Der weltweite Einsatz von Netzwerkzugangskontrolle

macmon NAC als zentrales Element des umfassenden Industrial Cybersecurity Frameworks von Belden

Transformation der Industrie erfordert eine flexible industrielle Cybersecurity-Lösung

Die Konvergenz von Informationstechnik (IT) und Betriebstechnologie (OT) sowie die damit verbundene Umgestaltung von Netzwerkprozessen stellen ein Einfallstor für Malware und gezielte Cyberangriffe dar. Die Cyberkriminalität hat in den letzten Jahren dramatisch zugenommen und in Unternehmen sowie Volkswirtschaften weltweit Verluste in Milliardenhöhe verursacht. Im Jahr 2023 stiegen Ransomware-Angriffe um 50 Prozent an.

Die Fertigung war dabei für Angreifer eine der Top-Zielbranchen in industriellen Umgebungen. Daher benötigen Industrieunternehmen leistungsfähigere Cybersicherheitsprogramme, um die heutigen hochentwickelten Bedrohungen zu bewältigen. Eine moderne OT-Netzwerkinfrastruktur und vorintegrierte Cybersecurity-Management-Lösungen sind notwendig, um dieses Bedrohungsszenario zu adressieren. Die Network Access Control-Lösung macmon NAC ist eine zentrale Komponente zur Aufrechterhaltung der Netzwerksicherheit von Belden.

Key Facts zu Anwenderbericht Richmond

Größte Herausforderungen:

  • Großanlage mit fehlender Maschinenkonnektivität und -transparenz
  • Kostspielige Ausfallzeiten aufgrund ungeplanter Wartungsarbeiten
  • Hohe Anzahl an Altsystemen im Betrieb

     

Gründe für macmon NAC:

  • Durch Herstellerunabhängigkeit Weiternutzung bestehender Infrastruktur möglich
  • Niedriger administrativer Aufwand
  • Einfache und schnelle Implementierung

Erfolge durch macmon NAC:

  • Automatisierte Kontrolle der Bewegung von Geräten im Netzwerk
  • Effektive Zugangskontrolle & Erkennung unerwünschter Netzwerkereignisse
  • Erfolgreiches Pilotprojekt für Ausweitung der NAC-Lösung auf 47 Standorte weltweit

Umfassende Prüfung durch Belden Experten

Seit mehr als 120 Jahren ist Belden führend in der Entwicklung und Herstellung von isolierten Drähten, Kabeln und zugehörigen Produkten. Seitdem hat sich Belden von einem Kabelhersteller zu einem Anbieter von Signalübertragungslösungen mit einem vollständigen Portfolio an Kabel-, Verbindungs- und Netzwerkprodukten entwickelt. Seit der Übernahme der macmon secure GmbH durch Belden im Jahr 2022 plant das Unternehmen die Implementierung von macmon NAC in seinen Einrichtungen weltweit.


Um den Einsatz von macmon NAC zu planen, nutzt Belden sein Costumer Innovation Center (CIC) - ein Herzstück des globalen Unternehmens.
 


CIC & PoC

Die Customer Innovation Centers™ (CIC) von Belden helfen Unternehmen dabei, die Entwicklung und Implementierung von robusten, zuverlässigen und sicheren Industrienetzwerken zu beschleunigen. Diese liefern die Daten und Erkenntnisse, die für eine bessere Unternehmensleistung erforderlich sind. Das CIC bietet eine sichere Labor Umgebung, um Lösungen zu entwickeln, zu testen, zu dokumentieren und zu implementieren, ohne den laufenden Betrieb zu gefährden.

macmon NAC hat den Proof of Concept erfolgreich absolviert und damit gezeigt, dass die NAC-Lösung in einer Großanlage einsetzbar ist. Im Dezember 2023 begann das IT-Team von Belden mit der Implementierung in den Einrichtungen des Konzerns. Im Jahr 2024 plant Belden den Einsatz von macmon NAC in 47 Standorten mit mehr als 20.000 Endgeräten rund um den Globus.

Charles Crawford

Leiter der IT - Abteilung | Belden inc.


"Vor macmon NAC gab es keine Übersicht, keinen Einblick, oder automatisierte Kontrolle für mit dem Netzwerk verbundene Geräte in unseren Einrichtungen. Mit macmon NAc haben wir all das."


Einsatz von macmon NAC

Um den Prozess der Implementierung von macmon NAC anhand eines konkreten Beispiels zu zeigen, gehen wir genauer auf das Belden Werk in Richmond ein.

Das Werk besteht aus einem Vertriebszentrum und einer Produktionsstätte. Das Vertriebszentrum wird für die Lagerung und den Versand von Belden-Produkten an Kunden in den USA und weltweit genutzt. In der Produktionsstätte werden verschiedene Kabeltypen wie Koaxial-, Lichtwellenleiter- und Industriekabel hergestellt. Insgesamt gibt es rund 800 Endgeräte und 25 Netzwerkgeräte in der Anlage. 

Die Implementierung in dieser OT-Umgebung lieferte wichtige Einblicke in die Vorteile der OT-Sicherheitseigenschaften von macmon NAC und stellt eine Blaupause für den weiteren Einsatz der Lösung an anderen Belden-Standorten dar. Belden setzt hierbei auf die Kombination von macmon NAC und der industriellen Netzwerktechnik von Hirschmann.


Herausforderungen

Oberste Priorität: Vermeidung von Produktionsausfällen.

Das 95 Jahre alte Werk in Richmond stand vor mehreren Herausforderungen, darunter kostspielige Ausfallzeiten aufgrund ungeplanter Wartungsarbeiten, eine alternde Belegschaft, fehlende Maschinenkonnektivität und -transparenz sowie eine erhebliche Anzahl an Altsystemen im Betrieb. Um diese Probleme anzugehen, arbeiteten die Werksleiter mit Data-Engineering-Beratern des CIC von Belden zusammen.

Die Zusammenarbeit zwischen dem CIC und dem Werk in Richmond ist darauf ausgerichtet, Ausfallzeiten zu reduzieren, die Effizienz zu steigern und das Werk auf den nächsten Schritt auf dem Weg zu Industrie 4.0 vorzubereiten.


“Die Pflege anderer NAC-Tools erfordert einen hohen administrativen Aufwand. Mit macmon NAC tritt dieses Problem nicht auf. Eine tägliche Überprüfung - Das war's dann auch schon.”

(Ryan Buckner, IT-Infrastruktur | Belden Inc.)


Während Hersteller in der Vergangenheit IT- und OT-Silos hatten, verschmelzen die beiden Netzwerke zunehmend. Um die anspruchsvollen, heterogenen Netzwerke von heute vollständig zu kontrollieren, muss eine Netzwerksicherheitslösung auch jede Authentifizierungstechnologie unterstützen. 

Mit einer skalierbaren, herstellerunabhängigen Lösung kann die bestehende Infrastruktur einfach weiter genutzt werden. Dadurch wird die Fehlerquote bei der Verwaltung wachsender IT- und OT-Netzwerke reduziert und die industrielle Cybersicherheit erheblich verbessert.

Die Projekt Roadmap


“Unsere Roadmap war in drei Schritte unterteilt: Entdecken, Schützen und Überwachen.

Im ersten Schritt „Entdecken“ wurde macmon NAC im reinen Lesebetrieb installiert und erfasste über ein paar Monate hinweg ausschließlich Daten. Im zweiten Schritt „Schützen“ haben wir sowohl NAC als auch 802.1X aktiviert. Mit dem Monitoring („Überwachen“) wurde sichergestellt, dass sich die Geräte erfolgreich authentifizieren und dem Netzwerk beitreten.”

(Ryan Buckner, IT-Infrastruktur | Belden Inc.)


Lösung/ Implementierung

Vollständige Netzwerktransparenz und -kontrolle

In der Anlage in Richmond ermöglicht macmon NAC Belden einen 100-prozentigen Einblick in die OT-Netzwerkinfrastruktur, ohne jede Änderung überwachen zu müssen. macmon NAC verwaltet die Bewegung von Geräten innerhalb der Anlage automatisiert. Dies spart administrative Ressourcen ein. Zum Beispiel: Ein Anwender soll ein Gerät von Zone A nach Zone B verschieben. Dies erfordert eine Änderung der VLAN-Zuweisung auf der neuen Schnittstelle, an die das Gerät angeschlossen wird.

Charles Crawford

Leiter der IT-Abteilung | Belden Inc.


"macmon NAC ermöglicht es uns, diesen Prozess auf eine sichere Art und Weise zu organisieren."



In der alten Umgebung wäre dafür eine Anmeldung der Administratoren an den Switches vor Ort notwendig gewesen sowie die neuen Schnittstellen für ein Gerät zu konfigurieren. Mit macmon NAC kann dies in Sekundenschnelle mit nur wenigen Klicks in der zentralen Management-Plattform erledigt werden. Dies ist ein großer Vorteil mit Blick auf die Reduzierung der Arbeitsbelastung der Netzwerkadministratoren.

Die Integration von macmon NAC und 802.1X Authentifizierung hat eine neue Ära der Automatisierung der Anlage in Richmond ein.


Der Einsatz von macmon NAC im Werk in Richmond war sehr erfolgreich. Belden freut sich auf weitere Fortschritte. Belden setzt die industriellen Switches und Firewalls von Hirschmann in seinen OT-Netzwerken ein. Diese Produkte sind so konzipiert, dass sie auch in den rauesten und anspruchsvollsten Umgebungen funktionieren. Eine kombinierte Lösung mit macmon NAC bietet alles, um ein zuverlässiges industrielles Netzwerk aufzubauen oder die Netzwerkarchitektur zu verbessern, um die industrielle Cybersicherheit zu erhöhen.

Belden nutzt an seinen Standorten einen Mix aus verschiedenen Anbietern. Bei der Implementierung von macmon NAC lautete die Prämisse “not to rip and replace”. macmon NAC ist herstellerunabhängig, daher war es möglich, die Infrastruktur beizubehalten, sodass die Kosten für die Einführung sehr gering waren.


Diese leistungsstarke Kombination ermöglicht die nahtlose Durchführung von Aufgaben, wodurch die Notwendigkeit manueller Eingriffe durch Administratoren beseitigt wird. 

Wenn ein unbekanntes Gerät an das Richmond-Netzwerk angeschlossen wurde, wurde es früher in ein Gastnetzwerk umgeleitet. Diese einzigartige Einrichtung diente als Wartebereich für diese Geräte, sodass die notwendigen Analysen durchgeführt werden konnten. Es ist wichtig, dass diese Geräte keinen Zugriff auf kritische Ressourcen innerhalb der Belden-Infrastruktur erhalten. 

Um den zeitgemäßen Zero-Trust-Ansatz zu erfüllen, wird heute auch dieser Gastzugang verweigert, da es sich hierbei noch immer um eine Form des Netzwerkzugriffs handelt. Unbekannte Geräte werden in ein Layer-2-Blackhole verschoben, damit sie das Netzwerk in keiner Weise gefährden können.

Joel Naumoff

Vizepräsident für Cybersicherheit | Belden Inc.


“Andere NAC-Produkte sind viel komplexer und komplizierter zu implementieren. Es kann Jahre dauern, bis sie einsatzbereit sind. Im Vergleich dazu ist macmon NAC ein Leichtgewicht. Es ist einfach und effektiv."


Wichtigste Mehrwerte durch macmon NAC

Die NAC-Lösung bietet eine effektive Zugangskontrolle, konsistente automatisierte Regeln und Richtlinien zur Kontrolle aller IT- und OT-Geräte. Mit der intuitiven grafischen Benutzeroberfläche (GUI) von macmon NAC konnte das Belden-Team innerhalb weniger Stunden einen kompletten Netzwerküberblick erhalten. 

Die Implementierung von macmon NAC war außergewöhnlich schnell, da kein Software-Agent benötigt wird. macmon NAC kann Folgendes erkennen: unautorisierte Remote-Verbindungen, Wireless Access Points, Operator-Workstations und IoT-Geräte. In der OT-Umgebung von Richmond gibt es verschiedene OT-spezifische Endgeräte wie Roboter und speicherprogrammierbare Steuerungen (SPSs). Hier hat macmon NAC effektiv verhindert, dass unbekannte Endgeräte eine Konnektivität erlangen, die sich negativ auf die Produktionsstätte auswirken könnten.

macmon NAC überzeugte auch bei der Erkennung unerwünschter Netzwerkereignisse : Durch die Überwachung einer Vielzahl von Aktivitäten im Netzwerk identifiziert es unerwünschtes Verhalten, ob beabsichtigt oder ungewollt. Es erkennt potenziell kritische Netzwerkereignisse , wie z. B. doppelte IP-Adressen und ergreift automatisch oder manuell entsprechende Maßnahmen.


„Der Einsatz von macmon NAC war ein reibungsloser und schneller Prozess. es gab keine Ausfallzeiten, keine Fehlkonfigurationen, kein bizarres Verhalten oder Bugs.“

(Joel Naumoff, Vizepräsident für Cybersicherheit | Belden Inc.)

Im Hinblick auf eine granulare Zugriffskontrolle oder einen automatischen Ausschluss schließt macmon NAC automatisch nicht autorisierte Netzwerkgeräte, wie nicht verwaltete Switches, von der Netzwerk-kommunikation aus. macmon NAC sorgt auch für die automatische Übertragung von Zugriffsrechten. Im Falle eines autorisierten Geräteaustauschs werden die Zugriffs-rechte sicher und dynamisch auf die neu zu integrierenden Geräte übertragen. 

Die Lösung bietet auch zeitlich begrenzten Zugang zu bestimmten Bereichen des Netzwerks. Ein Beispiel: Ein externes Unternehmen, z. B. ein technischer Dienstleister, benötigt einen zeitlich begrenzten Zugang zu ganz bestimmten Netzwerkbereichen für gewisse Endgeräte wie Notebooks und Steuergeräte. Jeder Zugriff darüber hinaus wird automatisch verweigert. macmon NAC überzeugt zudem bei der Lokalisierung von Geräten. Wenn ein Handscanner oder ein Programmiergerät verloren geht, kann die Kommunikationshistorie des Geräts schnell und einfach eingesehen werden, sodass in kürzester Zeit die richtigen und gezielten Maßnahmen ergriffen werden können.

Im OT-Netzwerk des Werks in Richmond wird macmon NAC mit Hirschmann-Produkten kombiniert. Durch den Einsatz der EAGLE40 Industrial Firewall und den Hirschmann Switches war es möglich, segmentierte Netzwerke mit einem sicheren Zonensystem umzusetzen. macmon NAC ordnet autorisierte Geräte automatisch dem richtigen Segment (VLAN) zu. Dies ermöglichte eine effizienteren Prozess, der zur Cyber-Hygiene der Anlage beiträgt.

Eine kombinierte Lösung 

Eine kombinierte Lösung mit macmon NAC bietet sich alles für den Aufbau eines zuverlässigen industriellen Netzwerks oder die Verbesserung der bestehenden Netzwerkarchitektur für mehr industrielle Cybersicherheit.


 


Fazit:


Aufgrund der umfangreichen Erfahrungen mit der erfolgreichen Implementierung im Werk in Richmond hat Belden mit dem weltweiten Einsatz von macmon NAC an mehr als 70 Standorten begonnen und will dieses Projekt bis Ende 2024 abschließen.

 

“Wir hatten in der Geschichte von Belden noch nie ein Tool, das uns alles anzeigt, was angeschlossen ist. Diese Leistungsfähigkeit zu haben, ist gewaltig!”

(Ryan Buckner, IT-Infrastruktur | Belden Inc.)

 


Über Belden

Belden Inc. liefert die Infrastruktur, die den digitalen Wandel einfacher, intelligenter und sicherer macht. Unser Fokus liegt nicht nur auf der Verbindungstechnik, sondern auch auf dem, was wir durch ein leistungsorientiertes Portfolio, zukunftsorientiertes Know-how und maßgeschneiderte Lösungen möglich machen. Mit mehr als 120 Jahren Erfahrung in Sachen Qualität und Zuverlässigkeit verfügen wir über ein solides Fundament, auf dem wir auch in Zukunft aufbauen können. Wir haben unseren Hauptsitz in St. Louis und verfügen über Produktionsstätten in Nordamerika, Europa, Asien und Afrika.

Für weitere Informationen, besuchen Sie uns auf www.belden.com und folgen Sie uns auf Facebook, LinkedIn und X/Twitter

Mehr erfahren

Für weitere Informationen zu unseren Netzwerksicherheitslösungen besuchen Sie uns unter: www.belden.com/networksecurity


© macmon secure GmbH