Fachartikel

Zugangskontrolle über mehrere Standorte hinweg

Die Siempelkamp-Gruppe aus Krefeld ist Technologieausrüster für den Maschinen- und Anlagenbau, die Gusstechnik und die Nukleartechnik. Im Unternehmen war ein veraltetes System für Netzwerkzugangskontrolle im Einsatz. Nach einem einjährigen Testlauf in einer Tochterfirma startete der sukzessive Rollout eines neuen Werkzeugs für Network Access Control im gesamten Unternehmen. Der Anwenderbericht zeigt, wie es heute auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland betrieben wird.
Die Siempelkamp-Gruppe stellt unter anderem Großgussteile her.
Die Siempelkamp-Gruppe ist Systemlieferant von Pressenstraßen und kompletten Anlagen für die Holzwerkstoffindustrie, die Metallumformung sowie die Composite- und die Gummiindustrie. Mit einer der größten Handformgießereien fertigt Siempelkamp am Standort Krefeld Großgussteile mit einem Gesamtgewicht von 320 Tonnen Stückgewicht. Das Unternehmen liefert zudem Transport- und Lagerbehälter für radioaktive Abfälle und ist auf den Rückbau nukleartechnischer Anlagen spezialisiert.

Im Unternehmensnetzwerk befindet sich eine Fülle an wertvollem Ingenieurswissen, Firmengeheimnissen und sensiblen Kundeninformationen. Diese geschäftskritischen Informationen gilt es, bestmöglich gegen Cyberangriffe, Datenlecks und Industriespionage zu schützen.

Bestandswerkzeug wurde ersetzt
Nach außen ist das über mehrere Standorte weit verzweigte Netzwerk bereits sehr gut durch Security-Produkte wie modernste Firewalls oder Virenscanner abgesichert. Für den Schutz von innen war eine Lösung für Netzwerkzugangskontrolle (Network Access Control, NAC) im Einsatz.

Es stellte sich jedoch in der Praxis heraus, dass das bestehende Werkzeug nicht weiterentwickelt wurde, und so nicht ohne weiteres mit den stets neuen Angriffsvektoren mithalten konnte. Zudem offenbarten sich immer mehr Fehler in der Software, die vorhandene Lösung war generell zu langsam und die Umsetzung von Änderungen dauerte sehr lange. Zusammenfassend war das bisherige NAC nicht mehr geeignet, den hohen Sicherheitsstandard zu gewährleisten und die Verwaltung beanspruchte zu viel Zeit und Ressourcen des IT-Teams, das unter anderem mit der Netzwerkadministration betraut ist.

Testlauf in Tochterunternehmen
Im Zuge der Suche nach einer neuen Lösung wurden die Verantwortlichen auf das hardwareunabhängige, da SNMP-basierte, macmon NAC aufmerksam und nahmen es mit in die engere Auswahl. Im Vergleich zu den anderen Kandidaten stellte sich schnell heraus, dass die Lösung die spezifischen Herausforderungen von Siempelkamp am besten abdeckt.

Nach einem einjährigen Testlauf in einer Tochterfirma der Gruppe samt Datenübernahme, startete der sukzessive Rollout im gesamten Unternehmen. Aufgrund der intuitiven Bedienung von macmon NAC waren die Administratoren nach wenigen Schulungen in der Lage, die Inbetriebnahme im restlichen Konzern völlig selbstständig weiter zu führen.
Vollständige Netzwerkübersicht
Administratoren gewinnen mit macmon NAC eine vollständige Netzwerkübersicht. Die gesamte Infrastruktur mit allen Endgeräten wird als Live-Bestandsmanagement erfasst. Das NAC-Werkzeug läuft auf virtuellen Appliances mit 4500 Lizenzen an zehn Standorten in ganz Deutschland. Davon sind circa 400 Server, der Rest Clients. Außerdem werden rund 300 aktive Netzwerkkomponenten (Switche und Router) mit NAC verwaltet. Das entspricht einer derzeitigen Abdeckung von etwa 85 Prozent des gesamten Unternehmens.

Mit der neuen IT-Sicherheitslösung blockiert das IT-Team sämtliche nicht autorisierten Geräte, sodass nur berechtigte User Zugriff auf die hochsensiblen Informationen im Netz der Gruppe haben. Somit ließen sich manuelle Verwaltungsaufgaben der IT-Mitarbeiter automatisieren, die Überwachung des Netzwerks erfolgt quasi im Hintergrund. Versucht sich ein unbekanntes Gerät Zugang zu verschaffen, wird es automatisch in ein separates Quarantäne-VLAN verschoben und das IT-Team über den Vorfall benachrichtigt, sodass sich sofort entsprechende Maßnahmen ergreifen lassen.

Diese Ereignisse im Netzwerk erkennt NAC  
  • Standortwechsel von Endgeräten innerhalb einer Organisation
  • Auftauchen bekannter Geräte zu ungewöhnlichen Zeiten
  • Angriffe wie ARP-Spoofing oder MAC-Spoofing
  • Aufspüren von Endgeräten im Netzwerk
  • Übersicht der Portnutzung(freie und belegte Ports)
 

Hardware- und Herstellerunabhängigkeit
Die eingängige Bedienoberfläche und einfache Administrierbarkeit erspart dem IT-Team viel Arbeitsaufwand. Vorfälle, die bislang in der Bearbeitung etwa fünf bis zehn Minuten in Anspruch nahmen, lassen sich jetzt in nur zwei Minuten erledigen.

