Multitalent für sichere Maschinennetzwerke mit Wall IE von Helmholz (ÖV: Buxbaum)

Mit dem Wall IE können dann IP-Adressen, Ports, MAC-Adressen und die Telegrammart in beide Richtungen gefiltert werden.

Nicht nur diese aktuellen Vorgaben zeigen: Das Thema Maschinensicherheit geht inzwischen jeden an. Dabei geht es im Kern darum, Maschinennetze sicher in das übergeordnete Produktionsnetzwerk zu integrieren. Das Stichwort ist hier „Secure OT“ – also sichere operative Technologie aus Software und Hardware zur Steuerung, Absicherung und Kontrolle von industriellen Steuerungssystemen, Geräten und Prozessen.

Angesichts wachsender Datenkommunikation führt vor diesem Hintergrund kein Weg an der Trennung bzw. Segmentierung von Netzwerken vorbei. Konzepte mit Vertrauens-Zonen und sicheren Zonenübergängen (Zones & Conduits) haben sich hierfür als besonders wirksam erwiesen. Deshalb schreibt auch die IEC 62443 ein entsprechendes Schutzkonzept vor: Demnach ist es für große oder komplexe Systeme oft nicht angebracht, den gleichen Schutzbedarf für alle Komponenten zu verwenden, da diese unterschiedlichen Bedrohungen und Risiken aufweisen. Unterschiede können durch das Konzept der „Sicherheitszone“ dargestellt werden.

Robuste und kostengünstige Absicherung

An diesem Punkt stellt sich die Frage, wie ein solches Zones & Conduits-Schutzkonzept für vernetzte Maschinen konkret umgesetzt werden kann. Vor allem der mittelständische Maschinenbau und seine Kunden suchen in der Regel praktikable Lösungen, die nicht nur sicher und zuverlässig sein sollen, sondern auch schlank, effizient und einfach ohne weiteren externen Support einsetzbar sind.

Eine solche Lösung ist das NAT-Gateway Wall IE von Helmholz. Einfach und dauerhaft zwischen der Maschine und dem Produktionsnetzwerk installiert, verbindet das robuste und besonders kompakte Security-Gateway Bridge- und Firewall-Funktionen im tatsächlich notwendigen Umfang. Konkret schützt Wall IE die Netze, indem genau geregelt wird, welcher Teilnehmer mit welchem Gerät Daten austauschen darf. Die Voraussetzung dafür schafft eine Paketfilter-Funktionalität: Damit lässt sich der Zugriff zwischen dem Produktionsnetzwerk und der Automatisierungszelle einschränken.

Gleichzeitig ermöglicht der Wall IE auch eine Anpassung der vorhandenen IP-Adressen der Maschine an die IP-Adressen im Fabriknetzwerk durch NAT (Network Address Translation). Dabei wird jedem Gerät in der Maschine – welches nach außen sichtbar sein soll – eine IP-Adresse im Adressraum der Fabrik zugeordnet. Geräte in der Maschine, die nicht mit der Außenwelt kommunizieren sollen, werden hierbei einfach ausgenommen. Die Verwendung von NAT ermöglicht es darüber hinaus auch, mehrere gleichartige Automatisierungszellen mit gleichem Adressbereich in das Produktionsnetz einzubinden, ohne die Maschinen umkonfigurieren zu müssen.

Für den Fall, dass im Fabriknetzwerk nicht genug IP-Adressen zur Verfügung stehen, kann der Wall IE auch mit einer einzigen IP-Adresse im Fertigungsnetzwerk eingebunden werden. Der Zugriff auf die Geräte in der Maschine erfolgt dann über Portforwarding. Die Filterung und der Schutz funktionieren immer in beide Richtungen. Somit kann auch ein Fabriknetzwerk vor kompromittierten Geräten in der Maschine geschützt werden. Als weitere Besonderheit kann der Wall IE neben dem NAT-Betriebsmodus auch als Bridge eingesetzt werden. Im Bridge Mode haben die Netzwerkteilnehmer der Maschine bereits IP-Adressen im gleichen Bereich wie das Fabriknetzwerk. Alle Filterfunktionen sind aktiv, nur NAT ist hierbei abgeschaltet.

Was sind die Möglichkeiten für eine einfache und unkomplizierte Umsetzung zur Maschinensicherheit in meinem Projekt?

Seit der Markteinführung des Wall IE vor genau zehn Jahren hat sich dieser inzwischen in über 15.000 Anwendungen bewährt. Größtenteils auf konkrete Kundenanfragen hin wächst der Funktionsumfang seitdem stetig. Zu den jüngsten Neuerungen zählt die Implementierung von 802.1X zur Authentifizierung. Über diese neue Funktion lässt sich vom Endkunden im Fabriknetzwerk sicherstellen, dass keine unerlaubten Geräte im Netzwerk aktiv werden. Zusätzlich wurden Funktionen wie erweitertes Logging und ein verbessertes Benutzermanagement implementiert. Weitere Features wie z. B. Ping und Traceroute werden in Zukunft im Webinterface integriert. Darüber hinaus wird die Firmware des Wall IE permanent an die spezifischen Anforderungen der IEC 62443-4-2 an. Die Konfiguration des Wall IE kann jederzeit heruntergeladen, gesichert und bei Bedarf editiert werden. Auch mit diesen Erweiterungen bleibt Helmholz dem Anspruch treu, dass für die Inbetriebnahme des Wall IE Netzwerk-Basiswissen ausreicht.

Schutz garantiert

Seit inzwischen zehn Jahren schützen die leicht zu konfigurierenden NAT-Gateways bzw. Maschinenfirewalls der Wall IE Serie von Helmholz ohne großen Aufwand sensible Daten und kritische Systeme vor Cyber-Bedrohungen. Und die Zukunft hat bereits begonnen: 2026 wird die Zertifizierung gemäß IEC 62443 durch das Prüfunternehmen TÜV abgeschlossen werden.