Benutzerhandbuch MGUARD SECURE CLOUD PUBLIC 2.5

Benutzerhandbuch MGUARD SECURE CLOUD PUBLIC 2.5 2016-03-30 Bezeichnung: Revision: Artikel-Nr.: UM DE MGUARD SECURE CLOUD PUBLIC c00 107224_de_c00 PHOENIX CONTACT Cyber Security AG

Bitte beachten Sie folgende Hinweise Zielgruppe des Handbuchs Der in diesem Handbuch beschriebene Produktgebrauch richtet sich ausschließlich an Elektrofachkräfte oder von Elektrofachkräften unterwiesene Personen, die mit den geltenden Normen und sonstigen Vorschriften zur Elektrotechnik und insbesondere mit den einschlägigen Sicherheitskonzepten vertraut sind. qualifizierte Anwendungsprogrammierer und Software-Ingenieure, die mit den einschlägigen Sicherheitskonzepten zur Automatisierungstechnik sowie den geltenden Normen und sonstigen Vorschriften vertraut sind. Erklärungen zu den verwendeten Symbolen und Signalwörtern Dieses Symbol kennzeichnet Gefahren, die zu Personenschäden führen können. Beachten Sie alle Hinweise, die mit diesem Hinweis gekennzeichnet sind, um mögliche Personenschäden zu vermeiden. Es gibt drei verschiedene Gruppen von Personenschäden, die mit einem Signalwort gekennzeichnet sind. GEFAHR Hinweis auf eine gefährliche Situation, die wenn sie nicht vermieden wird einen Personenschaden bis hin zum Tod zur Folge hat. WARNUNG Hinweis auf eine gefährliche Situation, die wenn sie nicht vermieden wird einen Personenschaden bis hin zum Tod zur Folge haben kann. VORSICHT Hinweis auf eine gefährliche Situation, die wenn sie nicht vermieden wird eine Verletzung zur Folge haben kann. Dieses Symbol mit dem Signalwort ACHTUNG und der dazugehörige Text warnen vor Handlungen, die einen Schaden oder eine Fehlfunktion des Gerätes, der Geräteumgebung oder der Hard-/Software zur Folge haben können. Dieses Symbol und der dazugehörige Text vermitteln zusätzliche Informationen oder verweisen auf weiterführende Informationsquellen. 107224_de_c00 PHOENIX CONTACT Cyber Security AG

So erreichen Sie uns Internet Aktuelle Informationen zu Produkten von Phoenix Contact und zu unseren Allgemeinen Geschäftsbedingungen finden Sie im Internet unter: phoenixcontact.com. Stellen Sie sicher, dass Sie immer mit der aktuellen Dokumentation arbeiten. Diese steht unter der folgenden Adresse zum Download bereit: phoenixcontact.com/products. Ländervertretungen Bei Problemen, die Sie mit Hilfe dieser Dokumentation nicht lösen können, wenden Sie sich bitte an Ihre jeweilige Ländervertretung. Die Adresse erfahren Sie unter phoenixcontact.com. Herausgeber PHOENIX CONTACT Cyber Security AG Rudower Chaussee 13 12489 Berlin GERMANY Wenn Sie Anregungen und Verbesserungsvorschläge zu Inhalt und Gestaltung unseres Handbuchs haben, würden wir uns freuen, wenn Sie uns Ihre Vorschläge zusenden an: tecdoc@phoenixcontact.com 107224_de_c00 PHOENIX CONTACT Cyber Security AG

Allgemeine Nutzungsbedingungen für Technische Dokumentation Phoenix Contact behält sich das Recht vor, die technische Dokumentation und die in den technischen Dokumentationen beschriebenen Produkte jederzeit ohne Vorankündigung zu ändern, zu korrigieren und/oder zu verbessern, soweit dies dem Anwender zumutbar ist. Dies gilt ebenfalls für Änderungen, die dem technischen Fortschritt dienen. Der Erhalt von technischer Dokumentation (insbesondere von Benutzerdokumentation) begründet keine weitergehende Informationspflicht von Phoenix Contact über etwaige Änderungen der Produkte und/oder technischer Dokumentation. Sie sind dafür eigenverantwortlich, die Eignung und den Einsatzzweck der Produkte in der konkreten Anwendung, insbesondere im Hinblick auf die Befolgung der geltenden Normen und Gesetze, zu überprüfen. Sämtliche der technischen Dokumentation zu entnehmenden Informationen werden ohne jegliche ausdrückliche, konkludente oder stillschweigende Garantie erteilt. Im Übrigen gelten ausschließlich die Regelungen der jeweils aktuellen Allgemeinen Geschäftsbedingungen von Phoenix Contact, insbesondere für eine etwaige Gewährleistungshaftung. Dieses Handbuch ist einschließlich aller darin enthaltenen Abbildungen urheberrechtlich geschützt. Jegliche Veränderung des Inhaltes oder eine auszugsweise Veröffentlichung sind nicht erlaubt. Phoenix Contact behält sich das Recht vor, für die hier verwendeten Produktkennzeichnungen von Phoenix Contact-Produkten eigene Schutzrechte anzumelden. Die Anmeldung von Schutzrechten hierauf durch Dritte ist verboten. Andere Produktkennzeichnungen können gesetzlich geschützt sein, auch wenn sie nicht als solche markiert sind. 107224_de_c00 PHOENIX CONTACT Cyber Security AG

Inhaltsverzeichnis Inhaltsverzeichnis 1 Einleitung................................................. 7 2 Grundlagen................................................ 8 2.1 Neu in MGUARD SECURE CLOUD PUBLIC 2.5............................. 8 2.2 Kompatibilität..........................................................9 2.3 Serverstandorte...................................................... 10 2.4 Unterstützte Sprachen................................................. 10 2.5 IP-Check und Proxyserver.............................................. 11 2.6 Benötigte Netzwerk-Ports (VPN-Verbindung).............................. 14 2.7 Die Secure Cloud bedienen............................................ 15 3 Erste Schritte als Benutzer.................................. 19 3.1 Anmelden........................................................... 19 3.2 Online-Status des Service-Arbeitsplatzes prüfen........................... 20 3.3 Betreiber/Standort auswählen........................................... 21 3.4 Serviceverbindung zur Maschine starten.................................. 22 3.5 Verbindungsstatus prüfen.............................................. 24 3.6 Serviceverbindung stoppen............................................. 24 4 Registrierung und Tarife.................................... 25 4.1 Organisationsform Mandant........................................... 25 4.2 Registrieren.......................................................... 26 4.3 Preise und verfügbare Editionen......................................... 28 4.4 Tarifwechsel und Erweiterungen........................................ 29 5 Service-Ziele (Maschinen) konfigurieren....................... 30 5.1 Betreiber/Standort hinzufügen.......................................... 31 5.2 Service-Ziel (Maschine) hinzufügen...................................... 32 5.3 VPN-Konfiguration für MGUARD-Gerät erzeugen.......................... 34 5.4 VPN-Konfiguration herunterladen........................................ 35 5.5 VPN-Konfiguration in MGUARD-Gerät importieren.......................... 36 5.6 Configuration Blueprints (ATV-Includes).................................. 40 5.7 Status der VPN-Verbindung prüfen....................................... 40 107224_de_c00 PHOENIX CONTACT Cyber Security AG 5

Inhaltsverzeichnis 6 Service-Arbeitsplätze konfigurieren.......................... 41 6.1 Service-Arbeitsplatz hinzufügen......................................... 42 6.2 VPN-Konfiguration für VPN-Client erzeugen............................... 43 6.3 VPN-Konfiguration herunterladen........................................ 44 6.4 VPN-Konfiguration in Software-VPN-Client importieren...................... 46 6.5 VPN-Konfiguration in MGUARD-Gerät importieren.......................... 50 6.6 Status der VPN-Verbindung prüfen....................................... 50 7 Benutzer und Zugriffsrechte verwalten........................ 51 7.1 Benutzer hinzufügen.................................................. 52 7.2 Benutzer deaktivieren.................................................. 53 7.3 Benutzer abmelden.................................................... 53 7.4 Zwei-Faktor-Authentifizierung (Premium Edition)........................... 54 7.5 Zugriffsberechtigungen hinzufügen...................................... 55 7.6 Zugriffsberechtigungen zuweisen........................................ 59 8 Verwaltung............................................... 62 8.1 Benutzerverwaltung................................................... 62 8.2 Zugriffsberechtigungen................................................ 62 8.3 VPN-Verbindungen.................................................... 62 8.4 Kontodaten.......................................................... 62 8.5 Stammdaten......................................................... 63 8.6 Preise............................................................... 63 9 Logbuch................................................. 64 10 Netzwerkeinstellungen (VPN-Builder)......................... 66 10.1 Service-Arbeitsplätze.................................................. 66 10.2 Service-Ziele (Maschinen).............................................. 69 11 Häufig gestellte Fragen (FAQs).............................. 74 12 Bekannte Einschränkungen................................. 79 13 Kundenservice............................................ 79 107224_de_c00 PHOENIX CONTACT Cyber Security AG 6

