Fachartikel

Zugangskontrolle über mehrere Standorte hinweg

Die Siempelkamp-Gruppe aus Krefeld ist Technologieausrüster für den Maschinen- und Anlagenbau, die Gusstechnik und die Nukleartechnik. Im Unternehmen war ein veraltetes System für Netzwerkzugangskontrolle im Einsatz. Nach einem einjährigen Testlauf in einer Tochterfirma startete der sukzessive Rollout eines neuen Werkzeugs für Network Access Control im gesamten Unternehmen. Der Anwenderbericht zeigt, wie es heute auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland betrieben wird.
Die Siempelkamp-Gruppe stellt unter anderem Großgussteile her.
Die Siempelkamp-Gruppe ist Systemlieferant von Pressenstraßen und kompletten Anlagen für die Holzwerkstoffindustrie, die Metallumformung sowie die Composite- und die Gummiindustrie. Mit einer der größten Handformgießereien fertigt Siempelkamp am Standort Krefeld Großgussteile mit einem Gesamtgewicht von 320 Tonnen Stückgewicht. Das Unternehmen liefert zudem Transport- und Lagerbehälter für radioaktive Abfälle und ist auf den Rückbau nukleartechnischer Anlagen spezialisiert.

Im Unternehmensnetzwerk befindet sich eine Fülle an wertvollem Ingenieurswissen, Firmengeheimnissen und sensiblen Kundeninformationen. Diese geschäftskritischen Informationen gilt es, bestmöglich gegen Cyberangriffe, Datenlecks und Industriespionage zu schützen.

Bestandswerkzeug wurde ersetzt
Nach außen ist das über mehrere Standorte weit verzweigte Netzwerk bereits sehr gut durch Security-Produkte wie modernste Firewalls oder Virenscanner abgesichert. Für den Schutz von innen war eine Lösung für Netzwerkzugangskontrolle (Network Access Control, NAC) im Einsatz.

Es stellte sich jedoch in der Praxis heraus, dass das bestehende Werkzeug nicht weiterentwickelt wurde, und so nicht ohne weiteres mit den stets neuen Angriffsvektoren mithalten konnte. Zudem offenbarten sich immer mehr Fehler in der Software, die vorhandene Lösung war generell zu langsam und die Umsetzung von Änderungen dauerte sehr lange. Zusammenfassend war das bisherige NAC nicht mehr geeignet, den hohen Sicherheitsstandard zu gewährleisten und die Verwaltung beanspruchte zu viel Zeit und Ressourcen des IT-Teams, das unter anderem mit der Netzwerkadministration betraut ist.

Testlauf in Tochterunternehmen
Im Zuge der Suche nach einer neuen Lösung wurden die Verantwortlichen auf das hardwareunabhängige, da SNMP-basierte, macmon NAC aufmerksam und nahmen es mit in die engere Auswahl. Im Vergleich zu den anderen Kandidaten stellte sich schnell heraus, dass die Lösung die spezifischen Herausforderungen von Siempelkamp am besten abdeckt.

Nach einem einjährigen Testlauf in einer Tochterfirma der Gruppe samt Datenübernahme, startete der sukzessive Rollout im gesamten Unternehmen. Aufgrund der intuitiven Bedienung von macmon NAC waren die Administratoren nach wenigen Schulungen in der Lage, die Inbetriebnahme im restlichen Konzern völlig selbstständig weiter zu führen.
Vollständige Netzwerkübersicht
Administratoren gewinnen mit macmon NAC eine vollständige Netzwerkübersicht. Die gesamte Infrastruktur mit allen Endgeräten wird als Live-Bestandsmanagement erfasst. Das NAC-Werkzeug läuft auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland. Davon sind circa 400 Server, der Rest Clients. Außerdem werden rund 300 aktive Netzwerkkomponenten (Switche und Router) mit NAC verwaltet. Das entspricht einer derzeitigen Abdeckung von etwa 85 Prozent des gesamten Unternehmens.

Mit der neuen IT-Sicherheitslösung blockiert das IT-Team sämtliche nicht autorisierten Geräte, sodass nur berechtigte User Zugriff auf die hochsensiblen Informationen im Netz der Gruppe haben. Somit ließen sich manuelle Verwaltungsaufgaben der IT-Mitarbeiter automatisieren, die Überwachung des Netzwerks erfolgt quasi im Hintergrund. Versucht sich ein unbekanntes Gerät Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sich sofort entsprechende Maßnahmen ergreifen lassen.

Diese Ereignisse im Netzwerk erkennt NAC  
  • Standortwechsel von Endgeräten innerhalb einer Organisation
  • Auftauchen bekannter Geräte zu ungewöhnlichen Zeiten
  • Angriffe wie ARP-Spoofing oder MAC-Spoofing
  • Aufspüren von Endgeräten im Netzwerk
  • Übersicht der Portnutzung(freie und belegte Ports)
 

Hardware- und Herstellerunabhängigkeit
Die eingängige Bedienoberfläche und einfache Administrierbarkeit erspart dem IT-Team viel Arbeitsaufwand. Vorfälle, die bislang in der Bearbeitung etwa fünf bis zehn Minuten in Anspruch nahmen, lassen sich jetzt in nur zwei Minuten erledigen.

Die Hardwareunabhängigkeit ermöglicht es zudem, die bisher voneinander getrennten Standorte, die zum Teil noch mit selbst geschriebenen NAC-Lösungen arbeiteten, zentral, umfassend und lückenlos auf einem einheitlich hohen Schutzniveau abzusichern. Die Herstellerunabhängigkeit deckt Netzwerke auch mit gemischten Komponenten unterschiedlicher Generationen ab. Hier spart die IT viel Zeit und Mühen bei der Verwaltung der einzelnen Standorte ein.

Weitere Schritte in Planung
Von den vielen verfügbaren Funktionen in macmon nutzt das Unternehmen momentan die ARP-Schnittstelle und VLAN-Konfiguration, um das Netzwerk einfach und schnell logisch zu segmentieren.

Für die Zukunft ist zudem die Einführung des Gästeportal- und VLAN-Management-Moduls geplant, sowie der vom BSI empfohlene und in macmon vollständig unterstützte Betrieb gemäß IEEE-Standard 802.1X für ein noch höheres Sicherheitsniveau. Bei Bedarf ist auch ein Mischbetrieb aus SNMP und 802.1X möglich.

Fazit
Das Thema Netzwerksicherheit hat beim deutschen Mittelstand in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Bei der Auswahl eines geeigneten, zuverlässigen NAC hat sich Siempelkamp für ein Best-of-Breed-Produkt entschieden. In der Testphase konnte die einfache Implementierung überzeugen, weitere Kriterien für einen unternehmensweiten Roll-out waren die Verfügbarkeit weiterer intelligenter Module für Spezialthemen, die kontinuierliche Weiterentwicklung durch das deutsche Entwicklungsteam und ein kompetenter Service. Im Tagesgeschäft erzielte die neue Lösung schnell eine deutliche Reduzierung des administrativen Aufwands. Einen wichtigen Plus-Punkt stellte nicht zuletzt die Schnittstellenfähigkeit zur Integrationen mit bereits existierenden Security-Anwendungen im Unternehmen dar.
15.07.2020/ln/Sabine Kuch, Corporate Communications, macmon secure GmbH

Nachrichten

IT-Defense 2021 in Berlin [24.09.2020]

Einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren treffen sich vom 27. bis zum 29. Januar 2021 auf der IT-Sicherheitskonferenz IT-Defense in Berlin, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren. Die IT-Defense findet zum neunzehnten Mal statt und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. [mehr]

Zero Trust für IoT im Unternehmen [24.09.2020]

Das Zero-Trust-Sicherheitsmodell ist so konzipiert, dass es die sich ausdehnenden Grenzen des Netzwerks eines Unternehmens umfasst. Es beruht auf dem Prinzip "niemals vertrauen, immer überprüfen" und gewährt autorisierten Benutzern und Geräten kontrollierten Zugriff ausschließlich auf der Grundlage, ob sie ihre Identität eindeutig authentifizieren können, um das Privileg zu erhalten. Palo Alto Networks erläutert, wie maschinelles Lernen helfen kann. [mehr]

Gefährliche Kurzlinks [18.09.2020]

Tipps & Tools

HVI als Open Source erhältlich [14.08.2020]

Bitdefender hat sein Endpunkt-Sicherheitssystem "Hypervisor Introspection" als Open Source verfügbar gemacht. Die Technologie sucht nach Angriffsverfahren wie Pufferüberläufen, Heap-Spray und Code-Injektion, um schädliche Aktivitäten zu erkennen und zu unterbinden. Die Firma hat den Code als Teil des Xen Project unter der Lizenz Apache 2.0 veröffentlicht. [mehr]

SUSE übernimmt Rancher Labs [17.07.2020]

SUSE hat mit dem US-Open-Source-Unternehmen Rancher Labs den Anbieter einer marktführenden Kubernetes-Managementplattform akquiriert. Rancher Labs' Plattform ist für die Verwaltung sehr großer Kubernetes-Installationen ausgelegt und unterstützt dabei auch Multiclouds. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen