Anzeige
Anzeige
Anzeige
Beitrag drucken

Industrie-Firewall schafft größere Sicherheit im Produktionsnetz

ZF Sachs, ein Automobilzulieferer für Antriebs- und Fahrwerkkomponenten mit Sitz in Schweinfurt, hat die Sicherheit seiner industriellen Netzwerke nachhaltig verbessert. Der Ansatzpunkt: eine dezentrale Sicherheitsarchitektur mit Industrie-Firewalls.

Ausgangspunkt für die stärkere Absicherung der Produktionsanlagen waren Virenprobleme im Office-Netz. Im Vergleich zum überschaubaren Schadensrisiko beim Befall von Office-Rechnern wurde das Gefährdungspotenzial für die Produktionsanlagen als wesentlich größer eingeschätzt. Um die Risiken möglicher Störungen oder gar von Produktionsausfällen durch fehlerhafte Zugriffe oder Schadsoftware zu reduzieren, wurden bei ZF Sachs zusätzliche Sicherheitsmaßnahmen beschlossen.

Dezentrale Sicherheitsphilosophie

Die Aufgabenstellung für die neue Sicherheitsarchitektur bestand darin, die Produktionsanlagen sowohl gegen unerwünschte externe und interne Zugriffe zu schützen als auch die Ausbreitung von eingedrungenen Schädigungen einzudämmen. Als geeignete Strategie wurde eine Trennung des Office-Netzes vom Produktionsnetz durch eine große Firewall und eine tiefengestaffelte Sicherheitsarchitektur (Defense in Depth) ausgewählt, mit der sich auch kritische Einzelsysteme absichern lassen. Eine Schlüsselrolle kam dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Für eine dezentrale Architektur mit Firewalls sprachen der besser zu organisierende verteilte Schutz, die größere Flexibilität bei einem industrietypischen Netzwerk-Design und geringere Investitions- und Betriebskosten. Eine Segmentierung durch VLAN-fähige Switche in logisch getrennten Segmente wurde geprüft und verworfen, da Virtual-LANs aus Sicherheitssicht als zu schlecht kontrollierbar bewertet wurden.

Für die Umsetzung waren die Bereiche Automatisierungstechnik und Instandhaltung in Abstimmung mit der IT zuständig. Neben dem Einsatz von Virenscannern auch im Produktionsbereich wurde als wichtigste Maßnahme die Segmentierung des Produktionsnetzes in kleine, handhabbare Maschinennetze umgesetzt. Die Zuordnung erfolgte räumlich nach Gebäudebereichen und zusätzlich für einzelne Anlagen mit Profinet-Komponenten.

Insgesamt wurden 40 dezentrale Maschinennetze eingerichtet und jedes dieser Teilnetze durch eine mGuard Firewall von Phoenix Contact und Innominate abgesichert. „Wir haben verschiedene Firewall-Security-Produkte vor allem nach zwei Kriterien geprüft. Die Industrietauglichkeit mit z.B. einem erweiterten Temperaturbereich war uns besonders wichtig. Außerdem brauchten wir eine Lösung, die sich möglichst flexibel und mit geringem Aufwand in unser Umfeld von Automatisierungskomponenten einbinden ließ“, begründet Asmund Hey, bei ZF Sachs verantwortlich für die Automatisierungstechnik im Bereich technische Dienste, die Entscheidung für die mGuard Security-Lösung.

Die Einrichtung dezentraler Firewalls

Planungsgrundlage für die Umsetzung der dezentralen Sicherheitsarchitektur war der Netzstrukturplan. Er beschreibt die einzelnen Netzsegmente und enthält Angaben darüber, welches Gerät an welchen Port angeschlossen ist, welche IP-Adressen, MAC-Adressen, Firmwarestände und Produktkennzeichnungen vorliegen. „Damit die dezentrale Architektur mit 40 einzelnen Maschinennetzen nicht zu einer Vervielfachung des Einrichtungs- und Betriebsaufwands führt, haben wir zunächst für alle Teilnetze als Masterregelung einen Basissatz an gemeinsamen Firewall-Regeln entwickelt. Die Umsetzung war relativ einfach“, berichtet Asmund Hey.

Für den Roll-out wurden die Masterregeln bei der Inbetriebnahme aus einem Speicherchip ausgelesen und auf das Teilnetz angewendet. Damit waren bereits die meisten Anforderungen abgedeckt. Es mussten nur noch individuelle Regeln für spezielle Ausnahmefälle ergänzt werden, wie etwa für den Zugriff einer Steuerung auf Office-Servershares. Nach der Inbetriebnahme folgte eine dreimonatige Einführungs- und Lernphase, um nicht berücksichtigte Zugriffe oder Ports nachzubessern. „Dabei haben wir festgestellt, wie wichtig ein sorgfältiger Netzwerkstrukturplan ist. Je mehr Zeit hier investiert wird, umso geringer ist der spätere Korrekturaufwand. Außerdem haben wir die Vorteile eines zentralen Geräte-Managements erkannt“, benennt Asmund Hey die wichtigsten Erfahrungen aus der Inbetriebnahme.


Das könnte Sie auch interessieren:

An der Wirtschaftsuniversität Wien (WU) widmet sich zukünftig ein eigenes Forschungsinstitut dem Thema Kryptoökonomie. 21 wissenschaftliche Mitarbeiter sollen dort tätig sein. ‣ weiterlesen

Mit einer neuen App zur mobilen Prüfdatenerfassung unterstützt MES-Hersteller MPDV Anwender bei der fertigungsbegleitenden Qualitätsprüfung. Die App ermöglicht die mobile Prüfung variabler und attributiver Merkmale sowie Fehlersammelkarten. ‣ weiterlesen

Um Agilität zu wahren, sollte die Unternehmens- und CRM Software die Veränderungen, die durch die Datenschutzgrundverordnung (DSGVO) entstehen, mitgehen.‣ weiterlesen

Die Software PEC-EX von R. Stahl hilft Anlagenbetreibern bei der Planung, Durchführung und Dokumentation vorgeschriebener Prüfungen ihrer explosionsgeschützten Betriebsmittel. ‣ weiterlesen

Mit dem SMIT Testkit Shop will die Sven Mahn IT GmbH & Co. KG Anwendern den Zugang zu ihrer Lösung für die Testoptimierung und Qualitätssicherung der ERP-Software Microsoft Dynamics AX erleichtern. ‣ weiterlesen

Das Softwarehaus Mensch und Maschine hat Version 2018 von Ecscad vorgestellt. Die Software zur Elektrodokumentation ist in den Ausbaustufen Ecscad und Ecscad Professional verfügbar und soll Anwendern mit verschiedenen Neuerungen die tägliche Arbeit erleichtern. ‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige