Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server

Die vorliegende Erfindung betrifft ein Verfahren und System zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System gekoppelten Server sowie ein zugehöriges Computerprogramm (-produkt) .

Hintergrund der Erfindung

Als ein eingebettetes System (auch englisch „embedded System" genannt) bezeichnet man einen elektronischen Rechner oder auch Computer, der in einen technischen Kontext eingebunden (eingebettet) ist. Dabei übernimmt der Rechner in der Regel entweder Überwachungs- , Steuerungs- oder Regelfunktionen oder ist für eine Form der Daten- bzw. Signalverarbeitung zuständig, beispielsweise beim Ver- bzw. Entschlüsseln, Codieren bzw. Decodieren oder Filtern.

In die Kategorie „embedded System" kann auch ein Feldgerät, kurz FG, engl. Field Device (FD), einsortiert werden. Ein Feldgerät ist eine technische Einrichtung normalerweise im Bereich der Automatisierungstechnik, die mit einem Produkti- onsprozess in Beziehung steht. „Feld" bezeichnet in der Auto ^¬ matisierungstechnik den Bereich außerhalb von Schaltschränken bzw. Leitwarten. Feldgeräte können somit sowohl Aktoren

(Stellglieder, Ventile etc.) als auch Sensoren (Messumformer) in der Fabrik- und Prozessautomation sein.

Die Feldgeräte sind dann mit einem Steuerungs- und Leitsys ^¬ tem, meist über einen Feldbus, oder zunehmend auch über Echt- zeit-Ethernet verbunden.

Es können (Web-) Server mit einem Feldgerät gekoppelt oder in dieses integriert verwendet werden, um Statusdaten abzufragen und um die Gerätekonfiguration zu ändern. Dabei besteht ein Bedarf, unberechtigten Zugriff auf den Server (HTTP-Server, CoAP-Server, REST-Server) des Feldgerätes zu verhindern.

Die Sicherheit innerhalb solch einer Infrastruktur sowie das Verhindern von absichtlichen Angriffen spielt eine zunehmend wichtigere Rolle. Bei einer erfolgreichen Manipulation kann es zu einer Fehlfunktion in Steuerungsfunktionen der oben genannten Geräte kommen. Durch kryptographische Schutzfunktionen können Ziele wie Integrität, Vertraulichkeit oder Authentizität der Gegenstände erreicht werden. Dadurch werden absichtliche, zielgerichtete Angriffe abgewehrt. Der Begriff „Sicherheit" bezieht sich im Wesentlichen auf die Sicherheit, Vertraulichkeit und/oder Integrität von Daten so ^¬ wie deren Übertragung und auch Sicherheit, Vertraulichkeit und/oder Integrität beim Zugriff auf entsprechende Daten. Auch die Authentifizierung bei Datenübertragungen beziehungs- weise beim Datenzugriff gehört unter anderem zum Begriff „Sicherheit. Unter einer kryptografischen Funktionalität wird allgemein beispielsweise eine Funktion zur Verschlüsselung, zum Schutz der Vertraulichkeit, zum Integritätsschutz und/oder zur Authentifikation von Daten (z.B. Nutzerdaten, Steuerdaten, Konfigurationsdaten oder administrative Daten) verstanden. Die kryptografische Schutzfunktionalität kann da ^¬ bei beispielsweise eine oder mehrere der nachfolgend aufge ^¬ führten Funktionalitäten umfassen: - Schlüsselspeicherung

System- und/oder Nutzer-Authentisierung

Autorisierung

Attestierung

Verschlüsselung

- Entschlüsselung

Berechnen einer kryptografischen Prüfsumme (z.B. Signatur)

Prüfen einer kryptografischen Prüfsumme (z.B. Signatur) Schlüssel ereinbarung

Schlüsselerzeugung

Erzeugen von Zufallszahlen (z.B. Seed-Generierung) Lizenzierung

Unterstützung von systemischen Überwachungsfunktionen (z.B. Tamper-Schutz , Systemintegrität, Security Incident and Event Management SIEM)

Überwachen oder Überwachung von Daten

Validierung von Daten

Filterung von Daten

Die aufgezählten kryptografischen Funktionalitäten können dabei jeweils wieder mit anderen/weiteren Verfahren oder Kombinationen dieser Verfahren ausgeführt sein.

Das bekannte HTTP-Protokoll unterstützt eine Nutzerauthenti- sierung (HTTP Digest, HTTP-Basic Authentication) (siehe https : //en . wikipedia . org/wiki/Digest_access_authentication . Dazu muss ein Nutzer einen Nutzernamen und ein Passwort ein- geben. Der Web-Server gewährt den Nutzerzugriff nach erfolgreich Überprüfung des Nutzernamens und des Passworts. Weiter ^¬ hin ist bekannt, dass ein Nutzer sich an einer Web-Anwendung authentisiert , indem er in ein Formular (Web-Seite) Nutzerna ^¬ me und Passwort eingibt, das auch englisch „form based au- thentication" genannt wird.

Weiterhin ist es möglich, dass ein Nutzer als Teil einer HTTP-Anfrage ein Autorisierungstoken als Datenstruktur (JWT, JSON Web Token) vom Nutzer (Web-Browser) an den Web-Server überträgt. Das JWT-Autorisierungstoken wird normalerweise von einem „Single Sign On"-Dienst ausgestellt.

Weiterhin ist es möglich, dass ein HTTP-Protokoll (HTTP, CoAP) über eine kryptographisch geschützte Kommunikationsver- bindung (TLS, DTLS) übertragen wird. Dabei wird meist nur der Server mittels eines digitalen Zertifikats authentisiert. Es ist jedoch auch möglich, dass auch der Client sich mit seinem Client-Zertifikat authentisiert. In allen oben dargestellten Fällen wird ein Nutzer authenti- siert, indem der vom Nutzer verwendete Web-Client (Web ^¬ Browser) über das verwendete Kommunikationsprotokoll (HTTP, CoAP, TLS, DTLS) eine Nutzerauthentisierungsinformation überträgt. Dazu muss auf Client-Seite ein sogenanntes Nutzer- Credential vorliegen (z.B. Passwort, Schlüssel).

Von US 7,734,716 ist ein Automatisierungsgerät mit einem HTTP-Server bekannt, der Nutzer-definierte Web-Seiten unterstützt. Dabei ist beschrieben, dass sich ein Nutzer mittels Nutzername und Passwort authentisiert .

Aus EP 1621944 Bl ist bekannt, dass ein Automatisierungsgerät eine Nutzerschnittsteile aufweist, die zugriffsgeschützte In ^¬ formation nach Authentisierung mittels eines Security-Devices anzeigt. Darin ist auch beschrieben, dass ein weiteres Auto ^¬ matisierungsgerät Zugriff auf die im ersten Gerät vorliegen ^¬ den zugriffsgeschützten Daten nach erfolgter Authentisierung am ersten Gerät mittels des Security-Devices erhält.

Aus US 2003/030542 ist bekannt, dass ausgewählte Funktionen eines elektronischen Gerätes (speziell eines PDAs) aktiviert werden, wenn ein berechtigter Nutzer in der Nähe ist. Ein physikalischer Token überträgt ein Passwort an das elektronische Gerät, um eine Funktion freizuschalten.

Aus DE 10 2012 214018 ist ein mobiles Kommunikationsgerät zur Autorisierung eines Nutzers bekannt. Hierbei werden spezi- fisch für ein Endgerät, auf das zugegriffen werden soll, Zugangsinformationen über die Kommunikation mit einem Backendsystem ermittelt und an das Feldgerät zur Prüfung geleitet.

