Ethernet-basierte Produktionssysteme setzen sich zunehmend durch. Die einfache Integration in Intranets und das Internet, die hohe Bandbreite bis hin zu Gigabit/s sowie sinkende Kosten für industriell spezifizierte Kabel, Verbinder oder Switches und Router sind die Gründe. Die Kehrseite ist ein erhöhtes Risiko von Störungen und Produktionsunterbrechungen durch Sicherheitslücken in industriellen Netzen. Im Werk Emden Karosseriebau der Volkswagen AG wurde deshalb im Produktionsnetzwerk eine interne Risikoanalyse durchgeführt und die Sicherheit der Anlagen einschließlich der Steuerungs- und Regelungstechnik untersucht. Das Ergebnis: Sensible Produktionsanlagen sind nicht ausreichend gegen unerwünschte Zugriffe geschützt, weil Angriffe durch Schadprogramme, ungewollte Zugriffe oder unbeabsichtigte Fehleingaben durch Aktivitäten im internen Netz ausgelöst werden können und der Schutz durch zentrale Firewalls sehr aufwändig und unwirtschaftlich ist. Als Gefährdungspotenzial gelten z.B. Mitarbeiter von Fremdfirmen, die für Serviceeinsätze oder für Hard- und Softwareinstallationen mit ihrem Laptop auf das Netzwerk zugreifen und unbeabsichtigt Schadsoftware einbringen können. Auch unbeabsichtigte Fehleingaben wurden als problematische Schwachstellen identifiziert. \“Ein typisches Beispiel ist die Installation eines Servers, der anschließend in kurzen Abständen Ping-Pakete in das gesamte Netzwerk schickt. Solche permanenten Abfragen können eine industrielle Steuerung stören oder sogar zum Absturz bringen\“, benennt Jens Hoofdmann, technischer Sachbearbeiter Instandhaltung Karosseriebau einen Problempunkt aus der Analyse. Neue Sicherheitsregeln für das industrielle Netz Auf Basis der Risikoanalyse wurde ein Maßnahmenplan entwickelt, der organisatorische Änderungen, die Segmentierung des Netzes und die Einführung dezentraler industrieller Firewalls umfasste. Bei der Auswahl geeigneter Härtungs- und Sicherheitsmaßnahmen hat sich die Volkswagen AG, Werk Emden für Industrial Router mit integrierter Firewall entschieden. Die dezentral eingesetzte Industrie-Firewall-/Router-Lösung sorgt im Bereich des Karosseriebaus Emden für die Segmentierung des Produktionsnetzwerks in 15 abgeschottete Subnetze. Für einen zentralen Schutz mit vergleichbarer Granularität müssten alle Systeme bzw. Subnetze sternförmig mit einer sehr leistungsfähigen und komplex konfigurierten zentralen Firewall verkabelt werden. Das ist bei den typischen Entfernungen in einem Industriewerk sehr teuer und unwirtschaftlich, weswegen in solchen Umgebungen praktisch nur baum- und linienförmige Verkabelungstopologien vorzufinden sind, zu denen der dezentrale mGuard-Ansatz besser passt. Dezentrale Industrie- Firewall-/Router-Lösung Bei den Vorgesprächen zur Umsetzung der neuen Struktur, der technischen Bewertung und Anlaufüberwachung war auch die zentrale IT beteiligt. Die produktionsnahe IT sorgte schließlich für die Planung, Installation, Inbetriebnahme und Verwaltung. Das Anlagennetzwerk wurde bereits erfolgreich mit dem Blomberger Automatisierungsspezialisten Phoenix Contact geplant und in Betrieb genommen. Die guten Erfahrungen aus diesem Projekt und das vorhandene Wissen um die Anlagen waren deshalb auch bei der Absicherung des Netzwerks willkommen. Eingesetzt werden die Industrie-Firewall-/Router-Module FL mGuard von Phoenix Contact und Innominate. Für ihre Auswahl waren die Industrietauglichkeit und die Verfügbarkeit eines zentralen Managements die maßgeblichen Kriterien. Die mGuard-Module basieren auf einem gehärteten Embedded Linux und integrieren vier aufeinander abgestimmte Sicherheitskomponenten: eine bidirektionale Stateful Inspection Firewall, einen flexiblen NAT-Router, ein sicheres VPN-Gateway sowie optional einen industrietauglichen Schutz vor Schadsoftware. Als Vorteil erwies sich, dass die MGuard Security Appliance autark ist und durch den sogenannten \’Stealth Mode\‘ ohne Rückwirkungen auf das Produktionsnetz nachträglich integriert werden kann. Die Firewall verhält sich dabei routing-technisch transparent wie eine Bridge. Einrichtung von Industriefirewalls Die Installation, Einrichtung und Einbindung der Industrie-Firewalls war aus Sicht von Jens Hoofdmann eher einfach. Die Geräte wurden dezentral in jedem Uplink in Schaltschränken eingesetzt. Hardwaretechnisch konnten die 