Was eine Zero-Trust-OT-Bereitstellung tatsächlich erfordert
Unabhängig von Anbieter oder Architektur erfordert die Einführung von Zero Trust in einem OT-Netzwerk vier Schritte – in dieser Reihenfolge:
-
Geräteerkennung — Sie benötigen ein vollständiges Inventar jedes Geräts im Netzwerk: PLCs, HMIs, Switches, Historians, Engineering-Workstations und die Kommunikationsflüsse zwischen ihnen. Zugriffsrichtlinien lassen sich nicht für Geräte schreiben, deren Existenz unbekannt ist.
-
Zonendefinition — Geräte werden anhand von Funktion, Kritikalität und Kommunikationsanforderungen in logische Zonen gruppiert. Das Zonen-und-Konduit-Modell der IEC-62443 ist das Standardrahmenwerk dafür. Zonen legen fest, was mit was kommunizieren darf; alles andere wird standardmäßig abgelehnt.
-
Richtlinienerstellung — Definieren Sie die Zugriffsregeln zwischen Zonen: welche Protokolle erlaubt sind, welche Geräte zonenübergreifenden Zugriff haben und was einen Verstoß darstellt. Diese Richtlinien müssen den tatsächlichen Betriebsdatenverkehr widerspiegeln, nicht theoretische Netzwerkdiagramme.
-
Durchsetzung — Wenden Sie die Richtlinien auf den Live-Datenverkehr an. Blockieren Sie nicht autorisierte Datenflüsse, protokollieren Sie Verstöße und überwachen Sie auf False Positives. Hier enden reine Monitoring-Lösungen, und die Segmentierung beginnt.
Diese vier Schritte gelten gleichermaßen für einen Claroty/Firewall-Stack, eine Cisco ISE-Bereitstellung, ein Fortinet-Fabric oder ein Access Gate-Appliance. Die Methodik ändert sich nicht. Was sich ändert, ist die Dauer der einzelnen Schritte und die Anzahl der beteiligten Produkte.
Wie dieser Zeitplan mit herkömmlichen Tools aussieht
Bei einem klassischen Multi-Vendor-Ansatz entsprechen die vier Schritte separaten Beschaffungszyklen, separaten Bereitstellungen und separaten Integrationsaufwänden:
| Phase | Was passiert | Typische Dauer |
|---|---|---|
| Bereitstellung der Monitoring-Sensoren | Sensoren beschaffen, an SPAN-Ports installieren, Management konfigurieren | 2–4 Wochen |
| Asset-Erkennung und Baselining | Sensoren erfassen Datenverkehr, erstellen passiv ein Asset-Inventar | 4–8 Wochen |
| Zonendesign und Richtlinienplanung | Netzwerkarchitekten analysieren Datenflüsse, definieren Zonen | 2–4 Wochen |
| Beschaffung der Durchsetzungsinfrastruktur | Firewalls, Managed Switches, NAC-Appliances bestellen | 4–8 Wochen |
| Integration und Richtlinienbereitstellung | Monitoring mit Durchsetzung verbinden, Firewall-Regeln schreiben, testen | 2–4 Wochen |
| Schrittweiser Rollout der Durchsetzung | Richtlinien zonenweise aktivieren, False Positives bereinigen | 2–4 Wochen |
| Gesamt | 4–8 Monate |
Der Engpass liegt nicht in einer einzelnen Phase – er liegt in den Übergaben zwischen den Phasen. Jeder Übergang bringt einen anderen Anbieter, ein anderes Produkt und häufig ein anderes Team mit sich. Die Monitoring-Plattform identifiziert Datenverkehrsmuster, aber diese Muster müssen manuell in Firewall-Regeln übersetzt werden. Die Firewall-Regeln müssen gegen den Produktionsdatenverkehr getestet werden. Jeder Integrationspunkt ist eine potenzielle Verzögerung.
Während dieser 4–8 Monate bleibt das Netzwerk unsegmentiert. Die Erkennung läuft, aber die Durchsetzung nicht.
