Auch für den Laien handhabbare Appliances

Solider Grundschutz für die Cybersecurity

26. April 2021, 07:00 Uhr   |  Gerrit Boysen/jos

Solider Grundschutz für die Cybersecurity
© Bild: Phoenix Contact

Bild 1. Eine IT-Firewall kann das Produktionsnetz nicht vor allen Cybersecurity-Gefahren absichern.

In Zeiten zunehmender Digitalisierung ist es wichtig, die industriellen Netzwerke vor unbefugten Zugriffen zu schützen. Doch oft scheitern entsprechende Maßnahmen daran, dass im Unternehmen die notwendigen Fachkenntnisse fehlen. Mit dem Security Router FL mGuard 1100 bietet der Hersteller Phoenix Contact daher ein Gerät für den soliden Cybersecurity-Grundschutz an, das sich selbst von ungeschulten Mitarbeitern leicht nutzen lassen soll.

Die meisten Menschen schließen die Eingangstür, wenn sie ihre Wohnung oder ihr Haus verlassen. Würde man eine Befragung durchführen, wäre die Mehrheit der Teilnehmer verwundert, sofern dies nicht geschieht. Denn ansonsten hätte jeder Passant die Möglichkeit, schnell in die privaten Räumlichkeiten zu gelangen, etwas aus ihnen mitzunehmen, sie umzugestalten oder im schlimmsten Fall zu verwüsten. Gilt es in der realen Welt also als selbstverständlich, die Haustür mindestens zu schließen, ist dies in der virtuellen Welt leider nicht der Fall. Dort lassen viele Unternehmen die Tür zu ihrem industriellen Netzwerk einfach offenstehen. Dies bedeutet, dass Teilnehmer aus der ganzen Welt auf die Produktionsdaten zugreifen, sie ansehen, auslesen, kopieren, verändern oder zerstören können.

Warum verhalten sich zahlreiche Menschen in der virtuellen Welt völlig anders als in der realen? Weshalb ziehen die Unternehmen die „Tür“ zu ihren Netzwerkzellen nicht wenigstens zu, vom Abschließen ganz zu schweigen? Die Antwort erweist sich als vergleichsweise einfach: Die Mehrzahl der Mitarbeiter sieht die Gefahr nicht, andernfalls würden sie nicht so handeln. Zum einen gibt es in diesem Umfeld Menschen, denen nicht bekannt ist, dass sie überhaupt eine Tür für die Netzwerkzelle benötigen. Andere Mitarbeiter vertrauen der unternehmenseigenen IT-Abteilung, die die Eingangstür zum Netzwerk kontrollieren soll. Gleichzeitig lassen sie selbst im übertragenen Sinne die Außentür zum Keller oder die Schiebetür der Terrasse offen, sodass Unbefugte in das Fertigungsnetzwerk eindringen können. Das Bild 1 zeigt einige reale Gefahrenquellen, die eine Office-IT-Firewall nicht abfängt. Und schließlich gibt es Menschen, die teure, hochkomplexe Sicherheitsprodukte kaufen, jedoch die neue „Schutztür“ nach wenigen Wochen aus Bequemlichkeit oder Überforderung nicht mehr abschließen.

301 LANline 2021-04 Phoenix Contact Bild 2
© Bild: Phoenix Contact

Bild 2. Der FL mGuard 1100 stellt für Anwender ohne spezielle IT-Security-Kenntnisse drei unterstützende Firewall-Funktionen bereit.