Möglich sind auch Hardware Token, die zeitsynchron mit einem zentralen Server eine PIN erzeugen und für einen remote Zugang verwendet werden. Solch ein Token kann unter

https : //www . rsa . com/de-de/products-Services /identity-access- management/securid/hardware-tokens gefunden werden. Es ist Aufgabe der Erfindung, die Sicherheits- bzw. Schutz ^¬ maßnahmen für den Nutzerzugang zu einem solchen Server, insbesondere einem Web-Server, zu verbessern.

Darstellung der Erfindung

Diese Aufgabe wird durch die unabhängigen Patentansprüche ge ^¬ löst. Vorteilhafte Weiterbildungen sind Gegenstand der abhän- gigen Ansprüche.

Die Erfindung beansprucht ein Verfahren zum Freischalten eines Nutzerzugangs zu einem mit einem eingebetteten System mit Hilfe einer Autorisierung eines Nutzers durch wenigstens ein Kommunikationsgerät am Server, mit den folgenden Schritten:

Bereitstellen von temporären Informationen für die Autorisierung durch eine mit dem eingebetteten System gekoppelten Freischalteinheit, wobei die temporären Informationen von Serverinformationen ableitbar sind,

- Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server;

- Freischalten des genannten Nutzerzugangs zum Server durch eine mit dem Server gekoppelten und mit dem mindestens einen Kommunikationsgerät verbindbaren Zugangskontrolleinheit, wo ^¬ bei das Freischalten von einer Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder der abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, abhängt.

Vorzugsweise wird eine Server- bzw. Berechtigungsinformation des Servers auf dem eingebetteten System aktualisiert abhängig von einer am eingebetteten System erfolgreichen (lokalen) Authentifizierung/Autorisierung, die durch die Frei- schalteinheit initialisiert bzw. bewerkstelligt werden kann. Diese lokale Authentifizierung/Autorisierung am eingebetteten System erfolgt dabei unabhängig von der Kommunikationsverbindung zum Zugriff bzw. Nutzerzugang auf den Server. Die lokale Authentifizierung/Autorisierung ist vorteilhaft, um eine zusätzliche Absicherung vor unbefugten Zugriff zu schafften, jedoch keine zwingende Voraussetzung, um oben genannte

Schritte einzuleiten. Dass ein Anwender die Freischalteinheit besitzt und diese mit dem eingebetteten System gekoppelt ist und mit dieser kommuniziert, kann schon eine Form der Authentifizierung/Autorisierung sein. Die lokale Authentifizierung/Autorisierung kann als Auslöser zum Bereitstellen der temporären Informationen verstanden werden oder die Bereit- Stellung der temporären Informationen ist Teil der lokalen Authentifizierung-/Autorisierung bzw. dessen Vorgangs. Über die bereitgestellten Informationen bzw. davon abgeleiteter Informationen, die zum Server zur Autorisierung am Server übermittelt werden und anschließender Überprüfung der beiden Informationen wird letztendlich eine gesicherte Freischaltung des Nutzerzugangs gewährleistet. Die (durch die lokale Auto ^¬ risierung hervorgerufene) temporär bereitgestellte und die übermittelte Informationen und deren Überprüfung kann quasi eine Zweifaktorauthentifizierung (siehe unten) angesehen wer- den.

Eine Weiterbildung der Erfindung sieht vor, dass Informationen zur Identifizierung der Freigabeeinheit durch das eingebettete System entgegengenommen werden, welche in entgegenge- nommener Form und/oder in abgeleiteter Form in eine Ableitung der bereitzustellenden temporären Informationen eingehen können. Diese Weiterbildung kann eine Ausführungsform der oben beschriebenen lokalen Authentifizierung/Autorisierung sein. Eine Weiterbildung der Erfindung sieht vor, dass das Übermitteln der temporären Informationen dadurch erfolgt, dass ein von der Freischalteinheit bereitgestellter Code, insbesondere einen eindimensionalen Barcode oder zweidimensionalen Quick- Response-Code, mit dem wenigstens einen Kommunikationsgerät fotografiert wird, wobei das Kommunikationsgerät den Code de ^¬ kodiert . Eine Weiterbildung der Erfindung sieht vor, dass die übermittelten Informationen zumindest ein Passwort und/oder PIN umfassen, das/der nach einer vorgebbaren Regel aus den temporären Informationen ermittelt bzw. festgelegt wird.

Eine Weiterbildung der Erfindung sieht vor, dass die temporären Informationen optisch an einer Anzeigevorrichtung und/ der akustisch durch eine Sendevorrichtung bereitgestellt und an dem wenigstens einen Kommunikationsgerät zur Übermittlung derselben an den Server erfasst und/oder entgegengenommen werden .

Eine Weiterbildung der Erfindung sieht vor, dass die temporären Informationen mittels einer Funkübertragungseinrichtung bereitgestellt und an das wenigstens eine Kommunikationsgerät übertragen werden, welches dieselben zur Übermittlung derselben an den Server entgegennimmt.

Eine Weiterbildung der Erfindung sieht vor, dass die temporä- ren Informationen mittels Eingabe an einer Nutzerschnittstei ^¬ le des wenigstens einen Kommunikationsgeräts an den Server übermittelt werden.

Eine Weiterbildung der Erfindung sieht vor, dass die temporä- ren Informationen mittels des eingebetteten Systems an den Server übermittelt werden.

Eine Weiterbildung der Erfindung sieht vor, dass durch eine in das eingebettete System integrierbare Zugangskontrollein- heit zumindest ein Port in einer Geräteanschlußeinheit des eingebetteten Systems für den Nutzerzugang zum Server freigegeben wird. Die Geräteanschlußeinheit kann als ein im engli ^¬ schen genannter Access Point ausgeprägt sein. Eine Weiterbildung der Erfindung sieht vor, dass die Zugangskontrolleinheit zusätzlich überprüft, ob das wenigstens eine Kommunikationsgerät abgesetzt (remote) oder lokal mit dem eingebetteten System in Verbindung steht. Dies bringt den Vorteil mit sich, dass überprüft wird, ob am eingebetteten System tatsächlich eine lokale Autorisierung stattfindet und nicht von außen ein Angriff versucht wird. Ein Vorteil der Erfindung ist, dass ein physikalisches Au- thentisierungstoken (mechanischer Schlüssel, RFID-Tag) einfach verwendet werden kann: Ein Servicetechniker bzw. Nutzer kann einen beliebigen Service-Rechner (PC, Notebook, Tablet, Mobiltelefon) verwenden, um mit einem (Web- ) Browser oder ei- ner App auf ein eingebettetes System zuzugreifen. Nur das eingebettete System selbst muss über einen entsprechenden Leser bzw. Empfänger verfügen. Es ist möglich, ein relativ schwaches Passwort als temporäre Information zu verwenden, um geschützt auf einen Server eines eingebetteten Systems zuzu- greifen, da dieses vom eingebetteten System dynamisch generiert werden und zur Anzeige bereitgestellt werden kann.

Durch die Kombination eines physikalischen Tokens mit dem Passwort kann eine Zweifaktorauthentifizierung, (d.h. Identitätsnachweis eines Nutzers mittels der Kombination zweier un- terschiedlicher und insbesondere unabhängiger Komponenten (Faktoren) z.B. Benutzerkennung und PIN (persönl.

Identifikationsnr . ) oder auch PIN und TAN (Transaktionsnr . ) ) für einen geschützten Nutzerzugang einfach realisiert werden. Die vorstehend genannten Funktionen/Schritte können in Soft ^¬ ware, Firmware und/oder Hardware implementiert sein. Sie kön ^¬ nen als eine Art Funktionseinheiten verstanden werden, die auch in Ihrer Funktion in beliebiger Kombination in eine einzige Einheit (Komponente bzw. Server bzw. Gerät) integriert sein können.

