A A A
| Sitemap | Kontakt | Impressum
ETZ Logo VDE Verlag Logo

01 IP-basierte Kommunikationsinfrastruktur

Internet Security Architecture für industrielle Netzwerke

02 Systemdesignentwurf für mehr Sicherheit

03 Schutz durch eine Web Application Firewall

Mit der Vision Industrie 4.0 zieht das Internet der Dinge und Dienste in die Fabrikhallen – ein neues Zeitalter bricht herein, welches zahlreiche Vorteile verspricht. Im Gegensatz zu älteren Technologien bietet die IP-Technologie allerdings mehr Potenzial für die unterschiedlichsten Angriffsszenarien. Der technologische Wandel bedeutet jedoch nicht, dass neue Systeme geringere Sicherheitsanforderungen erfüllen, sondern dass die Entwicklung, Konfiguration und der Betrieb der Systeme größte Sorgfalt erfordert. Damit Anwender die Vorteile sicherer IP-basierter Netzwerke in Produktion und Automatisierung ausnutzen können, hat Comsoft mit Ciseca eine Architektur und Suite von Technologien geschaffen.

Unternehmen nutzen bei geschäftskritischen Transaktionen immer häufiger das Internet. Damit setzen sie jedoch ihre Unternehmensdaten und ihren Betrieb stetig wachsenden Netzwerkbedrohungen aus. Vor diesem Hintergrund werden zunehmend Lösungen erforderlich, die nicht nur einen sicheren Zugriff auf Systeme und Services ermöglichen, sondern auch Expertise im Bereich Netzwerk und Security mit spezifischem Know-how in der industriellen Automatisierungstechnologie vereinen. Hierzu hat Comsoft eine Suite an Technologien entwickelt, und diese unter Ciseca (Comsoft Internet Security Architecture) zusammengeführt. Das Portfolio sichert Produktionssysteme gegen unautorisierte Angriffe von innen und außen ab. Um auf möglichst viele unterschiedliche Cyber-Gefahren vorbereitet zu sein, basiert die Lösung auf einer geschichteten und skalierbaren Verteidigung. Bild 1 stellt exemplarisch eine konventionelle Kommunikationsinfrastruktur und die Integration in eine außerordentlich automatisierte Produktionsumgebung dar. Die Migration in solch eine Vielfalt an IP-basierten Netzwerken bietet nicht nur zahlreiche Möglichkeiten, sondern öffnet auch die Türen für die unterschiedlichen Angriffsszenarien.

Schlüsselfertige und skalierbare Lösungen
Mit Ciseca hat der Anbieter eine schlüsselfertige und skalierbare Lösung entwickelt, um netzwerkbasierte Services und Datentransfer zu schützen (Bild 2). Das System vereint nicht nur richtungsweisendes Netzwerk und Security Know-how, sondern gleichzeitig mehr als 30 Jahre Erfahrung in der industriellen Automatisierung. Ciseca umfasst eine Vielzahl an Komponenten – alles in einer Gesamtlösung vereint. Zu den Elementen zählen sicheres Netzwerkdesign, vielschichtige Multi-Vendor-Firewall-Architekturen, Web Application Firewalls (WAF), E-Mail Security Appliance (ESA) inklusive Schutz vor Viren und Spam, Intrusion Detection (IDS) und Prevention (IPS), integriertes Monitoring und Alarming, Training sowie ein 24/7 Helpdesk. Um Angriffe von außen frühzeitig abzuwehren, beinhaltet die Lösung die Einrichtung eines Perimeter-Netzwerks, einer sogenannten Demilitarized Zone (DMZ), die einen Zugriff von außen auf das System verhindert. Dabei ist die DMZ so konfiguriert, dass Zugriffe aus dem sicheren Netz und dem Internet nur über Server in der DMZ erfolgen können.

Web Application Firewall
Das System beinhaltet neben Netzwerk- Firewalls ebenso Web Application Firewalls (Bild 3), die für das industrielle Umfeld adaptiert sind. Die WAF basiert auf bewährter Open- Source Software und verwendet ein gehärtetes Betriebssystem, gemäß den Open-Web-Application-Security-Project- Richtlinien. Aktualisierbare Regeln ermöglichen einen umfassenden und zuverlässigen Schutz vor unberechtigtem Datenzugriff, sowohl intern als auch extern. Einen weiteren Vorteil stellt der mögliche Lastenausgleich dar, wodurch die Anfragen an mehrere Backends verteilt werden können. Als ideale Ergänzung umfasst Ciseca eine weitere Komponente, die E-Mail Security Appliance, welche einen umfassenden Schutz für ein- und ausgehende E-Mails gewährleistet. ESA bietet umfassenden Schutz vor Spam- und Virus-Attacken und wird darüber hinaus mit SMTP, Pop3 und Imap-Support angeboten. ESA und WAF sind zudem kostengünstig im Betrieb, da sie zum einen auf derselben Hardware-Plattform co-gehosted und zum anderen auf kommerziellen Commercial-off-the-Shelf-Produkten (COTS) betrieben werden können. Das Comsoft Network Management System (CNMS) – bereits mehrfach erfolgreich implementiert – bietet eine Ergänzung zum Ciseca-Spektrum. Durch integriertes Logging, Monitoring und Alarming, können Störungen frühzeitig erkannt und Ausfälle durch proaktive Fehlerbehebung minimiert werden. Weitere Serviceleistungen stellen User Training, Sicherheitsbewertung sowie ein 24/7 Helpdesk dar. (mh)

Der Beitrag als pdf

Autor:
Dipl.-Ing. Uwe Kurpat ist Chief Sales Manager für MHS (Message Handling Systems) bei der Comsoft GmbH in Karlsruhe.