Fachartikel

Zugangskontrolle über mehrere Standorte hinweg

Die Siempelkamp-Gruppe aus Krefeld ist Technologieausrüster für den Maschinen- und Anlagenbau, die Gusstechnik und die Nukleartechnik. Im Unternehmen war ein veraltetes System für Netzwerkzugangskontrolle im Einsatz. Nach einem einjährigen Testlauf in einer Tochterfirma startete der sukzessive Rollout eines neuen Werkzeugs für Network Access Control im gesamten Unternehmen. Der Anwenderbericht zeigt, wie es heute auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland betrieben wird.
Die Siempelkamp-Gruppe stellt unter anderem Großgussteile her.
Die Siempelkamp-Gruppe ist Systemlieferant von Pressenstraßen und kompletten Anlagen für die Holzwerkstoffindustrie, die Metallumformung sowie die Composite- und die Gummiindustrie. Mit einer der größten Handformgießereien fertigt Siempelkamp am Standort Krefeld Großgussteile mit einem Gesamtgewicht von 320 Tonnen Stückgewicht. Das Unternehmen liefert zudem Transport- und Lagerbehälter für radioaktive Abfälle und ist auf den Rückbau nukleartechnischer Anlagen spezialisiert.

Im Unternehmensnetzwerk befindet sich eine Fülle an wertvollem Ingenieurswissen, Firmengeheimnissen und sensiblen Kundeninformationen. Diese geschäftskritischen Informationen gilt es, bestmöglich gegen Cyberangriffe, Datenlecks und Industriespionage zu schützen.

Bestandswerkzeug wurde ersetzt
Nach außen ist das über mehrere Standorte weit verzweigte Netzwerk bereits sehr gut durch Security-Produkte wie modernste Firewalls oder Virenscanner abgesichert. Für den Schutz von innen war eine Lösung für Netzwerkzugangskontrolle (Network Access Control, NAC) im Einsatz.

Es stellte sich jedoch in der Praxis heraus, dass das bestehende Werkzeug nicht weiterentwickelt wurde, und so nicht ohne weiteres mit den stets neuen Angriffsvektoren mithalten konnte. Zudem offenbarten sich immer mehr Fehler in der Software, die vorhandene Lösung war generell zu langsam und die Umsetzung von Änderungen dauerte sehr lange. Zusammenfassend war das bisherige NAC nicht mehr geeignet, den hohen Sicherheitsstandard zu gewährleisten und die Verwaltung beanspruchte zu viel Zeit und Ressourcen des IT-Teams, das unter anderem mit der Netzwerkadministration betraut ist.

Testlauf in Tochterunternehmen
Im Zuge der Suche nach einer neuen Lösung wurden die Verantwortlichen auf das hardwareunabhängige, da SNMP-basierte, macmon NAC aufmerksam und nahmen es mit in die engere Auswahl. Im Vergleich zu den anderen Kandidaten stellte sich schnell heraus, dass die Lösung die spezifischen Herausforderungen von Siempelkamp am besten abdeckt.

Nach einem einjährigen Testlauf in einer Tochterfirma der Gruppe samt Datenübernahme, startete der sukzessive Rollout im gesamten Unternehmen. Aufgrund der intuitiven Bedienung von macmon NAC waren die Administratoren nach wenigen Schulungen in der Lage, die Inbetriebnahme im restlichen Konzern völlig selbstständig weiter zu führen.
Vollständige Netzwerkübersicht
Administratoren gewinnen mit macmon NAC eine vollständige Netzwerkübersicht. Die gesamte Infrastruktur mit allen Endgeräten wird als Live-Bestandsmanagement erfasst. Das NAC-Werkzeug läuft auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland. Davon sind circa 400 Server, der Rest Clients. Außerdem werden rund 300 aktive Netzwerkkomponenten (Switche und Router) mit NAC verwaltet. Das entspricht einer derzeitigen Abdeckung von etwa 85 Prozent des gesamten Unternehmens.

Mit der neuen IT-Sicherheitslösung blockiert das IT-Team sämtliche nicht autorisierten Geräte, sodass nur berechtigte User Zugriff auf die hochsensiblen Informationen im Netz der Gruppe haben. Somit ließen sich manuelle Verwaltungsaufgaben der IT-Mitarbeiter automatisieren, die Überwachung des Netzwerks erfolgt quasi im Hintergrund. Versucht sich ein unbekanntes Gerät Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sich sofort entsprechende Maßnahmen ergreifen lassen.

Diese Ereignisse im Netzwerk erkennt NAC  
  • Standortwechsel von Endgeräten innerhalb einer Organisation
  • Auftauchen bekannter Geräte zu ungewöhnlichen Zeiten
  • Angriffe wie ARP-Spoofing oder MAC-Spoofing
  • Aufspüren von Endgeräten im Netzwerk
  • Übersicht der Portnutzung(freie und belegte Ports)
 

Hardware- und Herstellerunabhängigkeit
Die eingängige Bedienoberfläche und einfache Administrierbarkeit erspart dem IT-Team viel Arbeitsaufwand. Vorfälle, die bislang in der Bearbeitung etwa fünf bis zehn Minuten in Anspruch nahmen, lassen sich jetzt in nur zwei Minuten erledigen.

Die Hardwareunabhängigkeit ermöglicht es zudem, die bisher voneinander getrennten Standorte, die zum Teil noch mit selbst geschriebenen NAC-Lösungen arbeiteten, zentral, umfassend und lückenlos auf einem einheitlich hohen Schutzniveau abzusichern. Die Herstellerunabhängigkeit deckt Netzwerke auch mit gemischten Komponenten unterschiedlicher Generationen ab. Hier spart die IT viel Zeit und Mühen bei der Verwaltung der einzelnen Standorte ein.

Weitere Schritte in Planung
Von den vielen verfügbaren Funktionen in macmon nutzt das Unternehmen momentan die ARP-Schnittstelle und VLAN-Konfiguration, um das Netzwerk einfach und schnell logisch zu segmentieren.

Für die Zukunft ist zudem die Einführung des Gästeportal- und VLAN-Management-Moduls geplant, sowie der vom BSI empfohlene und in macmon vollständig unterstützte Betrieb gemäß IEEE-Standard 802.1X für ein noch höheres Sicherheitsniveau. Bei Bedarf ist auch ein Mischbetrieb aus SNMP und 802.1X möglich.

Fazit
Das Thema Netzwerksicherheit hat beim deutschen Mittelstand in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Bei der Auswahl eines geeigneten, zuverlässigen NAC hat sich Siempelkamp für ein Best-of-Breed-Produkt entschieden. In der Testphase konnte die einfache Implementierung überzeugen, weitere Kriterien für einen unternehmensweiten Roll-out waren die Verfügbarkeit weiterer intelligenter Module für Spezialthemen, die kontinuierliche Weiterentwicklung durch das deutsche Entwicklungsteam und ein kompetenter Service. Im Tagesgeschäft erzielte die neue Lösung schnell eine deutliche Reduzierung des administrativen Aufwands. Einen wichtigen Plus-Punkt stellte nicht zuletzt die Schnittstellenfähigkeit zur Integrationen mit bereits existierenden Security-Anwendungen im Unternehmen dar.
15.07.2020/ln/Sabine Kuch, Corporate Communications, macmon secure GmbH

Nachrichten

Domain-Spoofing: Unterschätzte Gefahr [4.08.2020]

Das Vertrauen von Geschäftspartnern und Konsumenten in eine Unternehmensmarke ist essenziell für den Unternehmenserfolg. Wird eine Markenwebsite geklont und infolgedessen Anmeldedaten gestohlen, ist das Vertrauen in eine Marke schnell beschädigt. Umso erstaunlicher ist es, dass deutsche Unternehmen ihre Gefährdung durch Domain-Spoofing, also das betrügerische Klonen von Website-Domains unterschätzen. [mehr]

Riskante Browser-Zugangsdaten aufdecken [3.08.2020]

Schwache oder vielfach verwendete Passwörter sind ein Einfallstor für Angreifer. KnowBe4 stellt daher den kostenlosen "Password Browser Inspector" vor. Dieser überprüft die in Webbrowsern gespeicherten Zugangsdaten und soll so Risiko-User ausfindig machen. [mehr]

Innenansichten [31.07.2020]

Tipps & Tools

Download der Woche: Microsoft Remote Desktop für macOS [5.08.2020]

Wenn Sie mit einem Macbook arbeiten und Remotezugriff auf einen Windows-Rechner oder Workspace benötigen, kann "Microsoft Remote Desktop für macOS" weiterhelfen. In Version 10 der kostenfreien Software hat der Hersteller sich vor allem der Oberfläche gewidmet, um die Bedienung möglichst einfach zu gestalten. [mehr]

Sicherheitslücke in GRUB2 entdeckt [4.08.2020]

Eclypsium-Forscher haben eine Schwachstelle namens "BootHole" im GRUB2-Bootloader entdeckt. Durch die Sicherheitslücke könne ein Angreifer den UEFI Secure Boot umgehen und eigenen Code ausführen, um Kontrolle über ein Gerät zu erhalten. Fast alle signierten Versionen von GRUB2 seien anfällig, was bedeutet, dass praktisch jede Linux-Distribution betroffen ist. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen