Keine Chance für den Blackout

Die Stadtwerke Ettlingen sichern nach einem Penetrationstest unter Livebedingungen ihre kritische Infrastruktur mit macmon lückenlos gegen Hackerangriffe ab.

Die Stadtwerke Ettlingen GmbH (SWE) sind das kommunale Versorgungs- und Energiedienstleistungsunternehmen der Stadt Ettlingen und der Region. Die SWE liefern Bürgern und Wirtschaft Strom, Gas, Wasser und Wärme und betreiben zwei Freibäder, ein Hallenbad mit Saunalandschaft und einen Badesee. Die SWE beschäftigen rund 220 Mitarbeiterinnen und Mitarbeiter an vier Standorten in Ettlingen.

Test für den Ernstfall

Im Rahmen einer Dokumentarfilmproduktion zum Thema computergestützte Angriffe auf kritische Infrastrukturen (KRITIS) erklärten sich die SWE 2013 bereit, die Absicherung ihres Netzwerks testen zu lassen. Die Untersuchung wurde in Form eines Penetrationstests durch einen Hacker unter Live-Bedingungen gegen die Infrastruktur der Stadtwerke durchgeführt.

Es stellte sich heraus, dass der Hacker mit seinem Laptop und ein paar weiteren Hilfsgeräten über eine Netzwerkdose im Gästehaus der Stadtwerke unbemerkt Zugang zu deren internem Netz und schließlich zur Leitwarte erlangen konnte. Im Ernstfall hätte der Eindringling von dort aus den 40.000 Haushalten der Stadt die Strom- und Wasserversorgung abschalten können. Der Test und der daraus resultierende Bericht hatten den Verantwortlichen bei den SWE wichtige Informationen über Schwachstellen im Bereich Software und vor allem in der Netzwerkinfrastruktur aufgezeigt, die es schnellstmöglich zu schließen galt.


Thomas Steuer,
Stadtwerke Ettlingen


"Für uns ist die lückenlose Absicherung der Versorgung aller Bürgerinnen und Bürger von Ettlingen das oberste Ziel. Mit macmon haben wir eine leistungsstarke, wirtschaftliche und effiziente Lösung im Einsatz, die genau das sicherstellt – bei minimalem Aufwand für unsere IT-Mitarbeiter.“

 


Bedienerfreundlich, umfassend und wirtschaftlich

Der Test zeigte deutlich, dass die Überwachung der Zugänge zum Netzwerk ein Kernelement der Sicherungsmaßnahmen gegen Cyberkriminelle oder staatlich unterstützte Angriffe ist. Daher machten sich die SWE auf die Suche nach einer Lösung für Netzwerkzugangskontrolle (Network Access Control, NAC). Von mehreren Dienstleistern im Bereich Netzwerk wurde ihnen unter anderem macmon NAC empfohlen. In die engere Auswahl kamen schließlich zwei Systeme, die ausgiebig getestet und mit Referenzkunden besprochen wurden. Bereits hier zeigte sich schnell, dass macmon im Vergleich zur Konkurrenz, was die Einfachheit der Bedienung anbelangt, klar im Vorteil war. Hinzu kam die lückenlose Abdeckung des gesamten Netzwerks durch die herstellerunabhängige SNMP-basierte Topologieerfassung, die keine blinden Flecken hinterließ.

Nachdem die Tests abgeschlossen und auch die Gespräche mit den Referenzkunden positiv verlaufen waren, entschied sich die SWE für macmon. Neben der leistungsstarken Technologie überzeugte auch das gute Preis-Leistungs-Verhältnis von macmon auf ganzer Linie.


 

THOMAS STEUER,
STADTWERKE ETTLINGEN


„Im Zuge der Energiewende müssen kleinere Erzeuger erneuerbarer Energien sogenannte ‚Smart Meter’ einsetzen. Das sind im Grunde Internet of Things-Geräte, die aus einem digitalen Stromzähler und einem sogenannten Gateway, das die Datenübertragung ermöglicht, bestehen. Wenn diese Geräte auch zur Regelung und Steuerung eingesetzt werden, ist jedes davon ein potenzielles Einfallstor für Hacker. Mit macmon können wir all diese Geräte überwachen und unbefugten Zugriff erkennen und verhindern.“


In 48 Stunden einsatzbereit

Bereits im Vorfeld der Einführung konnten die Verantwortlichen der SWE anhand einer Checkliste wichtige Informationen zu den entscheidenden Spezifika ihres Netzwerks an den zuständigen Mitarbeiter von macmon senden. Durch diesen engen, direkten Austausch von Anfang an war die endgültige Inbetriebnahme optimal vorbereitet und bereits nach zwei Tagen abgeschlossen. Die SWE konnten direkt anfangen, mit dem System zu arbeiten.

Intelligent, einfach und effizient

Die SWE nutzen derzeit hauptsächlich die Portüberwachung mit Portabschaltung und das VLAN-Management von macmon. Innerhalb der IT arbeiten zwei Mitarbeiter mit der NAC-Lösung und in der Netzwerktechnik und überwachen sämtliche Netzwerkgeräte. Vor der Einführung von macmon hatten die SWE keine Kontrolle, welche Geräte am Netzwerk hängen oder versuchen eine Verbindung ins Netzwerk zu bekommen. Dies hat sich mit dem Einsatz von macmon grundlegend geändert und verbessert. Nun haben die SWE endlich eine lückenlose Überwachung aller Netzwerkports in Echtzeit.

Sie wissen zu jeder Zeit, welche Geräte am Netzwerk angeschlossen sind und erkennen sofort, wenn ein fremdes Gerät versucht, sich unerlaubt am Netzwerk anzuschließen – wie es bei dem Penetrationstest der Fall war. Für die Mitarbeiter ist die einfache Bedienung ein enorm großer Vorteil, da es keine langwierigen Schulungsmaßnahmen erfordert, um das System effizient nutzen zu können. Mitarbeiter, die von einem Standort zum anderen wechseln, können über das VLAN Management automatisch das richtige VLAN zugewiesen bekommen. Die Benutzeroberfläche ist logisch und intuitiv aufgebaut und zahlreiche Automatisierungsoptionen, wie die situationseffektive VLAN-Auswahl, sorgen für maximale Absicherung bei minimalem Administrationsaufwand. Nicht zuletzt verläuft das Einspielen der regelmäßigen Updates einfach und problemlos. Die zugrundeliegende Technologie von macmon ermöglichet es den SWE zudem, ihr Netzwerk auch zukunftssicher zu schützen. Egal, welche und wie viele Geräte in Zukunft an das Netzwerk angeschlossen werden, die flächendeckende Geräte-Erkennung und dynamische VLAN-Zuweisung in Echtzeit lässt keine Hintertüren offen.


FAZIT: MUT ZAHLT SICH AUS


Die Entscheidung der SWE, an dem Test teilzunehmen und seine Sicherheitsmaßnahmen auf Herz und Nieren prüfen zu lassen, zahlte sich aus. Die erkannten Schwachstelen wurden durch die Wahl von macmon NAC umfassend geschlossen und gleichzeitig die allgemeine Verwaltung des Netzwerks erheblich vereinfacht. Und das alles zu einem sehr guten Preis-Leistungs-Verhältnis.

© macmon secure GmbH