Jedes netzwerkfähige Gerät stellt ein potenzielles Einfallstor dar. Ob in privaten Installationen, gewerblichen Einrichtungen oder kritischer Infrastruktur – vernetzte Systeme müssen mit Blick auf Sicherheit entwickelt werden.
Dies gilt insbesondere für professionelle Umgebungen wie Forschungseinrichtungen, Aquakulturbetriebe und industrielle Anlagen, in denen die Integrität des Netzwerks von entscheidender Bedeutung ist.
GHL Systeme sind gezielt darauf ausgelegt, eine missbräuchliche Nutzung als Netzwerk-Backdoor zu verhindern.
Entwickelt für lokalen, kontrollierten Betrieb
GHL Controller sind als eigenständige, lokale Systeme vollständig funktionsfähig. Sie sind für den Betrieb nicht auf externe Cloud-Dienste oder Server von Drittanbietern angewiesen. Der Fernzugriff über myGHL ist eine optionale Funktion und keine Voraussetzung. Der lokale Netzwerkzugriff funktioniert unabhängig und erfordert keine externe Internetverbindung.
Für Umgebungen mit strengen Sicherheitsrichtlinien können die Netzwerk-Schnittstellen vollständig deaktiviert werden, sodass der Betrieb ausschließlich über eine direkte USB-Verbindung erfolgt.
Kein universelles Standard-Betriebssystem
GHL Geräte betreiben kein Linux oder vergleichbare Betriebssysteme. Es gibt weder SSH, Telnet, FTP, eine Remote-Shell noch die Möglichkeit, ausführbare Programme hochzuladen. Dadurch entfallen viele der typischen Angriffsflächen, die bei netzwerkfähigen Consumer-Steuerungssystemen vorhanden sind.
Authentifizierte und begrenzte Netzwerkoberfläche
Wenn die Netzwerkfunktion aktiviert ist, sind ausschließlich definierte Kommunikationsports aktiv:
-
TCP 80 – passwortgeschützte Weboberfläche
-
TCP 81 – authentifizierte WebSocket-Kommunikation (nur wenn der myGHL-Cloud-Dienst aktiviert ist)
-
TCP 10001 – proprietäre Control-Center-Schnittstelle
-
TCP 10002 – proprietäre API-Schnittstelle
Die proprietären Protokolle basieren nicht auf gängigen Dienstestandards, die typischerweise Ziel automatisierter Angriffe sind. Sie stellen keine generischen Zugriffsmöglichkeiten bereit und sind ausschließlich für definierte Kommunikationsabläufe auf Anwendungsebene ausgelegt.
Für Umgebungen mit strengen Netzwerkrichtlinien können diese Ports zusätzlich eingeschränkt werden.
Geschichtete Steuerungsarchitektur
Der Steuerungskern arbeitet auf einem dedizierten, proprietären Mikrocontroller ohne direkte Anbindung an den Netzwerk-Stack. Die Netzwerkkommunikation wird von einem separaten Kommunikationsmodul übernommen. Diese geschichtete Architektur verhindert, dass das Gerät als Relay, Proxy oder Ausgangspunkt für Zugriffe auf andere Teile eines Netzwerks genutzt werden kann.
Es existiert kein Mechanismus, der es einem GHL Gerät ermöglichen würde, externen Datenverkehr in interne Infrastruktur weiterzuleiten.
Keine Remote-Code-Ausführung
Firmware-Updates erfolgen als monolithische Einheiten und ausschließlich über autorisierte Update-Verfahren. Das Hochladen und Ausführen beliebigen externen Codes ist technisch nicht möglich.
Fazit
GHL Systeme sind als Embedded-Control-Plattformen mit bewusst minimierter Angriffsfläche konzipiert.
Für professionelle IT-Umgebungen und sicherheitsbewusste Anwender bedeutet dies ein vorhersehbares Netzwerkverhalten, kontrollierte Kommunikationswege und eine Systemarchitektur, die gezielt darauf ausgelegt ist, eine missbräuchliche Nutzung als Netzwerkeintrittspunkt zu verhindern.
