Produktionsnetzwerk absichern

[freakazoid 10]

Hallo!

 

Mich würde mal interessieren wie ihr Administratoren in euren Firmen das Produktionsnetzwerk absichert.

 

Die Anbindung von Maschinen u. Messstellen mit ihren Rechnern in der Produktion nimmt immer mehr zu. Alle wollen an das Netzwerk angebunden werden. Doch damit treten auch erhebliche Sicherheitsprobleme auf.

Viren können die Produktion nun lahmlegen und Hacker zerstören und klauen.

 

Wie sichert ihr die Rechner in den Produktionshallen ab? Habt ihr ein separates Netzwerk?

Welche Firewalllösungen habt ihr?

Ein Virenscanner auf den PC`s allein reicht sicher nicht ausserdem gibt es da immer wieder Probleme mit bereits älterer, existierender Spezialsoftware.

[BuzzeR 10]

... ich persönliche handhabe das wie folgt:

 

Die Rechner zur Betriebs- u. Prozessdatenerfassung an den Kostenstellen

laufen in einem eigenen Subnetz und ebenso die Datenbanken.

 

Als Applikationen werden ausschließlich Programme genutzt, die ich

selber "verbrochen" habe und diese basieren auf C++ / C#, welche

widerum auf eine ERMA IO-1388 IO-Karte zugreifen.

 

Nichts kommt an Traffic rein, oder raus. DIe Daten von den Kostenstellen

werden an die diversen anderen Abteilungen wie AV, QS usw. mittels

SQL-Replikation auf die jeweiligen DB geschaufelt.

 

Die Produktion bleibt bei mir ein völlig autarkes Subnetz, weil ich somit

auch den 24/7 - Betrieb gewährleisten kann.

 

Gehabt EUch wohl ...

Marco

[BuzzeR 10]

... schnell und vereinfacht auf den Punkt zu bringen. :D

 

Gruß

Marco

[freakazoid 10]

Wie handelt man das dann mit Fernwartung durch externe Firmen? Wenn das ein anders Subnet ist? Genügt ein Router?

[lefg 276]

Ein Subnetz wäre ein Teilnetz eines anderen Netzes. Marco schilderte trotz dieses Begriffes ein separates Netz, nicht kommt rein, nichts geht raus. Damit ist einigermaßen die Sicherheit gewährleistet, nach aussen.

 

Sollen externe Dienstleister Zugang bekommen zur Wartung von Maschinen und Geräten, wird es schon unsicherer. Meist erfolgt der Zugang ja über DSL, einen Roter. Eine Fehlkonfiguration wegen Unvermögen macht eventuell ein Scheunentor auf, das Netz steht dann offen im Web.. Wer kontrolliert diesen Zugang, wer konfiguriert das. Ist diese Person dafür geeignet? Der grösste Unsicherheitsfaktor ist der Mensch, der Unfähige, der Überforderte, der Entäuschte, der Bösartige, der Hassende.

 

Eine ISDN-Einwahl erscheint sicherer, ein potentieller Eindringling kann nicht zufällig darauf kommen. Er müsste um alle Zugangsdaten wissen. Die kennt natürlich auch ein Dienstleister, dessen Mitarbeiter können da ran kommen. Falls die Zugangsdaten nicht laufend geändert werden, haben eventuell lange ausgeschiedene Mitarbeiter die Daten im Notizbuch, auf dem ehemaligen Firmenlaptop. Eine Fall-zu-Fall-Freischaltung des Zugangs und nur Zugriff auf die notwendige Ressource macht die Sache sicherer. Sowas kostet natürlich Manpower.

 

Dann ist da noch die Sicherheit nach innen. Rechner in Maschinen basieren oft auf auf Unix, nicht auf Windows. Auf ins Netz eingebrachte Windowsrechner läuft oft eine nicht domänenfähige Software, viele Administratoren sind damit überfordert, die Foren zeigen es. Mit den Rechten eines Administrators oder Domänenadmins funktioniert die Sache aber, also wird eine Anmeldung, ein Account mit administrativen Rechten genommen. Das soll ja nicht für lange sein, nur bis die Lösung gefunden ist. Dann wechselt der Administrator, der neue muss sich erst einarbeiten, wird mit Arbeit eingedeckt, von dem Problem weiss er sowieso nichts, kann es garnicht wahrnehmen. Also bleibt es beim Status Quo, bei einer Sicherheitslücke. Ein eingeschleuster Wirtschaftsspion, ein Saboteur kennt die potentiellen Lücken, sucht danach, findet auch.