VPN
Das VPN der Mirox-Plattform bietet sicheren, zertifikatsbasierten Fernzugriff auf die internen Netzwerke einzelner Anlagen. Anstatt für jede Anlage ein eigenes VPN-Profil zu pflegen, erhält jeder Nutzer ein einziges, persönliches VPN-Profil, über das alle Anlagen erreichbar werden, für die der Nutzer berechtigt ist. Berechtigungsänderungen, neue Anlagen, neue Subnetze oder widerrufene Kooperationen werden automatisch im VPN-Profil abgebildet — ohne dass der Nutzer es neu installieren muss.
Konzept
Das VPN ist als persönlicher Single-Sign-On-Tunnel zu allen freigegebenen Anlagennetzen konzipiert:
- Ein Zertifikat pro Nutzer: Jeder authentifizierte Nutzer kann genau ein VPN-Zertifikat ausstellen und auf seinem Endgerät installieren.
- Automatisches Routen-Management: Die Menge der erreichbaren Anlagensubnetze ergibt sich dynamisch aus den aktuellen Berechtigungen (Organisationsrolle, Funktion, Kooperationen). Jede Berechtigungsänderung aktualisiert den Routensatz automatisch.
- Hochverfügbar: Der Tunnel terminiert in mehreren Regionen und wechselt bei Bedarf auf eine andere Region (Failover).
- Keine geteilten Schlüssel: Der private Schlüssel verlässt das Endgerät des Nutzers nie. Mirox sieht ausschließlich den öffentlichen Schlüssel.
Was das VPN leistet
Persönlicher Tunnel zu allen freigegebenen Anlagen
Sobald das VPN-Profil installiert ist, kann der Nutzer alle Anlagennetze adressieren, für die er berechtigt ist — ganz so, als wäre er physisch vor Ort. Das umfasst typischerweise:
- Web-Oberflächen von Wechselrichtern, Tracker-Steuerungen, Datenloggern, Schaltschrank-PCs
- SSH-Zugriff auf Servicegeräte
- Modbus-/TCP-Diagnosewerkzeuge gegen Komponenten im Anlagennetz
- Eigene Tools des Nutzers, die direkt mit der Anlageninfrastruktur kommunizieren
Mehrere Anlagen mit überlappenden lokalen Subnetzen (z. B. zwei Anlagen, die beide 192.168.1.0/24 verwenden) werden vom System automatisch eindeutig zugeordnet, sodass Verwechslungen ausgeschlossen sind.
Zertifikatslebenszyklus
Der Nutzer steuert sein Zertifikat direkt über die Plattform-Oberfläche:
- Ausstellen: Erstellt ein neues VPN-Profil. Die vollständige Konfigurationsdatei mit dem privaten Schlüssel wird genau einmal im Browser angezeigt und niemals in der Cloud gespeichert.
- Rotieren: Ersetzt den Schlüsselsatz, ohne das Zertifikat zu löschen. Sinnvoll z. B. beim Wechsel des Endgerätes oder bei Verdacht auf Kompromittierung. Auch hier wird der neue private Schlüssel nur einmalig angezeigt.
- Widerrufen: Deaktiviert das Zertifikat sofort. Alle laufenden Verbindungen werden im nächsten Sync-Zyklus beendet. Die Audit-Spur des Zertifikats bleibt für den gesetzlich vorgeschriebenen Aufbewahrungszeitraum erhalten.
Automatisches Routen-Management
Die erreichbaren Subnetze ergeben sich aus den Berechtigungen des Nutzers:
- Für jede Park- oder Portfolio-Berechtigung wird der zugehörige Routensatz automatisch errechnet.
- Wird eine Berechtigung widerrufen (Ende einer Kooperation, Rollenwechsel), wird die Route ebenfalls automatisch entfernt.
- Konflikte zwischen zwei Anlagen, die dasselbe lokale Subnetz benutzen, werden in der Routenübersicht sichtbar markiert. Der Nutzer kann selbst entscheiden, welche der konkurrierenden Anlagen für ihn priorisiert wird.
- Einzelne Routen können vom Nutzer vorübergehend deaktiviert werden, z. B. um zwei Anlagen mit identischem Subnetzbereich nacheinander zu erreichen.
Sitzungsübersicht
Der Nutzer hat in der Plattform eine eigene Sitzungsübersicht für sein eigenes Zertifikat:
- Aktuelle Verbindungen mit Verbindungszeitpunkt, geografischer Quelle und übertragenem Datenvolumen
- Historische Sitzungen für die Nachvollziehbarkeit
- Region und Knoten des terminierenden Endpunkts (zur einfachen Latenzdiagnose)
Diese Übersicht ist die Selbsttransparenz-Ansicht des Nutzers über sein eigenes Zertifikat. Die vollständige, gesetzlich konforme KRITIS-/NIS2-Auditspur wird separat vom Anlagenbetreiber geführt und ist nicht Teil dieser Übersicht — siehe Audit-Logging.
Sicherheit und Kontrolle
Wer darf ein Zertifikat ausstellen?
Jeder authentifizierte Nutzer kann sich ein eigenes Zertifikat ausstellen — doch das Zertifikat allein reicht nicht, um eine Anlage zu erreichen. Erst die über das Berechtigungssystem gewährten Berechtigungen (Organisationsrolle, Funktion, Kooperation) öffnen tatsächlich Routen.
Wer darf welche Anlage erreichen?
