TroutTrout
All docs

Schutz eines Assets mit Enclaves

Wie man eine Sicherheitsgrenze um die Systeme zieht, die am wichtigsten sind.

4 min read · Last updated 2026-04-22

Beim ersten Kontakt mit Access Gate stellt sich oft die Frage, wie man einen Sicherheitsperimeter um industrielle Assets aufbaut.

In diesem Tutorial fügen wir Assets zum Inventar hinzu, erstellen Enclaves zur Zugriffsverwaltung und dokumentieren unseren Ansatz für Compliance-Zwecke.

Voraussetzungen

Access Gate sollte so konfiguriert sein, dass es ein Overlay über Ihre bestehende Infrastruktur legt (dies erfolgt in der Regel bei der Vor-Ort-Installation gemeinsam mit Ihrem IT-Team).

Wir gehen davon aus, dass Ihre bestehende Infrastruktur Adressen im Bereich 10.0.0.0/16 verwendet (z. B. sind 10.0.0.1 und 10.254.23.45 gültige Adressen) und das Overlay entsprechend im Bereich 100.64.0.0/16 liegt. Dies lässt sich auf der Seite „Einstellungen" unter dem Tab „Netzwerk" überprüfen.

Voraussetzungen
Voraussetzungen

Subnetze in den Access Gate-Einstellungen

Falls Ihr Adressschema abweicht, ist das kein Problem – die Schritte sind nahezu identisch, solange die Konfiguration in diesem Bildschirm mit Ihrer tatsächlichen Infrastruktur übereinstimmt.

Ein neues industrielles Asset registrieren

Sobald Access Gate installiert und konfiguriert ist, lässt sich ein neues Asset zum Inventar hinzufügen:

  1. Wählen Sie in der linken Leiste die Seite „Assets".
  2. Klicken Sie oben rechts auf die Schaltfläche „Asset erstellen".
  3. Geben Sie grundlegende Informationen zu Ihrem Asset ein, z. B.: CUI-Server, PLC32, HMI, Datenprozessor, Sensor …
  4. Fügen Sie die IP-Adresse Ihres Assets hinzu.
  5. Falls Ihr Asset als Server fungiert und Verbindungen entgegennimmt, fügen Sie die auf diesem Asset laufenden Dienste hinzu.

Klicken Sie auf „Speichern", um das Asset zur Liste hinzuzufügen. Das neu hinzugefügte Asset wird anschließend angezeigt.

Sie können dann auf das soeben erstellte Asset zugreifen, um weitere Informationen hinzuzufügen.

Detailansicht eines Assets
Detailansicht eines Assets

Über Übersicht bearbeiten können Sie Informationen zum Asset ergänzen, z. B. Standort, Installationsdatum, Beschreibung, Risikoniveau …

Über Netzwerk bearbeiten lassen sich DNS-Name, weitere IP-Adressen oder Dienste sowie Remote-Access-Schemata festlegen.

Netzwerk-Tab für ein Asset konfigurieren
Netzwerk-Tab für ein Asset konfigurieren

Ihre Assets sind nun erfolgreich im Inventar registriert und stehen für das nächste Thema zur Verfügung: die Konfiguration von Enclaves.

Enclaves

Standardmäßig werden alle Verbindungen über Access Gate abgelehnt. Wir erlauben zwei Kommunikationswege, die für den Betrieb des Roboters erforderlich sind:

  1. Der CAM-Server darf Jobs an den Roboter übermitteln.
  2. Der Roboter sendet Fortschrittsdaten an den Historian.

Navigieren Sie zur Seite „Enclaves" und erstellen Sie eine neue Enclave mit dem Namen „Robot Picking Workshop", dem Sicherheitslevel „Wichtig" und einer Beschreibung.

![Enclave „Robot Picking Workshop" erstellen](/docs/images/configuration-guides/enclaves/protecting-an-asset-with-enclaves/Screenshot-2026-04-22-at-3-04-38-PM-599c2e24.png "Enclave „Robot Picking Workshop" erstellen")

Speichern Sie die neue Enclave und klicken Sie auf den soeben erstellten Eintrag. Klicken Sie im Enclave-Bildschirm auf Principals bearbeiten, um Assets und Benutzer zur Enclave hinzuzufügen.

Wählen Sie den CAM-Server, den modbus/tcp-Dienst des Roboters und den mqtt-Dienst des Historians aus, um sie zur Enclave hinzuzufügen.

CAM-Server zur Enclave hinzufügen
CAM-Server zur Enclave hinzufügen

Verwenden Sie die Matrix, um die beiden in diesem Abschnitt beschriebenen Datenflüsse zu erlauben: vom CAM-Server zum Roboter und vom Roboter zum Historian.

Datenfluss von Kuka zum Server erlauben
Datenfluss von Kuka zum Server erlauben

Der CAM-Server kann nun Jobs an den Roboter unter der Adresse kuka.fabcore.tr-sec.net senden! (Hoffentlich können Sie das in der Praxis ausprobieren.)

Die Zugriffsrichtlinie dokumentieren

Hinterlassen Sie zur eigenen Nachvollziehbarkeit und zum Nachweis der Compliance eine Erläuterung, warum diese Datenflüsse erlaubt wurden.

Klicken Sie auf Übersicht bearbeiten und füllen Sie den Abschnitt „Beschreibung" mit einem Hinweis aus, z. B.:

Roboter-Picking an der Laderampe. Regeln erlauben: 1. Job-Übermittlung vom CAM-Server 2. Datenprotokollierung an den Historian

Sie verfügen nun über eine vollständig konfigurierte und dokumentierte Enclave, die eine klare Grenze um Ihre industriellen Assets zieht.

Zusammenfassung

Herzlichen Glückwunsch zur Erstellung Ihrer ersten Enclave! Da einige Schritte nötig waren, hier die wichtigsten Punkte im Überblick:

  1. Assets wurden im Inventar registriert – Access Gate überwacht sie nun.
  2. Eine Enclave wurde um diese Assets erstellt, um deren Kommunikation zu ermöglichen.

Enclaves sind sehr schlank, daher empfiehlt es sich, je nach Geschäftsbedarf mehrere Enclaves zu erstellen: Sie könnten beispielsweise eine weitere Enclave für den Datenfluss vom Roboter zum Historian anlegen – probieren Sie es aus!

Access Gate überwacht automatisch die Netzwerkkommunikation zwischen diesen Geräten: Sie werden schnell sehen, wie Ihre Benutzer auf die neuen Ressourcen zugreifen.

Next
TLS-Verschlüsselung einrichten