Schlagworte wie IoT, IIoT, M2M oder Industrie 4.0 sind derzeit in aller Munde – kein Wunder, schließlich eröffnet die zunehmende Vernetzung von Maschinen viele neue Möglichkeiten und erschließt völlig neue Märkte. Für Unternehmen, die dem Trend folgen, ergeben sich vielfältige Vorteile. So lassen sich in der Energiewirtschaft durch Fernwartung und Remote Monitoring zahlreiche Prozesse verschlanken oder sogar einsparen: Wenn periphere Anlagen über Kabel, Daten- oder Mobilfunk an zentrale Stationen angebunden sind, werden Einsätze, ob zur Zustandsüberwachung oder zum Auslesen von Zählern, weitestgehend hinfällig. Durch vorausschauende Wartung können Störungen vermieden, Kosten gesenkt und ganz neue Geschäftsmodelle entwickelt werden.
Vernetzung birgt Chancen – aber auch Risiken
Die zunehmende Vernetzung erlaubt es Unternehmen, aus der Ferne zu schalten und zu walten. Eine Möglichkeit, die auch zunehmend genutzt wird: Zählten die Analysten von Ovum im Jahr 2015 noch 224 Millionen mobile IoT-Verbindungen, so werden es Schätzungen der GSMA zufolge bis 2020 bereits zwei Milliarden Verbindungen sein. Grundsätzlich eine positive Entwicklung – aber natürlich gibt es auch Schattenseiten: „Durch die weltweite Vernetzung ergeben sich bezüglich der IT-Sicherheit Herausforderungen, die lange Zeit unterschätzt wurden“, betont Jos Zenner, Produktmanager bei Welotec. „Wie prekär die Lage ist, lässt sich im Selbstversuch herausfinden: Eine unsichere Verbindung über einen Router wird bereits innerhalb von Sekunden oder Minuten zu Attacken führen.“
Große Hacker-Angriffe auf den Bundestag oder renommierte Konzerne haben auch der Öffentlichkeit das Problem vor Augen geführt. Entsprechend rückten die Regierung, Verbände und nicht zuletzt Unternehmen das Thema IT-Sicherheit vermehrt in den Vordergrund. So engagiert sich das Bundesamt für Sicherheit in der Informationstechnik (BSI) verstärkt für die Sicherheit von vernetzten Geräten. Im Bereich der kritischen Infrastrukturen sind bereits Gesetzes-Vorgaben in Kraft: Um möglichen Angriffen vorzubeugen und für eine stärkere Bedrohungslage gerüstet zu sein, müssen Unternehmen aus dieser Branche ein unternehmensweites ISMS (Information Security Management System) einführen, das sich in Deutschland stark an der Norm für IT-Sicherheitsverfahren ISO 27001 orientiert.
Mit Energieunternehmen zusammen entwickelt
Selbstverständlich lassen sich sichere Prozesse aber nicht über Nacht implementieren. Gerade mittelständische Unternehmen sind damit oft generell überfordert. Welotec hat deshalb zusammen mit Unternehmen aus der Energie- und Wasserwirtschaft einen Baukasten für eine ISMS-konforme Datenanbindung entwickelt, mit denen sich die gesetzlichen Anforderungen einfach erfüllen lassen. „Im Bereich der kritischen Infrastrukturen gab es zum Beispiel für das Firmware-Management keine adäquate Lösung am Markt“, schildert Jos Zenner. „Aufgrund der langjährigen Tätigkeit als Value Added Distributor für Kommunikations- und Automationslösungen verfügt das Unternehmen über große Erfahrung mit dem Thema Sicherheit. Basierend auf dieser Expertise haben wir unseren neuen Sicherheits-Baukasten entwickelt.“ Die sogenannte Welotec Security Suite umfasst abgesehen von den sicheren Routern der TK800-Serie sowohl eine Lösung für den sicheren Verbindungsaufbau über VPN (Ignis-Firewall und VPN-Konzentrator) als auch ein funkbasiertes Router-Management-System (DS800 Deployment Server).
Die Router-Serie TK800 gewährleistet höchste Sicherheit und Verfügbarkeit beim Zugriff auf Anlagen oder Geräte. Die Router unterstützen das neueste Internet-Protokoll IPv6 und sind somit eine zukunftssichere Investition. Eine höhere Verfügbarkeit erreichen die Router durch die Dual-SIM; alle Geräte können mit zwei SIM-Karten verschiedener Provider betrieben werden. Tritt ein Netzausfall oder eine Störung bei einem Provider auf, wechselt der Router über die zweite SIM-Karte automatisch in ein anderes Netz. Außerdem sind alle Geräte im Mobilfunkstandard abwärtskompatibel. So unterstützt die 4G LTE-Variante auch 3G (HSPA+, HSUPA, HSDPA, UMTS) und 2G (EDGE, GPRS, GSM). Ist das Netz mit dem höchsten Standard nicht verfügbar oder der Empfang zu schwach, wird automatisch auf das nächstbeste Netz gewechselt.
Bei der Datenübertragung steht die Sicherheit selbstverständlich im Vordergrund. Die TK800-Serie ist mit einer integrierten Firewall ausgestattet. Verschiedene statische und dynamische VPN-Protokolle (IPsec IKEv2, OpenVPN, DMVPN, L2TP und GRE) ermöglichen eine sichere Vernetzung. Ein intelligentes AAA (Authentication, Authorization, Accounting)-Management sorgt weiterhin für höchste Sicherheit. Die Geräte sind in der Lage, lokale und serverbasierte AAA-Lösungen wie TACAS+, RADIUS und mehr zur Authentifizierung zu nutzen. Das Routing erfolgt statisch oder dynamisch mit RIP oder OSPF.
Sichere Verbindungen mit Firewall und VPN
Ein weiteres Modul im Security-Baukasten ist der Ignis Firewall- und VPN-Konzentrator. „Die integrierte Firewall dient der Absicherung von Unternehmens-, Anwendungs- oder Router-Netzwerken“, erklärt Jos Zenner. „Sie lässt sich auch als VPN-Gegenstelle von Routern im Feld nutzen.“ Die Security-Engine ist als Network-Security-Appliance oder als virtuelle Maschine (Software zur Eigeninstallation) erhältlich. Die besonders ausfallsichere Lösung unterstützt Stateful Packet Inspection, IPsec IKEv2 und OpenVPN Management mit Next Generation Encryption. Sie wehrt zuverlässig Angreifer ab (Intrusion Detection) – gleichzeitig wird über die Funktion Traffic Shaper sichergestellt, dass während des Angriffs die geeigneten Bandbreiten für die eigentliche Anwendung zur Verfügung stehen. Für eine hohe IT-Verfügbarkeit sorgt der Hardware Failover: Sollte ein Gerät ausfallen, übernimmt ein anderes die Arbeit. Nicht zuletzt benachrichtigt die Lösung den Anwender bei abnormalen Vorgängen – zum Beispiel, wenn ein Prozessor ausfällt. Dank regelmäßiger Back-ups lässt sich die Konfiguration der Firewall sichern und – falls es zu einem Ausfall kommt – wiederherstellen.
Fortschrittliche Verwaltung von Routern
Der dritte Baustein ist der DS800 Deployment Server; er ist ebenfalls inklusive Hardware oder als virtuelle Maschine verfügbar. „Die Lösung ermöglicht unter anderem Softwareaktualisierungen und Neukonfigurationen der Router ganz einfach über die jeweilige Datenverbindung“, so Jos Zenner. „Das bedeutet, dass bei anstehenden Änderungen nicht jeder Router einzeln angefasst werden muss. Gerade bei großen Projekten spart das Zeit und Geld.“ Die Lösung ermöglicht nicht nur die Verwaltung der Geräte selbst, sondern auch das Management der Router-Konfiguration – inklusive automatischer Validierung. Auch Firmware-Updates lassen sich schnell und einfach durchführen. Das hilft nicht zuletzt bei der Behebung von Sicherheitslücken: Wenn eine Schwachstelle erkannt und behoben wurde, lässt sich die aktualisierte Software einfach und komfortabel über das Tool ausrollen.
Der DS800 Deployment Server ist das Ergebnis der Kooperation von Welotec mit großen Energieversorgern: In dem betreffenden Projekt sollten Zehntausende der TK800-Router implementiert werden. Um diese Mammut-Aufgabe möglichst effizient abwickeln zu können, entwickelte das Unternehmen eine eigene, neuartige Management-Software. Damit gestaltete sich der Roll-Out des Systems vergleichsweise einfach: Die Router wurden vorkonfiguriert und mit einer SIM-Karte ausgestattet. Nach dem Einbau bauten die Router automatisch die Verbindung zum DS800 Deployment Server auf, über den sie anschließend eine neue Konfiguration erhielten und sich somit in das hochsichere Netzwerk des Energieversorgers verbinden konnten. „Unser Management-Tool ist in dieser Form einzigartig, weil es die sichere und schnelle Abwicklung auch von extrem großen Projekten ermöglicht“, so Jos Zenner. „Insofern ist der DS800 Deployment Server ein unverzichtbarer Baustein unserer Security Suite.“ Der modulare Baukasten wird kontinuierlich weiterentwickelt: Derzeit ist ein Tool für die Überwachung der Netzwerkkomponenten in Planung. bj