Die effektive Routenmenge eines Zertifikats wird auf jeder Berechtigungsebene gesondert geprüft:
- Die Organisationsmitgliedschaft definiert, welche Portfolios und Anlagen prinzipiell zugänglich sind.
- Die Funktion (Betreiber, Technische Betriebsführung, Asset Manager, Betrachter) entscheidet, ob die Subnetze einer Anlage in das Zertifikat aufgenommen werden.
- Kooperationen zwischen Organisationen können Zugriff auf fremde Anlagen gewähren — sofern der kooperierende Nutzer die erforderliche Funktion auf Betreiber-Ebene an der geteilten Anlage innehat.
Reine Mitglieder, Externe oder externe Nutzer ohne die entsprechende Rolle erhalten für diese Anlagen keine Route.
Schlüsselverwahrung
- Der private Schlüssel wird im Browser des Nutzers erzeugt und verlässt das Endgerät nie.
- Mirox kennt ausschließlich den öffentlichen Schlüssel des Nutzers und die ihm zugewiesene Tunnel-IP.
- Bei Rotation oder Widerruf werden alte Schlüssel serverseitig sofort invalidiert.
Verhalten bei Berechtigungsentzug
Verliert ein Nutzer eine Berechtigung — etwa weil eine Kooperation endet, sein Job-Status geändert wird oder eine Anlage gelöscht wird — verschwindet die entsprechende Route automatisch aus seinem Zertifikat. Offene Verbindungen werden im nächsten Sync-Zyklus beendet. Eine manuelle Aktion ist nicht erforderlich.
Mehrregionale Verfügbarkeit
Der Tunnel kann in mehreren Mirox-Regionen gleichzeitig terminieren. Das bedeutet:
- Der Nutzer wird automatisch zu der Region geleitet, die für seine Anlage und seinen Quellstandort die beste Erreichbarkeit bietet.
- Fällt eine Region aus, übernimmt beim nächsten Verbindungsversuch eine andere Region die Sitzung.
- Der Nutzer muss nichts umkonfigurieren; die Region wird transparent vom System ausgewählt.
Audit und Compliance
Jeder Zugriff über das VPN wird vom Mirox-System vollständig auditiert. Die Auditspur erfasst:
- Welcher Nutzer wann und von wo eine Verbindung aufgebaut hat
- Welche Anlagensubnetze während der Sitzung erreicht wurden
- Welche konkreten Geräte (IP, Protokoll, Port) wie oft angesprochen wurden
- Wie viel Datenvolumen pro Sitzung und Subnetz übertragen wurde
Die Auditspur wird mindestens 730 Tage aufbewahrt und ist ausschließlich für die zuständige Betreiber-Organisation der jeweiligen Anlage einsehbar — nicht für den verbundenen Nutzer selbst. Details siehe Zugriffs-Audit-Logging.
Abgrenzung zu verwandten Funktionen
Mirox bietet mehrere Fernzugriffs-Varianten, die leicht zu verwechseln sind. Das auf dieser Seite beschriebene persönliche VPN ist eine von fünf; die Tabelle zeigt, wofür jede gedacht ist und wer sie steuert.
| Variante | Zweck | Wer steuert sie? |
|---|---|---|
| Persönliches VPN (diese Seite) | Ein persönlicher Tunnel, der jedes Anlagennetz erreicht, für das Sie berechtigt sind | Sie selbst, im Rahmen Ihrer Berechtigungen |
| Organisations-VPN-Dienst | Ein gemeinsamer, organisationsverwalteter Tunnel, der in einer Region bereitgestellt wird und über den Anlagen für das gesamte Team geroutet werden | Organisations-Admin oder Moderator |
| Direkter Park-VPN — Dial-out | Der Anlagen-Agent wählt sich in ein bestehendes Remote-VPN eines Kunden ein, sodass Mirox ein vom Kunden gehostetes Netzwerk erreichen kann | Organisations-Admin oder Moderator |
| Direkter Park-VPN — Host | Der Anlagen-Agent betreibt einen öffentlich erreichbaren VPN-Endpunkt, in den sich Remote-Standorte einwählen; Mirox stellt die Schlüssel und Zertifikate automatisch bereit | Organisations-Admin oder Moderator |
| Browser-Proxy | Öffnet die Weboberfläche eines Geräts direkt aus dem Browser, ohne dass ein VPN-Client installiert werden muss | Anlagenbetreiber (konfiguriert die Web-Ziele) |
Das persönliche VPN ist das richtige Werkzeug für technisches Personal, das produktiv mit beliebigen Werkzeugen auf Geräte mehrerer Anlagen zugreifen muss. Der Browser-Proxy ist die richtige Wahl, wenn nur die Weboberfläche eines Geräts aufgerufen werden soll — ohne VPN-Installation, direkt aus dem Browser. Die Organisations- und Direkt-Park-VPNs sind zentral verwaltete Tunnel auf Infrastrukturebene und kein persönliches Profil, das Sie mit sich führen.
Verwandte Funktionen
- Proxy — browser-basierter Zugriff auf Anlagengeräte ohne VPN-Client
- Zugriffs-Audit-Logging — vollständige Auditspur aller VPN- und Proxy-Zugriffe
- Berechtigungssystem — Steuerung, welcher Nutzer welche Anlagen erreicht
- Kooperationen — Freigabe von Anlagen an Dritt-Organisationen
- Lokaler Netzwerk-Inspektor — plattformseitige Erreichbarkeitsprüfung des Anlagennetzes