OT-Segmentierung als Schutzschild der vernetzten Produktion: Sicherheit in Zonen
Die Digitalisierung und Vernetzung industrieller Anlagen vergrößert die Angriffsflächen erheblich. Gelangen Kriminelle einmal ins System, können sie sich oft ungehindert durch das Produktionsnetz bewegen – mit gravierenden Folgen bis hin zum Stillstand ganzer Fertigungslinien. OT-Segmentierung setzt hier an: Sie kontrolliert die Verbindungen innerhalb vernetzter Systeme und schützt so vor der Ausbreitung von Angriffen.
Ein einziger Cyberangriff kann genügen – und die Fertigung steht still. Besonders in der Industrie ist dieser Dominoeffekt längst keine Ausnahme mehr: Laut dem „Länderbericht zur Cyberbedrohungslandschaft: Deutschland 2024“ der Var Group war die Fertigungsindustrie mit 30,2 Prozent aller beobachteten Ransomware-Angriffe die am stärksten betroffene Branche. Auch Distributed-Denial-of-Service-(DDoS)- und Web-Defacement-Attacken treffen Produktionsbetriebe regelmäßig. Schon kurze Ausfälle führen zu massiven Verlusten und machen die Branche zum bevorzugten Ziel für Angreifer.
Wie drastisch die Folgen sein können, zeigte jüngst der Serviettenhersteller Fasana: Nach einem Ransomware-Angriff kam die Produktion vollständig zum Erliegen, am Ende blieb nur der Gang in die Insolvenz. Der Fall verdeutlicht, wie eng Office-IT und Produktionsnetze heute verzahnt sind – und wie wichtig es ist, beide Bereiche gleichermaßen abzusichern. Ein zentraler Baustein dafür ist die Operational-Technology-(OT)-Segmentierung: Sie begrenzt die Ausbreitung eines Angriffs und hält kritische Anlagen funktionsfähig.
Ransomware-Angriffe 2024: Die Fertigungsindustrie in Deutschland ist mit 30,2 Prozent am häufigsten betroffen, gefolgt von Beratung
Kontrollierte Kommunikation statt komplette Abschottung
OT-Segmentierung bezeichnet die strategische Unterteilung industrieller Infrastrukturen in separate logische oder physische Zonen mit kontrollierten Grenzen, die den Kommunikationsfluss zwischen Geräten oder Gerätegruppen regulieren. Anders als bei der klassischen IT-Segmentierung, die primär der Netzwerkoptimierung dient, zielt OT-Segmentierung darauf ab, im Fall eines Angriffs laterale Bewegungen zu begrenzen und die potenziellen Auswirkungen eines Sicherheitsvorfalls einzudämmen.
In der Praxis bedeutet OT-Segmentierung den Aufbau von auf Whitelists basierenden Sicherheitsbarrieren zwischen verschiedenen funktionalen Bereichen – wie etwa zwischen der Überwachungsebene und der Maschinensteuerungsebene.
Der Zugriff zu jedem Funktionsbereich wird von Richtlinien geregelt, die durch Protokolle, Adressen oder Verhaltensmuster definiert sind. Entscheidend ist dabei, dass Kommunikation nicht blockiert wird, sondern kontrolliert, sichtbar und nachverfolgbar gestaltet wird.
Die Vorteile einer OT-Segmentierung sind eindeutig: Sie verringert die Angriffsfläche und trägt wesentlich zur Aufrechterhaltung des laufenden Betriebs bei. So lassen sich ungeplante Stillstände vermeiden und zugleich Prozessdaten, Anlagen und Arbeitsplätze wirksam schützen. Darüber hinaus unterstützt die Segmentierung die Einhaltung regulatorischer Anforderungen – etwa durch die Begrenzung von Schadensausbreitung, die Kontrolle von Zugriffs- und Autorisierungsrechten sowie die schnellere Erkennung von Sicherheitsvorfällen.
