Anzeige
Anzeige
Beitrag drucken

Industrie-Firewall schafft größere Sicherheit im Produktionsnetz

ZF Sachs, ein Automobilzulieferer für Antriebs- und Fahrwerkkomponenten mit Sitz in Schweinfurt, hat die Sicherheit seiner industriellen Netzwerke nachhaltig verbessert. Der Ansatzpunkt: eine dezentrale Sicherheitsarchitektur mit Industrie-Firewalls.

Ausgangspunkt für die stärkere Absicherung der Produktionsanlagen waren Virenprobleme im Office-Netz. Im Vergleich zum überschaubaren Schadensrisiko beim Befall von Office-Rechnern wurde das Gefährdungspotenzial für die Produktionsanlagen als wesentlich größer eingeschätzt. Um die Risiken möglicher Störungen oder gar von Produktionsausfällen durch fehlerhafte Zugriffe oder Schadsoftware zu reduzieren, wurden bei ZF Sachs zusätzliche Sicherheitsmaßnahmen beschlossen.

Dezentrale Sicherheitsphilosophie

Die Aufgabenstellung für die neue Sicherheitsarchitektur bestand darin, die Produktionsanlagen sowohl gegen unerwünschte externe und interne Zugriffe zu schützen als auch die Ausbreitung von eingedrungenen Schädigungen einzudämmen. Als geeignete Strategie wurde eine Trennung des Office-Netzes vom Produktionsnetz durch eine große Firewall und eine tiefengestaffelte Sicherheitsarchitektur (Defense in Depth) ausgewählt, mit der sich auch kritische Einzelsysteme absichern lassen. Eine Schlüsselrolle kam dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Für eine dezentrale Architektur mit Firewalls sprachen der besser zu organisierende verteilte Schutz, die größere Flexibilität bei einem industrietypischen Netzwerk-Design und geringere Investitions- und Betriebskosten. Eine Segmentierung durch VLAN-fähige Switche in logisch getrennten Segmente wurde geprüft und verworfen, da Virtual-LANs aus Sicherheitssicht als zu schlecht kontrollierbar bewertet wurden.

Für die Umsetzung waren die Bereiche Automatisierungstechnik und Instandhaltung in Abstimmung mit der IT zuständig. Neben dem Einsatz von Virenscannern auch im Produktionsbereich wurde als wichtigste Maßnahme die Segmentierung des Produktionsnetzes in kleine, handhabbare Maschinennetze umgesetzt. Die Zuordnung erfolgte räumlich nach Gebäudebereichen und zusätzlich für einzelne Anlagen mit Profinet-Komponenten.

Insgesamt wurden 40 dezentrale Maschinennetze eingerichtet und jedes dieser Teilnetze durch eine mGuard Firewall von Phoenix Contact und Innominate abgesichert. „Wir haben verschiedene Firewall-Security-Produkte vor allem nach zwei Kriterien geprüft. Die Industrietauglichkeit mit z.B. einem erweiterten Temperaturbereich war uns besonders wichtig. Außerdem brauchten wir eine Lösung, die sich möglichst flexibel und mit geringem Aufwand in unser Umfeld von Automatisierungskomponenten einbinden ließ“, begründet Asmund Hey, bei ZF Sachs verantwortlich für die Automatisierungstechnik im Bereich technische Dienste, die Entscheidung für die mGuard Security-Lösung.

Die Einrichtung dezentraler Firewalls

Planungsgrundlage für die Umsetzung der dezentralen Sicherheitsarchitektur war der Netzstrukturplan. Er beschreibt die einzelnen Netzsegmente und enthält Angaben darüber, welches Gerät an welchen Port angeschlossen ist, welche IP-Adressen, MAC-Adressen, Firmwarestände und Produktkennzeichnungen vorliegen. „Damit die dezentrale Architektur mit 40 einzelnen Maschinennetzen nicht zu einer Vervielfachung des Einrichtungs- und Betriebsaufwands führt, haben wir zunächst für alle Teilnetze als Masterregelung einen Basissatz an gemeinsamen Firewall-Regeln entwickelt. Die Umsetzung war relativ einfach“, berichtet Asmund Hey.

Für den Roll-out wurden die Masterregeln bei der Inbetriebnahme aus einem Speicherchip ausgelesen und auf das Teilnetz angewendet. Damit waren bereits die meisten Anforderungen abgedeckt. Es mussten nur noch individuelle Regeln für spezielle Ausnahmefälle ergänzt werden, wie etwa für den Zugriff einer Steuerung auf Office-Servershares. Nach der Inbetriebnahme folgte eine dreimonatige Einführungs- und Lernphase, um nicht berücksichtigte Zugriffe oder Ports nachzubessern. „Dabei haben wir festgestellt, wie wichtig ein sorgfältiger Netzwerkstrukturplan ist. Je mehr Zeit hier investiert wird, umso geringer ist der spätere Korrekturaufwand. Außerdem haben wir die Vorteile eines zentralen Geräte-Managements erkannt“, benennt Asmund Hey die wichtigsten Erfahrungen aus der Inbetriebnahme.


Das könnte Sie auch interessieren:

Als Projektträger des Programms 'Go-Cluster' des Bundesministeriums für Wirtschaft und Energie hat die VDI/VDE Innovation + Technik GmbH nach einem Aufruf der Europäischen Kommission mehr als 1.500 eingehende Unterstützungsangebote im Kampf gegen das Coronavirus an die Kommission weitergeleitet.‣ weiterlesen

Erweiterte Realität wird selten für wirklich kritische Anwendungen eingesetzt, etwa im Helm eines Kampfpiloten. Der kostet auch aufgrund von Entwicklungskosten rund eine halbe Million US-Dollar. Ist eine Technologie ausschließlich nach so umfangreicher Anpassung nützlich, wird sie sich in der Fertigungsindustrie kaum durchsetzen. Neue MES-Lösungen zeigen, wie Augmented Reality den Sprung in die industrielle Praxis schaffen könnte.‣ weiterlesen

Die Fahrtreppen von Thyssenkrupp Elevator befördern Menschen weltweit. Ihr Preis sowie Termintreue sind ein großer Wettbewerbsfaktor. Dabei hat sich die IT-gestützte Planzeitermittlung als wichtiger Hebel erwiesen.‣ weiterlesen

Die neue Richtlinie VDI 3808 stellt Verfahren zur energetischen Bewertung von Gebäuden und gebäudetechnischen Anlagen im Überblick dar. Sie informiert, für welche Zwecke sich welche Verfahren besonders eignen oder welche Verfahren zwingend anzuwenden sind.‣ weiterlesen

Die Corona-Krise stellt die Globalisierung auf den Prüfstand. Für VDI-Präsident Volker Kefer ist die Situation Herausforderung und Chance zugleich. Im Interview spricht er über die Lage des Technikstandorts Deutschland heute und nach der Krise.‣ weiterlesen

99 Prozent der Unternehmen in Deutschland befinden sich laut einer Studie der Unternehmensberatung Mercer in einer Transformation. Dabei befürchten Mitarbeiter auch den Verlust des Arbeitsplatzes.‣ weiterlesen

Als Projektträger des Programms 'Go-Cluster' des Bundesministeriums für Wirtschaft und Energie hat die VDI/VDE Innovation + Technik GmbH nach einem Aufruf der Europäischen Kommission mehr als 1.500 eingehende Unterstützungsangebote im Kampf gegen das Coronavirus an die Kommission weitergeleitet.‣ weiterlesen

Im Februar hatte der Lösungsanbieter Empolis rund um cloudbasiertes Wissensmanagement die Akquisition von Intelligent Views bekanntgegeben - inklusive deren KI-gestützter Knowledge-Graph-Technologie. Wir haben in der Geschäftsleitung der beiden Firmen nachgefragt, wie Wissensmanagement und künstliche Intelligenz zusammenpassen.‣ weiterlesen

Wechselnde Umgebungsbedingungen durch Ad-hoc-Vernetzung, ständige Rekonfigurationen bedingt durch kleine Losgrößen und Softwareupdates im Feld sind Indikatoren dafür, dass das Testen von Systemen im laufenden Betrieb zunehmend an Bedeutung gewinnt. Um solches Testen zu strukturieren, bietet die Richtlinie VDI/VDE 4004 Blatt 1 Lösungsansätze und verdeutlicht diese anhand konkreter Anwendungsfälle.‣ weiterlesen

Unternehmen mit KI-Projekten sind dann am erfolgreichsten, wenn die Qualifizierung der eigenen Mitarbeiter den gleichen Stellenwert wie Investitionen in intelligente Technologien hat. Dazu gehört auch das Schaffen einer Lernkultur, die diese Qualifizierungsmassnahmen trägt. Das ist das Kernergebnis einer im Auftrag von Microsoft durchgeführten internationalen Studie. In einer Datenanalyse wurden dafür rund eine halbe Million englischsprachiger Beiträge ausgewertet und zusätzlich im März 2020 Interviews mit rund 12.000 Fach- und Führungskräften aus 20 Ländern geführt.‣ weiterlesen

Nach der Covid-19-Krise wird sich das Rad der Digitalisierung schneller drehen, glaubt Christian Mehrtens, Leiter des Mittelstands- und Partnergeschäfts von SAP in Deutschland. Warum damit die Bedeutung der Partner im Manufacturing wächst, welche Partner in Walldorf besonders hoch im Kurs stehen und was Anwender von SAP-Partnern künftig häufiger erwarten können.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige