Anzeige
Anzeige
Anzeige
Beitrag drucken

Industrie-Firewall schafft größere Sicherheit im Produktionsnetz

ZF Sachs, ein Automobilzulieferer für Antriebs- und Fahrwerkkomponenten mit Sitz in Schweinfurt, hat die Sicherheit seiner industriellen Netzwerke nachhaltig verbessert. Der Ansatzpunkt: eine dezentrale Sicherheitsarchitektur mit Industrie-Firewalls.

Ausgangspunkt für die stärkere Absicherung der Produktionsanlagen waren Virenprobleme im Office-Netz. Im Vergleich zum überschaubaren Schadensrisiko beim Befall von Office-Rechnern wurde das Gefährdungspotenzial für die Produktionsanlagen als wesentlich größer eingeschätzt. Um die Risiken möglicher Störungen oder gar von Produktionsausfällen durch fehlerhafte Zugriffe oder Schadsoftware zu reduzieren, wurden bei ZF Sachs zusätzliche Sicherheitsmaßnahmen beschlossen.

Dezentrale Sicherheitsphilosophie

Die Aufgabenstellung für die neue Sicherheitsarchitektur bestand darin, die Produktionsanlagen sowohl gegen unerwünschte externe und interne Zugriffe zu schützen als auch die Ausbreitung von eingedrungenen Schädigungen einzudämmen. Als geeignete Strategie wurde eine Trennung des Office-Netzes vom Produktionsnetz durch eine große Firewall und eine tiefengestaffelte Sicherheitsarchitektur (Defense in Depth) ausgewählt, mit der sich auch kritische Einzelsysteme absichern lassen. Eine Schlüsselrolle kam dabei der Kontrolle und Filterung des Netzwerkverkehrs durch Firewalls zu. Für eine dezentrale Architektur mit Firewalls sprachen der besser zu organisierende verteilte Schutz, die größere Flexibilität bei einem industrietypischen Netzwerk-Design und geringere Investitions- und Betriebskosten. Eine Segmentierung durch VLAN-fähige Switche in logisch getrennten Segmente wurde geprüft und verworfen, da Virtual-LANs aus Sicherheitssicht als zu schlecht kontrollierbar bewertet wurden.

Für die Umsetzung waren die Bereiche Automatisierungstechnik und Instandhaltung in Abstimmung mit der IT zuständig. Neben dem Einsatz von Virenscannern auch im Produktionsbereich wurde als wichtigste Maßnahme die Segmentierung des Produktionsnetzes in kleine, handhabbare Maschinennetze umgesetzt. Die Zuordnung erfolgte räumlich nach Gebäudebereichen und zusätzlich für einzelne Anlagen mit Profinet-Komponenten.

Insgesamt wurden 40 dezentrale Maschinennetze eingerichtet und jedes dieser Teilnetze durch eine mGuard Firewall von Phoenix Contact und Innominate abgesichert. „Wir haben verschiedene Firewall-Security-Produkte vor allem nach zwei Kriterien geprüft. Die Industrietauglichkeit mit z.B. einem erweiterten Temperaturbereich war uns besonders wichtig. Außerdem brauchten wir eine Lösung, die sich möglichst flexibel und mit geringem Aufwand in unser Umfeld von Automatisierungskomponenten einbinden ließ“, begründet Asmund Hey, bei ZF Sachs verantwortlich für die Automatisierungstechnik im Bereich technische Dienste, die Entscheidung für die mGuard Security-Lösung.

Die Einrichtung dezentraler Firewalls

Planungsgrundlage für die Umsetzung der dezentralen Sicherheitsarchitektur war der Netzstrukturplan. Er beschreibt die einzelnen Netzsegmente und enthält Angaben darüber, welches Gerät an welchen Port angeschlossen ist, welche IP-Adressen, MAC-Adressen, Firmwarestände und Produktkennzeichnungen vorliegen. „Damit die dezentrale Architektur mit 40 einzelnen Maschinennetzen nicht zu einer Vervielfachung des Einrichtungs- und Betriebsaufwands führt, haben wir zunächst für alle Teilnetze als Masterregelung einen Basissatz an gemeinsamen Firewall-Regeln entwickelt. Die Umsetzung war relativ einfach“, berichtet Asmund Hey.

Für den Roll-out wurden die Masterregeln bei der Inbetriebnahme aus einem Speicherchip ausgelesen und auf das Teilnetz angewendet. Damit waren bereits die meisten Anforderungen abgedeckt. Es mussten nur noch individuelle Regeln für spezielle Ausnahmefälle ergänzt werden, wie etwa für den Zugriff einer Steuerung auf Office-Servershares. Nach der Inbetriebnahme folgte eine dreimonatige Einführungs- und Lernphase, um nicht berücksichtigte Zugriffe oder Ports nachzubessern. „Dabei haben wir festgestellt, wie wichtig ein sorgfältiger Netzwerkstrukturplan ist. Je mehr Zeit hier investiert wird, umso geringer ist der spätere Korrekturaufwand. Außerdem haben wir die Vorteile eines zentralen Geräte-Managements erkannt“, benennt Asmund Hey die wichtigsten Erfahrungen aus der Inbetriebnahme.


Das könnte Sie auch interessieren:

Ein im September 2019 als Weißdruck erschienener Standard des VDI soll helfen, die Potenziale von Formgedächtnislegierungen bei der Produktentwicklung zu nutzen. Der Hintergrund der neuen Richtlinienreihe VDI 2248 ist, dass feinwerktechnische Systeme immer kleinere leistungsfähigere Antriebe benötigen. Um dem gerecht zu werden, ist oft der Einsatz neuer Aktorprinzipien gefragt.‣ weiterlesen

Mit der neuen Cloud-Lösung Godesys One bietet der Mainzer ERP-Anbieter Godesys AG insbesondere kleineren Unternehmen mit fünf bis 25 Usern eine Einstiegslösung für digitales ERP. Die standardisierten Systemmodule sollen wichtige Funktionen abdecken und sich bedarfgerecht zusammenzustellen lassen.‣ weiterlesen

Das Zusammenspiel von IoT und Blockchain eröffnet neue Möglichkeiten: Mit Smart Contracts können etwa Zustandsdaten einer Maschine sicher an ihren Hersteller übermittelt werden. Und auch hinsichtlich des Energiebedarfs wird die Blockchain für die Industrie interessanter.‣ weiterlesen

Deutschland zählt mit einer Roboterdichte von 338 Einheiten pro 10.000 Arbeitnehmern im internationalen Vergleich zu den am stärksten automatisierten Volkswirtschaften. Nach Singapur und Südkorea rangiert die Bundesrepublik weltweit auf dem dritten Rang.‣ weiterlesen

Teil der Vision Industrie 4.0 ist es, Anlagekomponenten ohne Eingriff in die Steuerung austauschen zu können. Mit dem Konzept einer dienstbasierten Fertigung wollen das Fraunhofer IESE und weitere Projektpartner genau das praxistauglich ermöglichen.‣ weiterlesen

Über V2X-Kommunikation lassen sich Fahrzeuge untereinander und mit der umliegenden Infrastruktur vernetzen. Auf einmal müssen Anwendungsentwickler Komponenten berücksichtigen, deren Funktionalität sie nicht beeinflussen. Die passende Softwarearchitektur hilft, diese Herausforderung im Dschungel sich weltweit entwickelnder Standards zu lösen.‣ weiterlesen

Mit dem SMIT TestKit Shop hat Sven Mahn IT den Zugang zu ihrem Produkt zur Testoptimierung und Qualitätssicherung der ERP-Lösungen Microsoft Dynamics 365 for Finance and Operations und Dynamics AX vereinfacht.‣ weiterlesen

Die CRM-Lösung CAS GenesisWorld von CAS Software steht als Release x11 zur Verfügung. Neu hinzugekommen ist zum Beispiel, dass Anwender die intelligente Suchfunktion Picasso nun auch auf mobilen Endgeräten nutzen können.‣ weiterlesen

Mit dem Industrial Internet of Things steht Produzenten eine neue Infrastrukturebene zur Verfügung, um ihre Abläufe und Fertigungsprozesse zu optimieren. Thorsten Strebel von MPDV schildert, wie die Technologien auf die MES-Welt einwirken und wie der MES-Hersteller darauf reagiert.‣ weiterlesen

Mit dem neuen Geschäftsfeld Maxolution Maschinenautomatisierung adressiert SEW-Eurodrive den Markt mit maßgeschneiderten Systemlösungen. Gemeinsam mit dem Maschinenbauer EMAG hat der Antriebsspezialist nun einen Portalroboter vorgestellt, der ohne Energieführungsketten auskommt und auch anfallende Daten kabellos überträgt.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige