Großer Netzwerkschutz mit kleiner Firewall

Großer Netzwerkschutz mit kleiner Firewall

Es muss nicht immer ein Allround-Router sein: Für die Netzwerksegmentierung in der Fabrik ist eine Microwall Bridge oft die bessere Lösung. Sie schützt vor Hackerangriffen und erfordert keine aufwändige Neukonfiguration der IP-Adressen.

In vielen Betrieben gibt es diese eine Maschine, die schon immer da war, die seit Jahrzehnten ausfallfrei ihren Dienst verrichtet und bei der niemand mehr weiß, wie sie konfiguriert wird. Der letzte Mitarbeiter, der das noch konnte, ist im vergangenen Jahr in Rente gegangen. Einer interessiert sich indes besonders für diese Maschine: der neue IT-Leiter. Ein Netzwerk-Scan hat gezeigt, dass die Steuerung noch mit Windows XP läuft und am Firmennetz hängt. Für Hacker ist das ein gefundenes Fressen: Sie können sich über offene Schnittstellen zur Fernwartung in die Steuerung hacken und von dort ins gesamte Netzwerk vordringen. Bei einer Ransomware-Attacke verschlüsseln sie Daten und geben sie nur nach Zahlung eines Lösegelds wieder frei.

Schaden begrenzen, Performance steigern

Vor dem Problem stehen viele Industriebetriebe: Um die Früchte von Digitalisierung und Industrie 4.0 ernten zu können, muss man auch alte Maschinen vernetzen, handelt sich damit aber erhebliche Sicherheitsrisiken ein. Neue Maschinen kaufen? Das wäre das Beste, ist aber für viele Betriebe mit schmalem Budget keine Option. Der Ausweg: Netzwerksegmentierung. Dabei werden unsichere Teile des Firmennetzwerks abgetrennt. Dringen Hacker in ein Segment ein, können sie von dort nicht in das Hauptnetz oder in andere Segmente gelangen, der Schaden bleibt begrenzt. Mit der Segmentierung steigt zudem die Performance, weil unnötiger Datenverkehr vermieden wird. So priorisieren zum Beispiel Krankenhäuser die Kommunikation großer Datenmengen medizinischer Geräte gegenüber dem Besucher-WLAN.

Netzwerksegmentierung hat also viele Vorteile, gerade für Betriebe mit in die Jahre gekommenen Maschinen. Der Nachteil: Der Segmentierungsvorgang ist in gewachsenen Netzwerkstrukturen oft aufwändig und fehleranfällig. Eine Netzwerksegmentierung erfolgt üblicherweise über eine Firewall in einem industriellen Router. Dazu müssen sich die IP-Adressen in dem Segment allerdings von denen im Hauptnetzwerk unterscheiden, andernfalls kommt es zu Adresskonflikten. Das Anpassen von IP-Adressen ist mühsam und erfordert IT-Fachpersonal. Das ist wenig begeistert von dieser Aufgabe, denn getreu der IT-Weisheit „Never touch a running System“ lässt man davon lieber die Finger.  

Eine Alternative ist die Microwall Bridge. Das kleine Kästchen wird separat zwischen die zu segmentierende Maschine und das Hauptnetzwerk geschleift. Sie hat dementsprechend nur zwei LAN-Anschlüsse, über Switches lassen sich mehrere Maschinen an einer Bridge zusammenführen. Die Bridge enthält eine Firewall, die per Whitelisting konfiguriert wird. In dieser Liste steht, welches Gerät und welche Anwendung von außerhalb mit der Maschine im Segment kommunizieren darf. Alle anderen Verbindungen werden blockiert.

Eine Microwall Bridge schützt Geräte und Maschinen durch Segmentierung. Besonders ist, dass dazu das IP-Set-Up nicht berührt werden muss. Quelle: WUT

Der wichtigste Unterschied zu bisherigen Segmentierungslösungen: Die Microwall Bridge erfordert keinen Eingriff in das IP-Setup. Das vermeidet Fehler und Ausfälle und ist manchmal die einzige Möglichkeit, wenn Konfigurationsdaten mit einem Mitarbeiter in Rente gegangen sind. Die Microwall Bridge arbeitet aus Sicht der IP-Bereiche transparent, das heißt, die IP-Bereiche des umgebenden Netzwerks und innerhalb der Insel sind identisch. Trotzdem reicht die Bridge den Datenverkehr nicht einfach durch – netzwerkübergreifende Verbindungen sind nur nach der Einrichtung von Freigaberegeln auf Basis der jeweils beteiligten IP-Adressen und Portnummern möglich.

Sicher, einfach und weniger fehleranfällig

Dazu hat die Bridge eine sehr einfache Benutzeroberfläche, die nur die notwendigen Funktionen zeigt und von dem Ballast eines Industrierouters befreit ist. Die Einrichtung und das Anlegen einer Regel dauern nur wenige Minuten. Der Nutzer muss lediglich die IP-Adressen eines Geräts im Hauptnetz und eines Geräts im abgetrennten Segment angeben, z.B. eines PCs und einer Maschinensteuerung, um dann per Portnummer die ausgewählte Kommunikation zwischen beiden zu erlauben. Zugriffsversuche, die nicht in der Whitelist angegeben sind, werden mit einem „Die Webseite ist nicht erreichbar“ abgeblockt.

Kleine Hardware-Firewalls wie die Microwall Bridge sind nicht nur in wenigen Minuten konfiguriert. Sie können auch einfach direkt vor Ort installiert werden. Quelle: WUT

Erfahrungen von Kunden zeigen, dass die Netzwerksegmentierung dadurch einfacher und weniger fehleranfällig wird, ein Stopp der Produktion ist zumeist nicht erforderlich. Gleichzeitig erhöht sich der Schutz gegen Hackerangriffe erheblich. Die einfache Nachrüstung spart Kosten für Neuanschaffungen und langwierige Nachrüstung. Übrigens: Sollte es zu einem Geräteausfall kommen, lässt sich die Bridge in Sekundenschnelle ausstecken, so als wäre sie nie dagewesen.

kommentar field

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert