ANZEIGE
ANZEIGE
ANZEIGE
Beitrag drucken

Industrie-Firewall schafft größere Sicherheit im Produktionsnetz

ZF Sachs, ein Automobilzulieferer für Antriebs- und Fahrwerkkomponenten mit Sitz in Schweinfurt, hat die Sicherheit seiner industriellen Netzwerke nachhaltig verbessert. Der Ansatzpunkt: eine dezentrale Sicherheitsarchitektur mit Industrie-Firewalls.

Ausgangspunkt für die stärkere Absicherung der Produktionsanlagen waren Virenprobleme im Office-Netz. Im Vergleich zum überschaubaren Schadensrisiko beim Befall von Office-Rechnern wurde das Gefährdungspotenzial für die Produktionsanlagen als wesentlich größer eingeschätzt. Um die Risiken möglicher Störungen oder gar von Produktionsausfällen durch fehlerhafte Zugriffe oder Schadsoftware zu reduzieren, wurden bei ZF Sachs zusätzliche Sicherheitsmaßnahmen beschlossen.

Dezentrale Sicherheitsphilosophie

Die Aufgabenstellung für die neue Sicherheitsarchitektur bestand darin, die Produktionsanlagen sowohl gegen unerwünschte externe und interne Zugriffe zu schützen als auch die Ausbreitung von eingedrungenen Schädigungen einzudämmen. Als geeignete Strategie wurde eine Trennung des Office-Netzes vom Produktionsnetz durch eine große Firewall und eine tiefengestaffelte Sicherheitsarchitektur (Defense in Depth) ausgewählt, mit der sich auch kritische Einzelsysteme absichern lassen. Eine Schlüsselrolle kam dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Für eine dezentrale Architektur mit Firewalls sprachen der besser zu organisierende verteilte Schutz, die größere Flexibilität bei einem industrietypischen Netzwerk-Design und geringere Investitions- und Betriebskosten. Eine Segmentierung durch VLAN-fähige Switche in logisch getrennten Segmente wurde geprüft und verworfen, da Virtual-LANs aus Sicherheitssicht als zu schlecht kontrollierbar bewertet wurden.

Für die Umsetzung waren die Bereiche Automatisierungstechnik und Instandhaltung in Abstimmung mit der IT zuständig. Neben dem Einsatz von Virenscannern auch im Produktionsbereich wurde als wichtigste Maßnahme die Segmentierung des Produktionsnetzes in kleine, handhabbare Maschinennetze umgesetzt. Die Zuordnung erfolgte räumlich nach Gebäudebereichen und zusätzlich für einzelne Anlagen mit Profinet-Komponenten.

Insgesamt wurden 40 dezentrale Maschinennetze eingerichtet und jedes dieser Teilnetze durch eine mGuard Firewall von Phoenix Contact und Innominate abgesichert. „Wir haben verschiedene Firewall-Security-Produkte vor allem nach zwei Kriterien geprüft. Die Industrietauglichkeit mit z.B. einem erweiterten Temperaturbereich war uns besonders wichtig. Außerdem brauchten wir eine Lösung, die sich möglichst flexibel und mit geringem Aufwand in unser Umfeld von Automatisierungskomponenten einbinden ließ“, begründet Asmund Hey, bei ZF Sachs verantwortlich für die Automatisierungstechnik im Bereich technische Dienste, die Entscheidung für die mGuard Security-Lösung.

Die Einrichtung dezentraler Firewalls

Planungsgrundlage für die Umsetzung der dezentralen Sicherheitsarchitektur war der Netzstrukturplan. Er beschreibt die einzelnen Netzsegmente und enthält Angaben darüber, welches Gerät an welchen Port angeschlossen ist, welche IP-Adressen, MAC-Adressen, Firmwarestände und Produktkennzeichnungen vorliegen. „Damit die dezentrale Architektur mit 40 einzelnen Maschinennetzen nicht zu einer Vervielfachung des Einrichtungs- und Betriebsaufwands führt, haben wir zunächst für alle Teilnetze als Masterregelung einen Basissatz an gemeinsamen Firewall-Regeln entwickelt. Die Umsetzung war relativ einfach“, berichtet Asmund Hey.

Für den Roll-out wurden die Masterregeln bei der Inbetriebnahme aus einem Speicherchip ausgelesen und auf das Teilnetz angewendet. Damit waren bereits die meisten Anforderungen abgedeckt. Es mussten nur noch individuelle Regeln für spezielle Ausnahmefälle ergänzt werden, wie etwa für den Zugriff einer Steuerung auf Office-Servershares. Nach der Inbetriebnahme folgte eine dreimonatige Einführungs- und Lernphase, um nicht berücksichtigte Zugriffe oder Ports nachzubessern. „Dabei haben wir festgestellt, wie wichtig ein sorgfältiger Netzwerkstrukturplan ist. Je mehr Zeit hier investiert wird, umso geringer ist der spätere Korrekturaufwand. Außerdem haben wir die Vorteile eines zentralen Geräte-Managements erkannt“, benennt Asmund Hey die wichtigsten Erfahrungen aus der Inbetriebnahme.


Das könnte Sie auch interessieren:

Anagnost ist neuer CEO von Autodesk

Andrew Anagnost ist aber sofort neuer CEO und Präsident von Autodesk. Amar Hanspal, Senior Vice President, Chief Product Officer und Interims-Co-CEO, hat sich dazu entschlossen, das Unternehmen zu verlassen.

‣ weiterlesen

„Komplexität ohne Aufwand“

Im globalen Wettbewerb um Kosten, Qualität und Flexibilität sind die Anforderungen an produzierende Unternehmen rasant gestiegen: Aspekte wie Ressourceneffizienz, Kostenersparnis oder auch wirtschaftliche Fertigung in Losgröße 1 zwingen zum Hinterfragen von Prozessen und der Suche nach alternativen Produktionsverfahren. Additive Fertigung, beziehungsweise der 3D-Druck, gewinnt branchenübergreifend an Relevanz. Trotz bekannter Potenziale steckt der breite Einsatz in der Praxis jedoch noch in Kinderschuhen. Initiativen wie das EU-Forschungsprojekt Bionicaircraft tragen dazu bei, neue Technologien, Methoden und Konzepte für den effizienten Einsatz der Additiven Fertigung zu entwickeln. Michael Schwartz (Bild) äußert sich im Interview zum Status quo additiver Fertigung in der Industrie. Schwartz ist Manager für innovative Aerospace-Lösungen bei Cenit, einem Unternehmen, dass sich auch als Partner in dem EU-Projekt engagiert. ‣ weiterlesen

Fehler effizient reduzieren

Ein funktionierendes Fehlermanagementsystem ist eine wichtige Säule des Qualitätsmanagements. Eine detaillierte Erfassung und Zusammenführung aller Fehlerinformationen sowie deren Analyse ist unabdingbar, um Planung und Ablauf von Korrektur- und Vorbeugungsmaßnahmen zu ermöglichen.
‣ weiterlesen

Achim Berg ist neuer Bitkom-Präsident

Der Bitkom hat im Rahmen seiner Jahrestagung einen neuen Präsidenten gewählt: Achim Berg soll in den kommenden beiden Jahren die Geschicke des Verbandes führen.

‣ weiterlesen

Die ‚See what I see‘-Datenbrille der Advanced Mobile Applications ist seit kurzem auf dem deutschsprachigen Markt erhältlich. Als Anwendung für Datenbrillen verschiedener Hersteller erlaubt Xpert Eye einem Beobachter, den Träger der Brille aus der Ferne zu unterstützen. ‣ weiterlesen

Ersatzteile on demand im 3D-Metalldruck

Anwender des 3D-Metalldrucks entdecken zunehmend die neuen Möglichkeiten und Freiheiten, die eine additive Fertigung eröffnet. 3D-Konstruktionen führen zu neuen Produktlösungen. Bisweilen werden Fertigungs- und Logistikkonzepte völlig neu aufgesetzt. Die Jung & Co. Gerätebau GmbH, Hersteller von Edelstahlkomponenten, setzt auf die additive Fertigung, um Ersatzteile für Getränkeabfüllanlagen schneller verfügbar zu haben. Der Ansatz überzeugt in einer Branche, in der ‚Zeit ist Geld‘ mehr als eine Floskel ist. Thomas Lehmann, Geschäftsführer von Jung & Co., spricht im Interview über das Einsatzgebiet und die Vorteile des 3D-Metalldrucks. ‣ weiterlesen