Kleinfirewalls schützen Geräte und Maschinen im Netzwerk

Die Microwall Gigabit des Wuppertaler Netzwerkspezialisten Wiesemann & Theis bildet den Auftakt zu einer neuen Reihe einfach einzusetzender Sicherheitsprodukte für Industrie und produzierendes Gewerbe. Die Kleinfirewall isoliert potentiell anfällige oder nicht vertrauenswürdige Geräte und Maschinen in eigenen Netzwerksegmenten. Die Kommunikation mit diesen sicheren Inseln im Netzwerk wird auf die zum Betrieb notwendigen Fälle eingeschränkt. So lassen sich Angriffe auf offene TCP- oder UDP-Ports, sowie unerwünschte Datenverbindungen effektiv unterbinden.

Perimeter-Firewalls analysieren den eingehenden Datenverkehr und filtern E-Mails, bösartige Internetseiten oder Verbindungsversuche von außen am Übergang zwischen lokalem Netz und Internet. Gelingt es einem Angreifer aber, einen Rechner im Inneren des Netzwerkes zu infizieren, kann er sich von dort aus frei im Netzwerk bewegen.

Ein eindrucksvolles Beispiel dafür war im Jahr 2017 der Cryptowurm WannaCry, der neben Krankenhäusern und Universitäten auch medienwirksam die Anzeigetafeln des Frankfurter Bahnhofs lahmlegte. WannaCry verbreitete sich über eine Schwachstelle in der Software, die den Dateizugriff auf andere Rechner im Windows-Netzwerk ermöglicht. Jeder Rechner mit dieser Schwachstelle war für benachbarte Rechner direkt ansprechbar. So konnte WannaCry sich in Windeseile in den befallenen Netzwerken ausbreiten.

Effektiver Schutz gegen diese Art von Angriffen bietet die Unterteilung von Netzwerken in einzelne Segmente, die nur sehr eingeschränkt Daten miteinander austauschen dürfen. Die Verbindungsstellen überwachen und steuern den zulässigen Datenverkehr. Ein Wurm, der sich im Inneren eines solchen Segments ausbreitet, kann zwar den unmittelbar benachbarten Systemen schaden. Es gelingt ihm im Normalfall allerdings nicht, sich über Segmentgrenzen hinweg zu bewegen.

In mittleren und größeren Unternehmensnetzwerken kümmert sich die IT-Abteilung darum, dass das Netzwerk in Segmente für die verschiedenen Abteilungen untergliedert wird. So wird etwa das Netzwerksegment der Verwaltung von dem der F&E oder der Produktion getrennt.

Mit Einführung der Microwall verfolgt Wiesemann & Theis einen ähnlichen Ansatz: Statt nur Segmente für ganze Abteilungen einzurichten, werden Systeme, die potentiell anfällig oder nicht vertrauenswürdig sind, mit Hilfe der Microwall in einem eigenen Netzwerksegment isoliert. Dazu gehören beispielsweise IoT-Devices und Smart-Home-Assistenten - aber auch CNC-Fräsen oder alte Steuerrechner.

Jeder Funktionseinheit wird ein eigenes Netzwerksegment - eine sichere Insel - zugewiesen. Der mit diesem Segment erlaubte Datenverkehr wird auf die zum Betrieb unbedingt notwendigen Fälle eingeschränkt. Nimmt eine Fräse beispielsweise Produktionsdaten über den TCP-Port 9000 entgegen, erlaubt die Microwall ausschließlich Verbindungen über diesen Port. Versucht ein Angreifer nun, eine Schwachstelle in einem anderen Dienst auszunutzen, wird bereits der Verbindungsaufbau durch die Microwall unterbunden und protokolliert. Geräte hingegen, die sich auf der gleichen Insel befinden, können weiterhin ungehindert miteinander kommunizieren.

Die Microwall ist ein 2-Port-Firewallrouter. Die Konfiguration erfolgt unkompliziert über eine webbasierte Benutzerschnittstelle. Nach erfolgter Einrichtung kann die Konfigurationsoberfläche dauerhaft deaktiviert werden, sodass für eine Neukonfiguration ein physikalischer Zugriff auf das Gerät notwendig ist. Die Microwall ist ab sofort für einen Nettopreis von 398,00€ erhältlich. Gewerbliche Anwender können das Produkt für einen Zeitraum von vier Wochen kostenfrei testen.

Die Wiesemann & Theis GmbH wurde 1979 von Reinhard Wiesemann und Rüdiger Theis gegründet. Mit 50 Mitarbeitern produziert das Unternehmen am Standort Wuppertal Mikrocomputer- und Netzwerktechnik. Im Jahr 2001 führte Wiesemann & Theis mit dem Web-Thermometer den ersten industriellen Temperatursensor mit Netzwerkschnittstelle ein und greift in den Bereichen Industrie 4.0 und Internet der Dinge so auf eine mehr als fünfzehnjährige Erfahrung zurück.

• direkt zum Produkt