Effizientes Patch-Management von Siemens Simatic PCS 7 Clients

Bei einem internen Sicherheitsaudit wurde festgestellt, dass einige der SIMATIC PCS 7-Clients veraltete Patch-Level hatten, die mehr als zwei Jahre zurücklagen, was ein erhebliches Sicherheitsrisiko darstellte. Während eines kurzen Wartungsfensters, das sich nur maximal zwei Mal pro Jahr öffnet, sollten nun alle SIMATIC PCS 7-Clients gepatcht werden. Oftmals führte der bisher angewendete Patch-Prozess, bei dem die Clients über Windows Server Update Services (WSUS) per Fernzugriff aktualisiert wurden, zu notwendigen Neustarts. Darüber hinaus gab es keine Möglichkeit, den Patch-Prozess zu automatisieren.

Nach der Evaluierung von drei verschiedenen Patch-Management-Lösungen entschied sich das Team schließlich für ondeso SR. Von besonderer Bedeutung war, dass ondeso SR als offizieller Produkt-Partner das bisher einzige von Siemens zugelassene Patch-Management-Tool ist. Mit einem speziell entwickelten ondeso SR-Connector für SIMATIC PCS 7 kann das Microsoft Update Management innerhalb der SIMATIC PCS 7-Infrastrukturen automatisiert werden.

Die Anzahl der zu patchenden Clients war bereits bekannt und umfasste etwa 50 Clients pro Security-Zelle. Nachdem alle Anforderungen und Lösungswege in enger Zusammenarbeit mit dem Automatisierungsteam abgestimmt wurden, erstellten unsere ondeso-Consultants aus dem Professional Services Team mit ondeso SR eigenständige Arbeitsabläufe, sogenannte „Operations“.

Zunächst wurden die Voraussetzungen des Clients geprüft, zum Beispiel ob genügend Festplattenspeicher vorhanden ist. Im zweiten Schritt wurde das auf dem Client laufende Projekt gestoppt, bevor im dritten Schritt das System des Clients gepatcht wurde. Auch die redundanten Serverpaare wurden automatisch gepatcht, da es mit ondeso SR möglich ist, den Redundanzstatus der Server direkt über eine Schnittstelle zur SIMATIC Management Console abzufragen.

Unser Kunde hatte zudem Gruppen innerhalb einer Security-Zelle definiert, die in der Abarbeitung des Patch-Prozesses ebenfalls berücksichtigt wurden. Der Patch-Prozess wurde nur einmal pro Security-Zelle während des Wartungsfensters gestartet, danach erfolgte die vollautomatische Abarbeitung. So war unser Kunde nun in der Lage, alle SIMATIC PCS 7 Clients automatisiert in der definierten Zeit zu patchen.

Durch den Einsatz von ondeso SR konnte das Biotechnologieunternehmen das Sicherheitslevel der SIMATIC PCS 7-Clients erheblich steigern. Der Patch-Prozess wurde weniger fehleranfällig und lief rund 82 % schneller ab. „Mit einem einzigen Klick ist unser Kunde jetzt in der Lage eine gesamte Security-Zelle automatisiert durchzupatchen“, sagt ondeso OT-Consultant Andreas Decker.

„Das Patch-Management für SIMATIC PCS 7 Clients ist jetzt zu 100 % automatisiert und unser Kunde verfügt über einen zuverlässigen Blueprint für andere Werke und kann eigene Operations für das Client-Management erstellen.“ Durch den Erfolg dieser Implementierung konnte das Biotechnologieunternehmen seine Sicherheit verbessern und den Patch-Prozess effizient gestalten.

Klingt interessant?

Hier können Sie sich eine Zusammenfassung dieser Success Story als PDF downloaden.