Einleitung 1 Einleitung Die MGUARD SECURE CLOUD PUBLIC ist eine gehostete Cloud-Lösung für die industrielle Fernwartung von Maschinen und Anlagen. Sie ermöglicht: die einfache Konfiguration verschlüsselter IPsec-VPN-Verbindungen, den sicheren Aufbau verschlüsselter Serviceverbindungen durch Servicetechniker, das Hinzufügen von Benutzern (Administratoren und Servicetechniker), die Vergabe von Zugriffsrechten auf Maschinen-Netzwerke. Alles, was Sie benötigen, ist ein Desktop-Computer, Notebook oder ipad, ein aktueller Webbrowser sowie entsprechende IPsec-VPN-Clients. Die Verwendung von moderner MGUARD-Technologie garantiert höchste Sicherheit und Verfügbarkeit. Bild 1-1 MGUARD SECURE CLOUD PUBLIC Architektur 107224_de_c00 PHOENIX CONTACT Cyber Security AG 7

Grundlagen 2 Grundlagen 2.1 Neu in MGUARD SECURE CLOUD PUBLIC 2.5 Unterstützung des ios-betriebssystems (ipad/iphone) Mobile ios-basierte Geräte (ipad/iphone) können als Service-Arbeitsplatz fungieren. VPN-Konfigurationen für den ios-vpn-client lassen sich im VPN-Builder erzeugen. Responsive Benutzeroberfläche zur besseren Bedienung auf mobilen Geräten. Administration Super-Admins können sich immer anmelden, auch wenn die maximale Zahl von Serviceverbindungen bereits erreicht ist. Angemeldete Benutzer werden dem Administrator angezeigt und können von diesem aus der Secure Cloud abgemeldet werden. VPN-Builder Für VPN-Konfigurationen im ECS-Format kann ein Root-Passwort vergeben werden. Neu erstellte VPN-Konfigurationen können per E-Mail versendet werden. Der Token für die SMS-Steuerung des Auf- und Abbaus von VPN-Verbindungen auf MGUARD-3G-Geräten kann konfiguriert werden. VPN Path Finder Service-Arbeitsplätze können mithilfe der Path-Finder-Funktion IPsec-VPN-Verbindungen aus Netzen aufbauen, deren Firewall-Einstellung keine IPsec-Verbindungen über die UDP- Ports 500 und 4500 zulässt. Bedienung und Geschwindigkeit Die Bedienung und die Geschwindigkeit der Secure Cloud wurden an vielen Stellen verbessert. Zum schnelleren Seitenaufbau werden im Tab Service-Ziele (Maschinen) in der Voreinstellung nur aktive VPN-Verbindungen und keine Betreiber/Standorte angezeigt. Alle Betreiber/Standorte können bei Bedarf per Schalter angezeigt werden. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 8

Grundlagen 2.2 Kompatibilität 2.2.1 Webbrowser Die Secure Cloud sollte mit einem sicheren Webbrowser in seiner aktuellen Version verwendet werden. Folgende Webbrowser werden empfohlen: Mozilla Firefox (ab Version 17.0) Google Chrome (ab Version 28.0) Microsoft Internet Explorer (ab Version 11) Apple Safari (ab Version 5.1.7). Die Verwendung von Cookies muss im Webbrowser aktiviert sein (siehe Häufig gestellte Fragen (FAQs) auf Seite 74). Die Verwendung älterer Webbrowser, insbesondere des Internet Explorers 9, kann zu einer schlechteren Darstellung der Weboberfläche führen. 2.2.2 Bildschirmauflösung Die Darstellung der Weboberfläche wurde für die Verwendung mit mobilen Endgeräten optimiert und erfolgt responsiv. Optimale Darstellung: Bildschirmauflösung ab 1200 x 800 Pixeln. 2.2.3 Firmware-Version MGUARD-Geräte (MGUARD-Clients) Mindestanforderung: MGUARD-Firmware ab Version 7.5 Mindestanforderung für die Verwendung von VPN Path Finder: MGUARD-Firmware ab Version 8.3.1 Aktualisieren Sie gegebenenfalls Ihr MGUARD-Gerät. Registrierte Benutzer können die aktuelle Firmware herunterladen unter: www.phoenixcontact-cybersecurity.com/de/downloads/firmware. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 9

Grundlagen 2.2.4 Software-VPN-Clients Mindestanforderung: MGUARD SECURE VPN CLIENT (ab Version 10.02) Shrew Soft VPN-Client (ab Version 2.2.2) ios-vpn-client (ab Version 9.0) 2.3 Serverstandorte Die MGUARD SECURE CLOUD PUBLIC wird aktuell in zwei Rechenzentren in Deutschland und den USA betrieben. Abhängig von Ihrem Standort müssen Sie sich bei der Instanz der Secure Cloud registrieren und anmelden, die Ihrem Standort zugeordnete ist. Auf der Anmeldeseite der Secure Cloud können Sie Ihren Standort über den Link Land wählen auswählen. Sie erreichen die Secure Cloud unter folgenden Web-Adressen: Deutschland: Rechenzentrum Berlin, Deutschland unter https://de.cloud.mguard.com USA, Kanada, Mittel- und Südamerika: Rechenzentrum Harrisburg, PA, USA unter https://us.cloud.mguard.com Italien: Rechenzentrum Berlin, Deutschland unter https://it.cloud.mguard.com Großbritannien, Österreich, Schweiz, Belgien, Niederlande, Frankreich, Spanien, Dänemark, Schweden, Finnland und Norwegen: Rechenzentrum Berlin, Deutschland unter https://de.cloud.mguard.com. 2.4 Unterstützte Sprachen Folgende Sprachen können auf der Weboberfläche der Secure Cloud ausgewählt werden: Deutsch (DE) Englisch (EN) Italienisch (IT). 107224_de_c00 PHOENIX CONTACT Cyber Security AG 10

Grundlagen 2.5 IP-Check und Proxyserver ACHTUNG: Ein erfolgreich durchgeführter IP-Check ist eine Voraussetzung für die Verwendung der MGUARD SECURE CLOUD PUBLIC. Mit dem IP-Check prüft die Secure Cloud bei jedem Aufbau einer VPN-Verbindung über einen Service-Arbeitsplatz, ob die HTTPS-Verbindung des Webbrowsers durch den aufgebauten VPN-Tunnel geroutet wird. Die Prüfung erfolgt über einen HTTPS-Aufruf der Host-Adresse ip-check.de.mguard.com bzw. ip-check.it.mguard.com oder ip-check.us.mguard.com durch den verschlüsselten Service- VPN-Tunnel. ACHTUNG: Wird ein Proxyserver verwendet, muss die zu prüfende Host-Adresse als Ausnahme für den Proxyserver eingetragen werden (siehe Ausnahmen für den Proxyserver eintragen auf Seite 12). Ist der Aufruf der Host-Adresse durch den VPN-Tunnel erfolgreich, wechselt die Statusanzeige des Service-Arbeitsplatzes vom Offline-Status (Rot) in den Online-Status (Grün). 2.5.1 IP-Check via JavaScript oder Java-Applet Der IP-Check kann von der Secure Cloud auf zwei unterschiedlichen Wegen durchgeführt werden: 1. JavaScript (Standard) 2. Java-Applet (wenn keine Ausnahme im Proxyserver eingetragen werden kann) Nach dem ersten erfolgreich durchgeführten IP-Check speichert die Secure Cloud die erfolgreich angewandte Methode in einem Cookie auf dem lokalen Rechner des Service-Arbeitsplatzes und wendet diese dann automatisch an. Wenn keine Methode im Cookie hinterlegt wurde, wird der IP- Check immer zuerst mittels JavaScript durchgeführt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 11

Grundlagen 2.5.2 Ausnahmen für den Proxyserver eintragen Um eine Ausnahme für eine Host-Adresse in der Proxykonfiguration des Webbrowsers einzutragen, gehen Sie jeweils wie folgt vor: Sollte es nicht möglich sein, eine entsprechende Host-Adresse als Ausnahme für den Proxyserver einzutragen, kann der IP-Check alternativ mittels Java-Applet ausgeführt werden (siehe IP-Check mittels Java-Applet auf Seite 13) Internet Explorer (Windows-Version 11) 1. Wählen Sie den Menüpunkt Extras (Alt-X) > Internetoptionen > Registerkarte Verbindungen > Einstellungen für lokales Netzwerk > LAN-Einstellungen > Proxyserver > Proxyserver für LAN verwenden > Erweitert > Ausnahmen. 2. Tragen Sie je nach Standort die Host-Adresse ip-check.de.mguard.com bzw. ip-check.us.mguard.com in das Auswahlfeld ein. Sie haben eine Ausnahme für den Proxyserver hinzugefügt. Firefox (Windows-Version 38) 1. Wählen Sie den Menüpunkt Extras > Einstellungen > Erweitert > Netzwerk > Verbindung > Einstellungen > Manuelle Proxy-Konfiguration > Kein Proxy für: 2. Tragen Sie je nach Standort die Host-Adresse ip-check.de.mguard.com bzw. ip-check.us.mguard.com in das Auswahlfeld ein. Sie haben eine Ausnahme für den Proxyserver hinzugefügt. Chrome (Windows-Version 43) 1. Wählen Sie den Menüpunkt Einstellungen > Erweiterte Einstellungen anzeigen > Netzwerk > Proxy-Einstellungen ändern > Registerkarte Verbindungen > Einstellungen für lokales Netzwerk > LAN-Einstellungen > Proxyserver > Proxyserver für LAN verwenden > Erweitert > Ausnahmen. 2. Tragen Sie je nach Standort die Host-Adresse ip-check.de.mguard.com bzw. ip-check.us.mguard.com in das Auswahlfeld ein. Sie haben eine Ausnahme für den Proxyserver hinzugefügt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 12

Grundlagen 2.5.3 IP-Check mittels Java-Applet Wenn der Benutzer nicht die Berechtigung besitzt, eine Ausnahme für den Proxyserver einzutragen, kann der IP-Check alternativ mittels Java-Applet durchgeführt werden. Wird in diesem Fall die Verwendung eines Proxyservers erkannt, startet im Webbrowser ein Java- Applet, das den entsprechenden HTTPS-Aufruf durchführt. Das Java Plug-In (Bestandteil der jeweiligen JRE) muss im verwendeten Webbrowser aktiviert sein. Nur Internet Explorer: In der Internet-Zone muss zusätzlich das Scripting von Java-Applets erlaubt sein. Der IP-Check mittels Java-Applet wird für folgende Webbrowser unter dem Java Runtime Environment (JRE) Version 8 unterstützt. Folgende Webbrowser können für den IP-Check mittels Java-Applet verwendet werden: Microsoft Windows Mozilla Firefox (ab Version 11) Google Chrome (ab Version 24) Microsoft Internet Explorer (ab Version 8) Linux Mozilla Firefox (ab Version 18) Apple Mac OS X Safari (ab Version 5) Beim ersten Aufruf des Java-Applets im Webbrowser werden Sie gefragt, ob Sie der Ausführung des Java-Applets zustimmen wollen. Beantworten Sie diese Frage mit Ja, indem Sie auf die Schaltfläche Ausführen klicken. Wenn Sie diese Frage nur einmal beantworten wollen, setzen Sie einen Haken in das entsprechende Kontrollkästchen. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 13

Grundlagen 2.6 Benötigte Netzwerk-Ports (VPN-Verbindung) 2.6.1 UDP-Ports 500 und 4500 Der Aufbau aller VPN-Verbindungen über die Secure Cloud erfolgt über das IPsec-Protokoll. Die dabei verwendeten Ports sind: UDP-Port 500 (IKE) und 4500 (NAT-Traversal). Stellen Sie sicher, dass die UDP-Ports 500 und 4500 auf allen beteiligten VPN-Clients (Service-Arbeitsplatz und Maschine) durchgängig geöffnet sind. Dies betrifft ebenso vorgeschaltete Router, Proxyserver und bestehende Firewallregeln. Wenn die UDP-Ports 500 und 4500 nicht zur Verfügung stehen, verwenden Sie TCP- Kapselung oder die VPN Path Finder. 2.6.2 TCP-Kapselung (TCP Encapsulation) und VPN Path Finder Für den Fall, dass die UDP-Ports 500 und 4500 nicht verwendet werden können, müssen die UDP- Pakete der IPsec-Verbindung in TCP-Paketen verpackt über den TCP-Port 443 (HTTPS) versendet werden. Verwenden Sie für Service-Ziele hierzu die Funktion TCP-Kapselung. Verwenden Sie für Service-Arbeitsplätze hierzu die Funktion VPN Path Finder (nur möglich für MGUARD-Geräte oder den MGUARD SECURE VPN CLIENT). Stellen Sie sicher, dass der TCP-Port 443 (HTTPS) auf allen beteiligten VPN-Clients (Service-Arbeitsplatz und Maschine) durchgängig geöffnet ist. Dies betrifft ebenso vorgeschaltete Router, Proxyserver und bestehende Firewallregeln. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 14

Grundlagen 2.7 Die Secure Cloud bedienen Die Navigation auf der Weboberfläche wird unter Verwendung von Menüpunkten, Schaltflächen, Tabs (Registerkarten) und Icons gesteuert. Die Eingabe der Daten erfolgt über Dialogfelder. Es werden nur die Menüs angezeigt, die für die entsprechenden Benutzerrollen (User oder Admin) freigeschaltet wurden. 1 2 Menüpunkte (1) Auf der obersten Navigationsebene stehen die Menüpunkte (z. B. Service-Ziele (Maschinen) ). Tableiste (2) Wird ein Menüpunkt ausgewählt, erscheint als zweite Ebene eine Tableiste, die weitere Auswahlmöglichkeiten bietet (z. B. aktive VPNs ). Hinweise Hinweise auf der Weboberfläche lassen sich mit einem Klick auf das Icon einem Klick auf das Icon wieder ausblenden. einblenden und mit 107224_de_c00 PHOENIX CONTACT Cyber Security AG 15

Grundlagen Dialogfelder Die Eingabe von Informationen und Daten erfolgt über Dialogfelder. Bedienelemente Bedienelemente wie Schaltflächen und Icons werden in Blau dargestellt: Tabelle 2-1 Icon Bedienelemente der Secure Cloud Funktion Neues Element hinzufügen (Betreiber/Standort, Service-Ziel (Maschine), Service-Arbeitsplatz) Bestehendes Element bearbeiten Bestehendes Element löschen Alle Betreiber/Standorte anzeigen Seite neu laden VPN-Builder starten / VPN-Konfiguration erstellen VPN-Konfiguration herunterladen Benutzer ausloggen Hinweise einblenden Funktion nur in der Premium Edition verfügbar 107224_de_c00 PHOENIX CONTACT Cyber Security AG 16

Grundlagen 2.7.1 Bedienelemente: Service-Arbeitsplätze und Service-Ziele (Maschinen) Service-Arbeitsplätze und Service-Ziele (Maschinen) werden für jeden Betreiber/Standort als nummerierte Listen angezeigt. Mit einem Klick auf einen Service-Arbeitsplatz bzw. eine Maschine öffnet sich die zugehörige Stammkarte mit weiteren Informationen. Folgende Schaltflächen und Icons stehen zur Verfügung: Tabelle 2-2 Schaltfläche Schaltflächen und Icons Service-Ziele (Maschinen) und Service-Arbeitsplätze Funktion Für das Service-Ziel (Maschine) wurde noch keine VPN-Verbindung mit dem VPN-Builder erstellt. Der Service-Arbeitsplatz hat eine VPN-Verbindung zur Secure Cloud aufgebaut. Eine Serviceverbindung zur Maschine kann über die Schaltfläche Start gestartet werden. Die Verbindung wird geroutet und automatisch hergestellt, wenn die VPN-Verbindung der Maschine ebenfalls aufgebaut (online) ist. Eine Serviceverbindung zum Service-Ziel wurde hergestellt und kann über die Schaltfläche Stop wieder beendet werden. 1. Die VPN-Konfiguration wird neu erstellt. 2. Eine bestehende VPN-Konfiguration wird angezeigt und kann editiert werden. Die bestehende VNP-Konfiguration wird heruntergeladen. Das Service-Ziel (Maschine) bzw. der Service-Arbeitsplatz wird gelöscht. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 17

Grundlagen 2.7.2 Statusanzeige Die Statusanzeige am oberen linken Bildschirmrand zeigt den Status von VPN-Verbindungen an. Tabelle 2-3 Statusanzeige Statusanzeige VPN-Verbindungen Bedeutung Der Service-Arbeitsplatz hat keinen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: offline). ODER Der Service-Arbeitsplatz hat einen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: online), aber der IP-Check konnte nicht erfolgreich durchgeführt werden. Der Service-Arbeitsplatz hat einen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: online). Der Service-Arbeitsplatz hat einen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: online). Durch einen Klick auf die Schaltfläche Start wurde eine Serviceverbindung (VPN-Verbindung) zu einer Maschine initiiert (geroutet). Die Maschine hat noch keinen VPN-Tunnel aufgebaut (VPN: offline). Der Service-Arbeitsplatz und das Service-Ziel (Maschine) haben jeweils einen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: online). Durch einen Klick auf die Schaltfläche Start wurde eine Serviceverbindung (VPN-Verbindung) zu einer Maschine hergestellt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 18

Erste Schritte als Benutzer 3 Erste Schritte als Benutzer 3.1 Anmelden Die Anmeldung bei der Secure Cloud findet immer innerhalb eines Mandanten statt. 1. Öffnen Sie einen SSL-fähigen Webbrowser. 2. Geben Sie die Anmeldeadresse der Secure Cloud Ihrer Region ein, z. B. https://de.cloud.mguard.com Es öffnet sich das Anmeldefenster der Secure Cloud. 3. Klicken Sie auf die Schaltfläche Anmelden. 4. Geben Sie Mandantenkennung, Benutzernamen und Passwort ein. Wenn Sie einen Haken im Kontrollkästchen Angemeldet bleiben setzen, bleiben Sie bis zu einen Monat angemeldet. Wenn Sie keinen Haken setzen, werden Sie nach einer Stunde Inaktivität abgemeldet. 5. Klicken Sie auf die Schaltfläche Anmelden. Sie haben sich angemeldet, und die Weboberfläche der Secure Cloud öffnet sich. Wenn sowohl Ihr Service-Arbeitsplatz als auch das Service-Ziel (Maschine) online sind, können Sie mit einem Klick eine Serviceverbindung zur Maschine starten. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 19

Erste Schritte als Benutzer 3.2 Online-Status des Service-Arbeitsplatzes prüfen Wenn Ihr Service-Arbeitsplatz einen VPN-Tunnel zur Secure Cloud aufgebaut hat, ist die Statusanzeige Service grün hinterlegt. Ist die Statusanzeige Service rot hinterlegt, kann dies folgende Gründe haben: 1. Ihr Service-Arbeitsplatz hat keinen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: offline). 2. Ihr Service-Arbeitsplatz hat einen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: online), aber der IP-Check konnte nicht erfolgreich durchgeführt werden (siehe IP-Check und Proxyserver auf Seite 11). 107224_de_c00 PHOENIX CONTACT Cyber Security AG 20

Erste Schritte als Benutzer 3.3 Betreiber/Standort auswählen Die Auswahl des Menüs Service-Ziele (Maschinen) zeigt Ihnen zunächst immer alle Maschinen mit einer aktiven VPN-Verbindung zur Secure Cloud (Tab aktive VPNs ). Alle Be- Um in der Tableiste alle Betreiber/Standorte anzuzeigen, klicken Sie auf den Schalter treiber/standorte einblenden. Um eine Maschine eines bestimmten Betreibers/Standorts auszuwählen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Ziele (Maschinen). 2. Klicken Sie in der Tableiste auf klicken Sie auf den Schalter Alle Betreiber/Standorte einblenden. 3. Klicken Sie auf den gewünschten Betreiber/Standort. Sie können die Betreiber und Standorte nach alphabetischen oder numerischen Kriterien filtern. Es öffnet sich die Maschinenliste des Betreibers/Standorts. Alle Maschinen des Betreibers/Standorts, die einen VPN-Tunnel zur Secure Cloud aufgebaut haben, besitzen den VPN-Status online. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 21

Erste Schritte als Benutzer 3.4 Serviceverbindung zur Maschine starten Voraussetzung Ihr Service-Arbeitsplatz und das Service-Ziel müssen beide einen VPN-Tunnel zur Secure Cloud aufgebaut haben (VPN-Status: online). Quick Start Nach der Anmeldung befindet sich ein Benutzer immer im Menüpunkt Service-Ziele (Maschinen) im Tab aktive VPNs. Dort werden alle erreichbaren Service-Ziele angezeigt, die einen VPN-Tunnel zur Secure Cloud aufgebaut haben. Um eine Serviceverbindung zur gewünschten Maschine zu starten, klicken Sie in der Zeile der ausgewählten Maschine auf die Schaltfläche Start. Sie können das Routing zu einer Maschine auch dann starten, wenn die Maschine (noch) keinen VPN-Tunnel zur Secure Cloud aufgebaut hat. Eine Serviceverbindung wird dann automatisch hergestellt, sobald nachträglich ein VPN-Tunnel von der Maschine zur Secure Cloud aufgebaut wird (z. B. per Schlüsselschalter). 107224_de_c00 PHOENIX CONTACT Cyber Security AG 22

Erste Schritte als Benutzer Mit einer Maschine eines bestimmten Betreibers/Standorts verbinden Um eine Serviceverbindung zu einer Maschine eines bestimmten Betreibers/Standorts zu starten, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Ziele (Maschinen). Es öffnet sich der Tab aktive VPNs mit einer Liste aller Maschinen, die einen aktiven VPN-Tunnel zur Secure Cloud aufgebaut haben (VPN-Status: online). 2. Wenn die gewünschte Maschine bereits online ist, klicken Sie in der Zeile der Maschine auf die Schaltfläche Start. 3. Optional: Klicken Sie in der Tableiste auf den gewünschten Betreiber/Standort. Sie können die Betreiber und Standorte nach alphabetischen oder numerischen Kriterien filtern. Es öffnet sich eine Liste aller Maschinen des ausgewählten Betreibers/Standorts. 4. Wählen Sie die Zeile der gewünschten Maschine und klicken Sie auf die Schaltfläche Start. Eine Serviceverbindung zur Maschine wird gestartet und die Schaltfläche Start verändert sich zur rot hinterlegten Schaltfläche Stop. Ergebnis Eine hochsichere direkte IPsec-VPN-Verbindung zwischen dem VPN-Client am Service-Arbeitsplatz und dem VPN-Client der Maschine wird aufgebaut. Die Fernwartung kann völlig transparent mit der realen IP-Adresse jeder Zielmaschine im internen Netz des Maschinen-MGUARDs und mit beliebigen Service-Werkzeugen sicher verschlüsselt durchgeführt werden. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 23

Erste Schritte als Benutzer 3.5 Verbindungsstatus prüfen Wenn eine Serviceverbindung mit einen Klick auf die Schaltfläche Start initiiert wurde, verändert sich die grün hinterlegte Schaltfläche Start zur rot hinterlegten Schaltfläche Stop. Alle Statusanzeigen (Service Routing Maschine) sind nun grün hinterlegt. 3.6 Serviceverbindung stoppen Um eine bestehende VPN-Verbindung zu einer Maschine zu stoppen, klicken Sie auf die rot hinterlegte Schaltfläche Stop. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 24

Registrierung und Tarife 4 Registrierung und Tarife Die erstmalige Registrierung bei MGUARD SECURE CLOUD PUBLIC erfolgt kostenfrei und unverbindlich. Sie können die Secure Cloud 30 Tage lang testen. Danach können Sie sich für die Nutzung der kostenlosen Basic Edition oder der kostenpflichtigen Premium Edition entscheiden. 4.1 Organisationsform Mandant Innerhalb der MGUARD SECURE CLOUD PUBLIC ist der Mandant die oberste Ordnungsinstanz und stellt eine datentechnisch und organisatorisch abgeschlossene Einheit dar. Jeder Mandant kann ausschließlich auf seine eigenen Daten zugreifen. Ein Zugriff auf die Daten anderer Mandanten ist ausgeschlossen. Die Konfiguration und das Hinzufügen von Benutzern, Service-Arbeitsplätzen und Service-Zielen (Maschinen) erfolgt ausschließlich innterhalb eines Mandanten. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 25

Registrierung und Tarife 4.2 Registrieren Um sich bei MGUARD SECURE CLOUD PUBLIC zu registrieren, gehen Sie wie folgt vor: 1. Öffnen Sie die Anmeldeseite der Secure Cloud in einem Webbrowser unter: https://de.cloud.mguard.com. 2. Klicken Sie auf den umrandeten Verweis REGISTRIEREN im Zentrum der Anmeldeseite. ODER: Klicken Sie auf die Schaltfläche Anmelden Registrieren am oberen Fensterrand der Anmeldeseite. Klicken Sie im geöffneten Login-Panel auf die Schaltfläche Registrieren. 3. Füllen Sie alle Pflichtfelder des Registrierungsformulars aus. 4. Geben Sie das Ziel-Netzwerk (Maschinen-Netzwerk) an, das Sie über die VPN-Verbindung erreichen möchten (siehe auch Netzwerkeinstellungen (VPN-Builder) auf Seite 66). 5. Akzeptieren Sie einmalig die Evaluierungsbedingungen für die MGUARD SECURE CLOUD PUBLIC durch das Setzen eines Hakens im entsprechenden Kontrollkästchen. 6. Geben Sie den Sicherheitscode (Captcha) ein. 7. Klicken Sie auf OK. Ihre Registrierung ist abgeschlossen und wird vom Secure Cloud-Service geprüft. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 26

Registrierung und Tarife Prüfung der Registrierung Nach erfolgreicher Prüfung Ihrer Angaben wird für Sie ein Mandant angelegt. Dieser Vorgang kann aufgrund der sorgfältigen Prüfung Ihrer Angaben einige Stunden dauern. Anschließend werden dem im Registrierungsformular angegebenen Benutzer Masteradmin die Zugangsdaten an seine hinterlegte E-Mail-Adresse gesendet. Nutzungsvertrag Nach Ablauf der 30-tägigen Evaluierung, wird dem Masteradmin ein Nutzungsvertrag zugesendet. Wenn Sie MGUARD SECURE CLOUD PUBLIC weiter nutzen möchten, füllen Sie den Vertrag aus und senden ihn unterschrieben zurück. Die Zugangsdaten für den ausgewählten Tarif werden umgehend an die E-Mail-Adresse des Benutzer Masteradmin gesendet. Sie können sich bereits vor Ablauf der 30-tägigen Evaluierung für einen der angebotenen Tarife anmelden. Bewahren Sie die Zugangsdaten sorgfältig auf und vermeiden Sie ihre Verbreitung. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 27

Registrierung und Tarife 4.3 Preise und verfügbare Editionen MGUARD SECURE CLOUD PUBLIC Basic Edition Premium Edition Evaluation Edition (30 Tage) Anzahl Benutzer Unlimitiert Unlimitiert Unlimitiert Anzahl Maschinen Unlimitiert Unlimitiert Unlimitiert Anzahl Service-Arbeitsplätze Unlimitiert Unlimitiert Unlimitiert Gleichzeitige Serviceverbindungen 1 3 3 Transfervolumen pro Serviceverbindung 2 GB/Monat 2 GB/Monat 2 GB/Monat Transfervolumen insgesamt 2 GB/Monat 6 GB/Monat 6 GB/Monat Wiederkehrende Kosten - 720 pro Jahr ¹ ² - Zusätzlich buchbare Optionen Zusätzliche gleichzeitige Serviceverbindung Nein 240 pro Jahr ¹ ² ³ Nein Leistungsumfang Berechtigungsmodell Standard Erweitert (Standort/Maschine) Erweitert (Standort/Maschine) Reporting Ja Ja Ja Report-Filter Nein Ja Ja Report-Export Nein Ja (CSV, XLS, PDF) Ja (CSV, XLS, PDF) Garantierte Bandbreite pro Serviceverbindung Nein 1 Mbit/s 1 Mbit/s Garantierte Verfügbarkeit Nein 98% 98% Hosting-Level Low Mission-Critical Mission-Critical Zwei-Faktor-Authentifizierung Nein Ja Ja Configuration Blueprints Nein Ja Ja Secure-Cloud-Service E-Mail Telefon, E-Mail Telefon, E-Mail Service-VPN-Clients MGUARDs, Software-VPN-Clients * MGUARDs, Software-VPN-Clients * MGUARDs, Software-VPN-Clients * Mobile Service-VPN-Clients ios (Apple ipad, iphone) ios (Apple ipad, iphone) ios (Apple ipad, iphone) Maschinen-VPN-Clients MGUARD VPN-Geräte MGUARD VPN-Geräte MGUARD VPN-Geräte * = Zertifizierte Software-VPN-Clients (MGUARD SECURE VPN CLIENT, Shrew Soft VPN Client) ¹ Listenpreise zuzüglich MwSt. Stand: 01.04.2016 PHOENIX CONTACT Cyber Security AG ² Preis pro Jahr; Anteilige Preisberechnung (bis Jahresende) im ersten Jahr: für jeden zum Zeitpunkt des Kaufs bereits verstrichenen Kalendermonat wird 1/12 des Jahrespreises abgezogen ³ Inklusive 2 GB zusätzlichem Transfervolumen/Monat 107224_de_c00 PHOENIX CONTACT Cyber Security AG 28

Registrierung und Tarife 4.4 Tarifwechsel und Erweiterungen Kunden der MGUARD SECURE CLOUD PUBLIC können jederzeit einen Tarifwechsel vornehmen. Im Menüpunkt Verwaltung > Kontodaten können Sie die Konditionen Ihres aktuellen Tarifs einsehen. Um zur Premium Edition zu wechseln, klicken Sie auf die Schaltfläche Tarif Upgrade. Über die Schaltflächen Optionen anfordern können Sie optionale Erweiterungen online bestellen. Tabelle 4-1 Tarife-Upgrade und Erweiterungen Ursprungstarif Zieltarif Erweiterungen im Zieltarif Evaluation Edition Basic Edition Keine Basic Edition Premium Edition Eine oder mehrere zusätzliche parallele Serviceverbindungen Evaluation Edition Premium Edition Eine oder mehrere zusätzliche parallele Serviceverbindungen Nach erfolgtem Tarif-Upgrade erhalten Sie eine Bestätigungs-E-Mail. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 29

Service-Ziele (Maschinen) konfigurieren 5 Service-Ziele (Maschinen) konfigurieren (Benutzer: Administrator) 1 2 3 4 Zur Anbindung von Service-Zielen (Maschinen) an die MGUARD SECURE CLOUD PUBLIC müssen die notwendige Netzwerk- und VPN-Konfigurationen für die externen Endgeräte (Maschinen- MGUARDs) erstellt und anschließend heruntergeladen werden. Das Hinzufügen von Service-Zielen (Maschinen) erfolgt in fünf Schritten: 1. Betreiber/Standort hinzufügen 2. Service-Ziel (Maschine) hinzufügen 3. VPN-Konfiguration für das MGUARD-Gerät erzeugen/bearbeiten 4. VPN-Konfiguration herunterladen 5. VPN-Konfiguration in das MGUARD-Gerät importieren (siehe Seite 36) 107224_de_c00 PHOENIX CONTACT Cyber Security AG 30

Service-Ziele (Maschinen) konfigurieren 5.1 Betreiber/Standort hinzufügen Um einen Betreiber/Standort hinzuzufügen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Ziele (Maschinen). Bereits hinzugefügte Betreiber/Standorte sind in einer Tableiste angeordnet. Sie können die Betreiber und Standorte nach alphabetischen oder numerischen Kriterien filtern. 2. Klicken Sie in der Tableiste auf das Icon Neuen Betreiber/Standort anlegen. Es öffnet sich das Dialogfeld Neuen Betreiber/Standort anlegen. 3. Geben Sie dem Betreiber/Standort eine eindeutige Bezeichnung. OPTIONAL: Geben Sie weitere Informationen zum Betreiber/Standort an. 4. Klicken Sie auf OK. Der neue Betreiber/Standort wird in der Tableiste der Betreiber/Standorte angezeigt. Sie haben einen neuen Betreiber/Standort angelegt und können diesem Maschinen hinzufügen (siehe Service-Ziel (Maschine) hinzufügen auf Seite 32). 5.1.1 Betreiber/Standort löschen Ein Betreiber kann nur gelöscht werden, wenn diesem keine Maschine zugeordnet ist. Löschen Sie gegebenenfalls zunächst alle Maschinen des Betreibers. Alle Logeinträge eines gelöschten Betreibers/Standorts bleiben 18 Monate im Logbuch erhalten. Um einen Betreiber/Standort zu löschen, wählen Sie ihn aus und klicken auf die Schaltfläche Betreiber/Standort löschen. 5.1.2 Betreiber/Standorte bearbeiten Be- Um einen Betreiber/Standort zu bearbeiten, wählen Sie ihn aus und klicken auf das Icon treiber/standort bearbeiten. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 31

Service-Ziele (Maschinen) konfigurieren 5.2 Service-Ziel (Maschine) hinzufügen Ordnen Sie eine Maschine immer genau einem Betreiber/Standort zu. Gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Ziele (Maschinen). 2. Klicken Sie in der Tableiste auf den Betreiber/Standort, dem Sie eine Maschine zuordnen möchten. Es öffnet sich die Maschinenliste des Betreibers/Standorts. Wenn Sie bereits Maschinen hinzugefügt haben, werden diese angezeigt. 3. Klicken Sie auf das Icon Neue Maschine hinzufügen. Es öffnet sich das Dialogfeld Neue Maschine hinzufügen. 4. Geben Sie der Maschine eine eindeutige Bezeichnung. OPTIONAL: Geben Sie weitere Informationen zur Maschine an. 5. Klicken Sie auf OK. Die hinzugefügte Maschine wird in der Maschinenliste des Betreibers/Standorts angezeigt. Sie können im nächsten Schritt die VPN-Konfiguration des VPN-Clients der Maschine erstellen (siehe VPN-Konfiguration für MGUARD-Gerät erzeugen auf Seite 34). 5.2.1 Maschine löschen Alle Logeinträge einer gelöschten Maschine bleiben 18 Monate im Logbuch erhalten. Um eine Maschine zu löschen, wählen Sie sie aus und klicken auf der Maschinen-Stammkarte im Bereich VPN-Administration auf die Schaltfläche Löschen. 5.2.2 Stammdaten der Maschine bearbeiten Um die Stammdaten einer Maschine zu bearbeiten, wählen Sie sie aus und klicken auf der Maschinen-Stammkarte auf das Icon Maschinen-Stammkarte bearbeiten. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 32

Service-Ziele (Maschinen) konfigurieren 5.2.3 VPN-Client-Informationen bearbeiten Um weitere Informationen des VPN-Clients zu bearbeiten, wählen Sie ihn aus und klicken auf der Maschinen-Stammkarte im Bereich VPN-Client-Informationen auf das Icon VPN-Client-Informationen bearbeiten. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 33

Service-Ziele (Maschinen) konfigurieren 5.3 VPN-Konfiguration für MGUARD-Gerät erzeugen Erstellen Sie eine VPN-Konfiguration mithilfe des Konfigurationswizards VPN-Builder. Die VPN- Konfiguration steht anschließend als Download zur Verfügung. Wenn die VPN-Konfiguration in den entsprechenden VPN-Client (MGUARD-Gerät der Maschine) importiert wird, ist dieser für die Anbindung an die Secure Cloud konfiguriert und in der Lage, (automatisch) einen VPN-Tunnel zur Secure Cloud aufzubauen. Für weitergehende Informationen zur Netzwerkkonfiguration siehe Netzwerkeinstellungen (VPN-Builder) auf Seite 66. Service-Arbeitsplätze können über Software-VPN-Clients oder MGUARD-Geräte an die Secure Cloud angebunden werden. Service-Ziele (Maschinen) können ausschließlich über MGUARD-Geräte angebunden werden. Um die VPN-Konfiguration für den VPN-Client einer Maschine zu erzeugen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Ziele (Maschinen). 2. Klicken Sie in der Tableiste auf den Betreiber/Standort, für dessen Maschine Sie eine VPN- Konfiguration erstellen möchten. Es öffnet sich die Maschinenliste des Betreibers/Standorts. 3. Klicken Sie auf die Maschine, für die Sie eine VPN-Konfiguration erstellen möchten. Es öffnet sich das Hauptfenster der Maschine. 4. Um eine VPN-Konfiguration für die Maschine zu erzeugen, klicken Sie im Bereich VPN-Administration auf die Schaltfläche VPN-Builder. ODER: klicken Sie in der Zeile der ausgewählten Maschine auf das Icon VPN Builder öffnen. Der Konfigurationswizard VPN-Builder öffnet sich. 5. Folgen Sie den Aufforderungen des VPN-Builders und klicken Sie auf die Schaltfläche Anfordern (für weitergehende Informationen siehe Netzwerkeinstellungen (VPN-Builder) auf Seite 66). Die VPN-Konfiguration für den VPN-Client der Maschine wird erstellt. Die VPN-Konfiguration kann sofort oder später aus der Secure Cloud heruntergeladen werden (siehe auch VPN-Konfiguration herunterladen auf Seite 35). 107224_de_c00 PHOENIX CONTACT Cyber Security AG 34

Service-Ziele (Maschinen) konfigurieren Die VPN-Konfiguration für Service-Ziele (Maschinen) kann beliebig oft geändert, heruntergeladen und in ein MGUARD-Gerät importiert werden. Führen Sie den Vorgang einfach wie beschrieben erneut durch. 5.4 VPN-Konfiguration herunterladen Die jeweils letzte mit dem VPN-Builder erstellte VPN-Konfiguration einer Maschine steht in der Secure Cloud als Download zur Verfügung. Eine Konfiguration kann beliebig oft erstellt, editiert, heruntergeladen und lokal gespeichert werden. Wird eine neue VPN-Konfiguration mittels VPN-Builder erstellt, ersetzt diese die zuvor erstellte Konfiguration und steht als Download zur Verfügung. Bereits heruntergeladene Konfigurationen können grundsätzlich weiter verwendet, aber nicht erneut heruntergeladen werden. Um eine VPN-Konfiguration herunterzuladen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Ziele (Maschinen). 2. Klicken Sie in der Tableiste auf den Betreiber/Standort, für dessen Maschine Sie die VPN- Konfiguration herunterladen wollen. Es öffnet sich die Maschinen-Liste des Betreibers/Standorts. 3. Klicken Sie auf die Maschine, dessen VPN-Konfiguration Sie herunterladen möchten. Es öffnet sich das Hauptfenster der Maschine. 4. Um die VPN-Konfiguration der Maschine herunterzuladen, klicken Sie im Bereich VPN-Administration auf die Schaltfläche Herunterladen. ODER: klicken Sie in der Zeile der ausgewählten Maschine auf das Icon VPN-Konfiguration herunterladen. 5. Speichern Sie die Konfiguration an einem beliebigen Speicherort. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 35

Service-Ziele (Maschinen) konfigurieren Tabelle 5-1 Dateiendung.atv.ecs (.ecs.tgz) Dateiendungen der VPN-Konfigurationen für verschiedene VPN-Clients VPN-Client-Konfiguration MGUARD-Gerät (Import über Weboberfläche des MGUARDs) MGUARD-Gerät (Import mittels SD-Karte) Zum Import *ecs.tgz-datei verwenden! Das im VPN-Builder gesetzte Passwort muss mit dem Root-Passwort des MGUARD-Geräts übereinstimmen. 5.5 VPN-Konfiguration in MGUARD-Gerät importieren Die zuvor mit dem VPN-Builder erstellte und heruntergeladene VPN-Konfiguration wird in den entsprechenden VPN-Client (MGUARD-Gerät) importiert. Die Konfiguration des MGUARD-Geräts wird per Webbrowser auf einem Konfigurationsrechner ausgeführt. ACHTUNG: Stellen Sie sicher, dass die richtige Konfigurationsdatei in das Gerät importiert wird. ACHTUNG: Alle Einstellungen des MGUARDs, die nicht in der Secure Cloud konfiguriert wurden, werden auf Werkseinstellung zurückgesetzt. Die VPN-Konfiguration für Service-Ziele (Maschinen) kann beliebig oft geändert, heruntergeladen und in ein MGUARD-Gerät importiert werden. Führen Sie den Vorgang einfach wie beschrieben erneut durch. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 36

Service-Ziele (Maschinen) konfigurieren Je nach verwendetem MGUARD-Gerät ist dieses über unterschiedliche Netzwerkadressen erreichbar. Für weitere Informationen zur Verwendung und Konfiguration von MGUARD-Geräten siehe Referenzhandbuch MGUARD Firmware, verfügbar unter: http://www.phoenixcontact-cybersecurity.com/de/downloads/dokumentation. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 37

Service-Ziele (Maschinen) konfigurieren 5.5.1 Import der VPN-Konfiguration über die MGUARD-Weboberfläche Um die VPN-Konfiguration als neues Profil zu den Konfigurationsprofilen des MGUARD-Geräts hinzuzufügen, gehen Sie wie folgt vor: 1. Starten Sie die Weboberfläche des MGUARDs, indem Sie dessen Management-IP-Adresse in das Adressfeld des Webbrowsers eingeben. Die Anmeldeseite des MGUARDs öffnet sich. 2. Geben Sie Benutzernamen und Passwort ein und klicken Sie auf Login. Die Weboberfläche zur Konfiguration des MGUARDs öffnet sich. 3. Wählen Sie den Menüpunkt Verwaltung > Konfigurationsprofile > Hochladen einer Konfiguration als Profil. 4. Wählen und verwenden Sie hier die zuvor aus der Secure Cloud heruntergeladene VPN- Konfiguration mit der Dateiendung.atv. 5. Laden Sie die Konfiguration hoch. Die Konfiguration wird als neues Konfigurationsprofil angezeigt. 6. Aktivieren Sie das Konfigurationsprofil durch einen Klick auf die Schaltfläche Wiederherstellen. Ein grüner Haken markiert das aktive Profil. Sie haben das Profil in das MGUARD-Gerät importiert und aktiviert. Sie erreichen den MGUARD anschließend je nach ausgewähltem Betriebsmodus (Stealth oder Router) über die Management-IP-Adresse: https://1.1.1.1 oder https://192.168.1.1. Nach Aktivierung des Konfigurationsprofils ist ein Fernzugriff auf die Weboberfläche des MGUARD-Geräts nur noch bei bestehender VPN-Verbindung möglich. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 38

Service-Ziele (Maschinen) konfigurieren 5.5.2 Import der VPN-Konfiguration über eine SD-Karte Sie können den MGUARD mittels SD-Karte konfigurieren. Verwenden Sie hierzu die in einem tgz- Container verpackte ecs-datei. ACHTUNG: Alle nicht in der Secure Cloud konfigurierten Variablen werden auf Werkseinstellung zurückgesetzt. Sichern Sie vorhandene Konfigurationen des MGUARD-Geräts auf einem externen Speichermedium. Um die VPN-Konfiguration mittels SD-Karte in den MGUARD zu importieren, gehen Sie wie folgt vor: 1. Kopieren Sie den im VPN-Builder erstellten und heruntergeladenen tgz-container mit der ecs-datei auf eine SD-Karte. 2. Starten Sie das MGUARD-Gerät bei eingesetzter SD-Karte. Die Konfiguration wird geladen, entschlüsselt und als gültige Konfiguration angewendet. Damit die Konfiguration übernommen wird, muss das im VPN-Builder angegebene Root-Passwort mit dem Root-Passwort des MGUARD-Geräts übereinstimmen. Die VPN-Konfiguration für Service-Arbeitsplätze und Service-Ziele (Maschinen) kann beliebig oft geändert, heruntergeladen und importiert werden. Führen Sie den Vorgang einfach wie beschrieben erneut durch. Beachten Sie die Hinweise zur Verwendung von SD-Karten im Referenzhandbuch MGUARD Firmware, verfügbar unter: http://www.phoenixcontact-cybersecurity.com/de/downloads/dokumentation. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 39

Service-Ziele (Maschinen) konfigurieren 5.6 Configuration Blueprints (ATV-Includes) Für maßgeschneiderte Maschinen-Konfigurationen, die nicht im VPN-Builder konfiguriert werden können (z. B. Firewallregeln), können in der Premium Edition der Secure Cloud sogenannte ATV- Includes im Secure Cloud Backend hinterlegt werden. Die Configuration Blueprints werden mit jeder neuen Konfiguration in alle oder in einzelne Maschinen des Mandanten importiert und aktiviert. Bei Fragen zu Configuration Blueprints wenden Sie sich bitte an den Secure Cloud Support. 5.7 Status der VPN-Verbindung prüfen Wenn der Import der VPN-Konfiguration erfolgreich abgeschlossen wurde, wird die VPN-Verbindung automatisch hergestellt, wenn der MGUARD an das konfigurierte Netzwerk angeschlossen und gestartet wird. Alle aktiven Service-Ziele (Maschinen) werden im Menüpunkt Service-Ziele (Maschinen) unter dem Tab aktive VPNs angezeigt. Sie alle besitzen den VPN-Status online. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 40

Service-Arbeitsplätze konfigurieren 6 Service-Arbeitsplätze konfigurieren (Benutzer: Administrator) 1 2 3 Zur Anbindung von Service-Arbeitsplätzen an die Secure Cloud erstellt ein Administrator die notwendige Netzwerk- und VPN-Konfiguration für die Endgeräte (MGUARD-Geräte oder Software- VPN-Clients). Als Software-Clients kommen in Frage: MGUARD SECURE VPN CLIENT Shrew Soft VPN-Client ios-vpn-client (ipad/iphone) Das Hinzufügen von Service-Arbeitsplätzen erfolgt in vier Schritten: 1. Service-Arbeitsplatz hinzufügen 2. VPN-Konfiguration für VPN-Clients erzeugen 3. VPN-Konfiguration herunterladen 4. VPN-Konfiguration in VPN-Client importieren 107224_de_c00 PHOENIX CONTACT Cyber Security AG 41

