Ewon Cosy 141 verliert Talk2M Ende 2026: eigene Fernwartungsplattform statt Vendor-Lock-in

Hinweis zum Inhalt: Die Informationen in diesem Artikel wurden nach bestem Wissen zum Zeitpunkt der Veröffentlichung zusammengestellt. Technische Details, Preise, Versionen, Lizenzmodelle und externe Inhalte können sich ändern. Bitte prüfen Sie die genannten Angaben eigenständig, insbesondere vor geschäftskritischen oder sicherheitsrelevanten Entscheidungen. Dieser Artikel ersetzt keine individuelle Fach-, Rechts- oder Steuerberatung.

Eigene Fernwartungsplattform statt Talk2M-Lock-in - WZ-IT baut self-hosted Remote-Management auf WireGuard-Standorttunneln, Browser-HMI und rollenbasiertem Zugriff. Mandantenfähig, auditierbar, in der EU betrieben. Erstgespräch buchen · Remote-Management-Plattformen · Sichere Fernwartung von Maschinen
Wer Maschinen und Anlagen aus der Ferne wartet, kennt die kleinen Kästen am Schaltschrank: Ewon Cosy von HMS Networks, dazu die Talk2M-Cloud, die den VPN-Tunnel zum Servicetechniker aufbaut. Genau diese Bequemlichkeit wird jetzt zur Kostenfalle. Stand Juni 2026 läuft der Talk2M-Zugriff für die Baureihen Ewon Cosy 141 und die komplette CD-Generation zum Jahresende 2026 aus. Wer betroffen ist, muss Hardware tauschen - und sitzt anschließend wieder in derselben Abhängigkeit.
Parallel dazu hat sich die Eigentümerlandschaft verschoben: HMS Networks hat 2024 Red Lion Controls übernommen und führt Red Lion und N-Tron seither als eigene Marken. Die deutsche MB connect line wurde im selben Jahr per Management-Buyout wieder aus der Gruppe gelöst. Drei Bewegungen, ein Muster: Roadmaps, Cloud-Bedingungen und Lizenzmodelle ändern sich, ohne dass der Anlagenbetreiber mitreden kann. Dieser Beitrag ordnet die Nachrichtenlage ein und zeigt, warum eine eigene, self-hosted Fernwartungsplattform die strategisch sauberere Antwort ist - und wie der Umstieg von Ewon, IXON oder Secomea konkret abläuft.
Inhaltsverzeichnis
- Was Ende 2026 mit Ewon Cosy 141 und CD passiert
- HMS-Konsolidierung: Ewon, Red Lion und N-Tron unter einem Dach
- Das eigentliche Risiko: Vendor-Lock-in bei Industrie-VPN-Routern
- Sicherheitslage: CVEs bei Ewon Cosy+ und IXON
- Die Alternative: eine eigene Fernwartungsplattform
- Migration von Ewon, IXON oder Secomea
- ABCO Water Systems und nextGYM als Referenz
- Unser Vorgehen bei WZ-IT
- Weiterführende Guides
Was Ende 2026 mit Ewon Cosy 141 und CD passiert
Die Ewon Cosy 141 und die CD-Generation (Modelle wie 4101CD, 2101CD, 4001CD, 2104CD) sind Auslaufmodelle. HMS Networks führt sie in der offiziellen Ewon Product List seit mehreren Jahren in der Exit-Phase: "still supported on our Talk2M platform for now, but it is time to plan their replacement". Den konkreten Stichtag nennt nicht die HMS-Seite selbst, sondern die Austauschkommunikation der Ewon-Distribution: Stand Juni 2026 läuft der Remote-Zugriff über Talk2M für Cosy 141 und CD zum Jahresende 2026 aus, ab dem 1. Januar 2027 ist über diese Geräte kein Verbindungsaufbau mehr möglich. Als Nachfolger empfiehlt HMS die Cosy+-Reihe oder die Flexy 205 mit Serien- beziehungsweise MPI-Erweiterungskarte.