Angesichts der wachsenden Bedrohungslage entwickelt sich OT-Segmentierung zunehmend zu einem strategischen Wettbewerbsfaktor – besonders in der Fertigungsindustrie, die in Deutschland zu den am häufigsten von Cyberangriffen betroffenen Branchen zählt.
Cyberbedrohungen können sich über verschiedene Pfade ausbreiten. Ohne geeignete Segmentierung und Zugriffskontrollen lassen sich solche Angriffsketten kaum wirksam unterbrechen.
Weit verbreitete Fehleinschätzungen in der Praxis
Ein häufiger Irrglaube in der industriellen Praxis ist die Annahme, OT-Segmentierung bestehe lediglich darin, Netzwerke mit Firewalls oder Virtual Local Area Networks (VLANs) zu trennen. Aus diesem Grund werden bei der Implementierung oft die tatsächlichen Kommunikationsflüsse und Abhängigkeiten zwischen den OT-Geräten nicht in Betracht gezogen – obwohl das die Grundlage einer sicheren OT-Umgebung ist. Diese vereinfachte Sichtweise führt oft zu Fehlkonzeptionen, die im schlimmsten Fall wirkungslos oder sogar kontraproduktiv sind.
Empfehlungen für Entscheider
Damit OT-Segmentierung nicht nur technisch funktioniert, sondern auch im Betriebsalltag standhält, braucht es ein klares, praxisnahes Vorgehen. Die folgenden Empfehlungen zeigen, worauf es bei erfolgreicher Implementierung ankommt:
- Bestandsaufnahme als Basis: Bevor Unternehmen in Segmentierungstechnologien investieren, sollten sie sich Klarheit über ihre OT-Assets und deren Kommunikationsbeziehungen verschaffen. Eine passive Netzwerkanalyse liefert die notwendigen Daten, ohne den Betrieb zu stören.
- Planung auf Basis realer Kommunikationsflüsse: Zonen und Conduits sollten entsprechend der tatsächlichen betrieblichen Logik der Anlagen definiert werden. Eine zu starke Orientierung an IT-Konzepten, die in industriellen Umgebungen oft nicht praktikabel sind, gilt es zu vermeiden.
- Gezielter Schutz von Drittzugriffen: Mindestsicherheitsanforderungen sollten vertraglich mit externen Lieferanten definiert werden, im Einklang mit den Grundsätzen der NIS-2-Richtlinie, einschließlich kontrolliertem Zugang, Rückverfolgbarkeit und Update-Management.
- Organisatorische Resilienz mitdenken: Ergänzend zur technischen Segmentierung sollten Unternehmen Incident-Response-Pläne entwickeln, Mitarbeitende regelmäßig schulen und eine Kommunikationsmatrix für den Krisenfall vorbereiten. Security-Gap-Analysen und Forensik-Readiness-Checks helfen, Schwachstellen frühzeitig zu erkennen und Meldepflichten nach NIS-2 sicher einzuhalten.
Ein weiterer verbreiteter Mythos betrifft die Auswirkungen auf die Betriebsabläufe: Viele Unternehmen befürchten, dass OT-Segmentierung die Effizienz industrieller Prozesse beeinträchtigen könnte. In Wirklichkeit jedoch sichert eine richtig konzipierte Segmentierung die Prozesskontinuität, da sie die Widerstandsfähigkeit der Anlagen erhöht und den Schaden im Angriffsfall eindämmt. Statt Prozesse zu stören, schützt sie diese vor unerwünschten Eingriffen und Störungen.
Nicht zuletzt wird Segmentierung häufig als einmalige Aufgabe betrachtet, während es sich in Wahrheit um einen kontinuierlichen Prozess handelt, der mit der Evolution des Netzwerks Schritt halten muss. Gerade in der Industrie, wo Anlagen oft über Jahrzehnte betrieben werden und immer wieder neue Komponenten hinzukommen, ist ein dynamisches Segmentierungskonzept unerlässlich.
Systematisches Vorgehen nach internationalen Standards
Am Anfang jeder wirksamen OT-Segmentierung steht eine präzise Bestandsaufnahme. Ohne eine passive Asset-Discovery riskieren Unternehmen, ihr Netzwerk auf Grundlage unvollständiger oder falscher Annahmen zu strukturieren. Im ersten Schritt sollten daher mittels passiver Verkehrsanalyse sämtliche Geräte, Kommunikationsbeziehungen und Protokolle erfasst werden – idealerweise, ohne den laufenden Betrieb zu beeinträchtigen.
Mit diesen Informationen erfolgt das Flow Mapping: die systematische Erfassung und Analyse der tatsächlichen Kommunikationsbeziehungen zwischen den OT-Asstes. Darauf aufbauend lassen sich Zonen und Conduits nach dem ISA/IEC-62443-Standard festlegen, dem zentralen Referenzrahmen für industrielle Cybersicherheit. Zonen fassen dabei Assets mit vergleichbarer Risikostufe und ähnlichen Schutzanforderungen zusammen, während Conduits die kontrollierten Übergänge zwischen diesen Bereichen bilden. Für jede Zone wird ein Ziel-Sicherheitsniveau (Security Level Target, SL-T) definiert, das den erforderlichen Mindestschutz beschreibt – abhängig von ihrer Relevanz für die Produktion und dem möglichen Schaden im Ernstfall.
Wie ein solches Modell in der Praxis aussehen kann, zeigt Tabelle 1: Sie veranschaulicht beispielhaft, wie industrielle Systeme wie Enterprise-Resource-Planning-(ERP)-Server, Historian, Supervisory-Control-and-Data-Acquisition-(SCADA)-Server, speicherprogrammierbare Steuerungen (SPS) oder Feldgeräte in funktionale Zonen (Z1–Z5) eingeteilt und mit spezifischen Protokollen, SL-Anforderungen und Übergängen versehen werden. Solche Tabellen dienen als wichtige Grundlage für die technische Umsetzung – zum Beispiel für die Konfiguration von Firewalls, das Whitelisting von Verbindungen oder das Einrichten sicherer Fernzugänge.
Tabelle 1: Beispielhafte Zuordnung industrieller Systeme
Herausforderungen in heterogenen Produktionsumgebungen
In der Umsetzung werden je nach Netzstruktur und Komplexität unterschiedliche Formen der Segmentierung eingesetzt: von physischer Trennung über VLANs bis hin zu industriellen Demilitarisierten Zonen (DMZ) und Mikrosegmentierung auf Anwendungsebene. Welcher technische Ansatz gewählt wird, hängt maßgeblich vom konkreten Umfeld ab – zum Beispiel von der Heterogenität der Anlage, der verfügbaren Dokumentation oder der Anforderungsdichte im Produktionsprozess.
Darauf aufbauend lässt sich ein logisches Sicherheitsdesign entwickeln, das sich eng an den realen Prozessflüssen orientiert – ein wesentlicher Erfolgsfaktor, um Sicherheit und Betriebsstabilität in Einklang zu bringen. Besonders ältere, heterogene Umgebungen erfordern dabei besondere Sorgfalt: Lückenhafte Dokumentation, proprietäre oder veraltete Protokolle und begrenzte Skalierbarkeit erhöhen das Risiko unbeabsichtigter Störungen. In solchen Fällen wird der Projekterfolg maßgeblich durch eine gründliche Erkundung und vorausschauende Migrationsplanung bestimmt.
Ein Beispiel aus der Chemieindustrie zeigt, wie OT-Segmentierung als Teil einer übergreifenden Modernisierungsstrategie wirken kann. Ein international tätiges Unternehmen führte die Maßnahme nicht reaktiv nach einem Sicherheitsvorfall ein, sondern gezielt, um Wettbewerbsfähigkeit und Resilienz zu stärken. Die zweijährige Umsetzung umfasste neben der technischen Realisierung auch die Schulung und Einbindung aller relevanten Gruppen – von der lokalen OT-Mannschaft über die IT bis hin zu Ingenieurteams und Anlagenleitern.
Dieser ganzheitliche Ansatz erwies sich als Schlüssel zum Erfolg: Das Werk erreichte ein deutlich höheres Schutzniveau, beschleunigte die Einhaltung kommender EU-Vorgaben wie der Cyberresilience-Act-Verordnung und positionierte sich als Vorreiter in Sachen Sicherheit und regulatorischer Vorbereitung.
Strategische Weichenstellung
Mit der fortschreitenden Vernetzung entwickelt sich OT-Segmentierung zunehmend zu einem zentralen Baustein für Resilienz und langfristige Betriebskontinuität. Der Trend geht klar in Richtung Integration: Segmentierung wird heute mit kontinuierlichem Monitoring, starker Authentifizierung, Privileged-Access-Management und Zero-Trust-Konzepten verknüpft, die speziell auf industrielle Umgebungen zugeschnitten sind.
Damit wird sie nicht als Endpunkt, sondern als Ausgangsbasis auf dem Weg zur cyberindustriellen Reife verstanden. Angesichts geopolitischer Spannungen, globaler Lieferkettenrisiken und der beschleunigten Digitalisierung gewinnt der Schutz industrieller Anlagen strategische Bedeutung. Er ist längst keine rein technische Aufgabe mehr, sondern eine unternehmerische Pflicht. OT-Segmentierung markiert dabei einen der ersten praxisnahen Schritte zu mehr Widerstandsfähigkeit.
Alessandro Zuech ist Head of OT Security bei Yarix, einer Marke der Var Group für
Cyber Security.
Typische Segmentierungsformen in der OT
- VLANs: kurz für Virtual Local Area Network, ein logisches Teilnetzwerk innerhalb eines physischen lokalen Netzwerks (LAN). Es ermöglicht, ein einzelnes LAN in mehrere, voneinander getrennte logische Netzwerke zu unterteilen, ohne dass zusätzliche Hardware benötigt wird.
- DMZ: kurz für Demilitarisierte Zone; Sicherheitszonen zwischen IT und Produktion. Sie dienen als Zwischenpuffer, um Maschinen vor direkten Zugriffen zu schützen.
- Industrielle Gateways: Geräte, die in industriellen Steuerungssystemen eingesetzt werden, um die Kommunikation zwischen verschiedenen Netzwerksegmenten zu ermöglichen, oft auch zwischen IT- und OT-Netzwerken.
- Zonen und Conduits: nach dem internationalen Standard der International Society of Automation/International Electrotechnical Commission (ISA/IEC 62443) definierte Sicherheitsbereiche mit kontrollierten Übergängen. Strukturierter Ansatz: Produktionsbereiche werden getrennt und der Datenaustausch zwischen ihnen wird kontrolliert. Vergleichbar mit Sicherheitsbereichen im Werk.
- Mikrosegmentierung: feinste Unterteilung bis auf Geräte- oder Anwendungsebene. Besonders sinnvoll in sensiblen oder stark vernetzten Anlagen.
Wichtige OT-Sicherheitsstandards
- ISA/IEC 62443: internationale Normenreihe für die Cybersicherheit industrieller Automatisierungssysteme
- NIS-2-Richtlinie: EU-Richtlinie zur Netz- und Informationssicherheit mit erweiterten Anforderungen für kritische Infrastrukturen
- ISO 27001/27002: allgemeine Standards für Informationssicherheits-Managementsysteme, zunehmend auch für OT relevant
- NIST Cybersecurity Framework: Rahmenwerk des US-amerikanischen National Institute of Standards and Technology
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
