Sie haben Fragen? Wir haben Antworten!

Wo hostet aedifion seine Plattform?

Unsere Dienste sind ausschließlich auf in Deutschland stehenden Rechenzentren deutscher Anbieter gehostet. Die genutzte Infrastruktur ist weitreichend zertifiziert, verfügt über DDoS Schutz und über eine multiredundante Anbindung.

Die Nutzerauthentifizierung findet standardmäßig über Benutzernamen und Passwort statt. Weitere Identitätsprovider, wie OpenID, Google, oder GitHub, sind über den entsprechenden oAuth-Standard verfügbar. Nach der Authentifizierung werden sämtliche Zugriffe auf die aedifion.io Cloud-Plattform durch ein umfangreiches Rollenbasiertes Zugriffsmanagement („Role-Based Access Control“, RBAC). autorisiert. Hierbei gibt es grundsätzlich vorgefertigte, standardisierte Rollen und benutzerspezifische Rollen. Jeder Kunde verfügt über einen globalen Administrator-Zugang, mit dem sich Nutzer anlegen lassen, welchen anschließend eine oder mehrere Rollen zugewiesen werden können, beispielsweise für Betreiber, Hausmeister, Nutzer eines Gebäudes, etc. Neue Rollen mit individuellen Berechtigungen können fein granular über die API definiert und eingesetzt werden.

Unser Datentransport über das Internet erfolgt selbstverständlich verschlüsselt via TLS - unsere Server besitzen dazu gültige 2048-bit RSA Server-Zertifikate.

MQTT, TLS und SSH sind der etablierte Standard für die jeweiligen Aufgaben. Sie sind erprobt und wurden von uns zu keinem Zeitpunkt in Ihrer Funktionsweise verändert. Dies garantiert den Stand der Technik und gute Praxis.

Der Zugang zur Gebäudeautomation erfolgt nur lokal durch das installierte Gateway selbst und nicht „über das Internet“. Nur die geloggten Daten (durch sie oder uns einschränkbar) werden „nach außen" kommuniziert. Zugriff auf den Logger ist nur durch unsere Server möglich (zur Fernwartung) und kann darüber hinaus beliebig durch Ihre Firewalls etc. verhindert/geschützt werden.

Es müssen lediglich ausgehende Kommunikationskanäle geöffnet werden – von extern wird niemals auf Ihr Netz zugegriffen. Dadurch können Ihre Netze gegen Zugriffe von außen vollständig geschützt bleiben, z.B. durch bereits existierende Firewalls.

Im BACnet-Fall prüfen wir die Antwortzeiten all Ihrer BACnet-Teilnehmer und wählen die Abfragezeit so, dass es weder zu einer Netzwerküberlastung noch zu einer Teilnehmer-Anfrage-Überlastung kommen kann.

Sämtliche Dienste und Daten werden konsequent gekapselt und separiert – bis auf die Systemebene. Praktisch heißt das in erster Instanz, dass jeweils eine dezidierte Datenbank pro Kunde betrieben wird – die Kundendaten sind also separiert. In zweiter Instanz bedeutet das, dass virtuelle Nutzer im Backend, beispielsweise Microservices, aber auch reale Nutzer standardmäßig nur genau diejenigen Rechte (Privilegien) erhalten, die sie für Ihren vorgesehenen Zweck auch tatsächlich benötigen. So darf z.B. ein datenauswertender, also lesender Service, standardmäßig keine Datenpunkte schreiben. In dritter Instanz werden sämtliche Prozesse auf Systemebene durch Docker Container voneinander getrennt und nur wenn notwendig in dedizierten virtuellen Netzwerken zusammengeschaltet. So wird z.B. die Analyse von Daten des einen Kunden strikt von der Analyse der Daten eines anderen Kunden getrennt.

Sollen bestimmte Datenpunkte oder ganze Bereiche des Gebäudes nicht ausgelesen werden, kann dies entweder im Vorhinein technisch verhindert werden (beispielsweise von Netzwerkmaskierungen oder VLANs), oder innerhalb unserer Einstellungen flexibel behandelt werden. Hierbei wählen wir gemeinsam mit Ihnen Datenpunkte aus, welche geschrieben oder gespeichert werden sollen und welche nicht, da sie als kritisch eingestuft werden können.

Wir verwenden als Hardware für unser Gateway einen handelsüblichen Industrie-PC, welcher nach deutschen Standards konzeptioniert, zusammengebaut und abgenommen wurde.

Falls deine Frage nicht dabei war, kannst du uns jederzeit eine Nachricht zukommen lassen.

Drop a line