In der Praxis heißt das: Jede Anlage, die heute über eine Cosy 141 oder eine CD-Box angebunden ist, verliert ab 2027 den herstellerseitigen Fernzugriff. Der Servicetechniker kommt nicht mehr remote auf die SPS, das HMI oder den Umrichter. Für Maschinenbauer mit installierter Basis im dreistelligen Bereich bedeutet das einen Roll-out-Zwang, oft inklusive Vor-Ort-Termin bei jedem Endkunden - und am Ende steht wieder ein Gerät, das an dieselbe Cloud und dasselbe Lizenzmodell gebunden ist.
HMS-Konsolidierung: Ewon, Red Lion und N-Tron unter einem Dach
Das End-of-Life fällt in eine Phase starker Konsolidierung. HMS Networks, ein an der Nasdaq Stockholm börsennotierter schwedischer Konzern, hat 2024 Red Lion Controls für rund 345 Millionen US-Dollar übernommen und damit seine Präsenz in Nordamerika ausgebaut. Seither führt HMS Red Lion und N-Tron als offizielle Produktmarken neben Ewon, Anybus und Ixxat. Ein wachsender Teil der industriellen Konnektivität liegt damit bei einem einzigen Anbieter.
Gleichzeitig lief eine Bewegung in die Gegenrichtung: Red Lion hatte 2022 die deutsche MB connect line GmbH (mbNET-Router, mbCONNECT24-Cloud) übernommen. Mit der Red-Lion-Akquisition wanderte sie zu HMS - und wurde im Oktober 2024 wieder herausgelöst. Die langjährigen Manager Timo Bednarek und Alexander Kamm übernahmen per Management-Buyout 100 Prozent der Anteile für 5 Millionen Euro. Aus der Red Lion Europe GmbH wurde wieder die eigenständige MB connect line GmbH in deutscher Hand. Für Anwender ist die Botschaft beider Vorgänge dieselbe: Wem das Gerät und die Cloud gehören, kann sich binnen Monaten ändern - mitsamt Roadmap, Datenstandort und Preisgestaltung.
Das eigentliche Risiko: Vendor-Lock-in bei Industrie-VPN-Routern
Das Talk2M-Aus ist nur der konkrete Anlass. Das strukturelle Problem ist der Bauplan selbst: ein proprietärer Router plus die dazugehörige Hersteller-Cloud. Daraus ergeben sich drei Risiken, die für Ewon genauso gelten wie für IXON, Secomea oder mbCONNECT24:
- Erzwungenes Device- und Cloud-EOL. Der Hersteller entscheidet, wann ein Gerät aus seiner Cloud fliegt. Die Cosy 141 ist das aktuelle Beispiel, sie wird nicht das letzte sein. Ein Hardware-Lebenszyklus von acht bis zehn Jahren ist in der Automatisierung normal - die Cloud-Anbindung hält selten so lange.
- Eigentümerwechsel außerhalb Ihrer Kontrolle. Wer heute bei einem Anbieter kauft, kauft die Roadmap des Eigentümers von morgen mit. Die Geschichte HMS, Red Lion und MB connect line zeigt, wie schnell sich Verantwortlichkeiten verschieben.
- Lizenzkosten pro Gerät oder Verbindung. Talk2M Pro und vergleichbare Pakete rechnen pro angebundenem Gerät oder pro gleichzeitiger Verbindung ab. Mit jeder neuen Maschine wächst die laufende Lizenz - unabhängig davon, ob Sie das Feature-Set überhaupt nutzen.
Hinzu kommt der Datenhoheits-Aspekt: Der VPN-Tunnel zu Ihrer Anlage terminiert in einer Cloud, die Sie nicht betreiben und deren Logs Sie nicht vollständig einsehen. Für NIS2-Pflichtige ist das ein schwer zu auditierender Punkt.
Sicherheitslage: CVEs bei Ewon Cosy+ und IXON
Der naheliegende Reflex - einfach auf den Cosy+ als Nachfolger wechseln - löst das Sicherheitsthema nicht. Auf der DEF CON 32 demonstrierte SySS-Forscher Moritz Abrell, wie sich der Ewon Cosy+ kapern lässt. Die Kette aus CVE-2024-33892 (Zugangsdaten im Cookie), CVE-2024-33894 (Prozesse mit überhöhten Rechten) und CVE-2024-33896 (OS-Command-Injection über die OpenVPN-Konfiguration) erlaubte einem nicht authentifizierten Angreifer Root-Zugriff. Anschließend ließen sich verschlüsselte Firmware und Konfigurationspasswörter entschlüsseln - und, besonders kritisch, gültige X.509-VPN-Zertifikate fremder Geräte fälschen, um deren Talk2M-Sitzungen zu übernehmen. Behoben wurde das in den Firmware-Versionen 21.2s10 und 22.1s3 (Updates ab Juli 2024).
