Das “Dual-Gate”-Prinzip: Compliance und OT-Sicherheit im Zeichen von NIS2 und CRA
Warum die Trennung von IT und OT heute gesetzliche Pflicht ist – und wie unsere Microwall sie unterstützt
Die Zeiten, in denen industrielle OT-Netze durch „Security by Obscurity“ oder auch gar nicht geschützt waren, sind vorbei. Mit NIS2 (Sicherung kritischer und wichtiger Sektoren) und dem Cyber Resilience Act (CRA) nehmen die Anforderungen an die Cybersicherheit von Maschinen und Anlagen deutlich zu.
Eine zentrale Forderung dieser Regularien: Datenverkehr muss nach dem Stand der Technik geschützt werden. Das bedeutet in der Praxis: Neben strikter Segmentierung muss netzwerkübergreifender Datenverkehr z.B. in den IT-Bereich des Unternehmens verschlüsselt erfolgen. Unsere Microwall VPN bietet hierfür die perfekte Hardware-Basis.
Die Herausforderung: „State of the Art“ für Legacy-Systeme
Viele wertvolle Bestandsanlagen und-systeme in der OT versehen klaglos ihren Dienst, kommunizieren aber über Protokolle, die keine integrierte Verschlüsselung besitzen. Laut NIS2 müssen Unternehmen hier „geeignete und verhältnismäßige technische Maßnahmen“ ergreifen. Werden unverschlüsselte Daten über das IT-Firmennetzwerk oder gar in die Cloud übertragen, drohen bei Vorfällen Konsequenzen bis hin zu empfindlichen Bußgeldern.
Unsere Microwall fungiert als Compliance-Enabler, indem er zwei getrennte Kommunikationspfade auf einem physikalischen Uplink bereitstellt:
1. Der NAT-Pfad: Transparenz für moderne IIoT-Geräte
Moderne Sensoren oder Edge-Gateways bringen oft schon eigene Verschlüsselung z.B. über TLS mit.
-
Funktion: Die Microwall arbeitet hier als klassischer NAT-Router. Sie maskiert die IP-Adressen der Insel und erlaubt verschlüsselten Traffic direkt zum Werksnetz.
-
Firewall: Ein dedizierter Regelsatz überwacht diesen Pfad und verhindert unbefugte Verbindungen zum Intranet und der sensiblen Steuerungsebene.
2. Der WireGuard-Pfad: Rettung für unverschlüsselte Protokolle
Für Modbus, Profinet und auch proprietäre Protokolle bietet die Microwall einen WireGuard-Server-Endpunkt.
-
Funktion: Externe Verschlüsselung („Outer Encryption“). Unverschlüsselte Daten werden durch einen sicheren WireGuard-Tunnel geleitet.
-
Compliance-Vorteil: Damit erfüllen Sie die Forderung nach Verschlüsselung im übergeordneten Datenaustausch, ohne die Software der Maschine (z.B. SPS) anfassen zu müssen.
Funktionsskizze: Das hybride Sicherheitsmodell
Hier sehen Sie, wie die beiden Firewalls und Schnittstellen zusammenarbeiten, um NIS2-konforme Segmentierung zu erreichen:
NIS2-Konformität
1. Strikte Netzwerksegmentierung
NIS2 (Network and Information Security - Richtlinie 2022/2555) fordert die Trennung von IT- und OT-Netzen, um z.B. eine laterale Ausbreitung von Schadsoftware zu verhindern. Durch die zwei Netzwerkschnittstellen und die zwei unabhängigen Firewall-Zonen (Intranet<>LAN und VPN<>LAN) stellen Sie sicher, dass kein Teilnehmer der OT-Insel ohne explizite Erlaubnis mit der Außenwelt spricht.
2. Verschlüsselung nach dem Stand der Technik
WireGuard gilt aktuell als eines der sichersten und effizientesten VPN-Protokolle. Durch die „Nachrüstung“ der Verschlüsselung via VPN halten Sie Ihre Altanlage auch unter NIS2 im Einsatz.
3. Schutz der Identität (NAT)
Das „Verstecken“ des Inselnetzes per NAT reduziert die Angriffsfläche (Attack Surface). Ein Angreifer sieht von außen nur die gehärtete Microwall, die dahinter liegenden, potentiell verwundbaren Teilnehmer bleiben unsichtbar.
Anwendungsszenario
Ein Maschinenbauer hat weltweit Anlagen in Betrieb.
Früher:
Die Anlage war in der Regel mit allen Teilkomponenten direkt in das Kundennetzwerk bzw. dessen IP-Bereich integriert. Auch unverschlüsselte Protokolle, deren Inhalt und Teilnehmer waren im gesamten Netz sichtbar.
Heute mit Microwall VPN:
Alle unsicheren Protokolle werden verschlüsselt und authentifiziert durch den WireGuard-Tunnel geleitet.
Die VPN-Firewall lässt Verbindungen ausschließlich zwischen explizit freigegebenen Teilnehmern zu.
Von Haus aus sichere Protokolle werden per NAT über die IP-Adresse der Microwall in die Insel geroutet. Auch hier wird die Kommunikation strikt über entsprechende Firewall-Regeln gesteuert.
Die Vorteile auf einen Blick
Ein Maschinenbauer hat weltweit Anlagen in Betrieb.
| Merkmal | Technischer Nutzen | Regulatorischer Nutzen NIS2 |
| Dual Firewall | Getrennte Regeln für VPN & NAT | Nachweisbare Segmentierung |
| WireGuard Server | High-Speed Verschlüsselung | Erfüllung der Verschlüsselungspflicht |
| 2 x Gigabit-Ethernet (Physisch) | Echte Netztrennung | Schutz kritischer Infrastruktur |
| NAT-Routing | Unsichtbare Insel-IPs | Minimierung der Angriffsfläche |
Fazit: Zukunftssicherheit zum Nachrüsten
Der Einsatz unserer Microwall VPN ist der schnelle und einfache Weg, um bestehende Maschinenlandschaften in eine NIS2-konforme Umgebung zu überführen. Sie schützen Ihre Produktion nicht nur vor Cyber-Angriffen, sondern auch vor rechtlichen Konsequenzen durch mangelhafte Absicherung.
-
Probieren geht über Studieren!
Gerne stellen wir Ihnen für den Zeitraum von vier Wochen eine Microwall kostenfrei zur Verfügung.
Testgerät anfordern -
Weiterlesen:
-
Firewalls, Segmentierung und Verinselung
Vorteile von Segmentierung und Verinselung einzelner Netzwerksegmente zum Schutz firmeninterner Daten und Geräte.
-
Sichere Kommunikation von Maschinen und Anlagen
Die Microwall ermöglicht eine geschützte Kommunikation mit nahen und fernen Kommunikationspartnern.
-
WireGuard VPN-Tunnel zwischen 2 Netzwerken
Dieses Tutorial führt durch die Konfiguration, die notwendig ist, um zwei PCs aus zwei unterschiedlichen Netzwerkbereichen miteinander zu verbinden.