Firewall per Schalter steuern
I/O Steuerung für Industriefirewalls
Dank I/O-Steuerung kann die Firewall direkt aus der Automatisierungsumgebung gesteuert werden. Das spart Koordinationsaufwand und Zeit.
Im Problem- oder Wartungsfall flexibel sein
Das Management von Industrie-Firewalls kann mit viel Aufwand verbunden sein. Das liegt nicht nur an der hohen Relevanz eines angemessenen Security-Levels und der entsprechenden Sorgfaltspflicht der Verantwortlichen. Es wird auch dadurch erschwert, dass im Problem- oder Wartungsfall gleich mehrere Akteure aus IT und OT reagieren müssen. Die Abstimmung zwischen diesen (sehr verschiedenen) Bereichen und das Binden unnötiger Ressourcen kann vermieden werden, wenn Firewalls mit einer I/O-Steuerung ausgestattet sind: Denn sie ermöglicht es, fernwartungs- oder andere firewallspezifische Ereignisse flexibel und schnell über einen Schalter oder SPS-Ausgang auszulösen. So können diverse Aktionen unmittelbar aus der Automatisierungsumgebung heraus vollzogen werden. Dem Statuswechsel digitaler Eingänge einer Firewall können etwa folgende Aktionen entsprechen:
VPN-Zugang über SPS-Ausgang oder einfachen Schalter aktivieren
Aus Sicherheitsgründen besteht seitens der Maschinenbetreiber zumeist die Anforderung, dass Fernwartungszugänge nur im Bedarfsfall aktiv sind. Wenn es zu Problemen in gewohnten Abläufen kommt, ist dann Unterstützung durch die eigene IT oder sogar Externe nötig. In diesem Fall können bedienende Personen den Fernzugriff auf die Maschine etwa durch das Aktivieren eines VPN-Zugangs ermöglichen (und auch wieder einschränken) - nur durch das Betätigen eines einfachen Schalters.
Firewall Regelsätze umschalten
Im Normalbetrieb sind nur einzelne ausgewählte Firewall-Freigaben aktiv, die es z.B. einem Intranet-PC erlauben, eine Maschine mit NC-Programmen zu bedienen. Soll in einem Sonderfall ein zusätzlicher Port für den Zugriff auf die Maschinen-Konfiguration freigeschaltet werden, kann das ebenfalls unmittelbar über einen einfachen Schalter durch die bedienende Person vor Ort erfolgen. Wenn Maschinen normalerweise völlig autark auf einer Netzwerk-Insel arbeiten, um die Angriffsfläche auf ein mögliches Minimum zu beschränken, kann auf diese Weise auch eine kurzzeitige Freigabe für die Kommunikation mit dem Intranet zu einem bestimmten Zweck erteilt und widerrufen werden.
Externe Visualisierung von Ereignissen
Um etwa sicherzustellen, dass die Abschaltung des Fernzugangs nicht vergessen wird, kann ein digitaler Ausgang der Firewall das Öffnen eines Fernzugang optisch oder akustisch signalisieren.