Industrielle Netzwerke zu schützen ist genauso wichtig, wie die Tür zu verschließen, wenn man die Wohnung verlässt. (Bild: Phoenix Contact)
Auf die Schnelle
Das Wesentliche in 20 Sek.
- IT-Grundschutz fürs Feld
- Anwender kommen ohne Experten-Know-how zurecht
- Einfache Implementierung durch Auto-Tuning
- Drei Funktionen sorgen für Basis-Schutz
Die meisten Menschen ziehen wenigstens die Eingangstür zu, wenn sie ihre Wohnung oder ihr Haus verlassen. Viele schließen auch tatsächlich ab. Würde man eine Befragung durchführen, wäre die Mehrheit der Teilnehmer verwundert, wenn dies nicht getan würde. Denn ansonsten hätte jeder Passant die Möglichkeit, schnell ins Haus zu gelangen, etwas zu stehlen, die Räume ‚umzugestalten‘ oder im schlimmsten Fall zu verwüsten. Was in der realen Welt also als selbstverständlich gilt, die Haustür mindestens zu schließen, ist in der virtuellen Welt leider nicht der Fall. Hier lassen viele Unternehmen die Tür zu ihrem industriellen Netzwerk einfach sperrangelweit offen. Das bedeutet: Teilnehmer aus der ganzen Welt können auf Produktionsdaten zugreifen sie ansehen, auslesen, kopieren, verändern oder zerstören.
Industrielle Netzwerke zu schützen ist genauso wichtig, wie die Tür zu verschließen, wenn man die Wohnung verlässt. Phoenix Contact
Aber warum verhalten sich zahlreiche Menschen in der virtuellen Welt völlig anders als in der realen? Weshalb ziehen die Unternehmen die ‚Tür‘ zu ihren Netzwerk-Zellen nicht wenigstens zu – vom Abschließen ganz zu schweigen?
Die Antwort fällt vergleichsweise simpel aus: Die Mehrzahl der Mitarbeiter sieht die Gefahr nicht, andernfalls würden sie nicht so handeln. Zum einen gibt es hier Menschen, denen nicht bekannt ist, dass sie überhaupt eine Tür für die Netzwerk-Zelle benötigen. Viele Mitarbeiter vertrauen hier auch der unternehmenseigenen IT-Abteilung; schließlich kontrolliert sie doch die Eingangstür zum Netzwerk – sie sollte es zumindest tun.
Im übertragenen Sinne lassen die Mitarbeiter selbst gleichzeitig die Kellertür oder Schiebetür der Terrasse offen, sodass Unbefugte auf diesen Wegen in das Fertigungsnetzwerk eindringen können.
Und schließlich gibt es Menschen, die teure, hochkomplexe Sicherheitsprodukte kaufen, aber die neue gepanzerte ‚Schutztür‘ nach wenigen Wochen aus Bequemlichkeit oder Überforderung nicht mehr abschließen.
Firewall muss zum Anwender passen
Die Türen des eigenen Heims entsprechen den Firewalls für industrielle Netzwerke. Wenn sie fehlen, falsch positioniert oder aufgrund ihrer Komplexität nicht richtig geschlossen werden, entsteht ein Sicherheitsrisiko. Für einen optimalen Schutz muss das Security-Produkt folglich zum Anwender passen.
Bild 1: Eine IT-Firewall kann das Produktionsnetz nicht vor allen Cyber-Security-Gefahren schützen. Phoenix Contact
Das Problem: Viele industrielle Nutzer sind keine ausgewiesenen Experten in Sachen Security. Sie brauchen daher Firewalls, die für den industriellen Einsatz optimiert wurden sowie sich zugleich einfach handhaben lassen. Die Baureihe FL mGuard 1100 von Phoenix Contact richtet sich genau an diese Zielgruppe: Anwender, deren industrielle Applikation eine Firewall erfordert, jedoch kein tiefes Fachwissen zur Konfiguration von IT-Security-Geräten besitzen und aus Zeitgründen nicht an entsprechenden Produktschulungen teilnehmen können.
Die Security-Einstiegsklasse FL mGuard 1100 ergänzt die bestehende Produktfamilie FL mGuard 4000, welche die Security-Experten im IT- und OT-Bereich adressiert. Die 1100er-Baureihe erweist sich somit nicht als Ersatz für die etablierten Geräte FL mGuard 4000, sondern erweitert das Produktportfolio um Security Router, die sich in Form, Fit und Funktion von den Bestandsgeräten unterscheiden.
Technologie-Upgrade vereinfacht Implementierung
Bild 2: Der FL mGuard 1100 stellt für Anwender ohne spezielle Security-Kenntnisse drei unterstützende Firewall-Funktionen bereit. Phoenix Contact
Um die neue Zielgruppe abzuholen, wurde bei der Entwicklung der Produktfamilie FL mGuard 1100 darauf geachtet, den Funktionsumfang auf das Wesentliche zu reduzieren sowie komplexere Security-Einstellungen zu automatisieren. Mitarbeiter mit einem geringen netzwerktechnischen Wissen können die Geräte deshalb selbständig, schnell und mit geringem Aufwand in Betrieb nehmen. Zeitintensive Produktschulungen sind also nicht notwendig.
Zuweisung der IP-Adresse entfällt
Neben einem hohen Datendurchsatz von bis zu 500 Mbit/s bei einer TCP-Kommunikation (ist unter anderem der Easy Protect Mode ein Kennzeichen der FL mGuard 1100. Mit dem Anschluss einer einfachen Drahtbrücke am Gerät wird ein Firewall-Regelsatz aktiviert, der in zahlreichen Applikationen Anwendung findet beziehungsweise üblich ist. Beispielsweise werden unbekannte eingehende Datenverbindungen blockiert, ausgehende Datenverbindung sowie die bidirektionale Kommunikation durch einen sicheren VPN-Tunnel jedoch erlaubt.
Das Besondere am Easy Protect Mode ist, dass der Mitarbeiter dem Produkt keine IP-Adresse zuweisen muss. Die Security Router arbeiten vollkommen transparent, vergleichbar mit einem passiven Ethernet-Kabel. Auf diese Weise lassen sich industrielle Netzwerkzellen auch nachträglich absichern – einfach, bequem und schnell.
Bild 3: Eine einfache Drahtbrücke aktiviert die voreingestellte Firewall-Konfiguration des Security-Routers und verbessert so den Schutz des Produktionsnetzes. Phoenix Contact
Bild 3 zeigt, wie ein Fertigungsnetzwerk mit Hilfe eines im Easy Protect Mode betriebenen FL mGuard 1100 einfach segmentiert werden kann, was das Schutzniveau der Applikation erhöht.
Dennoch hat der Produktionsserver zu allen Maschinen Zugang und kann Werte abfragen. Von der Maschine selbst, von den Notebooks der Servicetechniker oder vom externen Modem beispielsweise des Maschinenbauers, das an die Maschine angeschlossen ist, lässt sich allerdings nicht mehr auf andere Fertigungsbereiche zugreifen. Sollte eine Maschine mit Schadsoftware infiziert sein, fällt nur ein Teilsegment aus, nicht aber das gesamte Produktionsnetzwerk. Das Risiko wird folglich bereits durch zwei kostengünstige und schnell installierte Komponenten deutlich gesenkt.
Bild 4: Durch den Easy Protect Mode wird die Schaltschrank-Netzwerkzelle vor unbefugten Zugriffen geschützt. Phoenix Contact
In Bild 4 ist ein weiteres Beispiel dargestellt. In diesem Fall werden Daten aus einem Schaltschrank an einen Server übertragen. Im Easy Protect Mode verhindert der FL mGuard 1100, dass Personen von außen Zugang zu den im Schaltschrank verbauten Netzwerkkomponenten erlangen. Die dort montierte Steuerung oder andere Komponenten können jedoch noch immer einen sicheren VPN-Tunnel aus dem Schaltschrank zu einem zentralen Server aufbauen und entsprechende Daten senden sowie empfangen. Hier wurde das Schutzniveau durch den Einbau des FL mGuard 1100 im Easy Protect Mode ebenfalls einfach und schnell verbessert, sogar wenn das Gerät keine eigene VPN-Funktionalität umfasst.
