Anzeige
Anzeige
Anzeige
Beitrag drucken

Mikrosegmentierung in der Produktion

Gekapselt bis zur Maschinenebene

Mit der Vernetzung der Produktion entstehen neue Angriffsflächen für Cyberkriminelle. Ein vielversprechender Ansatz zur Risikobegrenzung ist die Trennung der Office-IT von der Produktionsumgebung per Mikrosegmentierung.

Mikrosegmentierung: Gekapselt bis zur Maschinenebene

Mit Mikrosegmentierung lässt sich jede Maschine einzeln absicher.
(Bild: Axians)

IT-Systeme wachen über die automatisierten Abläufe in der vernetzten Produktion und greifen beim Unter- oder Überschreiten bestimmter Parameter ein, um die Qualität und Effizienz zu wahren oder Wartungsarbeiten anzustoßen. Doch was passiert, wenn sich Malware über das Unternehmensnetzwerk verbreitet, mit dem die Produktion verbunden ist? In diesem Fall ist es die Aufgabe der IT, Automatismen zur Abwehr des Angriffs zu starten, denn die Fertigungstechnik ist durch die Vernetzung ähnlichen Bedrohungen ausgesetzt wie die Office-IT. Zu dieser Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Ranking über die Top-Bedrohungen für Industrieanlagen. Demnach führen Social Engineering und Phishing die Liste der potenziellen Angriffsszenarien an. Idealerweise sind die Mitarbeiter so sensibilisiert und geschult, dass sie nicht auf verdächtige E-Mail-Anhänge klicken, welche den Angreifern Zutritt verschaffen könnten. Dennoch muss die Fertigungsbranche ihre Produktionsstraßen auch technologisch vor Cyber-Attacken schützen. Ziel muss eine Lösung sein, die automatisiert handelt, wenig kostet und gleichzeitig effektiv schützt.

Sicherheit im Netz

Diese Anforderungen erfüllt auch für virtuelle Netzwerke die Mikrosegmentierung, die direkt an der Netzwerkkarte einer virtuellen Maschine (VM) ansetzt. Die VMs sorgen für das Einhalten detaillierter Richtlinien und führen Netzwerkkontrollen durch. Auf diese Weise lässt sich die Workload absichern, wobei eine attackierte VM nicht die nächste VM infizieren kann. Die Mikrosegmentierung setzt die Sicherheitsregeln auch innerhalb eines virtuellen Netzwerks durch, was in traditionellen Umgebungen meist nicht effektiv gelingt. Dort trennen Firewalls meist bloß das öffentliche vom internen Netz, ohne dass innerhalb der beiden Teilnetze eine Reglementierung stattfindet. Im Gegensatz zu einem konventionellen Firewall-Regelwerk bietet die Mikrosegmentierung nun die Möglichkeit, Identitäten über IP-Adressen oder Hostnamen hinaus zu definieren. Die Technologie sichert die Netzwerke im Rechenzentrum daher wesentlich effektiver ab. Dieser Sicherheitsgewinn lässt sich vom Rechenzentrum auf die Produktionsstraßen übertragen. Im Alarmfall greift dann ein Automatismus, der Datenpakete blockiert oder die Verbindung unterbricht. Die Maschinen laufen derweil weiter.

Die passende Architektur

Wie sich der Ansatz in die Praxis überführen lässt, verdeutlicht das Beispiel eines weltweit agierenden Zulieferbetriebes für die Automobilindustrie. Dieser suchte nach einer Lösung, um im Fall einer Cyberattacke einen Produktionsstopp zu vermeiden. Axians bekam den Auftrag, die Mikrosegmentierung für ihn zu konzipieren und umzusetzen. Das Unternehmen befand sich in einer Ausgangssituation, die anderen Vertretern der Fertigungsbranche vertraut vorkommen dürfte. So wird in der Produktionsstraße über das Protokoll TCP/IP kommuniziert. Nach dem Identifizieren über die IP-Adresse erfolgt der Transport der Datenpakete. Den Anlagen- und Maschinenpark fasst ein Subnetz zusammen. Aufgabe der Mikrosegmentierung ist es, dieses Produktionsnetz von der Office-IT zu trennen. Zusätzlich muss es möglich sein, jede Maschine einzeln abzusichern und im Bedarfsfall zu isolieren. Eine große Herausforderung ist hierbei die Beibehaltung der bestehenden IP-Adress-Struktur. Da Änderungen der IP-Adressen im Produktionsumfeld zum Teil unvorhergesehenen Folgeaufwand nach sich ziehen, sollten sie nach Möglichkeit beibehalten werden. Zudem sollte die Lösung skalieren, um sie auch an anderen Standorten weltweit ausrollen zu können. Dieses Anforderungsprofil lässt sich mit einer integrierten Cisco-Security-Architektur erfüllen – mit Cisco Identity Services Engine (ISE) für die Administration, der Cisco Firepower NGFW (Next Generation Firewall) sowie den Cisco Catalyst Switchen der neuesten Generation. Die Segmentierung findet in diesem Fall auf Layer 2 statt und minimiert somit den administrativen Aufwand bei der Migration. Die Identity Services Engine stellt in diesem Szenario die Plattform für das Richtlinienmanagement zur Verfügung und liefert Benutzer- und Gerätetransparenz. Zudem bietet sie uneingeschränkte Mobilität bei kontrolliertem Zugriff. Die verwendete Lösung hatte zudem ein Intrusion Prevention System (IPS) sowie eine Advanced Malware Protection mit an Bord.

Ohne Mikrosegmentierung trennt meist nur eine Firewall Office IT und Produktionsnetz voneinander.

Ohne Mikrosegmentierung trennt meist nur eine Firewall Office IT und Produktionsnetz voneinander.
(Bild: Axians)

Mechanismen und ihre Effekte

Rein Software-definiert erfolgt die Mikrosegmentierung innerhalb eines Subnetzes. Die Cisco-Technologie Trustsec, vereinfacht über Secure Group Tagging (SGT) den Netzwerkzugriff, beschleunigt Sicherheitsvorgänge und stellt sicher, dass Sicherheitsaktionen konsistent angewendet werden – und zwar im gesamten Netzwerk. Dessen Datenverkehr wird über den Endpunkt identifiziert – und nicht anhand der IP-Adresse oder bestimmter Zugriffskontrolllisten. Die Sicherheitsarchitektur wird so installiert und remote freigeschaltet, dass die Produktion auch während der Migration weiterlaufen kann. Für den Betrieb definiert ein Administrator über die Identity Services Engine die Security-Regeln. Mit den Security Group Tags legt er fest, wer innerhalb einzelner Netzwerksegmente Regeln einführen und ändern darf. Unter den Voraussetzungen leitet der Cisco Catalyst 3650X-Switch die Datenpakete so weiter, wie es die Security-Regeln vorsehen. Die Segmentierung zur Office-IT und eine allgemeine Layer-3-Segmentierung übernimmt die Firewall. Im Betrieb äußert sich der Sicherheitsgewinn in mehrfacher Hinsicht. So sichert der Authentifizierungs-Standard 802.1x im Zusammenspiel mit den Secure Group Tag Access Control Lists (ACL) der Cisco ISE den Netzwerkzugang ab. Bei einer Bedrohung reagiert das Netzwerk selbständig. Z.B. wird ein infizierter Rechner automatisch vom Netz getrennt und in einen Quarantäne-Cluster verschoben. Als Konsequenz verringert sich die Angriffsfläche. Außerdem läuft nun vieles im Netzwerk transparenter ab als vorher. Ein Administrator kann leichter nachvollziehen, wie eine Malware ins Netz gelangt ist. Das Reporting-Feature dokumentiert zusätzlich Sicherheitsvorfälle.

Eine große Sorge weniger

Über eine Mikrosegmentierung lässt sich ein Unternehmensnetzwerk einschließlich der Produktion detailliert absichern. Diese Technologie lässt sich lokal oder an allen Standorten einer Unternehmensgruppe implementieren. Ein weltweites Ausrollen stellt jedoch hohe Anforderungen an den ausführenden Netzwerkspezialisten. Denn Planung, Installation und Betrieb der Lösungen müssen aufeinander abgestimmt sein. Wer sich jedoch für diesen Weg entscheidet, muss sich kaum noch Sorgen machen, dass ein unbeabsichtigter Klick eine komplette Produktionsstraße lahmlegt, denn in diesem Bereich verbreiten sich Schadsoftware und andere Gefahren nicht mehr.


