newsonline24

Für das Unternehmen medi leisten am Standort Bayreuth rund 1.800 Mitarbeiter:innen (weltweit rund 3.000) einen maßgeblichen Beitrag, dass Menschen sich besser fühlen. Das Ziel ist es, Anwender:innen und Patient:innen maximale Therapieerfolge im medizinischen Bereich (medi Medical) und darüber hinaus ein einzigartiges Körpergefühl im Sport- und Fashion-Segment (CEP und ITEM m6) zu ermöglichen. Die Leistungspalette von medi Medical umfasst medizinische Kompressionsstrümpfe, adaptive Kompressionsversorgungen, Bandagen, Orthesen, Thromboseprophylaxestrümpfe, Kompressionsbekleidung, orthopädische Einlagen und digitale Gesundheitslösungen. Zudem fließt die langjährige Erfahrung im Bereich der Kompressionstechnologie auch in die Entwicklung von Sport- und Fashion-Produkten mit ein. Der Grundstein für das international erfolgreiche Unternehmen wurde 1951 in Bayreuth gelegt. Heute liefert medi mit einem Netzwerk aus Distributoren sowie eigenen Niederlassungen in über 90 Länder der Welt.

In diesem komplexen Industrie 4.0-Umfeld herrschen höchste Ansprüche an Datenkonnektivität, Effizienz und Sicherheit. Für medi stand früh fest: Ohne eine sichere, performante Brücke zwischen IT- und OT-Systemen wäre der langfristige Weiterbetrieb zentraler Produktionsanlagen nicht mehr möglich, bei gleichzeitig steigenden Anforderungen an Cybersecurity, Compliance und Verfügbarkeit.

Wie kann medi diese in die Jahre gekommene Hard- und Software gegen immer ausgefeiltere Cyberangriffe absichern? Der edge.SHIELDOR von TRIOVEGA gibt die Antwort: Wie eine digitale Käseglocke isoliert die OT-Sicherheitslösung die Altmaschinen gezielt vom restlichen Netzwerk, und ermöglicht gleichzeitig kontrollierte, sichere Kommunikationspfade zwischen OT und IT.

Ausgangslage: Modernste Medizinprodukte, alte und bewährte Produktionstechnik

Binnen 24 Stunden wird aus den Maßdaten von den Sanitätshäusern ein fertiger Kompressionsstrumpf: gestrickt, kontrolliert, verpackt und versendet. medi hat damit einen extrem agilen Produktionsprozess etabliert, der von permanenter Datenverfügbarkeit, geringer Latenz und zuverlässiger IT/OT-Kommunikation abhängt. Jede Verzögerung im Datenfluss könnte zu Lieferproblemen führen, jedes Abweichen vom Strickmuster zu einem unbrauchbaren Produkt. Maschinen melden sich automatisiert und holen sich den nächsten Auftrag, sobald ein Strickvorgang abgeschlossen ist.

Ein Maschinenpark dieser Größe und Komplexität ist nicht mal eben austauschbar: Die Geräte sind langlebig und Neuinvestitionen werden auf Jahrzehnte geplant, damit die Anlagen wirtschaftlich rentabel laufen. Die Maschinenbauer bieten nach Auslieferung selten Softwareupdates an, selbst Ersatzteile müssen oft aus alten Lagerbeständen beschafft oder aus stillgelegten Maschinen ausgebaut werden. So prallt die schnelllebige Welt der Informationstechnologie auf die Beständigkeit der operativen Technologie:

"Wir haben Maschinen, die heute genauso arbeiten wie vor 5, 10 oder 20 Jahren – und das mit entsprechend alten Protokollen wie SMBv1. Diese Altlasten sind aus IT-Security-Sicht ein massives Problem." so Michael Herde, IT Security Architect bei medi.

Die SMBv1-Thematik war für medi der Initialzünder: VMware kündigte für die auf dem Shopfloor eingesetzten virtuellen Server das Ende der Unterstützung für Windows Betriebssysteme, die das veraltete, unsichere Server-Protokoll verwendeten, an. Wenn dafür keine Lösung gefunden würde, ließe sich die Produktion langfristig nicht mehr digital anbinden.

Zusätzlichen Druck erzeugte im August 2022 ein Cyberangriff, bei dem Hacker den Hersteller kurzzeitig lahmlegten. Für Michael Herde nichts, das man verstecken müsste, sondern ein Beweis für die reale Bedrohungslage, der sich jedes Unternehmen stellen muss: “Wer denkt, ‘das wird uns nicht passieren’, unterliegt einem Trugschluss. Entweder es ist bereits passiert und sie haben es noch nicht bemerkt, oder es wird noch passieren.”

Der Weg zu TRIOVEGA: Ein Messekontakt wird zum Game Changer

Ausgestattet mit hohem Bewusstsein für die Cyberrisiken im firmeneigenen IT/OT-Netzwerk machte sich Michael Herde mit Kollegen auf die Suche nach einer umfassenden Lösung. "Die Maschinenhersteller liefern auch heute noch neue Systeme mit Windows CE und Kommunika-tionprotokollen wie SMBv1 aus. Das war für uns langfristig keine tragfähige Lösung."

Auf einer Fachkonferenz zum Thema IT/OT-Security entstand der erste Kontakt zwischen medi und TRIOVEGA. In einem ausführlichen Gespräch auf Augenhöhe wurde schnell klar: Der edge.SHIELDOR könnte genau die Anforderungen von medi adressieren. Insbesondere die Kombination aus sicherer Protokollumwandlung von SMBv1 zu SMBv3, geringer Latenz und wartungsarmer Administration erschien vielversprechend. Geplant wurde ein Proof of Concept (PoC) an einer Flachstrickmaschine mit MS-DOS-Betriebssystem.

Zielsetzung: Sicherheit und Konnektivität – ohne Abstriche

In einem zweitägigen Vor-Ort-Termin wurde der PoC realisiert. Dabei wurde deutlich: Die Anbindung war kom-plizierter als gedacht. Die bei medi eingesetzten Maschinen arbeiteten mit einem eigenen SMB-Dialekt, den der edge.SHIELDOR nicht korrekt interpretieren konnte.

Den Entwicklern von TRIOVEGA wurde ermöglicht, eine Testmaschine mit ins Büro nach Lübeck zu nehmen. Dort analysierten sie den Datenverkehr bis in die Ebene einzelner Netzwerkpakete und konnten die Funktionalität des edge.SHIELDOR so erweitern, dass sie auch mit diesem Sonderfall umgehen konnte und somit einen MS-DOS Kompatibilitätsmodus erhält. Michael Herde erinnert sich gern an diese Phase: "Wie tief sich die Kollegen von TRIOVEGA da reingegraben haben, um die Diskrepanzen in der Kommunikation zu analysieren, das war wirklich beeindruckend. Hut ab vor diesem Engagement!" Michael Herde, IT Security Architect bei medi.

Dies verdeutlichte früh den Ansatz von TRIOVEGA: Standardisiertes Produkt wo möglich – tiefes Engineering dort, wo es die OT-Realität erfordert. Aber auch aus Sicht von TRIOVEGA wurde die produktive Zusammenarbeit durch die hohe Einsatzbereitschaft und den vertrauensvollen Umgang seitens medi überhaupt erst möglich: "Das war kein klassisches Top-Down-Projekt à la: Hier ist unsere Anforderung, setzt das mal um. Sondern wirklich ein gemeinsames technisches Erarbeiten und Umsetzen der Lösung." Martin Lagemann, Softwareingenieur bei TRIOVEGA.

Nach mehreren Vor-Ort-Terminen und intensiver Zusam-menarbeit mit den IT-Teams von medi, bei der auch die letzten Hürden genommen werden konnten, beispielsweise ein fast vergessener, vom Maschinenhersteller eigens für medi programmierter Spezialmodus, läuft die Anlagenkommunikation über den edge.SHIELDOR fehlerfrei, performant und stabil.

Ergebnis: Legacy-Kommunikation ohne Legacy-Risiken

Die Einführung des edge.SHIELDOR konnte vor der kritischen Support-Deadline von VMware abgeschlossen werden. Für medi bedeutet das: Produktionssicherheit, ohne teure Retrofits oder Ersatzmaschinen. "Unsere Maschinen laufen nun auf absehbare Zeit weiterhin zuverlässig. Ohne den edge.SHIELDOR hätten wir viele davon abschalten müssen." Michael Herde, IT Security Architect bei medi.

Damit wurde ein klassisches Dilemma vieler Industrieunternehmen sichtbar: Kritische Produktionsprozesse hängen an Legacy-Technologien, deren Weiterbetrieb aus IT-Security-Sicht eigentlich nicht mehr vertretbar ist. Der edge.SHIELDOR löst dieses Dilemma, und das, ohne Eingriffe in bestehende Prozesse zu erfordern: „Ich höre nichts von den Produktionsverantwortlichen; das heißt, es läuft. Besser kann ein Feedback nicht sein”, drückt es Linus Anders aus, IT Business Analyst bei medi.

Das System verschwindet im Produktionsalltag, für Mitarbeitende an den Maschinen bleiben die Abläufe gleich. Die Bedienoberfläche des edge.SHIELDOR ermöglicht den IT-Verantwortlichen vor Ort, neue Instanzen selbst anzulegen und Maschinen bei Bedarf umzukonfigurieren. Software-Aktualisierungen werden von TRIOVEGA regelmäßig bereitgestellt, so bleibt die Integration zukunftssicher.

Ausblick: Erweiterbar, nachhaltig, verlässlich

Strickmaschinen produzieren, sondern stärkt durch die sichere Einbindung der Altmaschinen seine Cyberresilienz im gesamten Netzwerk. So ist das Unternehmen auch auf steigende regulatorische Anforderungen, etwa durch NIS-2, bestens vorbereitet. Nach erfolgreichem Rollout auf den MS-DOS-Maschinen im Werk wurde die OT-Sicherheitslösung auch auf neueren Maschinen mit Windows 95 und Windows XP eingerichtet: medi treibt die Homogenisierung der Datenschnittstellen auf dem Shopfloor voran und rüstet sich für die kommenden Jahrzehnte in der Industrie 4.0.

Und auch für TRIOVEGA diente das Projekt als Katalysator für interne Weiterentwicklungen: Die erweiterten SMB-Funktionalitäten fließen nun in den Standardumfang von edge.SHIELDOR ein und können auch anderen Industriepartnern mit ähnlichen Herausforderungen zur Verfügung gestellt werden. "Wir haben nicht nur eine Lösung entwickelt, sondern gemeinsam eine produktionsnahe Sicherheitsarchitektur geschaffen. Das ist für mich echte Partnerschaft." Clark Gaebel, Service Delivery Manager bei TRIOVEGA.