telefonanschlusses.
• Wenn der Kunde einen Anschluß seiner Telefonanlage stellt: Achtung vor Änderungen! Eine Umstellung beim Kunden auf VoIP (Voice over IP) ist häufig ein überraschendes Ende für die Modemtechnik.
• Wenn kein analoger Telefonanschluß möglich ist, muss meist auf ein GSM-Modem ausgewichen werden. Bei Wählverbindungen (CSD – Circuit switched Data) ist die Datenrate aber meist auf magere 9600 Bit/sec begrenzt.
• Wenn regelmäßig Informationen abgerufen werden sollen, entstehen hohe Verbindungsgebühren.
• Wenn nur bei Bedarf angewählt wird – z.B. zur Fernwartung – werden Leitungsausfälle nicht erkannt. Fehlermeldungen kommen so evtl. nicht “durch”.

Lange Zeit war dieser Weg “State of Art” und tatsächlich auch meist die einzige Möglichkeit.

Mit der für wirtschaftlich interessante Bereiche flächendeckenden Ausbreitung von Mobilfunk (Coverage Maps) und Internet ergibt sich aber eine interessante – und in vielen Belangen – überlegene Alternative:

OpenVPN-Tunnel durchs Internet mit GPRS/EDGE/UMTS-Terminierung am Endgerät

Nutzt man das Internet für die internationale Verbindung und für die lokale Anbindung des Endgerätes ein lokales Mobilfunknetz, so ergibt sich etwa folgendes Bild:

Im Detail:

• Als Endgerät findet ein GPRS (oder EDGE/UMTS/HSDPA) Router mit integriertem OpenVPN Client (hier gibts eine Übersicht) Verwendung.
• Der Router nutzt eine lokale SIM-Karte um sich über den lokalen APN mit dem Internet zu verbinden.
• Wenn in der Anlage keine Mobilfunk-Coverage vorhanden ist, kann auch jeder andere Internet-Zugang genutzt werden (z.B. DSL, Wimax oder Kabel-Modem).

Der Clou:

Der Roaming-Vorgang (d.h. die Grenzüberschreitung) findet im Internet statt – zum Nulltarif, denn im Internet kennt man keine Roaming-Aufschäge.

Im Ergebnis erhält man einen weltweiten, sicheren und günstigen Remote-Zugang. Da sich die GPRS-Tarife weltweit häufig in etwa gleichen (meist sogar günstiger als in Deutschland), muss eine Fernwartung einer Anlage im Ausland nicht teurer sein als die einer Anlage in Deutschland!

Die Kosten
Monatlich sind zwischen 15 EUR und 35 EUR für ein großes GPRS-Datenpaket bzw. Flatrate auf Anlagenseite zu kalkulieren. Weitere Verbindungsabhängige Gebühren fallen nicht an – für weltweite Fernwartung ist das eher ein “Schnäppchen”.

Warum OpenVPN?
Verbindungen zu GPRS/EDGE/UMTS-Endgeräten haben einige Hürden zu überwinden, z.B. private und dynamische IP-Adressen (und das daraus resultierende NAT) und die Firewall des jeweiligen Mobilfunknetzes. Mit OpenVPN lassen sich diese Hürden einfach und elegant überwinden:

• Ein Router mit OpenVPN kann automatisch (von “innen” heraus) aus dem Mobilfunknetz die Verbindung mit dem Server initiieren.
• OpenVPN kommt ohne Probleme mit NAT zurecht (ist beim Übergang von Mobilfunknetzen auf das Internet fast immer anzutreffen)
• OpenVPN schafft einen performanten und sicheren Tunnel duch das “wilde” Internet
• OpenVPN ist einfach (im Vergleich zu IPsec sehr einfach) zu konfigurieren

Die Zentrale?
Einen Haken hat das Konzept aber doch noch: In der Zentrale muss ein OpenVPN-Server aufgebaut werden. Nach etwas Einarbeitung für Firmen mit IT-Abteilung sicher kein unlösbares Problem, aber auch an die Umgebung (Rechenzentrum, Redundanz, 24/365 Wartung) muss gedacht werden.

Aber es gibt auch Dienstleister, die professionell betriebene OpenVPN-Zugänge auf monatlicher Basis vermieten und so dem Thema die Komplexität und den Schrecken nehmen:

Die Firma mdex bietet mit dem Produkt fixed.IP einen professionell betriebenen OpenVPN Anlaufpunkt für praktisch alle Router mit OpenVPN (auch für DSL-Endgeräte).

Der Routerhersteller eWon bietet zur Kundenbindung mit Talk2M einen ähnlichen Dienst an: Nur für Endgeräte der eigenen Marke und beschränkt auf immer nur eine jeweils manuell zu startende aktive Verbindung (d.h. kein “always online”, sondern i.d.R. Wakeup per SMS).

Resourcen zu OpenVPN im Internet:

• OpenVPN Homepage
• Deutsches OpenVPN Portal mit Forum und Wiki

In diesem Zusammenhang vielleicht auch interessant:

• M2M mit OpenVPN: Betrachtung von Overhead und Datenvolumen

Unter der Überschrift “Nicht ganz dicht” gab es einen Bericht über die Gefahren der Fernwartung von Maschinen in der Produktion:

“Hightech-Maschinen werden nicht von Menschen gesteuert, sondern von Computern. Darauf haben Spione und Saboteure nur gewartet: Sie nutzen Sicherheitslücken in der Produktion aus. [...]“

Weiter im Beitrag wurde beschrieben, dass in einem Beispiel in der Produktion ein Modem an die Steuerung einer CNC-Maschine angeschlossen wurde. Im beschriebenen Fall für den Zugang eines Konstruktionsbüros.

Kurz darauf kam ein Konkurrent mit genau dem dort zu produzierenden Bauteil auf den Markt. Die ungesicherte(!) Modemverbindung war das Informationsleck. Nicht untypisch wird berichtet, da in der Produktion häufig die IT-Sicherheit zu kurz komme.

Aus eigener Erfahrung gibt es noch eine weitere Ursache für den einfachem Modem-Einsatzin der Produktion: Die Umgehung der IT-Abteilung! Häufig ist ein Fernzugriff (wie hier vom Konstruktionsbüro) kaum im Unternehmen duchzusetzen, die Einrichtung eines Fernzugriffs für den Partner zu aufwändig (Firewall-Administation) oder Produktion und IT sprechen einfach nicht miteinander.

Dabei ist Abhilfe eigentlich ganz einfach:

Im Bereich der industriellen M2M Kommunikation gibt es inzwischen GPRS-Router/Modems mit integriertem VPN (z.B. MoRos Pro von Insys). Jeder Maschinenhersteller kann solch ein Gerät installieren ohne die IT-Sicherheit in der jeweiligen Produktion zu gefährden (sofern die Steuerung in der Maschine nicht routet). Eine Installation ist zudem logistisch einfach zu bewerkstelligen, außer Strom ist keine weiterer Infrastruktur (wie LAN oder Telefon) erforderlich.

Wer den Aufwand eines VPNs auf der Zentralenseite scheut, kann heute auch sehr günstig auf sog. managed VPNs (Infos z.B. hier) zurückgreifen.

Der Distributor Atlantik Networxx veranstaltet in Hannover (8. April), Leipzig (9. April), München (10. April) und Düsseldorf (15. April) eine Roadshow zum Thema M2M über Mobilfunk.

Mit von der Partie sind die Firmen Axis, CEP, Digi, Lifezones und mdex, die gemeinsam Applikationsbeispiele zu verschiedenen Themenbereichen live vorstellen:

• Prozessautomatisierung
  Drahtlose Vernetzung von Sensoren und Aktoren im Bereich der Anlagen-und Prozesssteuerung. Die Übertragung der Daten an die Zentrale erfolgt über ein M2M Mobilfunk-Gateway und einer sicheren VPN Verbindung

• Videoüberwachung
  Überwachung einer Baustelle mit Bewegungssensoren und einer IP-Videokamera über Mobilfunk.

• Sicherheit
  Lokalisierung von Personen und Objekten, grafische Darstellung der zurückgelegten Routen und der aktuellen Position auf einem Ortungsportal.

Die Veranstaltung kann anhand der Vorführungen vermutlich einen guten Überblick über den derzeitigen Stand von M2M über Mobilfunk liefern.

Für jeden der ein konkretes Projekt anstehen hat, ist aber sicher die Möglichkeit die Referenten im Anschluß “auszuquetschen” der interessanteste Teil der Veranstaltung.

Die Teilnahme an der ganztägigen Veranstaltung kostet mit Mittagessen 30€. Weitere Informationen und eine Möglichkeit zur Anmeldung gibt es hier.

• Wählgeräte zur Alarmmeldung (auch häufig im GSM)
• Alarme per SMS
• Überwachungskameras über EDGE/UMTS.

Im Blogeintrag M2M Wireless Security bin ich auf einen weiteren interessanten Umstand gestoßen: Die DIN EN 50131-1 (Alarmanlagen – Einbruch- und Überfallmeldeanlagen – Teil 1: Systemanforderungen) fordert für viele Einsatzbereiche einen Backup-Alarmweg. Und wie bitte als drahtlos per GSM soll eine solche Backupleitung realisiert werden? Die Netzbetreiber und Modulhersteller wird es jedenfalls freuen.

Aber auch unabhängig davon wird die Anbindung von Sicherheitstechnik über GPRS/EDGE/UMTS einen breiteren Einzug halten. Denn neben dem Wegfall der Verkabelung bietet “Always-Online” auch eine aktive Überwachung der Übertragungsstrecke, ein Vorteil den weder das analoge Telefonnetz noch ISDN bieten.