Das ist keine Kritik an einem bestimmten Produkt. Claroty, Nozomi und Dragos sind leistungsstarke Monitoring-Plattformen. Der Zeitplan ist eine Folge der Architektur – separate Produkte für separate Funktionen erfordern Integrationsarbeit zwischen ihnen.
Wie das Access Gate dies auf 4 Stunden komprimiert
Wenn Monitoring, Richtlinienerstellung und Durchsetzung in einer einzigen Appliance gebündelt sind, laufen die vier Bereitstellungsphasen direkt nacheinander ab, anstatt auf separate Beschaffungs- und Integrationszyklen zu warten. So sieht das in der Praxis aus – basierend auf Produktionsinstallationen einschließlich der im Rahmen der Thales-Partnerschaft dokumentierten Referenzbereitstellung.
Stunde 0–1: Physische Installation und Ersteinrichtung
Was passiert:
- Access Gate-Appliance auspacken
- Im Netzwerkschrank einbauen (1U-Formfaktor, Standard-19"-Rack)
- Monitoring-Port mit einem Switch-SPAN/Mirror-Port verbinden (verschafft der Appliance passive Sichtbarkeit auf den Netzwerkdatenverkehr)
- Management-Port mit einem Management-VLAN oder direkt mit einem Laptop verbinden
- Einschalten
Was der Bediener sieht:
Die Appliance bootet in unter 3 Minuten. Eine webbasierte Konsole ist über die Management-IP erreichbar. Der Ersteinrichtungsassistent führt durch:
- Admin-Zugangsdaten festlegen
- Netzwerkschnittstellen konfigurieren (Management-IP, Monitoring-Interface)
- Zeitzone und NTP-Quelle festlegen (oder manuelle Zeiteinstellung bei Air-Gap)
- Standort benennen
Keine Agents zu installieren. Kein Cloud-Konto zu erstellen. Kein Lizenzserver erreichbar sein muss. Die Appliance validiert ihre Lizenz lokal.
Am Ende von Stunde 1: Die Appliance ist physisch installiert, eingeschaltet, mit dem Netzwerk verbunden und über die Management-Konsole erreichbar.
Stunde 1–2: Netzwerkerkennung
Was passiert:
- Passive Erkennung auf dem Monitoring-Interface aktivieren
- Die Appliance lauscht auf den gesamten Datenverkehr am SPAN-Port
- Geräte werden anhand von MAC-Adresse, IP-Adresse, Hostname (falls verfügbar) und Protokoll-Fingerprint identifiziert
- Kommunikationsflüsse zwischen Geräten werden automatisch kartiert
Was der Bediener sieht:
Das Asset-Inventar füllt sich in Echtzeit. Innerhalb von 15–30 Minuten hat die Appliance die meisten aktiven Geräte im Netzwerk identifiziert. Das Dashboard zeigt:
- Geräteliste mit IP, MAC, Hersteller (aus OUI-Datenbank) und erkannten Protokollen
- Eine Netzwerkkarte, die zeigt, welche Geräte miteinander kommunizieren
- Protokollaufschlüsselung – welcher Anteil des Datenverkehrs auf Modbus TCP, EtherNet/IP, OPC UA, HTTP usw. entfällt
- Nicht erkannter oder anomaler Datenverkehr zur Überprüfung markiert
| Erkennungsergebnis | Typisches 50-Geräte-Netzwerk |
|---|---|
| Identifizierte Geräte | 45–55 (einschließlich Infrastruktur) |
| Kartierte Kommunikationsflüsse | 200–400 eindeutige Flüsse |
| Erkannte Protokolle | 8–15 verschiedene Protokolle |
| Zeit bis 90 % Abdeckung | 20–40 Minuten |
| Zeit bis 99 % Abdeckung | 2–4 Stunden (erfasst seltene Polling-Vorgänge) |
Hinweis: Einige Geräte kommunizieren nur in langen Polling-Intervallen (z. B. tägliche Historian-Backups, wöchentliche Firmware-Prüfungen). Die Appliance setzt die Erkennung im Hintergrund fort und fügt neu erkannte Geräte in den folgenden Tagen zum Inventar hinzu.