Erfassung selbst komplexerer Kommunikationsbeziehungen
Mit dem integrierten Firewall Assistant stellt der Security Router eine weitere Erleichterung zur Verfügung. Die Assistenzfunktion unterstützt den Anwender bei der Konfiguration der Firewall. Der Mitarbeiter muss keinerlei Kenntnisse in Bezug auf die Topologie, Protokolle, Ports oder ähnliches aufweisen. Aktiviert er den Firewall Assistant, werden auf Basis des ein- und ausgehenden Datenverkehrs automatisch Vorschläge für die entsprechenden Firewall-Regeln erstellt. Die Empfehlungen kann der Anwender dann übernehmen oder auch ablehnen. So lassen sich in kurzer Zeit selbst komplexere Kommunikationsbeziehungen eines Maschinenparks erfassen, und das ganz ohne die Hilfe einer IT-Abteilung.
Als dritte Hilfestellung bietet der FL mGuard 1100 den Test Mode. Diese Funktion identifiziert nicht definierte Kommunikationsbeziehungen, meldet sie dem Anwender und schlägt ergänzende Firewall-Regeln vor. Die Firewall-Regeln lassen sich also nachträglich sehr präzise erweitern, wobei die Verfügbarkeit der Maschine weiterhin sichergestellt ist.
Solider Cyber-Security-Grundschutz
Der Schutz von industriellen Netzwerken erweist sich als essenziell. Viele industrielle Anwender sind allerdings keine IT-Security-Experten. Sie benötigen eine Firewall, die für ihren Anwendungsbereich optimiert sowie gleichzeitig einfach in der Handhabung ist. Die neue Baureihe FL mGuard 1100 stellt für diese Zielgruppe drei unterstützende Firewall-Funktionen bereit: den Easy Protect Mode, Firewall Assistant und Test Mode. Ohne umfassende Produktschulung kann nun jeder Mitarbeiter die industriellen Netzwerke mit einem soliden Cyber-Security-Grundschutz ausstatten.
Das Triple ist Pflicht: Produkte, Lösungen und Dienstleistungen
Neben IT-Security-Produkten umfasst das Portfolio von Phoenix Contact auch entsprechende Lösungen und Dienstleistungen. Phoenix Contact
Phoenix Contact stellt seinen Kunden ein umfassendes Portfolio zum Thema Cyber-Security zur Verfügung. So unterstützen Dienstleistungen und Schulungen die sichere Auslegung und den Betrieb von Automatisierungslösungen. Ihre Qualität wird kontinuierlich weiterentwickelt und durch unabhängige Dritte überprüft. Produktangebote, die aufeinander abgestimmte IT-Security-Funktionen umfassen, ergänzen das Leistungsspektrum. Dabei werden die Security-Funktionen entweder in Geräte wie Steuerungen integriert oder es handelt sich um dedizierte IT-Security-Produkte wie die Firewall- und VPN-Router der Baureihe FL mGuard.
- Phoenix Contact wurde als eines der ersten Unternehmen in Deutschland vom TÜV Süd nach der Normreihe für IT-Sicherheit zertifiziert. Dies bestätigt, dass das Unternehmen die Entwicklung von Secure-by-Design-Produkten entsprechend dem Prozess IEC 62443-4-1 sowie
- das Design von sicheren Automatisierungslösungen gemäß dem Prozess IEC 62443-2-4 durchführt.
Die Zertifizierungen unterstreichen die Strategie von Phoenix Contact, standardisierte IT-Security in Produkten, Industrielösungen und Beratungsdienstleistungen anzubieten, um einen zukunftssicheren Betrieb von Maschinen, Anlagen und Infrastrukturen zu ermöglichen.
Gerrit Boysen
(sk)
