Produktionsnetze

Erhöhte Sicherheit durch dezentral geschützte Produktionszellen

Seite: 3/3

Firmen zum Thema

Konfiguration von Firewalls ist keine triviale Aufgabe

Die Konfiguration von Firewalls mit individuellen Regeln für die einzelnen Zellen ist zunächst keine triviale Aufgabe. Mit einer Schulung, etwas Übung und den Best-Practice-Erfahrungen, wie sie zum Beispiel die Experten von Innominate haben, lässt sich allerdings recht schnell ein strukturiertes Verfahren entwickeln. Dann geht es in kleinen Schritten immer nach dem gleichen Muster. 80% der einmal entwickelten Konfiguration können auch für andere Zellen genutzt werden.

Für die Verwaltung der Firewall-Systeme überlegt das Unternehmen Umdasch, in Zukunft auch den Innominate Device Manager (IDM) einzusetzen. Damit lässt sich der administrative Aufwand bei Systemumstellungen oder bei Anpassungen an Ausführungsrichtlinien und Standards deutlich verringern.

Bildergalerie

IDM kann für automatisierte Roll-out-Prozedur genutzt werden

Ein größerer Anpassungsaufwand entsteht zum Beispiel immer dann, wenn ein Fileserver ausgetauscht wird oder sich Adressen des Fileservers ändern. Weil dann bei allen Firewalls die gleichen Einträge angepasst werden müssen, kann der IDM für eine automatisierte Roll-out-Prozedur genutzt werden.

Dabei ermöglichen sogenannte Templates die Zusammenfassung von Einstellungen. Sie vereinfachen auch den sicherheitskritischen und komplizierten Teil einer Systemkonfiguration. Nach Einschätzung von Umdasch lohnt sich der Einsatz bereits ab 15 Geräten.

Für den Betrieb der Firewalls vergibt die Automatisierungs- und Systemtechnik von Umdasch sehr gute Noten. Ausfälle sind äußerst selten. Das System bleibt gleich und die Zellen müssen im laufenden Betrieb nicht mehr verändert werden. Auch bei der Fernwartung durch externe Serviceanbieter sorgt die Mguard-Technik für ein kontrollierbares und sicheres Verfahren.

Externe Zugriffe über die Hintertür gehören der Vergangenheit an

Beim Umdasch entscheiden die Servicetechniker jetzt von Fall zu Fall, ob für eine einzelne Zelle eine externe Einwahl erfolgen soll. Externe Zugriffe über die Hintertür gehören damit der Vergangenheit an. Erst wenn die Techniker per Serviceknopf die Einwahl freischalten, ist ein Verbindungsaufbau möglich. Dann wird die Verbindung zwischen der Produktionszelle und der Office-Firewall, also dem äußeren Schutzwall an der Außengrenze des Unternehmens, freigeschaltet. Dort sind die Office- und Industrie-Firewalls eng aufeinander abgestimmt.

Nach den Erfahrungen bei Umdasch gehören Sicherheitsvorfälle im Datennetz zum Alltag. Immer wieder wird Schadsoftware über infizierte USB-Sticks oder versehentlich von externen Servicetechnikern ins Netz gebracht. Die Folgen solcher Infektionen sind nun allerdings entscheidend eingedämmt, weil die Produktionssysteme jetzt gut geschützt sind. Das erarbeitete Informationssicherheitskonzept mit dezentralen Industrie-Firewalls hat zusätzliche Vorteile: Das Netzwerk ist weniger komplex, besser kontrollierbar und die Verfügbarkeit wird dadurch erhöht. Außerdem lassen sich neue Anlagen besser integrieren.

* Herbert Dirnberger ist Automatisierungs- und Systemtechniker bei der Umdasch AG in Amstetten (Österreich). Martin Ortgies ist Fachjournalist in Königslutter

(ID:29762100)