Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Beitrag drucken

Industrie-Firewall schafft größere Sicherheit im Produktionsnetz

ZF Sachs, ein Automobilzulieferer für Antriebs- und Fahrwerkkomponenten mit Sitz in Schweinfurt, hat die Sicherheit seiner industriellen Netzwerke nachhaltig verbessert. Der Ansatzpunkt: eine dezentrale Sicherheitsarchitektur mit Industrie-Firewalls.

Ausgangspunkt für die stärkere Absicherung der Produktionsanlagen waren Virenprobleme im Office-Netz. Im Vergleich zum überschaubaren Schadensrisiko beim Befall von Office-Rechnern wurde das Gefährdungspotenzial für die Produktionsanlagen als wesentlich größer eingeschätzt. Um die Risiken möglicher Störungen oder gar von Produktionsausfällen durch fehlerhafte Zugriffe oder Schadsoftware zu reduzieren, wurden bei ZF Sachs zusätzliche Sicherheitsmaßnahmen beschlossen.

Dezentrale Sicherheitsphilosophie

Die Aufgabenstellung für die neue Sicherheitsarchitektur bestand darin, die Produktionsanlagen sowohl gegen unerwünschte externe und interne Zugriffe zu schützen als auch die Ausbreitung von eingedrungenen Schädigungen einzudämmen. Als geeignete Strategie wurde eine Trennung des Office-Netzes vom Produktionsnetz durch eine große Firewall und eine tiefengestaffelte Sicherheitsarchitektur (Defense in Depth) ausgewählt, mit der sich auch kritische Einzelsysteme absichern lassen. Eine Schlüsselrolle kam dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Für eine dezentrale Architektur mit Firewalls sprachen der besser zu organisierende verteilte Schutz, die größere Flexibilität bei einem industrietypischen Netzwerk-Design und geringere Investitions- und Betriebskosten. Eine Segmentierung durch VLAN-fähige Switche in logisch getrennten Segmente wurde geprüft und verworfen, da Virtual-LANs aus Sicherheitssicht als zu schlecht kontrollierbar bewertet wurden.

Für die Umsetzung waren die Bereiche Automatisierungstechnik und Instandhaltung in Abstimmung mit der IT zuständig. Neben dem Einsatz von Virenscannern auch im Produktionsbereich wurde als wichtigste Maßnahme die Segmentierung des Produktionsnetzes in kleine, handhabbare Maschinennetze umgesetzt. Die Zuordnung erfolgte räumlich nach Gebäudebereichen und zusätzlich für einzelne Anlagen mit Profinet-Komponenten.

Insgesamt wurden 40 dezentrale Maschinennetze eingerichtet und jedes dieser Teilnetze durch eine mGuard Firewall von Phoenix Contact und Innominate abgesichert. „Wir haben verschiedene Firewall-Security-Produkte vor allem nach zwei Kriterien geprüft. Die Industrietauglichkeit mit z.B. einem erweiterten Temperaturbereich war uns besonders wichtig. Außerdem brauchten wir eine Lösung, die sich möglichst flexibel und mit geringem Aufwand in unser Umfeld von Automatisierungskomponenten einbinden ließ“, begründet Asmund Hey, bei ZF Sachs verantwortlich für die Automatisierungstechnik im Bereich technische Dienste, die Entscheidung für die mGuard Security-Lösung.

Die Einrichtung dezentraler Firewalls

Planungsgrundlage für die Umsetzung der dezentralen Sicherheitsarchitektur war der Netzstrukturplan. Er beschreibt die einzelnen Netzsegmente und enthält Angaben darüber, welches Gerät an welchen Port angeschlossen ist, welche IP-Adressen, MAC-Adressen, Firmwarestände und Produktkennzeichnungen vorliegen. „Damit die dezentrale Architektur mit 40 einzelnen Maschinennetzen nicht zu einer Vervielfachung des Einrichtungs- und Betriebsaufwands führt, haben wir zunächst für alle Teilnetze als Masterregelung einen Basissatz an gemeinsamen Firewall-Regeln entwickelt. Die Umsetzung war relativ einfach“, berichtet Asmund Hey.

