Einleitung: Sicherheitsrisiken durch Inbound-Kommunikation
Im Kontext der industriellen IT-Sicherheit beschreiben die Begriffe Inbound-Kommunikation und Outbound-Kommunikation die Richtung des Datenverkehrs zwischen industriellen Systemen (z.B. lokale Produktionsanlagen, SCADA-Systeme) und externen Netzwerken (z.B. Unternehmens-IT).
Inbound-Kommunikation bezeichnet eingehenden Datenverkehr, der von außen in das lokale Produktionsnetzwerk gelangt.
Bei der Outbound-Kommunikation dagegen werden Daten aus dem Produktionsnetzwerk nach außen gesendet.
Vor allem die Inbound-Kommunikation stellt ein potenzielles Sicherheitsrisiko dar, insbesondere in einem Umfeld mit 24/7-Anlagenbetrieb: Wenn ein Netzwerk bzw. entsprechende Ports für eingehenden Datenverkehr geöffnet werden und keine entsprechenden Sicherheitsmaßnahmen getroffen wurden, sind Unternehmen einem erhöhten Risiko von Cyberattacken, Malware/Ransomware und Denial of Service-Angriffen (DoS) ausgeliefert.
In einer industriellen Produktionsumgebung sind solche Angriffsflächen besonders kritisch, da hier nicht nur potenziell sensible Daten übertragen, sondern gleichzeitig auch Produktionsanlagen gesteuert werden. Angreifer könnten Daten stehlen, Prozesse lahmlegen oder schlimmstenfalls die Kontrolle über Maschinen, Geräte und Softwaresysteme übernehmen.
Im Zeitalter einer zunehmend digitalisierten und automatisierten Produktion ist die Vernetzung von lokalen Produktionsanlagen mit IT-Anwendungen und zentralen Cloud-Plattformen jedoch unumgänglich geworden. Dies erfordert gezielte Maßnahmen zur Absicherung von Netzwerken.
Dieser Beitrag zeigt einen Ansatz zur Cloud-Integration auf, mit dem produzierende Unternehmen Sicherheitsrisiken in Verbindung mit der Inbound-Kommunikation vermeiden können.
Ausgangslage: Cloud Computing und Netzwerksicherheit
Cloud Computing hat bereits an vielen Stellen Einzug in die industrielle Produktion gefunden. Viele Produktionsunternehmen nutzen Cloud-Plattformen, um Produktionsdaten verschiedener Standorte zentral zu sammeln, speichern und weiterzuverarbeiten.
Durch direkte Verbindungen zu Steuerungen und IoT-Geräten ist es aber auch zunehmend möglich, Updates aus der Cloud heraus bereitzustellen, Fernwartungen durchzuführen oder steuernd in Prozesse einzugreifen.
Die Kommunikation mit Drittanbieter-Cloud-Diensten setzt jedoch voraus, dass Daten lokaler Produktionsanlagen in irgendeiner Form über das Internet transportiert werden. Um die erwähnten Sicherheitsrisiken durch eingehenden Datenverkehr in lokalen Produktionsnetzwerken zu vermeiden, setzen einige Cloud-Lösungen wie unsere manubes Plattform auf Outbound-Kommunikation.
„Von innen nach außen“: Outbound-Kommunikation als Schlüssel für eine sichere Cloud-Anbindung
manubes ermöglicht eine Kommunikation zwischen Produktionssystemen und der Cloud, ohne dass Ports für den eingehenden Datenverkehr freigegeben werden müssen. Edge Nodes im Produktionsnetzwerk bauen von innen heraus eine aktive, verschlüsselte Verbindung zu der manubes-Cloudumgebung auf – gleichzeitig bleibt die Firewall im strengen „default deny“-Modus.
Durch die Funktionsweise seiner Edge-Komponenten verhindert manubes dadurch, dass lokale Produktionsnetzwerke nach außen vulnerabel sind.
Was sind Edge Nodes?
Um lokale Systeme an die manubes-Cloud anzubinden, werden Edge Nodes in einem lokalen Netzwerk installiert. Dabei handelt es sich um kompakte Anwendungen, welche mit lokalen Geräten und Systemen kommunizieren, Produktionsdaten vorverarbeiten und in die manubes-Cloud transportieren (siehe auch Edge Computing).
Edge Nodes werden mithilfe der Docker-Technologie installiert und können daher auf verschiedensten Hardwaresystemen betrieben werden, darunter Windows-Rechner und (Linux-basierte) Edge-Geräte.
Funktionsweise der Outbound-Kommunikation in der Praxis
manubes realisiert die Kommunikation zwischen Cloud und lokalen Produktionssystemen mithilfe von drei Edge-Komponenten:
Edge Node als lokales Gateway
-
- Läuft containerisiert (Docker) auf Windows‑ oder Linux‑Edge‑Geräten direkt im Produktionsnetz.
- Spricht Protokolle wie OPC UA, MQTT, REST oder SQL mit Maschinen / Datenbanken.
- Pusht Daten über eine TLS‑gesicherte Outbound‑Verbindung in die Cloud.
Edge Cluster für Hochverfügbarkeit
-
- Mehrere Nodes übernehmen ihre Aufgaben gegenseitig bei Ausfall (Failover) und verteilen die Last automatisch.
- Die gesamte Cluster‑Kommunikation bleibt Outbound; auch hier müssen keine eingehenden Verbindungen erlaubt werden.
Edge Connectoren als flexible Schnittstellen
-
- Jeder Connector bindet eine Maschine oder ein Softwaresystem an und nutzt die bestehende Outbound‑Verbindung des Clusters – kein zusätzlicher IT‑Aufwand.
Ausführlichere Informationen zur Funktionsweise der einzelnen Edge-Komponenten finden Sie auf unserer Seite zur Systemanbindung mit manubes.
Vorteile der Outbound-Kommunikation auf einen Blick
Die Verfolgung eines Outbound-Ansatzes in der Kommunikation zwischen OT und IT/Cloud reduziert die Angriffsfläche des lokalen Netzwerks. Im Falle unserer manubes-Plattform bieten die Edge-Komponenten jedoch noch eine Reihe zusätzlicher Vorteile bei der Cloud-Integration.
Minimale Angriffsfläche
Das lokale Netzwerk ist nicht unmittelbar von außen erreichbar, da keine Ports für den Inbound-Datenverkehr freigegeben werden müssen. In der Folge kann das Risiko für DDoS‑ oder Ransomware‑Angriffe reduziert werden.
Einfache IT-Freigabe
Outbound‑Traffic auf Port 443 ist in fast allen Unternehmen bereits erlaubt. Daher sind in der Regel keine langwierigen Anpassungen der Firewall-Konfigurationen notwendig.
Zero Trust-kompatibel
manubes Edge Nodes authentifizieren sich einzeln gegenüber der Cloud. Zugriffstoken lassen sich pro Node widerrufen. Damit ist eine feingranulare Zugriffskontrolle möglich. Einzelne Geräte lassen sich ausschließen, ohne den Betrieb der restlichen Infrastruktur zu beeinträchtigen.
Ausfallsicherheit
manubes Edge Cluster verteilen den Workload auf mehrere Edge Nodes und sorgen damit für redundante und ausfallsichere Verbindungen. Dies verhindert u.a., dass Datenflüsse durch Wartungsarbeiten beeinträchtigt werden.
Pufferung bei WAN-Ausfall
Bei Netzwerkausfällen speichern Edge Nodes Daten lokal und synchronisieren sie, sobald die Verbindung wieder steht.
Datensouveränität
Produktionsdaten können lokal vorverarbeitet werden, bevor sie das Werk verlassen. manubes hat standardmäßig keinen Zugriff auf Kundendatenbanken.
Fazit
Cloud-Anwendungen sind in der IT-Infrastruktur moderner Unternehmen fest verankert. Auch Fertigungsunternehmen profitieren von Vorteilen wie Skalierbarkeit, weltweitem Zugriff und Einsparungen für eigene Server und deren Wartung.
Dennoch ist und bleibt Netzwerksicherheit ein wichtiges Thema bei der Integration von IT-Systemen und Cloud-Plattformen mit lokalen Produktionsstandorten.
Um Angriffsflächen durch geöffnete Ports und eingehenden Datenverkehr zu vermeiden, nutzt unsere manubes-Plattform eine Outbound-Strategie. Durch den „Inside‑Out“‑Verbindungsaufbau verschwindet die größte Angriffsfläche – offene Ports – komplett, während Edge Cluster und Azure‑Backend für Skalierbarkeit und Hochverfügbarkeit sorgen.
Die in diesem Beitrag beschriebene Konfiguration ist nur eine von vielen Maßnahmen, welche die Sicherheit und Verlässlichkeit der manubes-Plattform und ihrer Nutzung sicherstellen. Das vollständige Sicherheitskonzept können Sie auf dieser Seite anfordern.
Weitere Informationen zu manubes
Systeme verbinden
Die manubes-Komponenten sind in der Lage, verschiedenste Systeme mit der Cloud zu verbinden und Produktionsdaten sicher zu übertragen.
Feature-Übersicht
manubes ermöglicht Ihnen die bestmögliche Strukturierung und Visualisierung Ihrer Produktionsdaten sowie die Automatisierung zentraler Prozesse.
Sicherheitskonzept
manubes stellt die Sicherheit Ihrer Daten in den Vordergrund und implementiert zahlreiche Sicherheitsmechanismen und Best Practices.
Neueste Kommentare