Ein weiterer Aspekt der Erfindung ist ein eingebettetes Sys ^¬ tem bzw. Gerät geeignet zur Durchführung des Verfahrens zum Freischalten eines Nutzerzugangs zu einem mit einem eingebet ^¬ teten System koppelbaren Server mit Hilfe einer Autorisierung eines Nutzers durch wenigstens ein Kommunikationsgerät, auf ^¬ weisend : Mittel zum Bereitstellen von temporären Informationen für die Autorisierung, wobei die temporären Informationen von Serverinformationen ableitbar sind,

- Mittel zum Übermitteln der bereitgestellten und/oder der abgeleiteten temporären Informationen zum Server,

- Mittel zum Freischalten des genannten Nutzerzugangs zum Server durch eine mit dem Server koppelbaren und mit dem mindestens einen Kommunikationsgerät verbindbaren Zugangskont ^¬ rolleinheit und

- Mittel zur Überprüfung, ob die übermittelten Informationen mit den bereitgestellten und/oder den abgeleiteten Informationen zu einem vorgebbaren Mindestmaß übereinstimmen, wobei das Freischalten vom Ergebnis der Überprüfung abhängig ist. Ein weiterer Aspekt der Erfindung kann ein Computerprogramm bzw. ein Computerprogrammprodukt mit mindestens einem Compu ^¬ terprogramm mit Mitteln zur Durchführung des Verfahrens und dessen genannte Ausgestaltungen sein, wenn das Computerprogramm (-produkt) bzw. das mindestens eine Computerprogramm auf dem eingebetteten System nach oben beschriebener Art zur Ausführung gebracht wird.

Obige Systeme bzw. Geräte, Einrichtungen und gegebenenfalls das Computerprogramm (-produkt) können im Wesentlichen analog wie das Verfahren und dessen Ausgestaltungen bzw. Weiterbildungen entsprechend aus- bzw. weitergebildet werden.

Ausführungsbeispiel (e) : Weitere Vorteile, Einzelheiten und Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Beschreibung von Ausführungsbeispielen in Verbindung mit den Zeichnungen.

Dabei zeigen die Figuren 1, 2, 3 und 4 jeweils ein eingebettetes System in

Form eines Feldgeräts, das einem Nutzer temporäre Informationen für die Autorisierung zur Verfügung stellt in jeweils verschiedenen Ausführungsformen.

Die Figur 1 zeigt ein eingebettetes System in Form eines Feldgeräts FD, das mittels einer Netzwerkschnittstelle/-

Interface I über ein Netzwerk mit einem Kommunikationsgerät K, z.B. ein Service Notebook, ein Mobile Panel oder ein

Tablet, in Verbindung steht. Demnach kann das Kommunikations ^¬ gerät ein mobiles bzw. tragbares Gerät sein. Das Feldgerät FD ist mit einem Server S, vorzugsweise Web- bzw. Dienstserver, gekoppelt. In dieser Ausführungsform ist der dem Feldgerät zugeordnete Server S in das Feldgerät FD integriert. Das Netzwerk N kann ein kabelgebundenes oder ein Funk- Übertragungsnetzwerk (z.B. WLAN, Bluetooth, Zigbee, NFC, etc.) sein. Des Weiteren ist das Feldgerät mit einer Zugangskontrolleinheit C gekoppelt, wobei diese in dieser Ausführungsform in das Feldgerät FD integriert ist.

Ein Nutzer U kann mit einem Freigabegerät, das ebenfalls ein Kommunikationsgerät z.B. in Form eines Tokens T, eines Mobil ^¬ geräts M oder sogar dasselbe Kommunikationsgerät K sein kann.

Das Freigabegerät des Nutzers U kommuniziert mit der Zugangs ^¬ kontrolleinheit C, das Informationen (z.B. Freischaltcode, PIN, Passwort etc.) für die Autorisierung des Nutzers bzw. seines Kommunikationsgerätes K. Diese Informationen sind vor ^¬ zugsweise temporär, so dass diese Informationen nur für einen begrenzten Zeitraum z.B. ein paar Minuten zur Verfügung stehen. Die Server- bzw. Berechtigungsinformationen des Servers werden aktualisiert abhängig von einer direkt erfolgten, lokalen Authentifizierung/Autorisierungsprüfung durch die Zugangskontrolleinheit C. Diese lokale Authentifizie ^¬ rung/Autorisierung erfolgt dabei unabhängig von der Kommunikationsverbindung über das Netzwerk N zum Zugriff auf den Server S. Zur lokalen Authentifizierung/Autorisierung können insbesondere: Schlüsselschalter, DIP-Switch, Jumper, Eingabefeld (z.B. Folientastatur oder Touch-Screen bzw. Bedienfeld) am Feldgerät FD verwendet werden. Es sind auch physikalische Authentisierungstokens z.B. T in Form von beispielsweise RFID, NFC, Bluetooth, Zigbee aber auch als M12-Steckmodul, RJ45 Steckmodul oder ähnliches möglich. Dann werden temporäre Informationen bzw. von den Serverinformationen abgeleitete temporäre Informationen für die Autorisierung am Server bereitgestellt. Dies kann optisch durch Anzeige an einer Anzei ^¬ gevorrichtung, akustisch durch eine Sprachausgabe oder ggf. Ultraschall, mechanische Schwingungen etc. erfolgen. Dabei kann das Freigabegerät oder das Kommunikationsgerät K mit ei- nem entsprechenden Empfänger ausgestattet sein, um die Informationen entgegenzunehmen.

Nach der lokalen Authentifizierung/Autorisierung wird mit Hilfe der bereitgestellten temporären Informationen eine ent- sprechende (Web- ) Zugangspolicy (-regel) aus mehreren mögli ^¬ chen Zugangspolicies durch eine mit der Zugangskontrolleinheit C gekoppelten Policy-Auswahleinheit P aktiviert, das symbolisch mit A gekennzeichnet ist und letztendlich den Nut ^¬ zerzugang zum Server freigibt, wenn von Seiten des Nutzers U mit seinem Kommunikationsgerät K eine Service-Anfrage an den Server S über das Netzwerk N gestellt wird. Um die Service- Anfrage senden zu können, kann z.B. ein Firewall-Regelsatz durch P angepasst werden, oder es kann ein Port des Netzwerkinterface temporär aktiviert werden, um einen temporären Zu- gang zu ermöglichen. Es kann zusätzlich überprüft werden, ob das wenigstens eine Kommunikationsgerät abgesetzt (remote) oder lokal mit dem eingebetteten System in Verbindung steht. Beim IPv4-Protokoll oder IPv6-Protokoll ist in der Regel ein Hop-Counter bei einem lokalen „Link" auf 255 gesetzt, bei ei- nem „Remote-Link" auf eine Zahl < 255.

Zur Identifizierung der Freigabeeinheit kann die Zugangskont ^¬ rolleinheit C des Feldgeräts FD kann eine entsprechende In ^¬ formation von einem USB-Stick oder Token entgegennehmen, wel- che in entgegengenommener Form und/oder in abgeleiteter Form in eine Ableitung der bereitzustellenden temporären Informationen (s.o.) eingehen können. Als Antwort auf die Service-Anfrage werden Statusinformatio ^¬ nen bzw. Statusänderungen oder andere Daten bzw. Funktionen wie z.B. Konfigurationsdaten (Basis-, Safety-,

Securitykonfiguration, Diagnose, Selbsttestfunktion, Zugriff auf Sensordaten, Zugriff auf Aktoren) zum Feldgerät nur dann nach einer Freischaltung des Nutzerzugangs zum Kommunikati ^¬ onsgerät K geliefert, wenn eine Überprüfung der temporären Informationen mit den Berechtigungsinformationen am Server zumindest zu einem vorgebbaren oder fest vorgegebenen Min- destmaß (= maximale Abweichung) übereinstimmen.

In Figur 2 wird angedeutet, dass das Feldgerät FD über eine Anzeigevorrichtung D, z.B. eine LCD-Anzeige bzw. Display, und ein Bedienfeld B (Tastenfeld, Folientastatur) verfügt. Ein Benutzer kann das Feldgerät durch Eingabe eines Benutzercodes oder eines Administratorcodes entsperren. In dieser Ausführungsform entspricht dann der Freigabeeinheit das Display bzw. das Bedienfeld. Bei erfolgreicher Prüfung des Codes durch die Zugangskontrolleinheit C wird temporär ein Nutzer- zugang zum Server entsprechend einer Zugangspolicy freige ^¬ schaltet. Weiterhin wird auf dem Display des Feldgerätes FD ein Zugangscode als temporäre Information bereitgestellt bzw. angezeigt, der über eine Nutzerschnittsteile bzw. - Oberfläche, z.B. ein HTML-Form (Form Based Authentication) , einzugeben ist. Der Nutzer muss am Feldgerät (Bedienfeld,

Touchscreen) und über den Browser am Server S ein/eine gleiche, übereinstimmende PIN bzw. Passwort eingeben, das frei wählbar sein kann. Es ist auch möglich, dass als temporäre Information ein eindimensionaler Barcode oder zweidimensionaler Quick-Response- Code (QR-Code) am Display angezeigt bzw. bereitgestellt wird, welcher mit dem wenigstens einen Kommunikationsgerät K foto ^¬ grafiert werden kann. Das Kommunikationsgerät entschlüsselt den Code und sendet die daraus erhaltenen Daten zur Autorisierung an den Server, die die bereitgestellte temporäre In ^¬ formationen mit den vom Kommunikationsgerät K erhaltenen In- formationen überprüft bzw. abgleicht und davon abhängig die Freischaltung des Nutzerzugangs zulässt.

In Figur 3 wird gezeigt, dass der Zugang zum Feldgerät FD drahtlos erfolgt, insbesondere über WLAN. Es wäre aber auch ein Zugang über Bluetooth, Bluetooth LE, IEEE 802.15.4, ZigBee oder über ein zelluläres Mobilfunksystem (GSM, UMTS, LTE, 5G etc.) möglich. Das Feldgerät verfügt über eine Geräteanschlusseinheit , die in dieser Ausführungsform als WLAN-Zugangspunkt AP (Access Point) ausgebildet und mit dem Netzwerkinterface I gekoppelt ist. Nach einer am Feldgerät direkt erfolgten, lokalen Au- thentifizierung/Autorisierungsprüfung wird ein WLAN- Zugangspunkt des Feldgeräts temporär aktiviert bzw. ein Port freigegeben. Die Konfiguration (insbesondere Netzwerkname SSID, ggf. ein PSK WLAN-Preshared-Key) kann fest konfiguriert sein, oder er kann dynamisch, zufällig oder pseudozufällig erzeugt und als temporäre Information auf dem Display des Feldgerätes angezeigt werden.

Der Nutzer loggt sich dann mit den aus den temporären Information ableitbaren bzw. ermittelbaren Informationen (Zugangsdaten bzw. -code) am Zugangspunkt AP ein und erhält nach der Überprüfung der Informationen durch die Zugangskontrolleinheit einen Nutzerzugang zum Server.

Es ist auch ein physikalisches Authentisierungstoken T - wie in Figur 4 gezeigt - denkbar, der ein Passwort oder eine PIN anzeigen kann, die bei der Server-Autorisierung einzugeben ist (z.B. in ein Formularfeld) . Abhängig vom verwendeten Authentisierungstoken, das ein Feldgerät freigeschaltet hat, wird ein Passwort als temporäre Information durch das Feldge ^¬ rät ausgewählt, das über die Nutzerschnittsteile eingegeben werden muss. Wird ein physikalisches Authentisierungstoken verwendet, kann in zeitlich gleichen oder variablen Abständen geprüft werden, ob dieses Token noch vorhanden ist und in Abhängigkeit der lokalen Policy P entschieden werden, ob bei nicht mehr vorhandenem Token die Verbindung zum Server aufrechterhalten wird oder abgebaut wird. Wird das Fehlen des Tokens bemerkt, kann abhängig von der Policy eine Warnung oder ein Hinweis über den Server an den Nutzer ausgegeben werden. In einer weiteren Ausführungsform ist das Zugangsto- ken z.B. über eine drahtlose Kommunikation mit dem Feldgerät FD verbunden. Hierbei wird nicht nur das Vorhandensein des Token T geprüft, sondern auch dynamische Informationen mit dem Token ausgetauscht. Das Token generiert hierbei bei- spielsweise eine PIN (z.B. nach einer bestimmten Zeit oder auf Knopfdruck) und stellt diese als temporäre Information auf seinem Display dar. Diese PIN wird dann beispielsweise über NFC an das Feldgerät FD übertragen. Der Servicetechniker muss nun diese PIN am Server eingeben, um sich für die Frei- Schaltung des Nutzerzugriffs zu autorisieren.

Das bringt den Vorteil mit sich, dass auch Feldgeräte nutzbar sind, die nicht über eine integrierte Anzeigevorrichtung ver ^¬ fügen . Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele einge ^¬ schränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen.

Die Implementierung der vorstehend beschriebenen Prozesse oder Verfahrensabläufe kann anhand von Instruktionen erfol ^¬ gen, die auf computerlesbaren Speichermedien oder in flüchti- gen Computerspeichern (im Folgenden zusammenfassend als computerlesbare Speicher bezeichnet) vorliegen. Computerlesbare Speicher sind beispielsweise flüchtige Speicher wie Caches, Puffer oder RAM sowie nichtflüchtige Speicher wie Wechselda ^¬ tenträger, Festplatten, usw.

Die vorstehend beschriebenen Funktionen oder Schritte können dabei in Form zumindest eines Instruktionssatzes in/auf einem computerlesbaren Speicher vorliegen. Die Funktionen oder Schritte sind dabei nicht an einen bestimmten Instruktions ^¬ satz oder an eine bestimmte Form von Instruktionssätzen oder an ein bestimmtes Speichermedium oder an einen bestimmten Prozessor oder an bestimmte Ausführungsschemata gebunden und können durch Software, Firmware, Microcode, Hardware, Prozes ^¬ soren, integrierte Schaltungen usw. im Alleinbetrieb oder in beliebiger Kombination ausgeführt werden. Dabei können verschiedenste Verarbeitungsstrategien zum Einsatz kommen, beispielsweise serielle Verarbeitung durch einen einzelnen Pro- zessor oder Multiprocessing oder Multitasking oder Parallelverarbeitung usw.

Die Instruktionen können in lokalen Speichern abgelegt sein, es ist aber auch möglich, die Instruktionen auf einem ent- fernten System abzulegen und darauf via Netzwerk zuzugreifen.

Der Begriff "Prozessor", "zentrale Signalverarbeitung",

"Steuereinheit" oder "Datenauswertemittel " , wie hier verwen ^¬ det, umfasst Verarbeitungsmittel im weitesten Sinne, also beispielsweise Server, Universalprozessoren, Grafikprozesso ^¬ ren, digitale Signalprozessoren, anwendungsspezifische inte ^¬ grierte Schaltungen (ASICs) , programmierbare Logikschaltungen wie FPGAs, diskrete analoge oder digitale Schaltungen und be ^¬ liebige Kombinationen davon, einschließlich aller anderen dem Fachmann bekannten oder in Zukunft entwickelten Verarbeitungsmittel. Prozessoren können dabei aus einer oder mehreren Vorrichtungen bzw. Einrichtungen bzw. Einheiten bestehen. Besteht ein Prozessor aus mehreren Vorrichtungen, können diese zur parallelen oder sequentiellen Verarbeitung bzw. Ausfüh- rung von Instruktionen ausgelegt bzw. konfiguriert sein.