Netzwerksegmentierung – Sicherheit für die ganze Wertschöpfungskette

Immer mehr IoT-Devices, die funktionstechnisch nichts mit der IT-Abteilung zu tun haben, verlangen nach einem Netzwerkzugang. Klare Sache für die IT: „Fremdgeräte“ müssen draußen bleiben. Wäre da nicht das Problem, dass die Automation bzw. Produktion ohne sie nicht funktioniert. Die autolinguale IT (AIT) hilft weiter. Wie Sie mit der richtigen Netzwerksegmentierung die Herausforderungen der Industrie 4.0 meistern, erfahren Sie hier.

Netzwerksegmentierung – Vorteile für alle Netzwerkteilnehmer

Autolingual segmentierte Netzwerke ermöglichen es allen Beteiligten, sich auf ihre eigentliche Aufgabe zu konzentrieren. Das Aufgabengebiet der IT wird geschärft, weil die Automation für sie transparent wird. Das der Automation sicherer, weil Datensicherheit in die Verantwortung der IT übergeht.

Office IT:

  • Konzentration auf die Kernaufgaben der klassischen IT
  • Deutlich größere Stabilität im Office-Netzwerk, da Fremdgeräte draußen bleiben
  • Anlagen / Automation in Verantwortung der Automation

Automation:

  • Konzentration auf den Betrieb von Anlagen / Automation
  • IT-Sicherheit in Verantwortung der IT-Abteilung
  • 24/7 Verfügbarkeit aller Zellen und Segmente

Wertschöpfung:

  • Höchste Verfügbarkeit aller Produktionsprozesse
  • IT-Sicherheit bis in die Automationszelle hinein
  • Planungs- und Investitionssicherheit

Netzwerksegmentierung ja – aber nach welchen Regeln?

Die Netzwerksegmentierung gehört wie Firewall, Antivirus oder Patches zu einem umfassenden ITSicherheitskonzept. Segmente, die nicht oder nur bedingt miteinander vernetzt sind, sorgen für Struktur und schützen auch davor, dass sich Störungen oder Angriffe ungebremst im Netzwerk ausbreiten können. Doch ein Blick in die Fertigungshallen der Industrie zeigt, dass selbst geringfügige Störungen nicht selten eine ganze Produktionsstraße lahmlegen – trotz Netzwerksegmentierung. Wie ist das möglich?

Obwohl vernetzte Systeme moderne Produktionsprozesse überhaupt erst ermöglichen, existieren weder Leitlinien noch Standards für die Netzwerksegmentierung. Als klassische Aufgabe der IT Abteilung werden Netzwerke in aller Regel nach den Kriterien und Sicherheitsanforderungen der IT segmentiert. Die Anforderungsprofile und realen Prozesse der Automation werden dabei selten berücksichtigt, ja können von der IT gar nicht berücksichtigt werden, da sie weder systematisch erfasst noch kommuniziert werden.

Einen typischen Zielkonflikt zeigt das folgende Beispiel:


Verfügbarkeitsanforderungen – die große Unbekannte

Die IT eines Maschinenbauers fasst alle Videokameras in einem Segment zusammen und erfüllt damit auch die Forderung des Betriebsrats, unkontrollierte Zugriffe auf die Kameras zu verhindern. Aus IT-Sicht ein schlüssiges Segment. Beim nächsten System-Update steht die Produktion still. Was die IT nicht wissen konnte: Im Segment befanden sich nicht nur Überwachungskameras, sondern auch prozessrelevante Geräte, die als optische Detektoren an der Verpackungsanlage arbeiten.


Auf eine Netzwerksegmentierung Industrie 4.0 kommen größere Herausforderungen zu, als sie reine Office-Netzwerke stellen: Neben der Sicherheit unterschiedlicher Anlagen muss vor allem die Verfügbarkeit gewährleistet werden. Doch dafür braucht es tiefere Einblicke in die anlagenspezifischen Kommunikations- und Schutzbedürfnisse. Die autolinguale IT schließt diese Lücke.

Segmentieren messbar machen – und damit planbar

„Aus Sicht der autolingualen IT“ erklärt HWI-Geschäftsführer Holger Wiedel, „hat die Netzwerksegmentierung zunächst gar nicht viel mit Technik zu tun.“ Vielmehr ist für die Spezialisten der autolingualen IT das Segmentieren zunächst einmal nichts anderes als ein Unternehmensdesign entlang der Wertschöpfungskette. Was bedeutet das für die Herangehensweise? Zuerst werden sämtliche Prozesse sowie ihre Kommunikationsbeziehungen und Datenflüsse erfasst, analysiert und strukturiert. Dafür setzen sich alle, die segmentieren, segmentieren sollen und segmentiert werden, in verschiedenen Konstellationen an einen Tisch – moderiert von HWI.

Schritt für Schritt werden alle Kriterien für die Netzwerksegmentierung, also die Sicherheits- und Verfügbarkeitsanforderungen, aus den realen Prozessen extrahiert und damit eine messbare Grundlage geschaffen. „Wir gehen dorthin, wo im Unternehmen der Umsatz gemacht wird, in die Wertschöpfung, und schauen uns an, was aus IT-Sicht alles dazugehört – zum Beispiel zu einer Abfüllanlage“, so Wiedel. Welche IT-Dienste müssen bereitgestellt werden, damit die Anlage funktioniert? Welche IT-Dienste lassen sich zentral organisieren? Unter dem Aspekt der Wertschöpfung wird schließlich definiert, was alles in einem Segment auf Augenhöhe zusammenspielen kann. So dass die Störung einer einzelnen Komponente nicht zum Ausfall eines ganzen Prozesses führen kann.

Um auf das Segment „Videokameras“ zurückzukommen: Im Rahmen der autolingualen Methode werden schon bei der Bestandsaufnahme die unterschiedlichen Verfügbarkeitslevel der Kameras erfasst und entsprechende Segmente definiert. Unterschiedliche natürlich. Für die prozessrelevanten Kameras das Segment mit der Verpackungsanlage.

Autolinguale IT und Netzwerksegmentierung: Sicherheit über drei Ebenen

Segmente, die entlang der Wertschöpfung unterteilt sind: Logisch getrennt auf drei Ebenen mit Firewall-geschützten, steuerbaren Übergängen. Zentrale Dienste für die Automation werden im Collaboration Layer bereitgestellt – ohne Zielkonflikte mit der IT.

„Mit der autolingualen Netzwerksegmentierung“, sagt Wiedel, „sind wir ganz weit vorn. Hieß es vorher, jetzt kommt eine neue Anlage, die kriegen ein eigenes Segment, so haben wir jetzt eine transparente Struktur, die genau abbildet, wer mit wem spricht, worüber und wie viel und die genau zeigt, wo die neue Anlage netzwerktechnisch hingehört.“

Ein weiterer nützlicher Effekt der autolingualen IT: Alle Richtlinien und Vorgaben der BSI (Kritis etc.) werden automatisch erfüllt. Auch diese Sicherheitslücke wird geschlossen.