Zugangskontrolle über mehrere Standorte hinweg

Lesezeit
3 Minuten
Bis jetzt gelesen

Zugangskontrolle über mehrere Standorte hinweg

15.07.2020 - 14:00
Veröffentlicht in:
Die Siempelkamp-Gruppe aus Krefeld ist Technologieausrüster für den Maschinen- und Anlagenbau, die Gusstechnik und die Nukleartechnik. Im Unternehmen war ein veraltetes System für Netzwerkzugangskontrolle im Einsatz. Nach einem einjährigen Testlauf in einer Tochterfirma startete der sukzessive Rollout eines neuen Werkzeugs für Network Access Control im gesamten Unternehmen. Der Anwenderbericht zeigt, wie es heute auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland betrieben wird.
Die Siempelkamp-Gruppe ist Systemlieferant von Pressenstraßen und kompletten Anlagen für die Holzwerkstoffindustrie, die Metallumformung sowie die Composite- und die Gummiindustrie. Mit einer der größten Handformgießereien fertigt Siempelkamp am Standort Krefeld Großgussteile mit einem Gesamtgewicht von 320 Tonnen Stückgewicht. Das Unternehmen liefert zudem Transport- und Lagerbehälter für radioaktive Abfälle und ist auf den Rückbau nukleartechnischer Anlagen spezialisiert.

Im Unternehmensnetzwerk befindet sich eine Fülle an wertvollem Ingenieurswissen, Firmengeheimnissen und sensiblen Kundeninformationen. Diese geschäftskritischen Informationen gilt es, bestmöglich gegen Cyberangriffe, Datenlecks und Industriespionage zu schützen.

Bestandswerkzeug wurde ersetzt
Nach außen ist das über mehrere Standorte weit verzweigte Netzwerk bereits sehr gut durch Security-Produkte wie modernste Firewalls oder Virenscanner abgesichert. Für den Schutz von innen war eine Lösung für Netzwerkzugangskontrolle (Network Access Control, NAC) im Einsatz.

Es stellte sich jedoch in der Praxis heraus, dass das bestehende Werkzeug nicht weiterentwickelt wurde, und so nicht ohne weiteres mit den stets neuen Angriffsvektoren mithalten konnte. Zudem offenbarten sich immer mehr Fehler in der Software, die vorhandene Lösung war generell zu langsam und die Umsetzung von Änderungen dauerte sehr lange. Zusammenfassend war das bisherige NAC nicht mehr geeignet, den hohen Sicherheitsstandard zu gewährleisten und die Verwaltung beanspruchte zu viel Zeit und Ressourcen des IT-Teams, das unter anderem mit der Netzwerkadministration betraut ist.

Testlauf in Tochterunternehmen
Im Zuge der Suche nach einer neuen Lösung wurden die Verantwortlichen auf das hardwareunabhängige, da SNMP-basierte, macmon NAC aufmerksam und nahmen es mit in die engere Auswahl. Im Vergleich zu den anderen Kandidaten stellte sich schnell heraus, dass die Lösung die spezifischen Herausforderungen von Siempelkamp am besten abdeckt.

Nach einem einjährigen Testlauf in einer Tochterfirma der Gruppe samt Datenübernahme, startete der sukzessive Rollout im gesamten Unternehmen. Aufgrund der intuitiven Bedienung von macmon NAC waren die Administratoren nach wenigen Schulungen in der Lage, die Inbetriebnahme im restlichen Konzern völlig selbstständig weiter zu führen.

Vollständige Netzwerkübersicht
Administratoren gewinnen mit macmon NAC eine vollständige Netzwerkübersicht. Die gesamte Infrastruktur mit allen Endgeräten wird als Live-Bestandsmanagement erfasst. Das NAC-Werkzeug läuft auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland. Davon sind circa 400 Server, der Rest Clients. Außerdem werden rund 300 aktive Netzwerkkomponenten (Switche und Router) mit NAC verwaltet. Das entspricht einer derzeitigen Abdeckung von etwa 85 Prozent des gesamten Unternehmens.

Mit der neuen IT-Sicherheitslösung blockiert das IT-Team sämtliche nicht autorisierten Geräte, sodass nur berechtigte User Zugriff auf die hochsensiblen Informationen im Netz der Gruppe haben. Somit ließen sich manuelle Verwaltungsaufgaben der IT-Mitarbeiter automatisieren, die Überwachung des Netzwerks erfolgt quasi im Hintergrund. Versucht sich ein unbekanntes Gerät Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sich sofort entsprechende Maßnahmen ergreifen lassen.

Diese Ereignisse im Netzwerk erkennt NAC  
  • Standortwechsel von Endgeräten innerhalb einer Organisation
  • Auftauchen bekannter Geräte zu ungewöhnlichen Zeiten
  • Angriffe wie ARP-Spoofing oder MAC-Spoofing
  • Aufspüren von Endgeräten im Netzwerk
  • Übersicht der Portnutzung(freie und belegte Ports)
 

Hardware- und Herstellerunabhängigkeit
Die eingängige Bedienoberfläche und einfache Administrierbarkeit erspart dem IT-Team viel Arbeitsaufwand. Vorfälle, die bislang in der Bearbeitung etwa fünf bis zehn Minuten in Anspruch nahmen, lassen sich jetzt in nur zwei Minuten erledigen.

Die Hardwareunabhängigkeit ermöglicht es zudem, die bisher voneinander getrennten Standorte, die zum Teil noch mit selbst geschriebenen NAC-Lösungen arbeiteten, zentral, umfassend und lückenlos auf einem einheitlich hohen Schutzniveau abzusichern. Die Herstellerunabhängigkeit deckt Netzwerke auch mit gemischten Komponenten unterschiedlicher Generationen ab. Hier spart die IT viel Zeit und Mühen bei der Verwaltung der einzelnen Standorte ein.

Weitere Schritte in Planung
Von den vielen verfügbaren Funktionen in macmon nutzt das Unternehmen momentan die ARP-Schnittstelle und VLAN-Konfiguration, um das Netzwerk einfach und schnell logisch zu segmentieren.

Für die Zukunft ist zudem die Einführung des Gästeportal- und VLAN-Management-Moduls geplant, sowie der vom BSI empfohlene und in macmon vollständig unterstützte Betrieb gemäß IEEE-Standard 802.1X für ein noch höheres Sicherheitsniveau. Bei Bedarf ist auch ein Mischbetrieb aus SNMP und 802.1X möglich.

Fazit
Das Thema Netzwerksicherheit hat beim deutschen Mittelstand in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Bei der Auswahl eines geeigneten, zuverlässigen NAC hat sich Siempelkamp für ein Best-of-Breed-Produkt entschieden. In der Testphase konnte die einfache Implementierung überzeugen, weitere Kriterien für einen unternehmensweiten Roll-out waren die Verfügbarkeit weiterer intelligenter Module für Spezialthemen, die kontinuierliche Weiterentwicklung durch das deutsche Entwicklungsteam und ein kompetenter Service. Im Tagesgeschäft erzielte die neue Lösung schnell eine deutliche Reduzierung des administrativen Aufwands. Einen wichtigen Plus-Punkt stellte nicht zuletzt die Schnittstellenfähigkeit zur Integrationen mit bereits existierenden Security-Anwendungen im Unternehmen dar.

ln/Sabine Kuch, Corporate Communications, macmon secure GmbH

Tags

Ähnliche Beiträge

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.

Mit Mikrosegmentierung Sicherheitsrisiken minimieren

Netzwerksegmentierung dient der Abwehr von Schadsoftware, die sich nach der Infiltration des Netzwerks seitlich darin ausbreitet. Die Mikrosegmentierung untergliedert noch granularer, sodass zwischen einzelnen Unterbereichen des Netzwerks der Zugang beschränkt ist. Werden diese beiden Methoden miteinander kombiniert, lässt sich die Cybersicherheit eines Unternehmens merklich verbessern und Sicherheitsrisiken reduzieren.