Immer mehr IoT-Devices, die funktionstechnisch nichts mit der IT-Abteilung zu tun haben, verlangen nach einem Netzwerkzugang. Klare Sache für die IT: „Fremdgeräte“ müssen draußen bleiben. Wäre da nicht das Problem, dass die Automation bzw. Produktion ohne sie nicht funktioniert. Die autolinguale IT (AIT) hilft weiter. Wie Sie mit der richtigen Netzwerksegmentierung die Herausforderungen der Industrie 4.0 meistern, erfahren Sie hier.
Netzwerksegmentierung ja – aber nach welchen Regeln?
Die Netzwerksegmentierung gehört wie Firewall, Antivirus oder Patches zu einem umfassenden IT-Sicherheitskonzept. Segmente, die nicht oder nur bedingt miteinander vernetzt sind, sorgen für Struktur und schützen auch davor, dass sich Störungen oder Angriffe ungebremst im Netzwerk ausbreiten können. Doch ein Blick in die Fertigungshallen der Industrie zeigt, dass selbst geringfügige Störungen nicht selten eine ganze Produktionsstraße lahmlegen – trotz Netzwerksegmentierung. Wie ist das möglich?
Obwohl vernetzte Systeme moderne Produktionsprozesse überhaupt erst ermöglichen, existieren weder Leitlinien noch Standards für die Netzwerksegmentierung. Als klassische Aufgabe der IT Abteilung werden Netzwerke in aller Regel nach den Kriterien und Sicherheitsanforderungen der IT segmentiert. Die Anforderungsprofile und realen Prozesse der Automation werden dabei selten berücksichtigt, ja können von der IT gar nicht berücksichtigt werden, da sie weder systematisch erfasst noch kommuniziert werden.
Einen typischen Zielkonflikt zeigt das folgende Beispiel:
Auf eine Netzwerksegmentierung Industrie 4.0 kommen größere Herausforderungen zu, als sie reine Office-Netzwerke stellen: Neben der Sicherheit unterschiedlicher Anlagen muss vor allem die Verfügbarkeit gewährleistet werden. Doch dafür braucht es tiefere Einblicke in die anlagenspezifischen Kommunikations- und Schutzbedürfnisse. Die autolinguale IT schließt diese Lücke.
Segmentieren messbar machen – und damit planbar
„Aus Sicht der autolingualen IT“ erklärt HWI-Geschäftsführer Holger Wiedel, „hat die Netzwerksegmentierung zunächst gar nicht viel mit Technik zu tun.“ Vielmehr ist für die Spezialisten der autolingualen IT das Segmentieren zunächst einmal nichts anderes als ein Unternehmensdesign entlang der Wertschöpfungskette. Was bedeutet das für die Herangehensweise? Zuerst werden sämtliche Prozesse sowie ihre Kommunikationsbeziehungen und Datenflüsse erfasst, analysiert und strukturiert. Dafür setzen sich alle, die segmentieren, segmentieren sollen und segmentiert werden, in verschiedenen Konstellationen an einen Tisch – moderiert von HWI.
Schritt für Schritt werden alle Kriterien für die Netzwerksegmentierung, also die Sicherheits- und Verfügbarkeitsanforderungen, aus den realen Prozessen extrahiert und damit eine messbare Grundlage geschaffen. „Wir gehen dorthin, wo im Unternehmen der Umsatz gemacht wird, in die Wertschöpfung, und schauen uns an, was aus IT-Sicht alles dazugehört – zum Beispiel zu einer Abfüllanlage“, so Wiedel. Welche IT-Dienste müssen bereitgestellt werden, damit die Anlage funktioniert? Welche IT-Dienste lassen sich zentral organisieren? Unter dem Aspekt der Wertschöpfung wird schließlich definiert, was alles in einem Segment auf Augenhöhe zusammenspielen kann. So dass die Störung einer einzelnen Komponente nicht zum Ausfall eines ganzen Prozesses führen kann.
Um auf das Segment „Videokameras“ zurückzukommen: Im Rahmen der autolingualen Methode werden schon bei der Bestandsaufnahme die unterschiedlichen Verfügbarkeitslevel der Kameras erfasst und entsprechende Segmente definiert. Unterschiedliche natürlich. Für die prozessrelevanten Kameras das Segment mit der Verpackungsanlage.
Autolinguale IT und Netzwerksegmentierung: Sicherheit über drei Ebenen
Segmente, die entlang der Wertschöpfung unterteilt sind: Logisch getrennt auf drei Ebenen mit Firewall-geschützten, steuerbaren Übergängen. Zentrale Dienste für die Automation werden im Collaboration Layer bereitgestellt – ohne Zielkonflikte mit der IT.
„Mit der autolingualen Netzwerksegmentierung“, sagt Wiedel, „sind wir ganz weit vorn. Hieß es vorher, jetzt kommt eine neue Anlage, die kriegen ein eigenes Segment, so haben wir jetzt eine transparente Struktur, die genau abbildet, wer mit wem spricht, worüber und wie viel und die genau zeigt, wo die neue Anlage netzwerktechnisch hingehört.“
Ein weiterer nützlicher Effekt der autolingualen IT: Alle Richtlinien und Vorgaben der BSI (Kritis etc.) werden automatisch erfüllt. Wir gehen bei der Segmentierung nach der Norm IEC 62 443 vor. Die IEC 62 443 leitet sich aus der ISO 27001 ab und befasst sich mit der IT-Security im Produktions- und Automatisierungsbereich. Auch diese Sicherheitslücke wird so geschlossen.
Sie wollen mehr zum Thema Netzwerksegmentierung erfahren? In unserem kostenlosen Leitfaden geben wir Ihnen einen tieferen Einblick.