S E C U R I T Y
Lizenzen für Offlinegeräte
Industrie 4.0, IoT, IIoT, SaaS, Azure und AWS: In der neuen Welt sind alle Geräte immer online und kommunizieren beliebig
mit der Cloud. Während dies für den Büro- und Privatbereich auch weitestgehend gilt, ist dies im industriellen Umfeld noch
Zukunftsmusik. Damit steht ein Hersteller von intelligenten Geräten und Steuerungen, der seine Software monetarisieren
möchte, vor der Herausforderung, Lizenzen und Lizenzupdates auf Offlinegeräte auszurollen. CodeMeter bietet dazu mehrere
Möglichkeiten, die in diesem Artikel beleuchtet werden.
Doch nicht ganz offline
Wer den Film „Independence Day“ gesehen
hat, kann sich sicher an das Zitat „Entschul-
digen Sie, Mr. Präsident, das ist so nicht ganz
korrekt.“ erinnern. So ist es sehr oft auch mit
der Aussage, dass die Geräte komplett offline
seien. Schauen wir uns dazu an, wie bei
CodeMeter Lizenzen verteilt werden.
Allgemein gibt es für die Übertragung von
Nachrichten zwei Methoden: Push und Pull.
Bei Push werden die Nachrichten von einem
zentralen Server auf die lokalen Geräte über-
tragen. Der Server bestimmt den Zeitpunkt
und stößt die Übertragung an. Auf dem
lokalen Gerät läuft ein Dienst (eine permanent
laufenden Software), der vom Server, also von
außen, angesprochen werden kann, ähnlich
dem Webserver, der oft auf solchen Geräten
für die Konfiguration läuft. Hier wird aber von
der IT der Zugriff aus dem Internet unterbun-
den. „Und das ist auch gut so“, wusste nicht
nur Klaus Wowereit. Daher bietet CodeMeter
10
keine standardmäßige Implementierung von
Push an.
Die alternative Push-Möglichkeit ist, dass
ein Client (ein spezielle Software) auf dem
Gerät die Verbindung zu einem Push-Nach-
richten-Server in der Cloud öffnet und sich
für Push-Nachrichten anmeldet. Über diesen
offenen Kanal werden dann Push-Nachrichten
übertragen. Diese Methode erfordert eine per-
manent offene Internetverbindung und einen
permanent laufenden Client. Diese Methode
wird zum Beispiel beim iPhone verwendet.
Das Betriebssystem stellt den Client und den
Push-Nachrichten-Server dort als Infrastruktur
zur Verfügung, so dass nur eine Verbindung
offen sein muss. Auch dies ist im industriellen
Umfeld eher schwer durchsetzbar.
Bei Pull-Nachrichten fragt ein Client auf dem
Gerät regelmäßig beim Server nach, ob Nach-
richten vorliegen. Dazu wird die Verbindung von
innen nach außen aufgebaut, mit dedizierten
License
Central
Firewall
Device
Device
Device
und bekannten ausgehenden Datenpaketen
zu einem dedizierten Server. Die Antwort wird
vom Client verifiziert und verwendet. Das
heißt, in diesem Fall ist das Sicherheitsrisiko