Service-Arbeitsplätze konfigurieren 6.1 Service-Arbeitsplatz hinzufügen Um einen Service-Arbeitsplatz hinzuzufügen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Arbeitsplätze. 2. Klicken Sie auf die Schaltfläche Neuen Arbeitsplatz hinzufügen. 3. Geben Sie dem Service-Arbeitsplatz eine eindeutige Bezeichnung und klicken Sie auf OK. Der hinzugefügte Service-Arbeitsplatz wird in der Arbeitsplatz-Liste angezeigt. Sie können im nächsten Schritt die VPN-Konfiguration des VPN-Clients des Service-Arbeitsplatzes erstellen (siehe VPN-Konfiguration für VPN-Client erzeugen auf Seite 43). 6.1.1 Service-Arbeitsplatz löschen Alle Logeinträge eines gelöschten Service-Arbeitsplatzes bleiben 18 Monate im Logbuch erhalten. Um einen Service-Arbeitsplatz zu löschen, wählen Sie ihn aus und klicken auf der Stammkarte im Bereich VPN-Informationen auf die Schaltfläche Löschen. Alle mit dem Service-Arbeitsplatz verbundenen VPN-Konfigurationen werden ebenfalls gelöscht. 6.1.2 Stammdaten des Service-Arbeitsplatzes bearbeiten Um die Stammdaten eines Service-Arbeitsplatzes zu bearbeiten, wählen Sie ihn aus und klicken auf der Stammkarte im Bereich Service-Arbeitsplatz-Informationen auf das Icon Service-Arbeitsplatz-Informationen bearbeiten. 6.1.3 VPN-Client-Informationen bearbeiten Um weitere Informationen des VPN-Clients zu bearbeiten, wählen Sie ihn aus und klicken auf der Stammkarte im Bereich VPN-Client-Informationen auf das Icon VPN-Client-Informationen bearbeiten. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 42

Service-Arbeitsplätze konfigurieren 6.2 VPN-Konfiguration für VPN-Client erzeugen Erstellen Sie eine VPN-Konfiguration mithilfe des Konfigurationswizards VPN-Builder. Die VPN- Konfiguration steht anschließend als Download zur Verfügung. Wenn die erstellte VPN-Konfiguration in den entsprechenden VPN-Client (MGUARD-Gerät oder Software-VPN-Client) importiert wird, ist dieser für die Anbindung an die Secure Cloud konfiguriert und in der Lage, (automatisch) einen VPN-Tunnel zur Secure Cloud aufzubauen. Für weitere Informationen zur Netzwerkkonfiguration siehe Netzwerkeinstellungen (VPN-Builder) auf Seite 66. Service-Arbeitsplätze können über Software-VPN-Clients oder MGUARD-Geräte angebunden werden, Service-Ziele (Maschinen) ausschließlich über MGUARD-Geräte. Um die VPN-Konfiguration für den VPN-Client eines Service-Arbeitsplatzes zu erzeugen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Arbeitsplätze. 2. Klicken Sie in der Tableiste auf alle Service-Arbeitsplätze. Es öffnet sich die Service-Arbeitsplatz-Liste. 3. Klicken Sie auf den Service-Arbeitsplatz, für den Sie eine VPN-Konfiguration erstellen möchten. Es öffnet sich das Hauptfenster des Service-Arbeitsplatzes. 4. Um eine VPN-Konfiguration für den Service-Arbeitsplatz zu erzeugen, klicken Sie im Bereich VPN-Administration auf die Schaltfläche VPN-Builder. ODER: klicken Sie in der Zeile des ausgewählten Service-Arbeitsplatzes auf das Icon VPN-Builder öffnen. Der Konfigurationswizard VPN-Builder öffnet sich. 5. Folgen Sie den Aufforderungen des VPN-Builders und klicken Sie auf die Schaltfläche Anfordern (für weitere Informationen siehe Netzwerkeinstellungen (VPN-Builder) auf Seite 66). Die VPN-Konfiguration für den VPN-Client des Service-Arbeitsplatzes wird erstellt. Sie können im nächsten Schritt die VPN-Konfiguration des VPN-Clients herunterladen (siehe VPN-Konfiguration herunterladen auf Seite 44). 107224_de_c00 PHOENIX CONTACT Cyber Security AG 43

Service-Arbeitsplätze konfigurieren Für ios-vpn-clients können VPN-Konfigurationen zusätzlich per unverschlüsselter E-Mail versendet werden. Beachten Sie das dadurch erhöhte Sicherheitsrisiko. Die VPN-Konfiguration für Service-Arbeitsplätze kann beliebig oft geändert, heruntergeladen und importiert werden. Führen Sie den Vorgang einfach wie beschrieben erneut durch. 6.3 VPN-Konfiguration herunterladen Die jeweils letzte mit dem VPN-Builder erstellte VPN-Konfiguration eines Service-Arbeitsplatzes steht in der Secure Cloud als Download zur Verfügung. Eine Konfiguration kann beliebig oft erstellt, heruntergeladen und lokal gespeichert werden. Für ios-vpn-clients können VPN-Konfigurationen zusätzlich per unverschlüsselter E-Mail versendet werden. Beachten Sie das dadurch erhöhte Sicherheitsrisiko. Wird eine neue VPN-Konfiguration mittels VPN-Builder erstellt, ersetzt diese die zuvor erstellte Konfiguration und steht als Download zur Verfügung. Bereits heruntergeladene Konfigurationen können grundsätzlich weiter verwendet, aber nicht erneut heruntergeladen werden. Um eine VPN-Konfiguration herunterzuladen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Service-Arbeitsplätze. 2. Klicken Sie in der Tableiste auf alle Service-Arbeitsplätze. Es öffnet sich die Service-Arbeitsplatz-Liste 3. Klicken Sie auf den Service-Arbeitsplatz, dessen VPN-Konfiguration Sie herunterladen möchten. Es öffnet sich das Hauptfenster des Service-Arbeitsplatzes. 4. Um die VPN-Konfiguration des Service-Arbeitsplatzes herunterzuladen, klicken Sie im Bereich VPN-Administration auf die Schaltfläche Herunterladen. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 44

Service-Arbeitsplätze konfigurieren ODER: klicken Sie in der Zeile des ausgewählten Service-Arbeitsplatzes auf das Icon VPN-Konfiguration herunterladen. 5. Speichern Sie die Konfiguration an einem beliebigen Speicherort. Tabelle 6-1 Dateiendung.vpn.zip.atv.ecs (.ecs.tgz).mobileconfig Dateiendungen der VPN-Konfigurationen der verschiedenen VPN-Clients VPN-Client-Konfiguration Shrew Soft VPN-Client MGUARD SECURE VPN CLIENT MGUARD-Gerät (Import über Weboberfläche des MGUARDs) MGUARD-Gerät (Import über SD-Karte) Zum Import *ecs.tgz-datei verwenden! Das im VPN-Builder gesetzte Passwort muss mit dem Root-Passwort des MGUARD-Geräts übereinstimmen. ios-vpn-client (ipad/iphone) 107224_de_c00 PHOENIX CONTACT Cyber Security AG 45

Service-Arbeitsplätze konfigurieren 6.4 VPN-Konfiguration in Software-VPN-Client importieren Die zuvor mit dem VPN-Builder erstellte und heruntergeladene VPN-Konfiguration wird in den entsprechenden VPN-Client importiert (MGUARD SECURE VPN CLIENT, ios-vpn-client oder Shrew Soft VPN-Client). Für ios-vpn-clients können VPN-Konfigurationen zusätzlich per unverschlüsselter E-Mail versendet werden. Beachten Sie das dadurch erhöhte Sicherheitsrisiko. Die VPN-Konfiguration für Service-Arbeitsplätze kann beliebig oft geändert, heruntergeladen und importiert werden. Führen Sie den Vorgang einfach wie beschrieben erneut durch. Der Import in die unterstützten Software-VPN-Clients wird im Folgenden beschrieben. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 46

Service-Arbeitsplätze konfigurieren 6.4.1 MGUARD SECURE VPN CLIENT Um die VPN-Konfiguration in den MGUARD SECURE VPN CLIENT zu importieren und zu starten, gehen Sie wie folgt vor: 1. Starten Sie den MGUARD SECURE VPN CLIENT. 2. Wählen Sie den Menüpunkt Konfiguration > Profile. Es öffnet sich das Dialogfeld Profile. 3. Klicken Sie auf die Schaltfläche Hinzufügen/Import. Es öffnet sich das Dialogfeld Assistent für neues Profil. 4. Wählen Sie das Optionsfeld Profile importieren und klicken Sie auf Weiter >. 5. Wählen Sie die Datei (*.zip) mit der heruntergeladenen VPN-Konfiguration (Profil) aus und klicken Sie auf Weiter >. 6. Geben Sie Benutzernamen und Passwort ein und klicken Sie auf Weiter >. Das Profil wird importiert. 7. Klicken Sie auf Fertigstellen. Sie können das importierte Profil aus der Drop-Down-Liste des MGUARD SECURE VPN CLIENTs auswählen. 8. Klicken Sie auf den Schieberegler Verbindung, um die ausgewählte Verbindung starten. Die VPN-Verbindung zur Secure Cloud wird hergestellt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 47

Service-Arbeitsplätze konfigurieren 6.4.2 Shrew Soft VPN-Client Um die VPN-Konfiguration in den Shrew Soft VPN-Client zu importieren und zu starten, gehen Sie wie folgt vor: 1. Starten Sie den Shrew Soft VPN-Client (VPN Access Manager). 2. Wählen Sie den Menüpunkt File > Import. 3. Wählen Sie die Datei (*.vpn) mit der heruntergeladenen VPN-Konfiguration (Shrew Soft VPN-File) aus. Die VPN-Konfiguration wird geladen und steht im Shrew Soft VPN-Client zur Verfügung. 4. Markieren Sie die Konfiguration und klicken Sie auf die Schaltfläche Connect. Die VPN-Verbindung zur Secure Cloud wird hergestellt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 48

Service-Arbeitsplätze konfigurieren 6.4.3 ios-vpn-client Um die VPN-Konfiguration in den ios-vpn-client (ipad/iphone) zu importieren und zu starten, gehen Sie wie folgt vor: 1. Machen Sie die VPN-Konfiguration (.mobileconfig) auf dem ios-gerät verfügbar. 2. Öffnen Sie die Datei. Es öffnet sich das Fenster Install Profile. 3. Klicken Sie mehrere Male auf Install und Next. 4. Geben Sie das Passwort ein, mit dem der geheime Schlüssel des Zertifikats gesichert wurde. 5. Klicken Sie auf Next. Es öffnet sich das Fenster Profile Installed. 6. Klicken Sie auf Done, um den Import der VPN-Konfiguration abzuschließen. Die installierten Zertifikate erscheinen in der Zertifikate-Liste. Die konfigurierte VPN-Verbindung erscheint im Menüpunkt Settings > VPN. 7. Wählen Sie den Menüpunkt Settings > VPN. 8. Klicken Sie auf den Namen der konfigurierten VPN-Verbindung. 9. Klicken Sie im Bereich Status auf den Schalter Not Connected. Der Status ändert sich von Not Connected zu Connected und die Farbe des Schalters wird grün. Die VPN Verbindung zur Secure Cloud wird hergestellt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 49

Service-Arbeitsplätze konfigurieren 6.5 VPN-Konfiguration in MGUARD-Gerät importieren Wenn Sie den Service-Arbeitsplatz über ein MGUARD-Gerät mit der Secure Cloud verbinden möchten, gehen Sie vor, wie im Kapitel VPN-Konfiguration in MGUARD-Gerät importieren auf Seite 36 beschrieben. Wenn der Import der VPN-Konfiguration erfolgreich abgeschlossen wurde, wird die VPN-Verbindung (automatisch) hergestellt, wenn das MGUARD-Gerät an das konfigurierte Netzwerk angeschlossen und gestartet wird. 6.6 Status der VPN-Verbindung prüfen Wenn der Service-Arbeitsplatz einen VPN-Tunnel zur Secure Cloud aufgebaut hat (VPN: online), ist die Statusanzeige Service grün hinterlegt. Alle aktiven Service-Arbeitsplätze werden im Menüpunkt Service-Arbeitsplätze unter dem Tab aktive VPNs angezeigt. Sie alle besitzen den VPN-Status online. Ist die Statusanzeige Service rot hinterlegt, kann dies folgende Gründe haben: 1. Ihr Service-Arbeitsplatz hat keinen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: offline). 2. Ihr Service-Arbeitsplatz hat einen VPN-Tunnel zur Secure Cloud aufgebaut (VPN: online), aber der IP-Check konnte nicht erfolgreich durchgeführt werden (siehe IP-Check und Proxyserver auf Seite 11). 107224_de_c00 PHOENIX CONTACT Cyber Security AG 50

Benutzer und Zugriffsrechte verwalten 7 Benutzer und Zugriffsrechte verwalten (Benutzer: Administrator) Der Masteradmin wird in roter Schriftfarbe dargestellt. Angemeldete Benutzer werden in grüner Schriftfarbe dargestellt. Deaktivierte Benutzer werden in grauer Schriftfarbe dargestellt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 51

Benutzer und Zugriffsrechte verwalten 7.1 Benutzer hinzufügen Ein Benutzer der Secure Cloud kann je nach seiner Rolle und Berechtigung unterschiedliche Funktionen der Secure Cloud ausführen und nutzen. Jedem Benutzer wird genau eine Rolle zugeteilt: Admin oder User (Benutzer bzw. Servicetechniker). Darüber hinaus ist jeder Benutzer Mitglied in einer oder mehreren Berechtigungsgruppen. In diesen wird festgelegt, auf welche Service-Ziele (Maschinen) er zugreifen darf. ACHTUNG: Jeder neu hinzugefügt Benutzer ist automatisch Mitglied der Berechtigungsgruppe Default und hat Zugriff auf alle Maschinen innerhalb des Mandanten. In der Basic Edition haben alle Benutzer Zugriff auf alle Maschinen. Die Rechtevergabe über Berechtigungsgruppen ist nur in der Premium Edition möglich. Bevor ein Benutzer hinzugefügt wird, sollten zunächst die Regeln für die Zugriffsberechtigung in den Berechtigungsgruppen erstellt werden. Ein Benutzer kann in den Benutzerstatus deaktiviert versetzt werden. Deaktivierte Benutzer können sich nicht mehr bei der Secure Cloud anmelden und werden in der Benutzerliste in grauer Schriftfarbe dargestellt. Um einen Benutzer der Secure Cloud hinzuzufügen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Verwaltung > Benutzerverwaltung. 2. Klicken Sie auf die Schaltfläche Neuer Benutzer. Das Dialogfeld Neuen Benutzer anlegen öffnet sich. 3. Füllen Sie alle Pflichtfelder aus: Der Benutzername muss aus einer gülten E-Mail-Adresse bestehen. Die Rolle User kann keine Konfigurationen erstellen und herunterladen. Die Rolle Masteradmin kann nicht gelöscht werden. Der Benutzerstatus legt fest, ob ein hinzugefügter Benutzer auf die Secure Cloud zugreifen darf (Standard = aktiviert) oder temporär keine Zugriffsrechte besitzt (deaktiviert). Das Passwort wird dem Benutzer an seine E-Mail-Adresse (Benutzernamen) gesendet. 4. Klicken Sie auf OK. Sie haben einen neuen Benutzer hinzugefügt. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 52

Benutzer und Zugriffsrechte verwalten 7.1.1 Benutzer editieren Um die Angaben eines Benutzers zu editieren, wählen Sie den Benutzer aus und klicken auf das Icon Editieren. 7.1.2 Benutzer löschen Um einen Benutzer zu löschen, wählen Sie den Benutzer aus und klicken auf das Icon Löschen. 7.2 Benutzer deaktivieren Ein Benutzer kann in den Benutzerstatus deaktiviert versetzt werden. Deaktivierte Benutzer können sich nicht mehr bei der Secure Cloud anmelden und werden in der Benutzerliste in grauer Schriftfarbe dargestellt. Um einen Benutzer zu deaktivieren, gehen Sie wie folgt vor: 1. Wählen Sie den Benutzer aus und klicken Sie auf das Icon Editieren. 2. Wählen Sie im Bereich Benutzerstatus den Eintrag Deaktiviert aus der Drop-Down-Liste. 3. Klicken Sie auf OK. 7.3 Benutzer abmelden Be- Um einen Benutzer abzumelden, wählen Sie den Benutzer aus und klicken auf das Icon nutzer abmelden. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 53

Benutzer und Zugriffsrechte verwalten 7.4 Zwei-Faktor-Authentifizierung (Premium Edition) In der Premium Edition kann für jeden Benutzer eine Zwei-Faktor-Authentifizierung aktiviert werden. Der Benutzer muss dann bei jedem Login innerhalb von 60 Sekunden sowohl sein Passwort als auch einen vierstelligen PIN-Code angeben, der unmittelbar nach der Anmeldung mit dem Passwort an seine E-Mail-Adresse versendet wird. Um die Zwei-Faktor-Authentifizierung zu aktivieren, gehen Sie wie folgt vor: 1. Wählen Sie den Benutzer aus und klicken Sie auf das Icon Editieren. 2. Wählen Sie im Bereich Zwei-Faktor-Authentifizierung den Eintrag aktiviert aus der Drop- Down-Liste. Sollte die Auswahl der Zwei-Faktor-Authentifizierung nicht möglich sein, kontaktieren Sie den Secure Cloud-Service. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 54

Benutzer und Zugriffsrechte verwalten 7.5 Zugriffsberechtigungen hinzufügen Zugriffsberechtigungen legen fest, auf welche Service-Ziele (Maschinen) ein Benutzer zugreifen darf. In der Premium Edition werden Zugriffsberechtigungen der Benutzer über die Mitgliedschaft in Berechtigungsgruppen vergeben. Ein Benutzer kann gleichzeitig Mitglied in mehreren Berechtigungsgruppen sein. Eine oder mehrere Berechtigungsregeln innerhalb einer Berechtigungsgruppe legen fest, auf welche Betreiber/Standorte und Maschinen die Mitglieder der Berechtigungsgruppe zugreifen dürfen. 107224_de_c00 PHOENIX CONTACT Cyber Security AG 55

Benutzer und Zugriffsrechte verwalten Die Erstellung der Zugriffsberechtigung erfolgt in drei Schritten: 1. Berechtigungsgruppe hinzufügen 2. Berechtigungsregeln hinzufügen (innerhalb der Berechtigungsgruppe) 3. Berechtigungsgruppen einem Benutzer zuweisen Bild 7-1 Berechtigungsarchitektur der Secure Cloud: Basic Edition (links) und Premium Edition (rechts) 107224_de_c00 PHOENIX CONTACT Cyber Security AG 56

Benutzer und Zugriffsrechte verwalten 7.5.1 Berechtigungsgruppe hinzufügen Um eine neue Berechtigungsgruppe hinzuzufügen, gehen Sie wie folgt vor: 1. Wählen Sie den Menüpunkt Verwaltung > Zugriffsberechtigungen. 2. Klicken Sie auf die Schalltfläche Neue Berechtigungsgruppe. 3. Geben Sie der Berechtigungsgruppe einen eindeutigen Namen und klicken Sie auf OK. Sie haben eine Berechtigungsgruppe hinzugefügt. 4. Erstellen Sie im nächsten Schritt eine oder mehrere Berechtigungsregeln für die erstellte Berechtigungsgruppe. 7.5.2 Berechtigungsregel hinzufügen oder editieren 2 1 107224_de_c00 PHOENIX CONTACT Cyber Security AG 57