Die Hardwareunabhängigkeit ermöglicht es zudem, die bisher voneinander getrennten Standorte, die zum Teil noch mit selbst geschriebenen NAC-Lösungen arbeiteten, zentral, umfassend und lückenlos auf einem einheitlich hohen Schutzniveau abzusichern. Die Herstellerunabhängigkeit deckt Netzwerke auch mit gemischten Komponenten unterschiedlicher Generationen ab. Hier spart die IT viel Zeit und Mühen bei der Verwaltung der einzelnen Standorte ein.

Weitere Schritte in Planung
Von den vielen verfügbaren Funktionen in macmon nutzt das Unternehmen momentan die ARP-Schnittstelle und VLAN-Konfiguration, um das Netzwerk einfach und schnell logisch zu segmentieren.

Für die Zukunft ist zudem die Einführung des Gästeportal- und VLAN-Management-Moduls geplant, sowie der vom BSI empfohlene und in macmon vollständig unterstützte Betrieb gemäß IEEE-Standard 802.1X für ein noch höheres Sicherheitsniveau. Bei Bedarf ist auch ein Mischbetrieb aus SNMP und 802.1X möglich.

Fazit
Das Thema Netzwerksicherheit hat beim deutschen Mittelstand in den letzten Jahren kontinuierlich an Bedeutung gewonnen. Bei der Auswahl eines geeigneten, zuverlässigen NAC hat sich Siempelkamp für ein Best-of-Breed-Produkt entschieden. In der Testphase konnte die einfache Implementierung überzeugen, weitere Kriterien für einen unternehmensweiten Roll-out waren die Verfügbarkeit weiterer intelligenter Module für Spezialthemen, die kontinuierliche Weiterentwicklung durch das deutsche Entwicklungsteam und ein kompetenter Service. Im Tagesgeschäft erzielte die neue Lösung schnell eine deutliche Reduzierung des administrativen Aufwands. Einen wichtigen Plus-Punkt stellte nicht zuletzt die Schnittstellenfähigkeit zur Integrationen mit bereits existierenden Security-Anwendungen im Unternehmen dar.
15.07.2020/ln/Sabine Kuch, Corporate Communications, macmon secure GmbH

Nachrichten

Ähnlichkeiten zwischen Sunburst und Kazuar-Backdoor [11.01.2021]

Experten von Kaspersky haben spezifische Code-Ähnlichkeiten zwischen Sunburst und bekannten Versionen der Kazuar-Backdoor gefunden. Diese Art von Malware ermöglicht einen Fernzugriff auf den Computer eines Opfers. Die Erkenntnisse könnten Sicherheitsforscher bei ihren Analysen des Angriffs weiterbringen. [mehr]

Blick auf 20 Jahre Cyberbedrohungen [5.01.2021]

Der Jahreswechsel ist ein guter Zeitpunkt, um die aktuelle Bedrohungslandschaft zu betrachten und Prognosen zu wagen, wohin sie sich entwickeln könnte. Der Report "Cyberthreats: A 20-Year Retrospective" von Sophos hingegen gibt einen Überblick über die Cyberbedrohungen und Ereignisse, die in den vergangenen 20 Jahren den größten Einfluss auf die Sicherheitslandschaft hatten. [mehr]

Vier-Augen-Prinzip [22.12.2020]

Tipps & Tools

Vorschau Februar 2021: Sichere Virtualisierung [18.01.2021]

Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet IT-Administrator den Themenschwerpunkt "Sichere Virtualisierung". Darin erfahren Sie, auf welchen Wegen Sie Ihre Hyper-V-Umgebung schützen und Backups ihrer virtuellen Umgebungen erstellen. Außerdem lesen Sie im Februar, was die Cybersicherheitsagentur ENISA in Sachen sichere Virtualisierung vorgibt und wie Sie Befehle in Kubernetes mit StatusBay analysieren, bevor diese zur Anwendung kommen. In den Tests werfen wir unter anderem einen Blick auf die Veeam Availability Suite. [mehr]

Ein frohes Neues! [1.01.2021]

"Liegt das neue Jahr vor dir und das alte hinter dir, lass das alte liegen und hebe das neue auf." Dieses Sprichwort bringt es ganz gut auf den Punkt. 2020 war kein leichtes Jahr, liegt aber hinter uns und wir können mit guten Vorsätzen und Zuversicht ins neue Jahr starten. Wir hoffen, dass Sie trotz der aktuellen Umstände eine frohe Weihnachtszeit hatten und drücken die Daumen für 2021. Damit Sie auch in diesem Jahr ausreichend mit Lesestoff versorgt sind, sollten Sie einen Blick auf unser Sonderheft "VMware vSpehere 7 – Server, Netze und Storage virtualisieren" werfen. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen