von Redaktion IT-A…
Lesezeit
2 Minuten
Office- und Produktions-LAN sicher verbinden
Die unterschiedlichen Anforderungen an das Büro- oder Verwaltungsnetzwerk auf der einen Seite und an das Fertigungs- oder Produktionsnetzwerk auf der anderen Seite bereiten vielen IT-Verantwortlichen Kopfzerbrechen. Was für das eine gut ist, muss für das andere längst keinen Nutzen bringen. Dem Verwaltungsnetzwerk dienliche Maßnahmen wie Anti-Viren-Tools oder Netzwerk-Tests können im Produktionsnetzwerk massiven Schaden anrichten. Der Beitrag stellt die Frage, inwieweit sich beide Welten sicher miteinander verbinden lassen.
Um beide Welten Office-LAN und eines Produktions-LAN intelligent miteinander zu verbinden, diskutieren Fachexperten in Industrie und Produktion diverse Lösungsansätze. Dabei stehen auch Fragen hinsichtlich des Schutzes sensibler Daten und möglicher Ausfallszenarien beider Netze auf der Agenda.
Ein Blick zurück
Historisch bedingt sind die ersten Netzwerke in der Verwaltung zu finden. Im Zuge der Evolution industrieller Fertigungssysteme entwickelten sich schrittweise vereinzelte Anbindungen der Produktionsmaschinen und -anlagen in Form von CAD/CAM-Systemen. Mit dem Vollausbau der IT-Netze in der Fertigung stieg der Vernetzungsgrad rasant an. Gewöhnlich kamen die Anforderungen an die Produktion aus dem Verwaltungsnetz heraus. Ins Verwaltungsnetz hinein erfolgten wiederum die Rückmeldungen aus der Fertigung.
Die Schnittstelle zwischen Verwaltung und Produktion bildeten Fertigungsmanagement-Systeme, die in der Regel im Produktions-LAN angesiedelt waren. Damit wurde die Grundlage für eine Koppelung von Office-LAN und Fertigungs-LAN gelegt. Jene war auch deshalb notwendig, weil der Datenaustausch zwischen beiden Netzwerken für die Unternehmen immer wichtiger wurde. Immerhin erforderte die Einführung hoch integrierter Systeme aus ERP, MES, CAD und QM einen stetigen Informationstransfer.
Produktionsnetze oft veraltet
Trotz der voranschreitenden Verschmelzung von Office- und Produktions-LAN bestehen naturgemäß weiterhin Unterschiede zwischen beiden, die insbesondere bei den Innovations- und Lebenszyklen deutlich werden. In der Office-IT halten Innovationen in kürzeren Abständen Einzug. Dagegen kommen in der Produktions-IT deutlich längere Zyklen zum Tragen. Denn Computersysteme, die der Steuerung von Fertigungsmaschinen dienen, besitzen im Vergleich zur Office-IT oftmals einen längeren Einsatz- beziehungsweise Lebenszyklus. Daher basiert die Produktions-IT oft auf veralteten Standards, die jedoch auf Dauer ein erhebliches Sicherheitsrisiko darstellen.
Zunächst war es die Office-IT, die Angriffen mit Viren und Trojanern ausgesetzt war, um sensible Daten auszuspähen. Der hohe Vernetzungsgrad beider IT-Systeme macht nun auch die Produktions-IT angreifbar und erfordert folglich den Einsatz ausgereifter Schutzsysteme wie beispielsweise eine Anti-Virus- oder Anti-Spy-Software oder Firewalls für beide Systeme. Während die Office-IT bereits heute einen hohen Schutz vor Angriffen bietet, werden in der Produktions-IT aber weiterhin oft veraltete (Betriebs-)systeme wie zum Beispiel Win95, Win98, WinXP oder gar ungepatchte Unix Derivate eingesetzt. Dies liegt unter anderem daran, dass die Programme für die Fertigung oft auf neueren Systemen nicht lauffähig sind.
Notwendige Änderungen an der Produktions-IT werden nur sehr zurückhaltend vorgenommen, weil Freigaben seitens der Hersteller nicht oder nur sehr zögerlich erfolgen. Früher stellte dies kein Problem dar, denn die Produktions-IT war isoliert und nicht mit externen Systemen oder dem Internet verbunden. Angriffsvektoren waren dementsprechend überschaubar und der Druck, durch die Verwendung aktueller Computersysteme das Sicherheitsrisiko zu minieren, gering. Die Schadsoftware konzentrierte sich eben auf die Office-IT Systeme. Aufgrund der höheren Systemdichte sahen die Angreifer hier bessere Erfolgschancen, um in ein System eindringen zu können.
Neue Einfallsmöglichkeiten
Mit der voranschreitenden Vernetzung zur Office-IT haben sich jedoch neue Einfallsvektoren für die Produktions-IT ergeben. Fertigungsanlagen stehen heute oft bereits in Verbindung zu externen Systemen, zum Beispiel für die Wartung, den Support, für Updates, den Abgleich mit Remotesystemen oder zu anderen Produktionsstandorten. Inzwischen kommen gar die Techniker der Anlagenhersteller mit Notebook und Software in die Produktion und müssen Anlagen warten, die am Produktions-LAN angebunden sind.
Seite 1: Kopplung von Office- und Produktions-Lan birgt Risiken
Seite 2: Schutz von neuen Angriffszielen
ln/Stefan Schaffner, Geschäftsführer bei der ASS it-systemhaus GmbH
Ein Blick zurück
Historisch bedingt sind die ersten Netzwerke in der Verwaltung zu finden. Im Zuge der Evolution industrieller Fertigungssysteme entwickelten sich schrittweise vereinzelte Anbindungen der Produktionsmaschinen und -anlagen in Form von CAD/CAM-Systemen. Mit dem Vollausbau der IT-Netze in der Fertigung stieg der Vernetzungsgrad rasant an. Gewöhnlich kamen die Anforderungen an die Produktion aus dem Verwaltungsnetz heraus. Ins Verwaltungsnetz hinein erfolgten wiederum die Rückmeldungen aus der Fertigung.
Die Schnittstelle zwischen Verwaltung und Produktion bildeten Fertigungsmanagement-Systeme, die in der Regel im Produktions-LAN angesiedelt waren. Damit wurde die Grundlage für eine Koppelung von Office-LAN und Fertigungs-LAN gelegt. Jene war auch deshalb notwendig, weil der Datenaustausch zwischen beiden Netzwerken für die Unternehmen immer wichtiger wurde. Immerhin erforderte die Einführung hoch integrierter Systeme aus ERP, MES, CAD und QM einen stetigen Informationstransfer.
Produktionsnetze oft veraltet
Trotz der voranschreitenden Verschmelzung von Office- und Produktions-LAN bestehen naturgemäß weiterhin Unterschiede zwischen beiden, die insbesondere bei den Innovations- und Lebenszyklen deutlich werden. In der Office-IT halten Innovationen in kürzeren Abständen Einzug. Dagegen kommen in der Produktions-IT deutlich längere Zyklen zum Tragen. Denn Computersysteme, die der Steuerung von Fertigungsmaschinen dienen, besitzen im Vergleich zur Office-IT oftmals einen längeren Einsatz- beziehungsweise Lebenszyklus. Daher basiert die Produktions-IT oft auf veralteten Standards, die jedoch auf Dauer ein erhebliches Sicherheitsrisiko darstellen.
Zunächst war es die Office-IT, die Angriffen mit Viren und Trojanern ausgesetzt war, um sensible Daten auszuspähen. Der hohe Vernetzungsgrad beider IT-Systeme macht nun auch die Produktions-IT angreifbar und erfordert folglich den Einsatz ausgereifter Schutzsysteme wie beispielsweise eine Anti-Virus- oder Anti-Spy-Software oder Firewalls für beide Systeme. Während die Office-IT bereits heute einen hohen Schutz vor Angriffen bietet, werden in der Produktions-IT aber weiterhin oft veraltete (Betriebs-)systeme wie zum Beispiel Win95, Win98, WinXP oder gar ungepatchte Unix Derivate eingesetzt. Dies liegt unter anderem daran, dass die Programme für die Fertigung oft auf neueren Systemen nicht lauffähig sind.
Notwendige Änderungen an der Produktions-IT werden nur sehr zurückhaltend vorgenommen, weil Freigaben seitens der Hersteller nicht oder nur sehr zögerlich erfolgen. Früher stellte dies kein Problem dar, denn die Produktions-IT war isoliert und nicht mit externen Systemen oder dem Internet verbunden. Angriffsvektoren waren dementsprechend überschaubar und der Druck, durch die Verwendung aktueller Computersysteme das Sicherheitsrisiko zu minieren, gering. Die Schadsoftware konzentrierte sich eben auf die Office-IT Systeme. Aufgrund der höheren Systemdichte sahen die Angreifer hier bessere Erfolgschancen, um in ein System eindringen zu können.
Neue Einfallsmöglichkeiten
Mit der voranschreitenden Vernetzung zur Office-IT haben sich jedoch neue Einfallsvektoren für die Produktions-IT ergeben. Fertigungsanlagen stehen heute oft bereits in Verbindung zu externen Systemen, zum Beispiel für die Wartung, den Support, für Updates, den Abgleich mit Remotesystemen oder zu anderen Produktionsstandorten. Inzwischen kommen gar die Techniker der Anlagenhersteller mit Notebook und Software in die Produktion und müssen Anlagen warten, die am Produktions-LAN angebunden sind.
Seite 1: Kopplung von Office- und Produktions-Lan birgt Risiken
Seite 2: Schutz von neuen Angriffszielen
| Seite 1 von 2 | Nächste Seite >> |
ln/Stefan Schaffner, Geschäftsführer bei der ASS it-systemhaus GmbH
