Sichere Fernwartung für ein produzierendes Grossunternehmen
Die Herausforderung
Branche
Mitarbeiter Weltweit
Anzahl Zweigstellen
Gründung
In mehreren Divisionen weltweit betreibt unser Kunde Produktionsanlagen, die von einfachen Komponenten bis hin zu komplexen Systemen mit zahlreichen Sensoren, Steuerungen und weiteren technischen Komponenten reichen. Ein Teil dieser Anlagen wird intern entwickelt und gefertigt, während viele von externen Partnern konstruiert und in die einzelnen Divisionen integriert werden.
Eine grosse Herausforderung ergibt sich bei der Wartung dieser Anlagen, aber auch aufkommende Sicherheitsbedenken durch die notwendige Vernetzung dieser Anlagen. Aufgrund von längeren Betriebszeiten von Produktionsanlagen und der Menge an Zulieferern, Herstellern und eingesetzten Technologien muss eine ganzheitliche Lösung für die Trennung und den Remote Access gefunden werden, welche auch eine kontinuierliche Überwachung und Sicherstellung d er Zugriffsregeln umsetzt.
Die Herausforderung, die Hoheit über den Remote Access zu behalten, und keine unkontrollierbaren Lösungen der individuellen Hersteller zuzulassen, war – wie für viele Unternehmen – auch bei unserem Kunden präsent.
Unsere Lösung
Unser Lösungsansatz
- Site Protection Anlagen Gateways
- Network Access Control
- Multi Factor Authentication
- Security Information und Event Management
- Clue Security Operations Center Services
- Protokollerkennung für OT Kommunikation
Nach der Definition aller Anforderungen, unter Berücksichtigung der unterschiedlichen Spezialisten-Teams, sowie der bereits vorhandenen Lösungen konnte eine Projektbeschreibung und Ausschreibung durchgeführt werden. Daraufhin wurde unter anderem Clue Security Services AG kontaktiert, um gemeinsam eine Lösung für diese Aufgabenstellung zu entwickeln.
Auf Basis des Clue OT Security Portfolios konnte eine Fernwartungslösung umgesetzt werden, die alle Sicherheitsvorschriften des Unternehmens und des Konzerns einhält. Zum Beispiel wurde sicherstellt, dass keine Produktionsanlage ausserhalb Ihrer Sicherheitszone kommuniziert und auch kein Zugriff auf das Internet gegeben ist. Ausserdem kann garantiert werden, dass die Fernwartung nie von einem externen Supporter initiiert wird, sondern immer im Vier-Augen-Prinzip durch interne Anlagenverantwortliche freigegeben werden muss.
Nachdem die vorbestimmten Personen eindeutig identifiziert, sowie stark authentifiziert werden, wird ihnen ausschliesslich auf vordefinierte Komponenten Zugriff freigegeben. Die Dauer einer Fernwartung und deren funktionale Möglichkeiten sind granular definiert. Durch diesen Mechanismus werden die Berechtigungen nach der Nutzung vom System automatisch deaktiviert.
Insgesamt ermöglicht die Lösung im Bedarfsfall eine sehr schnelle Durchführung einer Fernwartung, ohne Abhängigkeiten in anderen Abteilungen (wie z.B. zum IT-Infrastruktur Team) zu schaffen.
Vernetzung, Rollout und Betrieb
Weitere Herausforderungen lagen im Übergang von Netzanschlüssen der extern entwickelten Produktionsanlagen an das interne Netzwerk. Ziel ist es, die Maschinen-zu-Maschinen-Kommunikation regulieren zu können und nicht eine Unmenge an unkontrollierten Geräten im Netzwerk verwalten zu müssen oder eine aufwändige manuelle Segmentierung am Core Netzwerk durchzuführen. Um dies zu erfüllen, wurden spezielle Anlagengateways verwendet, damit eine Mikrosegmentierung effizient umgesetzt werden kann.
Durch die Segmentierung der Netzwerkzonen, welche auf den in IEC 62443 basierten Richtlinien und dem Purdue Model geben sind, konnte die Mikrosegmentierung optimal und strukturiert durchgeführt werden
Das Deployment wurde durch ein striktes Rollout Konzept, eine standardisierte Installation und Richtlinien sowie die Templatisierung und automatische Rollout Mechanismen wie Zero-Touch-Provisioning möglich. Dadurch kann der Rollout einer neuen Anlage anhand eines standardisierten und einfachen Prozesses gestartet und trotz der individuellen Anlagen effizient ausgerollt und betrieben werden.und einfachen Prozesses gestartet und trotz der individualen Anlagen effizient ausgerollt und betrieben werden.
«Clue hat bewiesen ein flexibler und kreativer Service Provider für Sicherheitslösungen im OT Umfeld zu sein. Ihre Spezialisierung in Verbindung mit der Flexibilität und Bereitschaft, unsere Anforderungen im Detail zu entwickeln und umzusetzen, ist eine erfolgreiche Kombination für die Umsetzung von OT Security Projekten.»
Resultate
Durch das Projekt konnte ein gesamtheitliches Konzept für die Wartung der OT/ICS Betriebsmittel umgesetzt werden, welches für einen firmenweiten Standard sorgt. So konnte die Produktions-Verfügbarkeit gesteigert werden, wie auch Unterbrechungen für Wartungsarbeiten besser geplant und minimiert werden. Die Reduktion der Reisetätigkeiten für Techniker und Konstrukteure wurde sowohl in geplanten wie auch ungeplanten Situationen nachhaltiger. Des Weiteren wurden die Sicherheit und Transparenz der Zugänge dauerhaft verbessert.
Get in touch
Sind Sie Betreiber einer OT-Infrastruktur und möchten die Sicherheit erhöhen?