24V- Hutschienen-Geräte direkt in die Schaltschränke montiert und mit eigenem Personal auf Basis der vorhandenen Netzwerkstruktur und ohne Neuverkabelung in Betrieb genommen werden. Bei der Einrichtung der Firewall-Regeln sei man ganz pragmatisch vorgegangen, so Hoofdmann. Zunächst wurde jeder Datenverkehr zugelassen und die Zugriffe in die Subnetze nur mitgeloggt. Die Logfiles wurden anschließend ausgewertet und in Regeln festgehalten, welche Zugriffe künftig erlaubt sein sollten. Die Regeln wurden getestet, nochmals verbessert und schließlich so definiert. In dieser Phase wurden die Erfahrungen von Innominate, einer 100%-igen Tochter von Phoenix Contact, genutzt. Jens Hoofdmann: \“Wir haben vom tiefgehenden Know-how von Innominate mit Industrie-Netzwerken, Protokollen und Firewall-Regeln intensiv profitiert und die Installationen so besser strukturiert und optimiert.\“ Zentrales Management-System Das zentrale Management-System, der Innominate Device Manager (IDM), bietet einen Template-Mechanismus, mit dem alle mGuard Geräte zentral konfiguriert und verwaltet werden können. Die Parameter für Firewall-Regeln und NAT-Einstellungen werden im IDM direkt konfiguriert, ohne dass abstrakte Security Policies definiert werden müssen. Über die Upload-Funktion werden die Vorgaben auf alle aufgelisteten Devices hochgeladen und in einem Arbeitsgang konfiguriert. Mit dem IDM wurden auch spezielle Regeln zwischen den Subnetzen sowie Untergruppen und Usergruppen umgesetzt und dann auf alle Firewalls verteilt. Die Verwaltung der Geräte wurde durch das zentrale Management-System nach den Erfahrungen des Instandhaltungsbereichs bei VW Emden wesentlich erleichtert. Jetzt sei es kein Problem, innerhalb von fünf Minuten eine neue Firewall-Regel zu generieren, um etwa einem Servicemitarbeiter den Zugang zu erlauben. Schutz für sensible Produktionsanwendungen Im Produktionsnetzwerk vom Karosseriebau Emden wurden inzwischen Roboter, SPS, Panel PC, Lasertechnik, Schweißanlagen, Steuerungen und das führerlose Transportsystem (FTS) durch dezentrale Firewalls abgesichert. Jens Hoofdmann berichtet, dass es seit der Einrichtung der Firewalls keine Sicherheitsvorfälle mehr gegeben hat. Anhand der Log-Files konnten allerdings verseuchte Geräte aus anderen Produktionsbereichen identifiziert werden. Ein Virus hatte versucht, sich zu verteilen. Der Zugriff auf die geschützten Maschinen wurde aber abgeblockt und die anderen Bereiche konnten über die problematische Malware informiert werden. Jens Hoofdmann: \“Die Erfahrungen mit den mGuard-Industrie-Firewalls sind sehr gut. Wir sind zu 100% zufrieden. Die Unterstützung von Innominate ist auch bei Problemen sehr professionell. Alle unerlaubten Zugriffe werden geblockt und die Anlagen sind jetzt gegen Schadsoftware besser geschützt.\“
Schutz industrieller Netzwerke
-
Yaskawa eröffnet neues Robotermontage- und Distributionszentrum
Yaskawa baut seine Produktions- und Distributionskapazitäten für Roboter in Europa weiter aus: Am slowenischen Standort Ko?evje eröffneten Hiroshi Ogasawara (Representative Director & Chairman of the Board, Yaskawa Electric…
-
CPO Dr. Wilma Kauke im Interview: Wie Lapp Führung und Unternehmenskultur neu denkt
Zwischen KI, Krisen und Fachkräftemangel
Wirtschaftliche Unsicherheit, Fachkräftemangel, globale Spannungen und künstliche Intelligenz verändern die Arbeitswelt tiefgreifend. Für Dr. Wilma Kauke, Global HR Director & Chief People Officer EMEA bei Lapp, wird Human…
-
Hilscher kombiniert Industrial Ethernet, IIoT und CRA-Readiness auf NetX-90-Basis
Neue CifX-PC-Karten für sichere Industriekommunikation
Hilscher hat zwei neue PC-Karten für die sichere industrielle Kommunikation vorgestellt. Die Karten basieren auf dem NetX-90 System-on-Chip (SoC) und stehen im PCI-Express- sowie im Low-Profile-PCI-Express-Format zur Verfügung.…
-
Vorzeigeprojekt bei SGAC mit Rittal, Rittal Automation Systems und Eplan
Digitale Exzellenz in China
Mit der ‚Smart Manufacturing and Digitized Assembly Factory‘ setzt das chinesische Unternehmen SGAC gemeinsam mit Rittal, Rittal Automation Systems und Eplan neue Maßstäbe für die intelligente Fertigung. Die…
-
Für sichere Schaltbefehle
Befehls- und Meldegeräte mit externen Kontaktgebern
Norelem erweitert sein Portfolio um Befehls- und Meldegeräte mit externen Kontaktgebern.
