Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Markt > Mitgehangen – Mitgefangen

Mitgehangen – Mitgefangen

4. April 2008, 9:13 Uhr |
Fortsetzung des Artikels von Teil 1

Netzwerkzugriffskontrolle in der Produktion?

Christoph Skornia, Technikpapst bei Checkpoint Software in Deutschland, meint, dass das ganze IP-Netz als Einheit sicherheitstechnisch abgenommen werden müsse. Da im Prinzip jeder mit jedem Daten austauschen und insofern auch Schadcode einschleusen könne, sei jeder Netzabschnitt kritisch. Da stellt sich dann die Frage, ob nicht mit dem Konzept der Netzwerkzugriffskontrolle, das gerade in der Bürovernetzung heftig diskutiert wird, die allumfassende Lösung bereit stehen könnte. Wenn das IP-Netz in Produktion und Büro als Einheit angesehen wird, wäre es wenig logisch, gleichzeitig die Ausweitung eines Netzwerkzugriffskontrollsystems auf die Produktionsumgebung für unmöglich zu erklären. Andererseits ist klar, dass eine wirkliche »Endpunkt-Kontrolle« im Produktionsbereich schwierig bis unmöglich ist. Es gibt dort jede Menge »exotischer Endgeräte«, die teilweise weit davon entfernt sind, zum Beispiel das Authentisierungsprotokoll IEEE 802.1x implementiert zu haben. Oft bilden Sensoren die Endpunkte. Diese kommunizieren ohne menschliche Beeinflussung untereinander oder mit ihren Leitgeräten. Axel Mario Tietz von Defense setzt denn auch keine Hoffnungen auf Netzwerkzugriffskontrolle im Produktionsumfeld: Voraussetzung für solche Lösungen sei, dass die Endgeräte die entsprechenden Authentisierungsstandards unterstützten beziehungsweise dass die Software, welche die Konformitätstests forderten, auch installiert werden könne, meint Tietz. Genau das sei aber im Produktionsumfeld nicht möglich. Speicherprogrammierbare Steuerungen von Siemens sprächen nun einmal kein IEEE 802.1x und auf vielen Steuersystemen könne aus Garantie- oder Zertifizierungsgründen gar keine Software aufgespielt werden. Markus Nispel, Director Solution Architecture bei Enterasys, sieht die Problematik deutlich entspannter. Er geht mit Tietz konform, dass »die Installierung eines Agenten auf den Endgeräten aus organisa­torischen und technischen Gründen meist nicht ­möglich ist, aber schließlich gebe es gerade bei ­ SSL-Appliances die Technik des agentenlosen Scannings per ­Java und ActiveX. Eine solche Technik ­könne in Zukunft auch für eine switch-basierte Lösung interessant werden. Darüber hinaus seien auch agentenlose Lösungen ohne Appliance verfügbar und böten sich als ein wichtiges Kontrollinstrument an. Kern einer solchen Lösung könne beispielsweise ein Radius-Proxy sein, der die normalen Authentisierungsanfragen abfange, die reine Nutzerauthentisierung durchleite, danach aber auf Basis beliebiger ­Parameter (beispielsweise aufgrund der Ergebnisse von Schwachstellen-Analysen oder des Ursprungs der ­Authentisierungsanfrage) eine Modifizierung der Antwort des Radius-Servers und der dort vorhan­denen Sicherheitsrichtlinien vornehme.

Porthoheit muss im Unternehmen bleiben In einem sind sich die befragten Sicherheitsspezialisten einig: das gefährlichste Einfallstor für Schadsoftware stellt im Produktionsumfeld derzeit die Wartung dar. Defense-Vorstand Tietz weist darauf hin, dass Wartungstechniker vor allem »einen flexiblen, einfachen und kompletten Zugriff« haben wollten, was in der Regel den Sicherheitsinteressen des Kunden widerspreche. Er konzediert allerdings, dass die Wartungsleute mittlerweile sicherheitstechnisch sensibler geworden sind und dass es »bereits einige Hersteller von Produktionsanlagen gebe, die sich Gedanken darüber machten, wie sie Systeme, die bei Kunden aufgestellt würden, absichern könnten«. Auch Wolfgang Straßer betont, dass die »Fernwartung eines der sicherheitstechnisch wichtigsten Themen« sei. Er empfiehlt, Servicetechniker nur gezielt zugreifen zu lassen, kein automatisches Patchmanagement durchzuführen und das Wartungsfenster zeitlich genau zu definieren. Des Weiteren sollten Wartungsarbeiten nur vor Ort durchgeführt werden, »gesteuert durch den Auftraggeber«. Die Porthoheit müsse definitiv beim Unternehmen bleiben. Diese Aussage kann wohl gut als Devise für die gesamte Sicherheitsstrategie im Produktionsbereich dienen.

  1. Mitgehangen – Mitgefangen
  2. Netzwerkzugriffskontrolle in der Produktion?
Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
KONZEPTUM GmbH

KONZEPTUM GmbH
easybell GmbH

easybell GmbH
d.velop AG

d.velop AG
GoTo Technologies Germany GmbH

GoTo Technologies Germany GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
dtm Datentechnik Moll GmbH

dtm Datentechnik Moll GmbH