Altgeräte im Netzwerk dank Verinselung sicher weiter betreiben

Die industrietaugliche “Microwall” des Wuppertaler Netzwerkspezialisten Wiesemann & Theis isoliert nicht mehr wartbare Altsysteme auf “sicheren Inseln” im Netzwerk. Auf diese Weise lassen sich potentiell gefährdete Altgeräte im Netzwerk sicher weiter betreiben.

Investitionen in Produktionsmaschinen und in die dazugehörige Software sind oft auf einen Zeitraum von mehreren Jahren ausgelegt. Wo möglich, werden sie oft weit über die betriebsgewöhnliche Nutzungsdauer hinaus eingesetzt. Betriebssysteme für Rechner und Steuergeräte hingegen sind deutlich kurzlebiger: So stellte Microsoft den Support für Windows 2000 im Jahr 2010 und den für Windows XP im Jahr 2014 ein. Die Unterstützung für Windows 7 läuft im Jahr 2020 aus.

Besonders im Produktionsumfeld führt dies regelmäßig dazu, dass Software und Systeme über das Netzwerk erreichbar sind, die einen veralteten Wartungszustand aufweisen und für die keine Sicherheitsupdates mehr verfügbar sind. Damit sind sie nicht nur besonders gefährdet gegenüber Angriffen, sondern stellen als potentielles Einfallstor auch eine Bedrohung für das restliche Unternehmensnetz dar.

Für einen initialen Angriff reicht oftmals eine bösartige E-Mail oder ein mit Malware befallener USB-Stick. Gelingt es einem Angreifer, ein einziges Gerät zu kompromittieren, kann er von dort aus nach Sicherheitslücken auf benachbarten Geräten suchen und diese auszunutzen.

Eine grundlegende aber sehr wirkungsvolle Maßnahme um diese Ausbreitung aufzuhalten, ist die Unterteilung des Netzwerkes in funktionale Einheiten oder Segmente. Das Teilnetz für die Verwaltung etwa wird abgetrennt von dem der Entwicklungsabteilung. Warum sollte die Buchhaltung Zugriff auf Konstruktionsdaten erhalten? Warum sollte ein Mitarbeiter im Lager die Lohnbuchhaltung einsehen können?

Innerhalb eines solchen Segments bleiben die Systeme untereinander allerdings weiterhin den von benachbarten Geräten ausgehenden Gefahren ausgesetzt. An dieser Stelle setzt die “Verinselungsstrategie” an.

Bei Anwendung der “Verinselungsstategie” wird jedem Altgerät und jedem System mit besonderem Schutz- oder Überwachungsbedarf ein eigenes Netzwerksegment, eine “sichere Insel”, zugewiesen. Da die möglichen Kommunikationsfälle eines Einzelsystems im Regelfall klar definiert sind, wird die erlaubte Kommunikation auf genau diese Fälle beschränkt. Jeglicher anderer Datenverkehr wird strikt unterbunden.

Die Microwall von W&T wurde als industrietaugliche Klein-Firewall speziell für die Umsetzung dieser Strategie entwickelt. Sie wird zwischen den Geräten und dem umgebenden Netzsegment installiert und überwacht, steuert und protokolliert den dort anfallenden Datenverkehr anhand einer Positivliste erlaubter Kommunikationsfälle (Whitelisting).

Die Microwall unterstützt zwei Betriebsarten. Im Modus “Standardrouter” wird sie in das Routingkonzept des Netzwerkes eingebunden. Das Zielsystem ist im Netzwerk direkt adressierbar. Der Datenverkehr in beide Richtungen wird über die Microwall geleitet und dort überwacht, gefiltert und protokolliert. Dazu muss das zuständige Gateway so konfiguriert werden, dass Anfragen an das Zielsystem über die Microwall geleitet werden.

Der NAT-Modus (Network Address Translation) erlaubt die unkomplizierte Segmentierung direkt am Gerät. Mittels Portweiterleitung werden an die Microwall gerichtete Anfragen an das dahinter befindliche Zielsystem gesendet

Dessen Antwort wird von der Microwall an den anfragenden Netzwerkteilnehmer zurückgegeben. Sichtbar ist dabei nur die Microwall. Das Zielsystem tritt im umgebenden Netzwerk nicht in Erscheinung, sondern verbirgt sich in seinem isolierten Segment, der sicheren Insel.

Die Verinselung mit der Microwall eignet sich allgemein zum Schutz und zur Isolation von potentiell unsicheren oder nicht vertrauenswürdigen Systemen. Dazu gehören neben Altgeräten auch nicht sorgfältig entwickelte IoT-Devices und eingebettete Systeme, sowie Rechner mit nicht vertrauenswürdiger Software.

Die Microwall mit der Produktnummer 55210 ist ab sofort für einen Nettopreis von 398,00€ bei Wiesemann & Theis erhältlich. Gewerbliche Kunden erhalten die Möglichkeit, das Produkt für einen Zeitraum von bis zu vier Wochen kostenfrei zu testen.

Die Wiesemann & Theis GmbH wurde 1979 von Reinhard Wiesemann und Rüdiger Theis gegründet. Mit 50 Mitarbeitern produziert das Unternehmen am Standort Wuppertal Mikrocomputer- und Netzwerktechnik. Im Jahr 2001 führte Wiesemann & Theis mit dem Web-Thermometer den ersten industriellen Temperatursensor mit Netzwerkschnittstelle ein und spezialisierte sich so bereits vor über fünfzehn Jahren auf Lösungen aus dem Bereich der Industrie 4.0.