Auch der Wettbewerb ist nicht sicherer: Im IXON-VPN-Client fanden die Sicherheitsforscher von Shelltrail die Schwachstellen CVE-2025-26168 und CVE-2025-26169 (CVSS 8.1). Unter Linux ließ sich über eine vorhersagbare temporäre OpenVPN-Konfiguration und eine Named Pipe eine lokale Rechteausweitung bis Root erreichen, unter Windows über eine Race Condition in C:\Windows\Temp bis SYSTEM - ohne aktive VPN-Verbindung. Behoben in Client-Version 1.4.4. Das Muster ist klar: Jede Blackbox-Appliance mit eigener Client-Software ist eine weitere Angriffsfläche, die Sie nicht selbst härten können.
Die Alternative: eine eigene Fernwartungsplattform
Eine eigene, self-hosted Plattform dreht die Logik um. Statt eines proprietären Routers plus Hersteller-Cloud setzen wir auf einen offenen, auditierbaren Stack, den Sie selbst kontrollieren:
- WireGuard-Standorttunnel zu jeder Anlage. WireGuard ist mit rund 4.000 Zeilen Code im Linux-Kernel verankert, nutzt ausschließlich Public-Key-Kryptografie und hat kein Login-Portal, das umgangen werden könnte. Der Tunnel terminiert auf Ihrer Infrastruktur, nicht in einer fremden Cloud.
- Browser-HMI über ein zentrales Portal. Servicetechniker greifen über den Browser per Apache Guacamole auf VNC-, RDP- und SSH-HMIs zu - ohne lokal installierten VPN-Client, der zur Angriffsfläche wird. Klassische Panel-HMIs und moderne Web-HMIs werden gleichermaßen erreichbar.
- Rollenbasierter Zugriff (RBAC) und lückenloses Audit-Log. Wer wann auf welche Anlage zugegriffen hat, steht filterbar in der Oberfläche. Genau das, was Talk2M-Logs nicht vollständig hergeben.
- Mandantenfähigkeit. Maschinenbauer betreiben eine Plattform für alle Endkunden, sauber getrennt pro Mandant - jeder Kunde sieht nur seine Anlagen.
- Identität über Ihr SSO. Anbindung an Keycloak, Authentik oder Entra. Wer das Unternehmen verlässt, verliert mit dem Deaktivieren im Identity-Provider sofort jeden Zugriff.
Wer es als Managed-Mesh bevorzugt, kombiniert die Standorttunnel mit NetBird als Zero-Trust-Layer. Details zu Architektur und Betrieb stehen auf unseren Seiten zu NetBird und WireGuard.
Migration von Ewon, IXON oder Secomea
Der Umstieg ist kein Wochenend-Flip, läuft aber planbar in drei Phasen:
Phase 1 - Inventur. Welche Standorte hängen an welchen Geräten (Cosy 141, CD, Cosy+, IXON, SiteManager)? Welche Protokolle und HMIs müssen erreichbar sein - SPS, Umrichter, Panel-HMI, Web-HMI? Welche Servicepartner brauchen welche Rechte? Output ist ein Architektur- und Migrationsplan mit Soll-Ist-Vergleich.
Phase 2 - Pilot. Wir bauen die Plattform (WireGuard-Gateway, Portal, RBAC, Audit) auf Ihrer oder gemieteter EU-Infrastruktur auf und binden einen ersten Standort an - im Parallelbetrieb zur bestehenden Cloud. So lassen sich NAT-Traversal hinter realen Kundennetzen, Performance und Rechtevergabe unter Echtbedingungen testen.
Phase 3 - Rollout. Standort für Standort wird die alte Box abgelöst, jeweils mit klarem Rollback-Pfad. Erst nach erfolgreichem Cutover wird das Altgerät stillgelegt. Bei Cosy 141 und CD nutzen Sie das ohnehin anstehende Hardware-Ende als natürlichen Anlass, gleich auf den souveränen Stack zu wechseln, statt erneut in eine Hersteller-Cloud zu investieren.
ABCO Water Systems und nextGYM als Referenz
Das ist kein Konzeptpapier. Für ABCO Water Systems in Australien betreiben wir genau diese Art Plattform: Fernzugriff und -wartung verteilter Wasseraufbereitungsanlagen über ein zentrales Portal, mit Browser-HMI-Zugriff und sauberer Mandantentrennung. Servicetechniker erreichen jede Anlage über den Browser, ohne dass an einer Anlage ein eingehender Port offen steht.
In Deutschland betreiben wir für die nextGYM GmbH eine vergleichbare Plattform für verteilte Studio-Standorte - mit zentralem Dashboard, Rechteverwaltung pro Standort und Node-RED-Automatisierung. Beide Fälle zeigen: Eine eigene Fernwartungsplattform ist für Mittelstand und Maschinenbau heute betreibbarer Standard, nicht Hochrisiko-Eigenbau.
Unser Vorgehen bei WZ-IT
Wir bauen und betreiben Remote-Management-Plattformen als Managed Service oder als Übergabe in Ihren Eigenbetrieb. Der Stack läuft auf Ihrer oder von uns gemieteter Infrastruktur in der EU, DSGVO-konform und ohne Pro-Device-Lizenzfalle.
Konzeption und Aufbau. WireGuard-Standorttunnel, Browser-HMI über Guacamole, RBAC und Audit-Trail, Mandantenmodell, SSO-Anbindung. In der Regel steht die Basis innerhalb weniger Wochen.
Migration aus Hersteller-Clouds. Für Ewon Cosy 141 und CD, Cosy+, IXON und Secomea haben wir ein Migrations-Runbook samt Parallelbetrieb. Den anstehenden Hardware-Tausch zum Talk2M-Stichtag nutzen wir als Hebel, um Sie direkt aus dem Lock-in herauszuholen.
Betrieb mit Sicherheitsblick. Sichere Fernwartung von Maschinen und Anlagen heißt bei uns: Monitoring, CVE-Beobachtung der eingesetzten Komponenten und ein Audit-Log, das für NIS2-Dokumentation taugt. Eine self-hosted Plattform mit RBAC und vollständigem Audit erfüllt Zugriffskontrolle und Nachvollziehbarkeit deutlich besser als eine Blackbox-Cloud. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.
Weiterführende Guides
- Remote-Management-Plattformen - der souveräne Stack als Managed Service oder Eigenbetrieb
- Sichere Fernwartung von Maschinen und Anlagen - Architektur und Sicherheitsanforderungen im Detail
- WireGuard zur Standortanbindung - wie Anlagen sicher ans Portal kommen
- Was ist NetBird? - Zero-Trust-Mesh als Alternative zum Standorttunnel
- NetBird Managed und WireGuard Hosting - Betrieb und Leistungsumfang
- Case Study ABCO Water Systems - Fernwartung verteilter Anlagen in der Praxis
Ihre Maschinen hängen an Ewon Cosy 141, IXON oder Secomea und Sie wollen vor dem Talk2M-Stichtag raus aus dem Vendor-Lock-in? Wir bewerten Ihren Bestand kostenfrei und liefern einen Migrationsplan auf eine eigene Plattform - mit Aufwandsschätzung, Kostenvergleich und Parallelbetrieb. Kostenloses Fernwartungs-Review buchen · Zur Remote-Management-Plattform · WireGuard-Standortanbindung
Quellen
- HMS Networks Support: Ewon Product List - Firmware Versions and Replacement Guide
- FOXON (Ewon-Distribution): Talk2M-Konnektivität für Ewon 141 und CD endet 2026
- Red Lion / HMS Networks: HMS Networks Acquires Red Lion Controls
- ARC Advisory: HMS Networks Introduces Red Lion und N-Tron as Official Product Brands
- HMS Networks: Completed divestment of MB Connect Line
- MB connect line: Independence with tradition - MB connect line takes its own path again
- SySS Tech Blog: Hacking a Secure Industrial Remote Access Gateway (Ewon Cosy+)
- NVD: CVE-2024-33892 (Ewon Cosy+)
- Shelltrail: Three new CVEs related to IXON VPN client (Local Privilege Escalation)
- WireGuard: Offizielle Projektseite
Häufig gestellte Fragen
Antworten auf wichtige Fragen zu diesem Thema
HMS Networks führt die Ewon Cosy 141 und die gesamte CD-Generation (4101CD, 2101CD, 4001CD und weitere) seit mehreren Jahren in der Exit-Phase. Stand Juni 2026 endet der Remote-Zugriff über Talk2M für diese Baureihen zum Jahresende 2026. HMS empfiehlt den Wechsel auf Cosy+ oder Flexy 205. Wer betroffen ist, muss die Hardware tauschen und steht damit erneut vor der Frage, ob er sich wieder an eine Hersteller-Cloud bindet oder eine eigene Plattform aufbaut.
