Sichere Kommunikation von Maschinen und Anlagen

Anbindung kritischer Systeme an das Intranet - Verinselung mit der Microwall

Die Segmentierung einzelner Funktionseinheiten ist in Unternehmen eine gängige Technik, um die Netzwerksicherheit zu steigern. Dabei überwachen und steuern Firewallrouter die Kommunikation zwischen den einzelnen Segmenten. Je nach Größe von Unternehmen und Einheiten können die notwendigen Firewall-Regeln hier schnell unübersichtlich werden. Die Microwall setzt deshalb möglichst nah an der gefährdeten Anlage an und erzeugt eine überschaubare Netzwerkinsel rund um die jeweilige Funktionseinheit.

Zum Schutz der Anlage selbst, aber auch des restlichen Netzwerks und der darin befindlichen Daten, können Filterregeln in Form einer Whitelist eingesetzt werden, die nur noch ausdrücklich zugelassene Kommunikation zwischen der Insel und dem umliegenden Netzwerk erlauben. Der zur Absicherung der Insel erforderliche Satz an Filterregeln reduziert sich dadurch meist deutlich auf ein übersichtlicheres Maß.

Hier finden Sie noch detailliertere Informationen:

• Firewalls, Segmentierung und Verinselung
• Anwendungsbeispiel: Verinselung einer CNC-Fräse

Sicherer Fernzugriff mit VPN-Endpunkt direkt an der Anlage

Für die Kommunikation mit externen Kommunikationspartnern wie Servicetechnikern einer Maschine oder Mitarbeitern im Homeoffice wird ein VPN-Tunnel genutzt. Unter Verwendung von WireGuard-VPN wird eine gesicherte und authentifizierte Verbindung zwischen der verinselten Einheit und dem vertrauenswürdigen Verbindungspartner aufgebaut, über die Datenpakete gesendet und empfangen werden können. Das umliegende Intranet wird von der Verbindung durchtunnelt und ist für den Kommunikationspartner und mögliche Angreifer der segmentierten Einheit nicht erreichbar.

Die Beteiligten

Netzwerkinseln sind kleine Subnetzwerke, die sich innerhalb eines übergeordneten Netzwerks befinden. Auf diese Weise werden in Unternehmen einzelne Bereiche nach Funktionen getrennt. Potenzielle Angreifer und Schadsoftware können so im Zweifelsfall nicht das gesamte Unternehmensnetzwerk erreichen. Doch je mehr Teilnehmer ein Netz umfasst, desto umfangreicher und komplexer sind die notwendigen Filterregeln in der Firewall. Aus diesem Grund kann es Sinn machen, einzelne Anlagen oder sogar einzelne Maschinen oder Computer, die über das Intranet hinaus auch über das Internet kommunizieren, zu isolieren.

In einigen Anwendungsbereichen befindet sich der Kommunikationspartner von Maschinen, Anlagen oder Computern nicht im gleichen Netzwerk wie die Einheit selbst. Dies ist zum Beispiel immer dort der Fall, wo Fernwartungen an Maschinen durchgeführt werden müssen, wo unbemannte Anlagen an schwer zugänglichen Orten betrieben werden oder Maschinendaten von externer Stelle gesammelt werden. In solchen Fällen erfolgt ein Verbindungsaufbau zwangsläufig über das Internet. Auch wenn der Kommunikationspartner bekannt und authentifiziert ist, können Daten auf der Verbindungsstrecke abgefangen und mitgelesen werden. Um dies zu verhindern und beide Kommunikationsteilnehmer sicher zusammenzubringen, werden VPN-Tunnel genutzt.

Der Weg vom externen Kommunikationspartner hin zur betroffenen Stelle im Unternehmen führt neben dem Internet in der Regel auch durch das Intranet des Unternehmens. Dort sind viele weitere Einheiten an das Netzwerk angebunden: PCs der Mitarbeiter, Maschinen, Anlagen, Server, Firewalls oder weitere Netzwerksegmente. Der bis zur Netzwerkinsel lückenlos durchgeleitete VPN-Tunnel erhöht dabei die Sicherheit der getunnelten Daten, verhindert aber auch jeden Zugriff auf alle anderen Netzwerkteilnehmer. Die Durchleitung muss durch alle Firewalls und Router auf der Intranet-Strecke sichergestellt sein.

Die Lösung: Die Microwall VPN

Mit ihren zwei Netzwerkschnittstellen verinselt die Microwall VPN Teile eines Netzwerks in einem abgetrennten Segment und schließt sie unter Verwendung von selbst konfigurierbaren Firewall-Regeln an das Intranet an. Als VPN-Endpunkt am Rand der Netzwerkinsel kann die Microwall zusätzlich eine verschlüsselte Verbindung zu einem Kommunikationspartner außerhalb des Unternehmens aufbauen. Dazu muss der Partner lediglich die entsprechende WireGuard-Software installieren und sich entsprechend authentifizieren. Nach Aufbau der Verbindung kommunizieren die beiden Verbindungspartner so, als befänden sie sich im gleichen Netzwerk.