Altgeräte im Netzwerk sicher betreiben Reif für die Insel

Bei Anwendung der Verinselungsstrategie wird jedem gefährdeten oder nicht vertrauenswürdigen Gerät ein eigenes Netzsegment, eine »sichere Insel«, zugewiesen.

Die industrietaugliche »Microwall« des Wuppertaler Netzwerktechnik-Herstellers Wiesemann & Theis isoliert nicht mehr wartbare Altsysteme auf »sicheren Inseln« im Netzwerk. Auf diese Weise lassen sich potenziell gefährdete Altgeräte im Netzwerk sicher weiter betreiben.

Investitionen in Produktionsmaschinen und die dazugehörige Software sind meist auf einen Zeitraum von mehreren Jahren ausgerichtet. Oft werden die Maschinen weit über die erwartbare Nutzungsdauer hinaus eingesetzt. Betriebssysteme für Rechner und Steuergeräte dagegen sind deutlich kurzlebiger: So stellte Microsoft den Support für Windows 2000 im Jahr 2010 und den für Windows XP im Jahr 2014 ein. Die Unterstützung für Windows 7 läuft im Jahr 2020 aus.

Besonders in der Produktion führt dies regelmäßig dazu, dass Software und Systeme über das Netzwerk erreichbar sind, die einen veralteten Wartungszustand aufweisen und für die keine Sicherheits-Updates mehr verfügbar sind. Damit sind sie nicht nur besonders gefährdet gegenüber Angriffen, sondern stellen als potenzielles Einfallstor auch eine Bedrohung für das restliche Unternehmensnetz dar.

Für einen initialen Angriff reicht oft eine bösartige E-Mail oder ein mit Malware befallener USB-Stick. Gelingt es einem Angreifer, ein einziges Gerät zu kompromittieren, kann er von dort aus nach Sicherheitslücken in benachbarten Geräten suchen und diese ausnutzen.

Eine grundlegende, aber sehr wirkungsvolle Maßnahme, um diese Ausbreitung aufzuhalten, ist die Unterteilung des Netzwerks in funktionale Einheiten oder Segmente. Das Teilnetz für die Verwaltung etwa wird abgetrennt von dem der Entwicklungsabteilung. Warum sollte die Buchhaltung Zugriff auf Konstruktionsdaten bekommen? Warum sollte ein Mitarbeiter im Lager die Lohnbuchhaltung einsehen können? Innerhalb eines solchen Segments bleiben die Systeme untereinander jedoch weiterhin den von benachbarten Geräten ausgehenden Gefahren ausgesetzt. An dieser Stelle setzt die Verinselungsstrategie an.

Bei Anwendung der Verinselungsstrategie wird jedem Altgerät und jedem System mit besonderem Schutz- oder Überwachungsbedarf ein eigenes Netzwerksegment, eine „sichere Insel“, zugewiesen. Weil die möglichen Kommunikationsfälle eines Einzelsystems normalerweise klar definiert sind, wird die erlaubte Kommunikation auf genau diese Fälle beschränkt. Jeder andere Datenverkehr wird strikt unterbunden.

Die Microwall von Wiesemann & Theis ist als industrietaugliche Klein-Firewall speziell für die Umsetzung dieser Strategie entwickelt. Sie wird zwischen den Geräten und dem umgebenden Netzsegment installiert. Dort überwacht, steuert und protokolliert sie den anfallenden Datenverkehr anhand einer Positivliste erlaubter Kommunikationsfälle (Whitelisting).

Die Microwall unterstützt zwei Betriebsarten. Im Modus „Standardrouter“ wird sie in das Routing-Konzept des Netzwerks eingebunden. Das Zielsystem ist im Netzwerk direkt adressierbar. Der Datenverkehr in beide Richtungen wird über die Microwall geleitet und dort überwacht, gefiltert und protokolliert. Hierzu ist das zuständige Gateway so zu konfigurieren, dass Anfragen an das Zielsystem über die Microwall geleitet werden.

Der NAT-Modus (Network Address Translation) erlaubt die unkomplizierte Segmentierung direkt am Gerät. Mittels Port-Weiterleitung werden an die Microwall gerichtete Anfragen an das dahinter befindliche Zielsystem gesendet. Dessen Antwort wird von der Microwall an den anfragenden Netzwerkteilnehmer zurückgegeben. Sichtbar ist dabei nur die Microwall. Das Zielsystem tritt im umgebenden Netzwerk nicht in Erscheinung, sondern verbirgt sich in seinem isolierten Segment.

Die Verinselung mit der Microwall eignet sich allgemein zum Schutz und zur Isolation potenziell unsicherer oder nicht vertrauenswürdiger Systeme. Dazu gehören neben Altgeräten auch nicht sorgfältig entwickelte IoT-Devices und Embedded Systems sowie Rechner mit nicht vertrauenswürdiger Software.

Die Microwall mit der Produktnummer 55210 ist ab sofort für einen Nettopreis von 498 Euro bei Wiesemann & Theis erhältlich. Gewerbliche Kunden können das Produkt für einen Zeitraum von bis zu vier Wochen kostenfrei testen.