Alle 14 Tage aktuelle News aus der IT-Szene >
ARKU mit Sitz in Baden-Baden wurde immer öfter Ziel von Cyberattacken. Nun stellte das Produktionsunternehmen seine Netzwerksicherheitsstrategie auf neue Beine – mit durschlagendem Erfolg.
Foto: ARKU Gerade der Mittelstand rückt immer mehr in den Fokus von Cyberkriminellen. Seit einigen Jahren verzeichnet auch der deutsche Maschinenbauer ARKU eine Zunahme von Malware-Angriffen. „Wir sind Weltmarktführer bei Richttechnik und Experten für Blechbearbeitungsmaschinen. Dadurch sind wir ein interessantes Ziel für Cyberkriminelle“, erklärt Felix Pflüger, Teamleiter IT & Digitalisierung bei ARKU. Vor diesem Hintergrund wollten Pflüger und sein Team eine umfassende IT-Security-Strategie umsetzen und machten sich auf die Suche nach Partnern für zuverlässigen und skalierbaren Netzwerkschutz.
Die Wahl fiel – in enger Abstimmung mit dem Systemhaus NetPlans –auf macmon NAC (Network Access Control; dt. Netzwerkzugangskontrolle). Die Lösung schützt Netzwerke vor dem Eindringen unerwünschter Geräte und bietet eine Übersicht aller Geräte in Ihrem Netzwerk. ARKU nutzt im Netzwerkbereich die Firewall Sophos XG und Switches, WLAN-Controller sowie Access Points von Aruba. Auf den Endpoints sind Sophos Intercept X, Baramundi als Clientmanagement-Lösung und Barracuda Mail Security Essentials im Einsatz.
Für die Authentifizierung der Endgeräte wird bei ARKU der in macmon integrierte RADIUS-Server miteinbezogen, der die Entscheidung über das Gewähren des Zugangs trifft. Als Ausweis beziehungsweise Authentifizierungsmittel können generell verschiedene Eigenschaften, wie die MAC-Adresse, Benutzername/Passwort oder Zertifikat zum Einsatz gebracht werden. Da der Zugang zum Netzwerk durch den Switch erst nach erfolgter Bestätigung durch den RADIUS-Server erfolgt, gibt es keine ungenutzten oder unsicheren Ports, was die Sicherheit signifikant erhöht.
Mit der Gewährung des Zugangs können vom IT-Team zusätzliche Regeln definiert und mitgegeben werden, die der Switch umsetzt. Ist der Switch technisch dazu in der Lage (Layer 3), können so ein bestimmtes VLAN, definierte ACLs oder nahezu beliebige weitere Attribute vergeben werden.
Eine Access Control List (dt. Zugriffssteuerungsliste) grenzt den Zugriff auf Daten und Funktionen ein. Die ACL legt fest, in welchem Umfang einzelne Benutzer und Systemprozesse Zugriff auf bestimmte Objekte wie Dienste, Dateien oder Registriereinträge haben.
Felix Pflüger ergänzt: „Durch macmon NAC behalten wir jederzeit den Überblick über unsere IT-Infrastruktur. Unsere Switches werden per SNMP und RADIUS administriert, was bedeutet, dass macmon das entsprechende VLAN am Switchport setzt, oder es kommt zu einer Sperrung des Ports bei nicht bekannten Geräten. Das verhindert beispielsweise, dass nicht-autorisierte Endgeräte über Netzwerkdosen einen Zugriff erhalten.“
Kunden- und Lieferantenbesuche stellen Unternehmen immer wieder vor die Frage, wie man verhindert, dass Endgeräte dieser Anwender in das unternehmensinterne Netzwerk gelangen. Mit dem macmon NAC-Modul „Guest Service“ ist eine intelligente und flexible Verwaltung jeglicher Fremdgeräte durch ein granulares Gäste-Ticketsystem für kontrollierten, temporären LAN- und WLAN-Zugang möglich.
Da die Zahl der externen Besucher in der Corona-Zeit überschaubar war, wurde die Entscheidung, ob ein Besucher Zugang erhalten soll oder nicht, in der IT-Abteilung getroffen. Mit dem macmon-Gästeportal wird diese Aufgabe zukünftig auf die befugten Mitarbeiter delegiert. Ohne dass diese sich mit der Administration von macmon NAC beschäftigen müssen, können sie direkt im Portal Zugangsdaten erzeugen oder selbstregistrierte Besucher bestätigen. Die freigegebenen Ressourcen sowie die Dauer des Zugangs können beim Erstellen der Zugangsdaten hinterlegt werden, sodass jeder Besucher genau die Ressourcen erreichen kann, die für ihn zugelassen sind. So erhält ein Service-Techniker, der Maschinenanlagen warten muss, andere Zugriffsmöglichkeiten als ein Kunde, der zu einer Besprechung ins Unternehmen kommt.
„Durch den Einsatz von macmon NAC und dem macmon Gästeportal konnte wir unsere Netzwerksicherheit und das Endgeräte-Management signifikant verbessern. Nur durch eine kontinuierliche Optimierung der bestehenden Lösungen kann man intelligente Angriffe dauerhaft erfolgreich abwehren“, sagt IT-Leiter Pflüger. Nachdem sich macmon NAC im Stammhaus in Baden-Baden bewährt hatte, wurde die Lösung mittlerweile auch in den ARKU-Niederlassungen in den USA ausgerollt. Weitere Projekte sind laut Felix Pflüger in der Planung.