-
OWL testet die nächste Stufe industrieller KI
Mit dem Projekt Engage-KI starten It’s OWL und Fraunhofer IEM eine Leistungsoffensive für…
-
Weidmüller: Grundstein für neuen asiatischen Hauptsitz
Weidmüller hat den offiziellen Spatenstich für eine neue asiatische Unternehmenszentrale in Suzhou gefeiert.
-
Auftragseingang im Maschinenbau: Keine Belebung in den Mai-Orderbüchern
Der Maschinenbau wartet weiter auf eine Belebung ihrer Orderbücher.
-
Siemens erweitert seine Werke
Siemens investiert 300Mio.€, um die Fertigung von Schlüsseltechnologien für die globale Energiewende und…
-
IIoT / Edge Computing
Edge-Modul für durchgängige IIoT-Daten
Turck erweitert seine IIoT- und Service-Plattform Turck Automation Suite um das Modul TAS…
-
Auftragsbestand im Verarbeitenden Gewerbe im April: +0,4% zum Vormonat
Der reale (preisbereinigte) Auftragsbestand im Verarbeitenden Gewerbe ist nach vorläufigen Ergebnissen des Statistischen…
-
Best Managed Companies Award 2026: Schmersal mit Goldstatus geehrt
Die Firma K.A. Schmersal wurde erneut mit dem Best Managed Companies Award ausgezeichnet.
-
Smartes Engineering für funktionale Sicherheit
In der modernen Softwareentwicklung gehören Versionskontrolle mit Git, mehrsprachige Codebasen, KI-gestützte Assistenten, Extensions…
-
Industrie-PCs
Panel-PCs für HMI und Maschinensteuerung
Gett erweitert sein HMI-Portfolio um eine neue Serie industrieller Panel-PCs der Marke InduSmart.
-
Ormazabal baut neue Deutschlandzentrale
Ormazabal hat den offiziellen Spatenstich für seine neue Deutschlandzentrale in Krefeld gesetzt.
-
Maschinenbau rechnet für 2026 nicht mehr mit Wachstum bei der Produktion
Die Produktion im Maschinenbau in Deutschland sank von Januar bis April um real…
-
Technische Beschaffung
B2B-Katalog als Brücke zur digitalen Beschaffung
Conrad Electronic erweitert seine B2B-Strategie um einen neuen, 960 Seiten starken Katalog.
-
Leitungstechnik
Torsionsfeste Devicenet-Leitung für Roboter
Igus erweitert seine Roboterleitungsserie CFRobot8.Plus um eine Devicenet-Leitung für hochdynamische Anwendungen mit Torsionsbewegungen…
-
Ringsensoren liefern Prozess- und Diagnosedaten
Induktive Ringsensoren mit IO-Link
Turck erweitert sein Portfolio um induktive IO-Link-Ringsensoren für die zuverlässige Erfassung kleiner metallischer…
-
Hima wächst in schwierigem Marktumfeld
Hima, Anbieter sicherheitsgerichteter Automatisierungslösungen, ist im Geschäftsjahr 2025 in einem anspruchsvollen Marktumfeld gewachsen.
-
Deutsche Elektroexporte bleiben vorerst auf Wachstumskurs
Im April entwickelten sich die Exporte der deutschen Elektro- und Digitalindustrie weiter beschleunigt…
-
Vorstandswahlen bei PLCopen
PLCopen hat einen neuen Vorstand gewählt, nachdem drei Mitglieder zurückgetreten sind.
-
R&M stärkt Produktmanagement und Marketing
Dr. Hannes Grubinger hat die Position des Chief Product & Marketing Officers bei R&M…
-
AC/DC-Hochleistungssicherungen
Mersen präsentiert seine neue Generation von Hochleistungssicherungen.
-
Cybersicherheit
Sicherer Entwicklungsprozess zertifiziert
Moxa hat gleich zwei Zertifizierungen nach IEC62443-4-1 Maturity Level 3 (ML3) erhalten –…
das könnte sie auch interessieren
-
-
Prozessautomatisierung
Ethernet-APL-Switches verbinden bis zu zwölf Feldgeräte direkt mit dem Ethernet-Netzwerk
-
-
