Das könnte Sie auch interessieren:

Der ERP-Anbieter Proalpha übernimmt Tisoware, ein Anbieter für Zeitwirtschaftssoftware. Gemeinsam wollen beide Unternehmen ihre Kunden noch besser bei der Digitalisierung unterstützen.‣ weiterlesen

Wenn Werkzeuge ihre Halter- und Werkzeugrevolver-Daten zielgerichtet erheben und austauschen würden, ließen sich viele Mängel, etwa infolge von Schwingungen, vermeiden. Eine digitale Lösung rund um die Auswerteeinheit IQ Box des Werkzeugträgerspezialisten Sauter soll das und mehr möglich machen.‣ weiterlesen

Wenn der weltweit agierende Softwarehersteller IFS sein größtes Kundentreffen der Welt organisiert, geht es um Strategien, neue Produkte und Releases. So zeigte der ERP-Anbieter mit schwedischen Wurzeln im Oktober in Boston die neue durchgängig gestaltete Benutzerführung, ein neues Schnittstellenpaket und ein gestärktes Portfolio für das Field Service Management - unter anderem durch die Akquisition des Konkurenten Astea. Skateboard-Legende Tony Hawk war auch dabei.‣ weiterlesen

Die Bandbreite an Analyseanwendungen reicht von klassischen Reports und Kennzahlen über Self Service Analytics bis hin zu künstlicher Intelligenz. Bei aller Vielfalt sollte der Zweck nicht aus dem Fokus geraten: transparenter und effizienter fertigen zu können. Zumal immer wieder neue Manufacturing-Analytics-Instrumente entwickelt werden.‣ weiterlesen

Trotz schwieriger Marktbedingungen befindet sich die Fertigungsindustrie weiter im Wachstum. Dies zeigt der Global Growth Index des Softwareanbieters Epicor. Demnach betrug das Wachstum im Vergleich zur Vorjahresbefragung ein Prozent.‣ weiterlesen

Mit der Inititative 'Industrie 4.0' versuchen Wirtschaft, Politik und Wissenschaft seit 2012, die hiesigen industriellen Wertschöpfungsnetzwerke wettbewerbs- und zukunftsfähig zu erhalten. KI und Machine Learning spielen dabei eine immer wichtigere Rolle.‣ weiterlesen

Die Richtlinie VDI/VDE/NAMUR 2658 Blatt 1 'Automatisierungstechnisches Engineering modularer Anlagen in der Prozessindustrie - Allgemeines Konzept und Schnittstellen' wurde im Oktober 2019 in deutsch und englisch veröffentlicht. Darin wird das Engineering der Automatisierungstechnik modularer Anlagen vorwiegend in der Verfahrenstechnik beschrieben.‣ weiterlesen

Rund 100Mrd.€ Schaden ist deutschen Unternehmen im vergangenen Jahr durch kriminelle Attacken entstanden. 75% der für eine Bitkom-Studie befragten Unternehmen waren von einer solchen Attacke betroffen.‣ weiterlesen

Das Forschungsprojekt ReInnovate soll kleinen und mittleren Unternehmen dabei helfen, eigene Forschungskompetenzen zu entwickeln, um daraus neue Arbeits- und Weiterbildungsmodelle zu generieren.‣ weiterlesen

Das Human Machine Interface: selbst programmieren, parametrieren oder etwas dazwischen? Stefan Niermann ist Vertriebsingenieur bei der Inosoft GmbH und berichtet über die Möglichkeiten aktueller Ansätze zum Erstellen eines HMI.‣ weiterlesen

Unternehmen sind sich bewusst, dass es in naher Zukunft zu Krisensituationen für den eigenen Betrieb kommen kann. Laut dem ‘PWC Global Crisis Survey‘, sind viele Unternehmen auf eine solche Situation aber nicht ausreichend vorbereitet.‣ weiterlesen

Anzeige
Anzeige
Anzeige