Industrial DMZ
Alle Systeme, die eine direkte Verbindung zur IT oder hierüber ins Internet benötigen, werden in einem physikalisch und logisch isolierten Netzwerksegment, der demilitarisierten Zone (DMZ) gehostet. Hierzu gehören Jump Server für Remote-Zugriffe, Windows Update Services, Antiviren-Server, MES, Filetransfer, Datengateway-Server oder Webdienste.
Eine DMZ kann in der Praxis auf zwei Arten erstellt werden:
- An einer einzelnen (redundanten) Firewall werden separate physikalische Ports genutzt, an denen die DMZ errichtet wird. Der Traffic von und zur DMZ wird von der Firewall überwacht. So auch auf der Beispielübersicht dargestellt.
- Noch sicherer ist es, zwei physikalisch getrennte (redundante) Firewalls zu nutzen, eine auf DMZ-Seite und eine auf der OT-Seite. Bestenfalls sind die Firewalls von zwei verschiedenen Herstellern, sodass Sicherheitslücken eines Herstellers nicht zwingend die gesamte Sicherheit gefährden.
Wir empfehlen generell den Einsatz redundanter Firewalls, um die Netzverfügbarkeit auch im Fehlerfall oder bei Firmwareupdates zu gewährleisten.
Das DMZ-Konzept ist die logische Folge einiger Systemanforderungen der IEC 62443-3-3, insbesondere der SR5.1 RE 2 „Das Automatisierungssystem muss die Fähigkeit bieten, ohne eine Verbindung zu nicht automatisierungstechnischen Netzen Netzdienste bereitzustellen in automatisierungstechnischen Netzen […].“