Zero Trust in der OT:: Zwischen Legacy und Cloud

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

IT-SICHERHEIT (ITS): Welcher Cybersecurity-Vorfall aus den letzten Jahren hat Sie am meisten überrascht oder beeindruckt?

Katrin Rabe (KR): Der Angriff auf die Hôpitaux de Paris 2022. Angreifer drangen über ein ungesichertes Drittanbieter-VPN ins IT-Netz ein. Patientendaten wurden kompromittiert, aber noch schlimmer: Das Krankenhaus war fast zwei Wochen lang lahmgelegt. Da wurde deutlich, dass Cybersicherheit im Gesundheitswesen nicht optional ist.

Guido Kraft (GK): Für mich war der TeamViewer-Vorfall besonders alarmierend. Fernzugriffssoftware, die eigentlich für die Wartung gedacht war, wurde zur Einbruchstür für OT-Systeme. Viele Unternehmen haben danach ihre Remote-Zugriffe grundlegend überdacht.

IT-S: Welche typischen Schwachstellen gibt es in OT-Systemen?

KR: Veraltete Systeme, fehlende Netzwerksegmentierung und schwache Zugangsdaten – und diese drei hängen alle zusammen. Viele industrielle Umgebungen laufen auf Technologien, die nie für Cybersecurity ausgelegt waren. Die Systeme sind teilweise 10, 20 oder sogar 30 Jahre alt, und Patches sind oft keine Option, weil Ausfallzeiten teuer sind. Das bedeutet, dass sie dauerhaft anfällig für bekannte Schwachstellen bleiben.

Das führt direkt zum zweiten Punkt: fehlende Netzwerksegmentierung. OT-Systeme sind selten vollständig isoliert – es gibt immer indirekte Verbindungen, sei es durch Fernwartung, Drittanbieter-Zugriffe oder einfach jemanden, der sein Laptop anschließt. Ohne eine klare Trennung zwischen IT und OT sowie einer Segmentierung des OT-Netzwerks können Angreifer sich seitlich in OT-Systeme bewegen und kritische Prozesse lahmlegen.

Und dann sind da noch schwache oder standardmäßige Zugangsdaten, die es Angreifern noch einfacher machen. Viele OT-Systeme nutzen Werkspasswörter; zudem fehlt häufig eine Multi-Faktor-Authentifizierung (MFA). So können Cyberkriminelle durch Phishing oder Brute-Force massive Störungen verursachen.

IT-S: Wie kann man alte OT-Systeme trotzdem absichern?

KR: Durch einen mehrschichtigen Sicherheitsansatz. Zunächst schaffen wir strikte Netzwerkgrenzen und zentralisieren den Zugriff. Dann setzen wir Cybersicherheitslösungen ein, die starke Authentifizierung, Sitzungsüberwachung und Echtzeit-Warnungen bei verdächtigen Aktivitäten ermöglichen. Zusätzlich implementieren wir strenge Zugriffskontrollen, sodass nur autorisiertes Personal mit diesen Systemen arbeiten kann. Abschließend führen wir umfassende Risikoanalysen durch, um Schutzmaßnahmen gezielt auf die kritischsten Betriebsbereiche auszurichten.

IT-S: Welche Risiken sehen Sie durch die zunehmende Cloud-Integration?

KR: Zugegeben, die Cloud-Anbindung von OT-Systemen hat viele Vorteile – Skalierbarkeit, Fernüberwachung, vorausschauende Wartung. Aber sie bringt auch eine größere Angriffsfläche mit sich. Oft greifen zum Beispiel viele Nutzer – interne Teams, Dienstleister, Drittanbieter – auf dieselben Systeme zu. Ohne strikte Zugriffskontrollen haben Angreifer leichtes Spiel. Zudem sind industrielle Prozesse auf verlässliche Echtzeitdaten angewiesen. Werden diese manipuliert oder die Verbindung zur Cloud gestört, kann es zu Ausfällen und Produktionsstopps kommen.

IT-S: Gewinnt auch deswegen das Zero-Trust-Paradigma gerade in OT-Umgebungen an Bedeutung?

GK: Ja, und das hat vor allem drei Gründe. Erstens: IT- und OT-Netzwerke wachsen zunehmend zusammen. Zweitens: Die Vernetzung industrieller Geräte nimmt weiter zu. Und drittens: Die Cyberbedrohungen werden immer ausgefeilter. Eine traditionelle, perimeterbasierte Sicherheit ist schlichtweg nicht mehr ausreichend, da OT-Systeme zunehmend externen und internen Gefahren ausgesetzt sind. Das „Never Trust, Always Verify“-Prinzip von Zero Trust mindert derartige Risiken.

IT-S: Welche Technologien und Architekturen sind für eine Zero-Trust-Strategie in OT-Umgebungen entscheidend?

GK: Eine robuste Zero-Trust-Strategie für OT erfordert die Integration mehrerer Schlüsseltechnologien und architektonischer Paradigmen, die zu einem mehrschichtigen Schutzkonzept beitragen. Kernstück ist die Mikrosegmentierung, die das OT-Netzwerk in isolierte Zonen unterteilt – nach Kritikalität und Funktion – und durch Technologien wie Software-Defined Networking und Next-Generation Firewalls implementiert wird.

Für den sicheren Fernzugriff auf OT-Systeme sind moderne Technologien wie Zero Trust Network Access (ZTNA) und robuste Privileged-Access-Management-(PAM)-Lösungen entscheidend. Während ZTNA kontextbezogenen Zugriff auf Anwendungen ohne traditionelle VPNs ermöglicht, gewährleisten PAM-Systeme kontrollierte und überwachte Fernzugriffe. Man kann also sagen, dass eine erfolgreiche Zero-Trust-Strategie in OT-Umgebungen eine Konvergenz von Technologien und Architekturen erfordert, die granulare Segmentierung, robustes Identitätsmanagement, kontinuierliche Überwachung und sicheren Fernzugriff betonen.

IT-S: Und wie lässt sich Zero Trust in alte OT-Systeme integrieren?

GK: Das Hauptproblem ist, dass diese alten OT-Installationen nicht für heutige Sicherheitsstandards ausgelegt sind. Sie unterstützen keine modernen Authentifizierungsprotokolle wie OAuth oder SAML und haben oft rudimentäre Zugriffskontrollen. Eine direkte Zero-Trust-Implementierung ist da schlicht nicht möglich. Daher ist eine Strategie der kompensierenden Kontrollen unerlässlich. Vermittlungstechnologien wie Protokollübersetzungs-Gateways und Proxy-Authentifizierungsserver fungieren dabei als Sicherheitsproxys. Sie schaffen eine Abstraktionsschicht, die moderne Authentifizierungsmethoden wie MFA ermöglicht, ohne Änderungen an den zugrunde liegenden OT-Systemen zu erfordern.

KR: Darüber hinaus bieten Jump-Server oder virtuelle Privileged Access Workstations einen sicheren, kontrollierten Zugangspunkt für administrative Aufgaben. Sie isolieren Altsysteme vor direkter Exposition gegenüber potenziell kompromittierten Benutzer-Workstations. Ergänzt durch Netzwerk-Mikrosegmentierung entsteht so eine Verteidigungslinie gegen laterale Angriffe.

Ein weiteres wichtiges Element ist das Privileged-Access-Management – also die gezielte Kontrolle privilegierter Zugriffe. Mit PAM-Lösungen lassen sich Sitzungen aufzeichnen, Audits durchführen und Just-in-Time-Zugriffe gewähren, sodass wir volle Transparenz über kritische Aktivitäten haben. Flankierend ist eine kontinuierliche Überwachung essenziell. Netzwerk-Traffic-Analysen und Security-Information-and-Event-Management-(SIEM)-Systeme liefern in Echtzeit Erkenntnisse über verdächtige Aktivitäten.

Doch technische Schutzmaßnahmen allein reichen nicht: Langfristig wird eine strategische Modernisierung der Altsysteme benötigt – etwa durch Digital Twins, mit denen Sicherheitskonfigurationen vorab getestet werden können.

IT-S: Die Integration von Zero Trust in bestehende OT-Systeme erfordert unter anderem ein starkes IAM. Welche konkreten IAM-Strategien funktionieren in der Praxis tatsächlich – gerade angesichts der speziellen Anforderungen in industriellen Umgebungen?

KR: Identity and Access Management ist das Fundament jeder Zero-Trust-Strategie – vor allem in industriellen Umgebungen, wo viele Systeme noch nicht für moderne Sicherheitsmechanismen ausgelegt sind. Umso wichtiger ist es, pragmatische, aber wirksame Ansätze zu verfolgen.

Das fängt bei der Authentifizierung an: Multi-Faktor-Authentifizierung ist hier absolut essenziell. Wir können uns nicht mehr auf klassische Passwörter verlassen. Noch besser ist es, wenn wir kontextbasierte Authentifizierung nutzen – also Faktoren wie Standort, Tageszeit oder Gerätezustand einbeziehen, um den Zugriff dynamisch abzusichern.

Ergänzend dazu ist das Least-Privilege-Prinzip entscheidend. Das lässt sich mit rollenbasierter Zugriffskontrolle (Role-based Access Control, RBAC) und Just-in-Time-Zugriffsvergaben umsetzen. Temporäre Erhöhungen von Berechtigungen reduzieren das Angriffsfenster erheblich. Ein weiterer Schlüssel ist die wie zuvor schon beschriebene Netzwerksegmentierung.

Natürlich wird auch eine zentrale Identitätsverwaltung gebraucht, die Richtlinien überall einheitlich durchsetzt. Active Directory ist hier ein Klassiker, aber gerade in OT-Umgebungen müssen wir oft spezialisierte Lösungen einsetzen, um mit industriellen Steuerungssystemen kompatibel zu sein.

GK: Auch hier darf der sichere Fernzugriff nicht vergessen werden – besonders bei Wartungs- und Lieferantenanbindungen. Zusätzlich bewähren sich – wie erwähnt – Technologien wie Jump-Server oder ZTNA. Abgerundet wird das Ganze durch User and Entity Behavior Analytics (UEBA). Diese Technologie erkennt ungewöhnliche Muster im Nutzerverhalten, auch wenn sie nicht einem bekannten Angriffsmuster folgen – ein wertvolles Frühwarnsystem, vor allem in hochverfügbaren OT-Umgebungen.

IT-S: Angesichts dieser Anforderungen stellt sich die Frage: Wie gut lassen sich solche Sicherheitsmaßnahmen mit den regulatorischen Vorgaben vereinbaren – besonders in OT-Umgebungen? Sehen Sie hier Zielkonflikte?

GK: Das Spannungsfeld zwischen technischen Sicherheitsmaßnahmen und regulatorischen Anforderungen ist nichts Neues – das gibt es, seit es Sicherheitsvorgaben gibt. In OT-Umgebungen wird das besonders deutlich, denn hier müssen Unternehmen einen Balanceakt zwischen Sicherheitsvorgaben, betrieblicher Realität und gesetzlichen Verpflichtungen meistern.

IT-S: Können Sie ein konkretes Beispiel nennen, wo sich diese Spannungen besonders zeigen? 

GK: Ein klassisches Beispiel sind Legacy-Systeme: Viele Anlagen basieren auf veralteter Technik, die sich nicht ohne Weiteres absichern lässt – moderne Sicherheitskontrollen sind oft nicht kompatibel. Unternehmen stehen dann vor dem Dilemma: Entweder sie erfüllen die Compliance-Vorgaben oder riskieren Einschränkungen im laufenden Betrieb. Ein weiteres Thema ist der Konflikt zwischen Sicherheitsupdates und Verfügbarkeit: OT-Systeme müssen rund um die Uhr laufen, während Regulierer regelmäßige Patches fordern. Doch genau diese können den Betrieb stören – ein Spannungsfeld, das schwer aufzulösen ist.

IT-S: Wie wirkt sich das auf die Zusammenarbeit mit Regulierungsbehörden aus?

KR: Auch beim Thema Risikobewertung gibt es Spannungsfelder. Regulierer verlangen detaillierte Risikoanalysen und Maßnahmenkataloge, doch die Risikobewertung in der OT-Welt sieht oft anders aus als in der klassischen IT. OT-Teams wägen da genau ab, welche Risiken sie minimieren und welche sie gegebenenfalls in Kauf nehmen könnten. Regulierungsbehörden hingegen setzen oft auf einen sehr konservativen Ansatz mit strikten Vorgaben.

Und nicht zuletzt sind auch die Kosten ein kritischer Faktor. Die Umsetzung regulatorischer Anforderungen erfordert Investitionen in neue Sicherheitstechnologien, Fachkräfte und Prozesse. Viele OT-Umgebungen haben jedoch begrenzte Budgets für Security, sodass Unternehmen abwägen müssen, wo sie ihre Ressourcen einsetzen. Gleichzeitig müssen sie gegenüber den Regulierungsbehörden nachweisen, dass sie die Vorgaben erfüllen.

IT-S: Das klingt nach einem schwierigen Spagat.

GK: Ja, aber letztlich kann man sagen: Der Schlüssel liegt in der Zusammenarbeit. OT-Sicherheitsteams, IT-Teams und Regulierungsbehörden müssen enger zusammenarbeiten und ihre jeweiligen Prioritäten verstehen. Offene Kommunikation sowie ein gemeinsames Verständnis für betriebliche Notwendigkeiten und regulatorische Anforderungen sind essenziell.

Unternehmen brauchen eine Strategie, die sowohl die Sicherheitsanforderungen als auch den operativen Betrieb berücksichtigt – nur so lässt sich eine praktikable Lösung finden, die Compliance-Vorgaben erfüllt, ohne den Betrieb zu gefährden.

IT-S: Wie beeinflusst NIS-2 die OT-Security-Strategien und Zero-Trust-Ansätze?

GK: Ich würde sagen, dass Vorgaben wie die NIS-2-Richtlinie wie ein Beschleuniger für die Einführung von Zero-Trust-Architekturen wirken, denn sie verlangen einen proaktiven und umfassenden Sicherheitsansatz. Ein zentraler Aspekt von NIS-2 ist das Risikomanagement.

Unternehmen müssen ihre OT-Umgebungen detailliert analysieren, um Schwachstellen und potenzielle Bedrohungen besser zu verstehen. Das führt dazu, dass Maßnahmen wie Mikrosegmentierung und die Zugriffskontrolle verstärkt in den Fokus rücken. NIS-2 fordert strengere Zugriffsrechte und setzt damit das Zero-Trust-Prinzip durch. Viele Unternehmen setzen deshalb verstärkt auf PAM, um genau zu steuern, wer auf welche Systeme zugreifen darf.

Weiterhin gewinnen auch die Überwachung und die Reaktion auf Sicherheitsvorfälle an Bedeutung. Gefordert sind verbesserte Bedrohungserkennung und eine kontinuierliche Sicherheitsüberwachung – beides zentrale Elemente von Zero Trust. Unternehmen reagieren darauf mit dem Einsatz von Monitoring-Tools, umfassender Protokollierung und detaillierter Analyse.

KR: Nicht zu vergessen, die Lieferkettensicherheit, die in OT-Umgebungen mit ihren oft komplexen Abhängigkeiten eine besonders große Rolle spielt. NIS-2 verlangt, dass Unternehmen auch die Sicherheitsstandards ihrer Drittanbieter und Lieferanten genau überprüfen.

IT-S: Wie können Unternehmen sicherstellen, dass die Einführung von Zero Trust ihre Produktionsprozesse nicht beeinträchtigt?

GK: Zunächst einmal erfordert die Einführung in OT-Umgebungen eine sorgfältige Planung. Ein schrittweiser Ansatz ist entscheidend: Man startet mit weniger kritischen Systemen, sammelt Erfahrungen und passt Sicherheitsrichtlinien entsprechend an. Eine detaillierte Bestandsaufnahme aller OT-Assets hilft dabei, Abhängigkeiten zu verstehen und gezielt vorzugehen. Wichtig ist auch die enge Zusammenarbeit zwischen IT- und OT-Teams.

Denn OT-Sicherheitsanforderungen unterscheiden sich oft stark von klassischen IT-Maßnahmen – hier braucht es ein gemeinsames Verständnis. Neue Sicherheitsfunktionen sollten idealerweise zunächst in einer Testumgebung, etwa einem digitalen Zwilling, erprobt werden. Letztlich geht es darum, Zero Trust mit Augenmaß umzusetzen.

IT-S: Gibt es technologische Entwicklungen, die die OT-Security in den nächsten Jahren besonders beeinflussen werden?

KR: Ja, definitiv. Besonders künstliche Intelligenz (KI) wird eine große Rolle spielen – sie kann kleinste Anomalien in industriellen Prozessen erkennen, die klassischen Methoden oft entgehen. Das hilft dabei, Bedrohungen viel schneller zu identifizieren und einzudämmen.

Auch Quantencomputing ist spannend: Einerseits stellt es durch die Möglichkeit, heutige Verschlüsselung zu knacken, ein Risiko dar. Andererseits könnten daraus auch völlig neue, deutlich stärkere Sicherheitsalgorithmen entstehen. Und dann ist da noch das Thema Vernetzung – durch 5G und perspektivisch 6G wächst das industrielle IoT weiter. Das schafft zwar neue Angriffsflächen, bringt aber gleichzeitig auch neue Security-Lösungen mit sich.

GK: Und nicht zu vergessen: Edge-Computing. Das verändert die OT-Welt gerade fundamental,  weil Daten direkt dort verarbeitet werden, wo sie entstehen. Das ermöglicht Echtzeitüberwachung – ein riesiger Vorteil. Aber je mehr Edge-Geräte eingesetzt werden, desto größer wird auch die Angriffsfläche. Deshalb wird PAM immer wichtiger. Es sorgt dafür, dass nur autorisierte Zugriffe möglich sind, diese zeitlich begrenzt und vollständig protokolliert werden. Gerade bei Geräten an schwer zugänglichen Orten ist das enorm relevant.

KR: Kurz gesagt: Die neuen Technologien bringen viele Chancen – aber sie erfordern auch neue Sicherheitsstrategien. PAM, KI und Co. werden dabei eine Schlüsselrolle spielen.

IT-S: Wenn Sie eine OT-Security-Maßnahme wie von Zauberhand sofort weltweit umsetzen könnten – welche wäre das?

KR: Ich würde ganz klar mit der Bestandsaufnahme und Sichtbarkeit beginnen – denn man kann nur das schützen, was man auch kennt. Eine der größten Sicherheitslücken in OT-Umgebungen ist der fehlende aktuelle Überblick über alle vorhandenen Assets. Oft sind Konfigurationsmanagement-Datenbanken (CMDBs) veraltet, unvollständig oder enthalten nicht alle kritischen Details. Das macht es extrem schwierig, wirklich alle Systeme effektiv abzusichern.

Das Problem dabei: OT-Umgebungen verändern sich ständig. Neue Geräte kommen hinzu, alte Systeme bleiben oft länger verbunden als sie sollten, und externe Dienstleister bringen Assets mit, die nicht immer erfasst werden. Ohne eine vollständige Sicht auf die Umgebung arbeiten Sicherheitsteams gewissermaßen im Blindflug – und genau das nutzen Angreifer aus. Deshalb ist eine kontinuierliche Überwachung und regelmäßige Bestandsaufnahme essenziell.

So lassen sich alle vorhandenen Systeme erfassen, veraltete oder ungesicherte Geräte identifizieren und eine Sicherheitsstrategie auf Grundlage realer, aktueller Infrastruktur-Daten entwickeln. Erst mit diesem Wissen können Unternehmen wirksame Segmentierung, Zugriffskontrollen und Bedrohungsüberwachung umsetzen – und ihre OT-Umgebung wirklich absichern.

IT-S: Wenn diese Sichtbarkeit gegeben ist – was wäre aus Ihrer Sicht der nächste logische Schritt?

GK: Ich würde vor allem der Netzwerksegmentierung und -isolierung Priorität einräumen. Indem wir potenzielle Sicherheitsverletzungen auf bestimmte Segmente beschränken, reduzieren wir das Risiko einer weitreichenden Störung drastisch. Ebenso verbessert die Segmentierung die Sichtbarkeit des Netzwerks, sorgt für ein klareres Verständnis der OT-Architektur und ermöglicht eine effektivere Überwachung. In diesem Zusammenhang spielt wie zuvor erwähnt PAM eine entscheidende Rolle.

IT-S: Frau Rabe, Herr Kraft, wir danken Ihnen für das Gespräch.