Sicherheits-Appliance für Industrie-Ethernet
Werksschutz
Das Zusammenwachsen von Ethernet und TCP/IP in Office- und Produktionsumgebungen bringt nicht nur Vorteile mit sich: Nach einer Integration ist es zwingend nötig, die bekannten Sicherheitsmaßnahmen wie Firewall und Antivirenschutz auch in das industrielle Netzsegment zu übernehmen. Die Hersteller bieten dazu passende Appliances an.
Innominate Security Technologies aus Berlin ist Insidern bislang als Hersteller von
Security-Appliances bekannt. Mit "Mguard Industrial" stellt das Unternehmenr nun ein Gerät für die
industrielle Fertigung vor: eine Firewall, die sich auf DIN-Hutschienen montieren lässt. Es soll
Einzelsysteme oder funktionelle Gruppen im industriellen Ethernet vor Angriffen von außen und vor
unberechtigten Zugriffen von innen schützen. Zudem bietet es optional einen Virenschutz für
Produktionsnetze. Weiteres Feature ist der so genannte Innominates Security Configuration Manager
(ISCM), mit dem sich Sicherheits-Policies für alle Mguard-Systeme festlegen lassen.
Das Gerät verfügt über redundante Stromversorgung, zwei 10/100-Base/TX-Ethernet-Ports sowie
einen Meldekontakt. Laut Innominate lässt es sich in alle Ethernet-Produktionsnetzwerke
integrieren, und zwar ohne Veränderungen an den Systemeinstellungen, ohne Treiberinstallation,
unabhängig von Prozessoren und Betriebssystemen. Der Anschluss eines optionalen
Konfigurationsadapters und die Möglichkeit von Dial-up/-in über die vorhandene V.24 Schnittstelle
sollen die Eignung für das Industrieumfeld zusätzlich erhöhen. Hintergrund der Aktivitäten von
Innominate ist nach eigenen Angaben die Tatsache, dass proprietäre Datenprotokolle und
Netzwerktechniken in der Produktionssteuerung nach und nach von den im Office-Bereich seit langem
verbreiteten Standards Ethernet und TCP/IP abgelöst werden. Beide Arten von Netzen wachsen auf der
Basis dieser gemeinsamen Infrastruktur zusammen. Industrieunternehmen eröffnet dies offenbar ein
erhebliches Effizienzpotenzial, da sich die Produktionssteuerung unmittelbar mit
Enterprise-Ressource-Planning-Systemen und dem Supply-Chain-Management verbinden lässt. Zudem ist
nur eine technische Infrastruktur aufzubauen und zu warten, und entsprechendes Know-how muss nur
einmal vorhanden sein. Andererseits öffnet die bereichsübergreifende Infrastruktur auch Tür und Tor
für Viren, Trojaner und Hacker-Angriffe, die in den bis dato relativ sicheren – weil isolierten –
Industrienetzen nahezu unbekannt waren. "Die Sicherheitsrisiken beim Einsatz von Industrial
Ethernet werden von vielen Unternehmen noch nicht angemessen ernst genommen", heißt es seitens
Innominate. Dabei verursache ein Systemausfall in der Fertigung schnell ganz erhebliche Kosten.
Das Gerät arbeitet zwischen Ethernet-Schnittstelle und Fertigungsmaschine und übernimmt deren
MAC- und IP-Adresse. Durch diesen so genannten Stealth-Modus wird sie für Eindringlinge von Außen
unsichtbar. Durch die Absicherung jeder einzelnen Maschine mit einer eigenen Firewall – dieses
Prinzip bezeichnet der Hersteller als "Device Attached Security" – soll ein Produktionsnetzwerk
selbst im Falle einer Fehlbedienung oder Vireninfektion einer Maschine betriebsbereit bleiben.
Neben dem Schutz vor Hackern erlaubt die Appliance eine verschlüsselte Verbindung zwischen
einzelnen Systemen. Ein solches VPN mit hardwarebasierender DES-, 3DES oder AES-Verschlüsselung und
IPSec ermögliche zudem eine punktgenaue Zugriffskontrolle, so der Hersteller. Gezielt eingerichtete
VPNs in Verbindung mit individuell abgestimmten Sicherheitsrichtlinien sollen außerdem
versehentliche Falscheingaben durch eigene Mitarbeiter verhindern. Externen Wartungstechnikern
können zusätzlich Zugriffsrechte für einzelne Maschinen gewährt werden. Alle anderen Systeme
bleiben für sie unzugänglich. Da das Gerät keine Lüfter oder andere bewegliche Teile besitzt,
verspricht der Hersteller eine Einsatzfähigkeit von bis zu 15 Jahren.Die Appliance ist in zwei
Ausführungen verfügbar: als Mguard Industrial Enterprise FW (Firewall) und als Version XL (Firewall
plus VPN). Das Modell FW ist zu einem Listenpreis von 690 Euro erhältlich, das XL-Pendant kostet
940 Euro.
Info: Innominate Tel.: 030/63923300 Web: www.innominate.de
Lesen Sie mehr zum Thema