Am Ende von Stunde 2: Der Bediener hat ein vollständiges Bild davon, was sich im Netzwerk befindet, was mit was kommuniziert und welche Protokolle verwendet werden. Das ist das Asset-Inventar, dessen manuelle Erstellung die meisten Organisationen wochenlang beschäftigt.
Stunde 2–3: Richtlinienerstellung und Zonendefinition
Was passiert:
- Netzwerkzonen basierend auf der erkannten Topologie definieren (z. B. „PLC-Zone", „HMI-Zone", „Engineering-Workstations", „IT DMZ")
- Geräte Zonen zuweisen – per Drag-and-Drop in der Konsole oder automatische Zuweisung nach Subnetz
- Zugriffsregeln zwischen Zonen definieren:
- Welche Zonen mit welchen kommunizieren dürfen
- Welche Protokolle pro Zonenpaar erlaubt sind
- Welche Geräte zonenübergreifenden Zugriff haben (z. B. der Historian, der aus der PLC-Zone liest)
- Die Overlay-Segmentierung konfigurieren – die Appliance erstellt logische Netzwerksegmente ohne physische Netzwerkänderungen
Was der Bediener sieht:
Der Richtlinieneditor stellt die erkannten Kommunikationsflüsse als Baseline dar. Der Bediener entscheidet, welche Flüsse legitim sind und erlaubt werden sollen und welche blockiert werden sollen. Für ein 50-Geräte-Netzwerk umfasst das typischerweise:
- 4–8 Zonendefinitionen
- 10–20 zonenübergreifende Zugriffsregeln
- 5–10 gerätespezifische Ausnahmen
Die Appliance schlägt Richtlinien basierend auf beobachteten Datenverkehrsmustern vor. Der Bediener prüft und genehmigt. Das ist keine automatisch generierte Richtlinie, die unbeaufsichtigt läuft – der Bediener trifft jede Entscheidung, aber die Appliance übernimmt die Hauptarbeit bei der Identifizierung, was entschieden werden muss.
Am Ende von Stunde 3: Zonendefinitionen und Zugriffsrichtlinien sind konfiguriert. Die Appliance weiß, welcher Datenverkehr im Netzwerk vorhanden sein sollte und welcher nicht.
Stunde 3–4: Durchsetzung und Verifizierung
Was passiert:
- Vom Monitor-Modus in den Durchsetzungsmodus wechseln
- Die Appliance beginnt, die definierten Richtlinien aktiv durchzusetzen
- Legitimer Datenverkehr fließt ungehindert
- Nicht autorisierter zonenübergreifender Datenverkehr wird blockiert und protokolliert
- Der Bediener überwacht das Dashboard auf False Positives – legitimen Datenverkehr, der fälschlicherweise blockiert wurde
Was der Bediener sieht:
Das Durchsetzungs-Dashboard zeigt:
- Erlaubte Flüsse — Datenverkehr, der einer Richtlinienregel entspricht und normal fließt
- Blockierte Flüsse — Datenverkehr, der gegen eine Richtlinienregel verstößt, verworfen mit einem Log-Eintrag
- Warnmeldungen — potenzielle False Positives, zur Überprüfung durch den Bediener markiert
In der Praxis erfordern die ersten 30 Minuten der Durchsetzung aktive Überwachung. Der Bediener beobachtet blockierte Flüsse, die erlaubt sein sollten, und fügt bei Bedarf Ausnahmen hinzu. Nach der anfänglichen Abstimmung läuft die Durchsetzung autonom.
| Durchsetzungsmetrik | Typische Werte |
|---|---|
| Legitime Flüsse korrekt erlaubt | 98–99 % im ersten Durchlauf |
| False Positives, die Anpassung erfordern | 3–8 Regeln in der ersten Stunde |
| Zeit bis zur stabilen Durchsetzung | 30–60 Minuten aktive Abstimmung |
| Generierte Log-Einträge pro Stunde | 500–2.000 Einträge |
Am Ende von Stunde 4: Das Netzwerk ist segmentiert, Zugriffsrichtlinien werden durchgesetzt, und der Audit-Trail läuft. Zero Trust ist in Betrieb.
Was nach Stunde 4 passiert
Die Bereitstellung ist nicht das Ende. So sieht der laufende Betrieb aus:
Tag 2
- Die nächtlichen Logs auf blockierten Datenverkehr prüfen, der nicht hätte blockiert werden sollen (Geräte mit seltenen Kommunikationsmustern)
- 1–3 zusätzliche Richtlinienausnahmen basierend auf der nächtlichen Aktivität hinzufügen
- Sicherstellen, dass alle Produktionsprozesse den ersten Schichtwechsel normal durchlaufen haben
Woche 1
- Die Erkennung hat nun 99 %+ der Geräte erfasst, einschließlich solcher mit langen Polling-Intervallen
- Das vollständige Asset-Inventar prüfen und unbekannte oder nicht autorisierte Geräte markieren
- Zonengrenzen verfeinern, falls die Erkennung unerwartete Kommunikationsmuster aufgedeckt hat
- Einen Compliance-Bericht erstellen, um die Kontrollen gegen das Zielrahmenwerk (CMMC, NIS2, IEC 62443) abzugleichen
Monat 1
- Das System befindet sich im stabilen Betrieb
- Monatliche Audit-Logs prüfen und für die Compliance-Dokumentation exportieren
- Die Richtlinie gegen ein simuliertes Lateral-Movement-Szenario testen
- Die Bereitstellung für den Compliance-Prüfer dokumentieren
- Laufender Verwaltungsaufwand: 2–4 Stunden pro Woche für ein 50-Geräte-Netzwerk
Die Methodik im Überblick
Ob Sie in 4 Stunden oder 4 Monaten bereitstellen – die zugrunde liegende Methodik ist dieselbe:
- Erkennen Sie alles im Netzwerk
- Zonen definieren basierend auf Funktion und Risiko
- Richtlinien erstellen basierend auf beobachtetem Datenverkehr
- Durchsetzen und abstimmen
Der traditionelle Ansatz verteilt diese Schritte über Monate, weil jeder Schritt ein anderes Produkt und einen anderen Integrationsaufwand erfordert. Eine integrierte Appliance führt sie direkt nacheinander aus, weil es keine Übergaben gibt.
| Phase | Traditioneller Multi-Vendor-Ansatz | Integrierte Appliance (Access Gate) |
|---|---|---|
| Physische Installation | 1–2 Tage | 1 Stunde |
| Asset-Erkennung | 4–8 Wochen (manuell + Sensor) | 1 Stunde (passiv) |
| Richtliniendefinition | 2–4 Wochen | 1 Stunde |
| Durchsetzungsinfrastruktur | 4–8 Wochen (beschaffen + bereitstellen) | In der Appliance enthalten |
| Richtliniendurchsetzung | 2–4 Wochen (integrieren + testen) | 1 Stunde |
| Gesamt bis zur Durchsetzung | 4–8 Monate | 4 Stunden |
Der Geschwindigkeitsunterschied ist architektonischer Natur, kein Zaubertrick. Wenn Ihre Bereitstellung tiefe Protokollinspektion, Multi-Site-Orchestrierung oder Integration in einen bestehenden SIEM/SOAR-Stack erfordert, verlängert sich der Zeitplan unabhängig vom gewählten Produkt. Der 4-Stunden-Zeitplan gilt für Einzelstandort-Bereitstellungen, bei denen das Ziel Monitoring und Durchsetzung mit einer einzigen Appliance ist.
Für Organisationen mit mehreren Standorten erfahren Sie in unserem Leitfaden, wie sich dieses Bereitstellungsmodell skalieren lässt: OT-Sicherheit an mehreren Standorten über 50+ Lokationen hinweg. Einen Vergleich des Overlay-Segmentierungsansatzes mit herkömmlichen VLANs finden Sie unter Overlay-Networking vs. VLANs für OT-Segmentierung. Wenn Sie einen Netzwerkschrank, einen SPAN-Port und einen freien Nachmittag haben, kann Ihr OT-Netzwerk noch am selben Tag segmentiert und durchgesetzt sein.
Weitere Zero Trust OT-Ressourcen, Architekturleitfäden und Vergleiche finden Sie im Zero Trust für OT-Netzwerke Hub.