HMS Networks hat 2024 Red Lion Controls für rund 345 Millionen US-Dollar übernommen und führt Red Lion und N-Tron seither als eigene Produktmarken. Ewon, Red Lion, N-Tron, Anybus und Ixxat liegen damit bei einem börsennotierten schwedischen Konzern. Die deutsche MB connect line (mbNET, mbCONNECT24) wurde im Oktober 2024 per Management-Buyout aus der Gruppe gelöst und ist wieder eigenständig. Solche Eigentümerwechsel zeigen, wie schnell sich Roadmaps, Cloud-Bedingungen und Lizenzmodelle ändern können, ohne dass der Anwender Einfluss hat.
Der Cosy+ ist das aktuelle Nachfolgegerät, hatte aber 2024 selbst gravierende Schwachstellen. SySS-Forscher Moritz Abrell zeigte auf der DEF CON 32 eine Kette aus CVE-2024-33892 bis CVE-2024-33896, mit der ein nicht authentifizierter Angreifer Root-Zugriff erlangen, verschlüsselte Firmware und Konfigurationspasswörter entschlüsseln und sogar gültige VPN-Zertifikate fremder Geräte fälschen konnte. Behoben wurde das in den Firmware-Versionen 21.2s10 und 22.1s3. Ein neueres Gerät allein löst das strukturelle Problem also nicht.
In drei Phasen: Inventur der Standorte, Geräte und Servicezugriffe; Pilot mit einem Standort und Parallelbetrieb zur bestehenden Cloud; schrittweiser Rollout pro Standort mit klarem Rollback. Statt Hersteller-Cloud bauen wir WireGuard-Standorttunnel zu jeder Anlage, Browser-HMI-Zugriff über ein zentrales Portal, rollenbasierte Rechte und ein lückenloses Audit-Log. Die bestehende Lösung kann während der Migration weiterlaufen, bis der Cutover sicher abgeschlossen ist.
Eine self-hosted Plattform mit WireGuard, rollenbasierter Zugriffssteuerung und vollständigem Audit-Trail erfüllt zentrale NIS2-Anforderungen an Zugriffskontrolle, Nachvollziehbarkeit und Risikomanagement deutlich besser als eine Blackbox-Cloud, deren Logs und Datenstandorte beim Hersteller liegen. Sie behalten Schlüssel, Protokolle und Datenhoheit im eigenen Haus. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.
Hersteller-Clouds rechnen typischerweise pro Gerät oder pro gleichzeitiger Verbindung ab, dazu kommt der erzwungene Hardware-Tausch am End-of-Life. Eine eigene Plattform läuft auf eigener oder gemieteter Infrastruktur in der EU mit planbaren Betriebskosten statt Pro-Device-Lizenzen. Ab einer zweistelligen Zahl angebundener Anlagen amortisiert sich der Aufbau in der Regel schnell, weil jede zusätzliche Maschine keine neue Lizenz mehr auslöst.

Geschrieben von
Timo Wevelsiep
Co-Founder & CEO
Co-Founder von WZ-IT. Spezialisiert auf Cloud-Infrastruktur, Open-Source-Plattformen und Managed Services für KMUs und Enterprise-Kunden weltweit.
LinkedInLassen Sie uns über Ihre Idee sprechen
Ob konkrete IT-Herausforderung oder einfach eine Idee - wir freuen uns auf den Austausch. In einem kurzen Gespräch prüfen wir gemeinsam, ob und wie Ihr Projekt zu WZ-IT passt.


Timo Wevelsiep & Robin Zins
Geschäftsführer