Reduzierung auf das Wesentliche

Was die Türen für das eigene Heim sind, stellen Firewalls für industrielle Netzwerke dar. Sofern sie fehlen, falsch positioniert oder aufgrund ihrer Komplexität nicht richtig geschlossen sind, entsteht ein Sicherheitsrisiko. Für einen optimalen Schutz muss das Security-Produkt folglich zum jeweiligen Anwender passen. Viele industrielle Nutzer sind allerdings keine IT-Security-Experten. Sie benötigen daher Firewalls, die für den industriellen Einsatz optimiert sind und sich zugleich einfach handhaben lassen. Die Baureihe FL mGuard 1100 von Phoenix Contact richtet sich genau an diese Zielgruppe: Anwender, deren industrielle Applikation eine Firewall erfordert, die jedoch kein tiefes Fachwissen zur Konfiguration von IT-Security-Geräten besitzen und aus Zeitgründen nicht an entsprechenden Produktschulungen teilnehmen können.
Die Security-Einstiegsklasse FL mGuard 1100 ergänzt die bestehende Produktfamilie FL mGuard 4000, die die Security-Experten im IT- und OT-Bereich adressiert. Die neue Baureihe erweist sich somit nicht als Ersatz für die etablierten Geräte, sondern erweitert das Produktportfolio um Security Router, die sich in Form, Fit und Funktion von den Bestandsgeräten unterscheiden. Um die neue Zielgruppe zu erreichen, haben die Entwickler darauf geachtet, den Funktionsumfang auf das Wesentliche zu reduzieren sowie komplexere Security-Einstellungen zu automatisieren. Mitarbeiter mit einem geringen netzwerktechnischen Wissen können die Geräte deshalb selbständig, schnell und mit wenig Aufwand in Betrieb nehmen. Zeitintensive Produktschulungen sind also nicht notwendig.

Neben einem hohen Datendurchsatz zeichnen sich die Security Router unter anderem durch den sogenannten Easy Protect Mode aus. Das Setzen einer einfachen Drahtbrücke am Gerät aktiviert einen Firewall-Regelsatz, der in zahlreichen Applikationen Anwendung findet. Das Besondere daran ist, dass der Mitarbeiter dem Produkt keine IP-Adresse zuweisen muss. Die Security Router arbeiten transparent, vergleichbar mit einem passiven Ethernet-Kabel. Auf diese Weise lassen sich industrielle Netzwerkzellen auch nachträglich absichern.

301 LANline 2021-04 Phoenix Contact Bild 3
© Bild: Phoenix Contact

Bild 3. Der Schutz des Produktionsnetzes lässt sich verbessern, indem das Setzen einer Drahtbrücke die Firewall-Konfiguration aktiviert. Bild: Phoenix Contact

Bild 3 zeigt, wie sich ein Fertigungsnetzwerk mit Hilfe eines im Easy Protect Mode betriebenen FL mGuard 1100 einfach segmentieren lässt, was das Schutzniveau der Applikation erhöht. Es ist weiterhin möglich, dass der Produktions-Server zu allen Maschinen Zugang hat und Werte abfragt. Von der Maschine selbst, von den Notebooks der Service-Techniker oder vom externen Modem beispielsweise des Maschinenbauers, das an die Maschine angeschlossen ist, lässt sich allerdings nicht mehr auf andere Fertigungsbereiche zugreifen. Sollte eine Maschine durch Schadsoftware infiziert sein, fällt nur ein Teilsegment aus, nicht aber das gesamte Produktionsnetzwerk. Das Risiko ist folglich bereits durch zwei kostengünstige und schnell installierbare Komponenten deutlich gesenkt. Mit dem integrierten Firewall Assistant stellt der Security Router eine weitere Erleichterung zur Verfügung. Die Assistenzfunktion unterstützt den Anwender bei der Konfiguration.

301_Kasten
© LANline

Effektiv auch ohne Spezialwissen

Der Mitarbeiter muss keinerlei Kenntnisse in Bezug auf die Topologie, Protokolle, Ports oder Ähnliches aufweisen. Aktiviert er den Assistant, erstellt das System auf Basis des ein- und ausgehenden Datenverkehrs automatisch Vorschläge für die entsprechenden Firewall-Regeln. Die Empfehlungen kann der Anwender dann bei Bedarf übernehmen oder ablehnen. So lassen sich in kurzer Zeit selbst komplexere Kommunikationsbeziehungen erfassen. Als dritte Hilfestellung bietet FL mGuard 1100 den Test Mode. Diese Funktion identifiziert nicht definierte Kommunikationsbeziehungen, meldet sie dem Anwender und schlägt ergänzende Firewall-Regeln vor. Die Firewall-Regeln sind also nachträglich sehr präzise erweiterbar, wobei die Verfügbarkeit der Maschine weiterhin sichergestellt ist.

Gerrit Boysen ist als Manager Product Marketing Security BA IMA bei Phoenix Contact Electronics in Bad Pyrmont tätig.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

PHOENIX CONTACT Electronics GmbH

Netzwerksicherheit