Für den Roll-out wurden die Masterregeln bei der Inbetriebnahme aus einem Speicherchip ausgelesen und auf das Teilnetz angewendet. Damit waren bereits die meisten Anforderungen abgedeckt. Es mussten nur noch individuelle Regeln für spezielle Ausnahmefälle ergänzt werden, wie etwa für den Zugriff einer Steuerung auf Office-Servershares. Nach der Inbetriebnahme folgte eine dreimonatige Einführungs- und Lernphase, um nicht berücksichtigte Zugriffe oder Ports nachzubessern. „Dabei haben wir festgestellt, wie wichtig ein sorgfältiger Netzwerkstrukturplan ist. Je mehr Zeit hier investiert wird, umso geringer ist der spätere Korrekturaufwand. Außerdem haben wir die Vorteile eines zentralen Geräte-Managements erkannt“, benennt Asmund Hey die wichtigsten Erfahrungen aus der Inbetriebnahme.


Das könnte Sie auch interessieren:

Anfang des Jahres hat Bosch CyberCompare eine digitale Plattform gestartet, die Industrieunternehmen und IT-Security-Anbieter zusammenbringen soll. Schon mehr als 100 Anbieter lassen sich auf dem Portal vergleichen, in einem für Anwender kostenlosen Prozess.‣ weiterlesen

Die Allianz geht davon aus, dass sich Ransomware-Angriffe vermehrt gegen Lieferketten richten könnten. Der Versicherer sieht dabei hauptsächlich IT-Dienstleister im Visier von Hackern. Und auch die Höhe der Lösegeldforderungen steigt.‣ weiterlesen

Mit Oliver Gronau als CCO stößt ein weiteres Mitglied zum Management-Team des Datenmanagement-Spezialisten Auvesy, das zukünftig aus Tim Weckerle (CEO), Stefan Jesse (COO) und Oliver Gronau in der neugeschaffenen Position des Chief Commercial Officers besteht.‣ weiterlesen

Die Richtlinie VDI-MT 6602 Blatt 2 'Projektingenieur in Projekten mit Entwicklungspartnern - Anforderungen an die Qualifizierung' ist Anforderungsprofil für in der Praxis tätige Ingenieure und Projektingenieure, die ihre Fähigkeiten für Projekte im multiplen Unternehmensumfeld an einem allgemein anerkannten Berufsbild spiegeln und weiterentwickeln möchten.‣ weiterlesen

Wer im industriellen Kontext zuverlässige Funkverbindungen verspricht, muss schon etwas genauer werden. Wie werden Kollisionen vermieden und wie Kollokationsprobleme entschäft? In Industrie-Funknetzen auf Bluetooth-Basis kommen eine ganze Reihe intelligenter Technologien zum Einsatz.‣ weiterlesen

Der Markt für IT-Sicherheit in Deutschland wächst ungebrochen. Das bisherige Rekordjahr 2020 könnte in diesem Jahr nochmals übertroffen werden. So geht der Digitalverband Bitkom von einem Plus von 9,7 Prozent aus.‣ weiterlesen

Am 10. und 11. Mai 2022 veranstaltet die ITG Informationstechnische Gesellschaft im VDE zusammen mit der VDI/VDE Gesellschaft Mess- und Automatisierungstechnik die Fachtagung Sensoren und Messsysteme 2022.‣ weiterlesen

Mitarbeiter von Continental haben einen Ansatz entwickelt, um Unternehmensprozesse analysieren und deren Automatisierungspotenzial bewerten zu können. Dieser Leitfaden ist beim Automobilzulieferer ein Baustein von vielen, um die Herausforderungen einer sich im technologischen Umbruch befindlichen Branche zu bewältigen und dabei die Wertschöpfung zu optimieren.‣ weiterlesen

In Bad Salzuflen findet am 10. November die FBM statt. Bereits im Vorfeld der Messe können Unternehmen über eine Matchmaking-Plattform feste Termine mit den Ausstellern buchen.‣ weiterlesen

Im neuen PWC-Maschinenbaubarormeter blicken mehr als die Hälfte der Unternehmen zwar optimistisch in die Zukunft. Im Vergleich zum Vorquartal ist dieser Wert jedoch zurückgegangen.‣ weiterlesen

Mit der Übernahme der Garz & Fricke Group will das italienische Unternehmen Seco seine Präsenz auf dem deutschsprachigen Markt stärken und sein Lösungsportfolio weiter ausbauen.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige