Die traditionellen Trennlinien zwischen IT und OT verschwimmen. Während die IT-Welt auf Vertraulichkeit und Datenschutz fokussiert ist, zählt in der OT vor allem eines: Verfügbarkeit und Betriebssicherheit. In einer vernetzten Welt, in der Sensoren, Aktoren und Steuerungen direkt mit Cloudsystemen und mobilen Endgeräten kommunizieren, reicht das klassische Verständnis von Sicherheit längst nicht mehr aus.

In vielen Projekten ist zu sehen, wie OT-Strukturen aus den 1990ern mit heutigen Anforderungen kollidieren. Früher reichte ein abgeschottetes Steuerungsnetz mit einem proprietären Protokoll. Heute fließen Produktionsdaten in Dashboards, Manufacturing-Execution-Systeme (MES) und KI-Modelle. Diese Öffnung verlangt nach einer neuen Denkweise – technisch, organisatorisch und kulturell. Anbieter, die diesen Wandel begleiten, müssen nicht nur Security liefern, sondern Verständnis für industrielle Prozesse mitbringen. Besonders hilfreich sind Lösungen, die sich modular in bestehende Netze einfügen lassen, ohne ganze Infrastrukturen zu ersetzen.

Noch vor wenigen Jahren galten industrielle Netzwerke als abgeschottet und damit sicher. Doch diese Zeit ist vorbei. Die Anforderungen an Produktionsnetzwerke haben sich grundlegend geändert:

- Fernwartung ist zum Standard geworden, oft ohne klar geregelte Zugangskontrollen.

- Clouddienste übernehmen Monitoring und Analyse in Echtzeit.

- Altsysteme wie Windows-XP-basierte Steuerungen sind weiterhin im Einsatz; ungepatcht und verwundbar.

- Netzwerksegmentierung fehlt häufig komplett. Ein infiziertes Gerät kann so leicht andere Systeme kompromittieren.

- Fehlende Sichtbarkeit macht es unmöglich, verdächtigen Traffic oder Geräte überhaupt zu erkennen.

Zudem haben viele Unternehmen ihre industrielle Infrastruktur über Jahre hinweg organisch aufgebaut – dokumentiert wurde dabei oft wenig bis nichts. Vor diesem Hintergrund wirken neue branchenspezifische Anforderungen wie IEC 62443, NIS2 oder die KRITIS-Verordnung, die unter anderem ein strukturiertes Risikomanagement und Incident Response fordern, auf viele wie eine Mammutaufgabe.

Die Antwort auf diese Herausforderungen liegt nicht in Einzellösungen, sondern in einem ganzheitlichen Ansatz. Das Purdue-Modell, das wir in der Ausgabe 07/2024 [1] ausführlich vorgestellt haben, bietet dabei ein bewährtes Grundgerüst. Es unterteilt OT-Architekturen in logisch getrennte Ebenen, die jeweils mit eigenen Sicherheitszonen ausgestattet werden sollten.

Die wesentlichen Sicherheitsbausteine bilden dabei ein vielschichtiges Schutzkonzept. Im Zentrum steht das Zero-Trust-Modell mit seinem Grundsatz, niemandem zu vertrauen – weder innerhalb noch außerhalb des Netzwerks. Für die OT bedeutet dies konkret, dass kein Zugang ohne Authentifizierung erfolgt, beispielsweise durch Multifaktor-Authentifizierung. Gleichzeitig wird der Zugriff ausschließlich nach dem Prinzip der geringstmöglichen Rechte gewährt, während alle Zugriffe protokolliert und verifiziert werden. In der Praxis lässt sich dies durch zentrale Zugriffskontrollsysteme umsetzen, die sowohl Identitätsmanagement als auch rollenbasierte Zugriffssteuerung abdecken. Einige Anbieter integrieren diese Funktionen direkt mit Firewall- und VPN-Produkten in einer einheitlichen Sicherheitsarchitektur.

Industrial Firewalls mit Deep Packet Inspection ermöglichen eine präzise Steuerung und Überwachung industrieller Protokolle und erkennen beispielsweise gefährliche Steuerungsbefehle in Echtzeit. Im OT-Kontext sind solche Funktionen keine Luxusfeatures, sondern Grundlage für einen sicheren Betrieb, besonders wenn diese Firewallkomponenten bereits beim Remote Access, bei der IDS-Integration und beim VPN eine zentrale Rolle spielen. Systeme, die DPI, Segmentierung und dynamische Regelwerke in einem Gehäuse vereinen – oft sogar industrietauglich mit DIN-Schiene und erweitertem Temperaturbereich – bieten hier einen echten Mehrwert.

OT-IDS/IPS-Systeme ergänzen diesen Schutz durch sowohl signatur- als auch verhaltensbasierte Erkennung. Besonders in Layer 1 und 2 des Purdue-Modells sind diese Systeme unverzichtbar, um Manipulationen frühzeitig zu erkennen. Lösungen, die sich über eine zentrale Fabric-Infrastruktur anbinden lassen, erleichtern dabei die Implementierung und korrelierte Alarmverarbeitung.

Der weit verbreitete, aber oft unzureichend abgesicherte Fernzugriff in der Industrie erfordert den Einsatz von Privileged Access Management. Ein zentrales PAM-System stellt sicher, dass nur autorisierte Personen zeitlich begrenzt und nachvollziehbar auf Systeme zugreifen können, wobei optional auch Sitzungen aufgezeichnet werden. Moderne PAM-Produkte lassen sich in eine Security Fabric einbinden, um konsistentes Rollen- und Rechtemanagement zwischen IT und OT zu ermöglichen.

Die Segmentierung verhindert, dass sich Angriffe lateral im Netzwerk ausbreiten. Gerade in Produktionsnetzen mit vielen Embedded Devices ist dies oft die einzige Möglichkeit, Infektionsketten zu unterbrechen. Eine Kombination aus Switches mit Sicherheitsfunktionalität und Firewalling auf Layer 2 schafft hier zusätzliche Kontrollpunkte.

EDR für industrielle Umgebungen wird zunehmend relevant, wobei es mittlerweile Produkte gibt, die auch auf älteren Windows-Versionen laufen und so den Übergang in moderne Architekturen erleichtern. Besonders hilfreich sind Plattformen, die agentenlose Erkennung und verhaltensbasierte Analyse kombinieren.

Industrietaugliche Ethernet-Switches mit integriertem Sicherheitskontext für die OT-Segmentierung routen nicht nur den Traffic, sondern setzen auch auf Layer 2 bereits eine protokollbewusste Zugriffskontrolle um, idealerweise in enger Abstimmung mit den IDS/IPS-Systemen. Besonders robust ausgeführte Switches bieten auch unter schwierigen Umweltbedingungen wie extremen Temperaturen, hoher Feuchtigkeit oder Vibrationen zuverlässige Performance.

Diese Werkzeuge entfalten ihre volle Wirkung erst im Zusammenspiel – idealerweise orchestriert über ein zentrales Management-System, das Logging, Monitoring und Alarmierung übernimmt und damit eine Security Fabric über IT und OT spannt.

In der Praxis zeigt sich, dass viele Unternehmen den Einstieg in die OT-Security über konkrete Projekte finden. Drei Beispiele aus dem Arbeitsalltag des Autors zeigen typische Szenarien:

- Szenario 1: Retrofit einer Verpackungslinie. In einem mittelständischen Lebensmittelbetrieb wurde eine alte Verpackungslinie mit neuen Sensoren und einem cloudbasierten Monitoring ausgestattet. Die Anbindung erfolgte zunächst direkt ans Firmennetz. Erst nach einer Risikoanalyse wurde klar: Ein kompromittierter Sensor hätte auch andere OT-Komponenten lahmlegen können. Die Einführung eines dedizierten Layer-2-Switches mit DPI-Firewall, gepaart mit Netzwerksegmentierung nach Purdue-Level 2 und 3, schuf die notwendige Trennung.

- Szenario 2: Remote Access in der Gebäudetechnik. In einem modernen Bürogebäude mit "Digitaler Decke" (siehe IT-Administrator 07/2024 [1]) wurden Zugangskontrolle, Klima und Licht zentral gesteuert. Ein Hersteller hatte jedoch die Standard-Zugangsdaten in den Devices belassen. Durch ein PAM-System mit Audit-Trail und über eine Proxy-basierte Zugangskontrolle ließ sich der Fernzugriff absichern, ohne den Betrieb zu beeinträchtigen. Als besonders hilfreich erwies sich die Kombination von zentraler Verwaltung, Identity Federation und rollenbasierter Zugriffsbeschränkung auf einzelne IP-Adressbereiche.

- Szenario 3: Anomalieerkennung auf der Fertigungsebene. Ein Maschinenbauer installierte ein passives IDS mit Anomalieerkennung in Level 1/2 des Purdue-Modells. Wenige Tage später traten auffällige Kommunikationsmuster zutage: Ein neues Firmware-Update einer SPS generierte plötzlich unerwünschten Broadcast-Traffic. Das IDS ermöglichte ein schnelles Eingreifen, bevor es zu Störungen kam. Durch die Integration mit einer zentralen Managementplattform ließ sich die Analyse automatisch eskalieren.

Die Anforderungen an industrielle Sicherheit steigen auch künftig weiter, denn Angriffe werden gezielter, raffinierter und nutzen zunehmend legitime Kommunikationskanäle. Einfache Firewalls oder "Air Gaps" reichen längst nicht mehr. Zukunftsweisend sind daher Plattformansätze, die verschiedene Security-Komponenten integrieren:

- Security-Fabric-Konzepte, die OT-Firewalls, Switches, PAM, EDR, Logging und Threat Intelligence in einer Architektur bündeln. Produkte, die auch auf Edge-Geräten laufen und sich in industrielle DIN-Schienen-Umgebungen integrieren lassen, erhöhen die Akzeptanz im Betrieb.

- Machine Learning zur Anomalie-Erkennung in Echtzeit, insbesondere in verhaltensbasierten IDS.

- Deception-Technologien (Honeypots), die Angreifer in isolierte Umgebungen locken und gleichzeitig über deren Methoden aufklären. Plattformen mit eingebetteter Täuschungstechnik helfen, Frühwarnsysteme auf ein neues Level zu bringen.

Gleichzeitig wird maschinelles Lernen eine größere Rolle spielen. Systeme, die das Verhalten von OT-Geräten über längere Zeiträume erfassen, können Muster erkennen, bevor ein Angriff eskaliert. Besonders in Kombination mit automatisierten Reaktionsmechanismen – etwa das temporäre Blockieren einer IP-Adresse oder das Umleiten verdächtigen Traffics in isolierte Zonen – lässt sich so die Reaktionszeit drastisch senken. Anbieter, die hier auf eine gemeinsame Datenbasis aus IT- und OT-Security setzen, schaffen Synergien, die über reine Abwehrmaßnahmen hinausgehen.

Ziel muss es sein, nicht nur zu reagieren, sondern frühzeitig Muster zu erkennen und automatisiert gegenzusteuern. Die OT-Welt wird sich zunehmend mit IT-Mechanismen wie SIEM, SOAR und XDR verzahnen. Entscheidend ist dabei, dass die Sicherheitssysteme industrietauglich, robust und in bestehende Prozesse integrierbar sind.

Industrienetze sicher zu gestalten, ist kein Sprint. Es braucht klare Architekturen, dokumentierte Assets, segmentierte Netze und kontinuierliche Überwachung. Wer dabei auf standardisierte Modelle wie Purdue setzt und moderne Werkzeuge intelligent kombiniert, kann seine OT nicht nur schützen, sondern auch zukunftsfähig machen.

OT-Sicherheit sollte kein isoliertes Konzept sein – sie muss Teil der Unternehmensstrategie werden. Nur wer die Aktivitäten in seinen Netzwerken versteht, kann sie auch schützen. Produkte, die IT- und OT-Sicherheitskomponenten unter einem Dach zusammenführen und gleichzeitig für industrielle Robustheit ausgelegt sind, bieten einen praktischen Lösungsansatz – insbesondere, wenn sie vorhandene Sicherheitsinfrastrukturen berücksichtigen und sich in bestehende Betriebsmodelle einfügen lassen.