T

TIA Openness Manager
Loading...

Sicherheit & Datenverarbeitung

Wie wir Ihre Engineering-Daten schützen

Was Ihre Maschine verlässt, was nicht, und wie wir alles dazwischen absichern.

TIA Portal V15-V21
Windows 10/11
MCP Tools
OPC UA Client

Unsere Sicherheitsprinzipien

Local-First-Verarbeitung

TIA-Portal-Projekte werden ausschliesslich auf Ihrer lokalen Maschine über die Siemens-Openness-Schnittstelle verarbeitet.

Folgendes verlässt Ihre Arbeitsstation durch unsere Software niemals:

  • Projektinhalte und TIA-Portal-Projektdateien
  • SPS-Code (SCL, STL, LAD, FBD, S7DCL, SPL)
  • Exportierte XML-Dateien, Bausteinquellen oder WinCC-Unified-Bilder
  • Hardware-Konfigurationen
  • Variablentabellen, Variablenwerte oder Online-Diagnose-Daten

Ihre Engineering-Daten bleiben dort, wo sie hingehören — auf der Arbeitsstation, auf der TIA Portal läuft.

Keine Telemetrie, kein Tracking

Die Anwendung erhebt keine Nutzungsstatistiken, keine Crash-Telemetrie und kein Verhaltens-Tracking. Es sind keine Analytics-Bibliotheken von Drittanbietern in das Produkt eingebettet.

  • Kein Session-Tracking
  • Keine Feature-Usage-Beacons
  • Keine automatisch versendeten Fehlerberichte
  • Keine A/B-Tests, keine Experimente

Wenn Sie Diagnose-Informationen für einen Support-Fall weitergeben möchten, exportieren Sie explizit ein Log-Paket und senden es selbst — im Hintergrund wird nichts hochgeladen.

Lizenzserver — die einzige ausgehende Verbindung

Die einzigen Daten, die jemals an unseren Lizenzserver übertragen werden, sind:

  • Customer-ID (wird beim Kauf zugewiesen)
  • Hardware-ID (ein lokaler Fingerabdruck Ihrer Arbeitsstation, abgeleitet aus Hardware-Kennungen)
  • Zeitstempel

Das ist die gesamte Nutzlast. Keine Engineering-Daten, keine Projekt-Metadaten, keine Nutzungsstatistiken, keine Dateinamen.

Verifizierungs-Garantien:

  • Lizenz-Antworten sind digital mit ECDSA signiert. Eine manipulierte oder gefälschte Antwort wird vom Client abgewiesen, bevor ihr vertraut wird.
  • Die Hardware-ID muss zu dem bei der Aktivierung gebundenen Eintrag passen — eine gültige Lizenz-Antwort kann also nicht auf einer anderen Maschine wiedergegeben werden.
  • Rate-Limiting schützt vor systematischem Durchprobieren von Customer-IDs.

Die Anwendung funktioniert zwischen zwei Validierungen bis zu 14 Tage offline — nützlich für Engineering-Arbeitsstationen ohne durchgängigen Internetzugang.

Zugangsdaten und API-Schlüssel

Alle sensiblen Zugangsdaten werden im geschützten Anmeldeinformations-Speicher Ihres Betriebssystems abgelegt — niemals im Klartext in Konfigurationsdateien, Log-Dateien oder Export-Dateien.

Dies gilt für jede Anmeldeinformation, die die Anwendung verarbeitet:

  • AI-Provider-API-Schlüssel (Anthropic, OpenAI, Google, Azure, AWS usw.)
  • OAuth-Tokens für Drittanbieter-Integrationen
  • PLCSIM-Advanced-Master-Secret-Passwörter
  • Git-Hosting-Zugangsdaten und Personal Access Tokens
  • Web-Search-API-Schlüssel
  • MCP-Server-Zugangsdaten

Wenn Sie die Anwendung deinstallieren, verbleiben diese Anmeldedaten unter der Kontrolle Ihres Betriebssystem-Kontos, bis Sie sie löschen — sie werden nicht in Anwendungs-Dateien geschrieben, die in Backups oder Support-Paketen landen könnten.

Passwort-Vault (Know-how-Schutz)

Der eingebaute Passwort-Vault für TIA-Portal-Know-how-Schutzpasswörter verwendet industriegängige authentifizierte Verschlüsselung:

  • AES-256-GCM mit 128-Bit-Authentifizierungs-Tag — jede Manipulation der Vault-Datei wird beim Öffnen erkannt
  • PBKDF2-SHA256-Schlüsselableitung mit 600.000 Iterationen — weit über dem von OWASP empfohlenen Minimum
  • Ein frisch zufällig erzeugtes 96-Bit-Nonce für jede Schreiboperation
  • Klartext wird nach der Verwendung explizit aus dem Arbeitsspeicher gelöscht

Das Master-Passwort selbst wird niemals gespeichert. Nur das abgeleitete Schlüsselmaterial wird im Speicher gehalten, und nur solange der Vault entsperrt ist. Beim Sperren wird der Schlüssel aus dem Speicher entfernt.

Die Vault-Datei ist eine eigenständige verschlüsselte Datei, die vollständig unter Ihrer Kontrolle steht — Sie können sie sichern, zwischen Arbeitsstationen verschieben oder löschen. Ohne das Master-Passwort sind die Inhalte nicht wiederherstellbar.

AI-Funktionen — Opt-in per Konfiguration

AI-Funktionen sind opt-in per Konfiguration. Kein AI-Traffic verlässt jemals Ihre Maschine, solange Sie nicht explizit einen Provider konfigurieren und einen API-Schlüssel hinterlegen.

Sie wählen den Provider:

  • Anthropic Claude
  • OpenAI (Chat- und Responses-API)
  • Azure OpenAI (für Kunden mit eigenem Azure-Data-Residency-Vertrag)
  • Google Gemini
  • Google Vertex AI
  • AWS Bedrock
  • Ollama — für vollständig lokale, offline-fähige Inferenz auf Ihrer eigenen Hardware oder einem On-Premise-Server

Für vertrauliche Engineering-Projekte ermöglicht Ollama einen kompletten lokalen AI-Workflow ohne jeglichen externen Traffic.

Sie entscheiden pro Sitzung, welche Inhalte Sie mit dem gewählten Provider teilen. Dateien, Bausteine und Anhänge werden nur dann in eine Anfrage aufgenommen, wenn Sie sie aktiv in den Chat legen — es findet keine automatische Einsammlung Ihres Projekts statt.

Integrität der Releases

Jedes Release der Anwendung wird digital mit einem SHA-256-Code-Signing-Zertifikat signiert und mit einem Zeitstempel versehen, damit Windows die Integrität vor der Installation prüfen kann. SmartScreen und Gruppenrichtlinien können die Signaturprüfung gegen unsere Herausgeberkennung erzwingen.

Updates werden über einen eingebauten Auto-Update-Mechanismus ausgeliefert, der Signaturen vor der Installation prüft — ein unsigniertes oder manipuliertes Update-Paket wird abgelehnt.

Speicherort lokaler Daten

Alle Anwendungsdaten werden unter Ihrem Windows-Benutzerprofil abgelegt:

%LocalAppData%\TiaOpennessManager

Dazu zählen Log-Dateien, Benutzereinstellungen, Chat-Verlauf, die verschlüsselte Vault-Datei und lokale Caches. Keiner dieser Pfade wird von der Anwendung synchronisiert, hochgeladen oder geteilt.

Wenn Ihre Organisation Roaming-Profile oder spezifische Data-Locality-Regeln einsetzt, bleiben die Daten unter den Richtlinien, die für %LocalAppData% gelten — die Anwendung erstellt keine Kopien an anderen Orten.

Empfehlungen für vertrauliche Projekte

Für Engineering-Projekte unter NDA oder mit strikten Vertraulichkeitsanforderungen empfehlen wir folgende Konfiguration:

  • Ollama für AI-Funktionen verwenden — vollständig lokale Inferenz, kein externer Provider involviert
  • Oder AI-Funktionen gar nicht konfigurieren — der Chat-Bereich bleibt dann einfach inaktiv
  • Den Passwort-Vault für know-how-geschützte Bausteine aktiv nutzen
  • Den eingebauten Git-Client für nachvollziehbare, auditierbare Versionshistorie Ihrer Exporte einsetzen
  • Den Inhalt von Log-Paketen vor dem Weitergeben für den Support prüfen — standardmässig bleiben diese lokal
  • Die Anwendung auf einer Arbeitsstation installieren, die Ihrer Unternehmens-Sicherheitsrichtlinie entspricht (Festplattenverschlüsselung, Endpoint-Schutz, Least-Privilege-Konto)

Wenn Sie spezifische interne Sicherheits- oder Compliance-Anforderungen haben, sprechen Sie uns an — wir gehen gerne in einem technischen Gespräch Ihre Einrichtung durch und beantworten Fragen zu Datenfluss, Umgang mit Zugangsdaten und Deployment-Optionen.

Fragen?

Für detaillierte Fragen zur Datenverarbeitung, Sicherheitsarchitektur oder Compliance:

E-Mail: support@tiaopenessmanager.ch

Siehe auch unsere Datenschutzerklärung für den formellen Datenschutz-Hinweis und unser Impressum für Anbieter-Informationen.

© 2025-2026 AnyAutomation. Alle Rechte vorbehalten.

© 2026 AnyAutomation - TIA Openness Manager

Contact: support@tiaopenessmanager.ch