55 Lifte, 1.500 Höhenmeter, kein Sicherheitsteam
Ein großes Skigebiet betreibt 55 Skilifte über ein Höhenspektrum von 850 m bis 2.353 m. Jeder Lift ist ein sicherheitskritisches System – Motoren, Bremssysteme, Seilspannungsüberwachung, Fahrgasterkennungssensoren und Nothalte – alles gesteuert durch industrielle Automatisierungstechnik.
Dazu kommen Beschneiungsanlagen (Hunderte von Schneekanonen mit automatisierter Druck- und Temperatursteuerung), Lawinenschutzinfrastruktur, Wetterstationen, Zugangstore an den Eintrittspunkten und das Kommunikationsnetz, das alles verbindet.
Das ist verteilte Betriebsinfrastruktur. Sie stellt dieselben Sicherheitsherausforderungen wie ein Pipelinenetz oder ein verteiltes Stromnetz – Herausforderungen, die wir in unserem Leitfaden zur Skalierung von Zero Trust über 50+ Standorte ausführlich behandeln – mit einigen zusätzlichen Besonderheiten:
- Extreme physische Umgebung – Geräte arbeiten in großer Höhe bei Minustemperaturen, Wind, Eis und UV-Strahlung
- Saisonale Belegschaft – hohe Personalfluktuation; viele Bediener sind Saisonkräfte mit begrenzter technischer Ausbildung
- Kein IT-Team vor Ort – auf einem Berggipfel gibt es kein Security Operations Center
- Sicherheitskritischer Betrieb – ein Liftausfall ist kein Datenleck; er ist ein physischer Sicherheitsvorfall mit möglichen Verletzungen oder Todesfällen
„Zero-Trust in unserem Betrieb – einem Skigebiet – einzusetzen, war mit unseren Ressourcen nicht realistisch. Jetzt betreiben wir eine ZT-Architektur mit einer einfachen zentralen Steuerung. Ein echter Wendepunkt."
— STBMA Operations
Die OT-Systeme, die kaum jemand bedenkt
Skigebiete – und Betreiber verteilter Infrastruktur im Allgemeinen – betreiben eine Reihe von OT-Systemen, die in Cybersicherheitsdiskussionen selten auftauchen:
- Liftsteuerungen – PLCs, die Motorgeschwindigkeit, Bremsung, Ein- und Ausstieg der Fahrgäste sowie Notfallverfahren steuern. Diese kommunizieren über das Netzwerk des Skigebiets mit einem zentralen Leitsystem.
- Beschneiungsautomatisierung – Steuerungen für Hunderte von Schneekanonen, die Wasserdruck, Luftstrom und Aktivierung auf Basis von Temperatur- und Feuchtigkeitssensoren regeln. Eine kompromittierte Beschneiungssteuerung kann enorme Mengen an Wasser und Energie verschwenden oder gefährliche Bedingungen auf den Pisten erzeugen.
- Lawinenkontrollsysteme – ferngesteuerte Sprengauslösesysteme (Gazex, Wyssen-Türme) für kontrollierte Lawinenauslösung. Das sind buchstäblich Waffensysteme, die über ein Netzwerk gesteuert werden.
- Wetterstationen – automatisierte Sensoren, die Betriebsentscheidungen zu Liftbetrieb, Beschneiung und Lawinenrisiko mit Daten versorgen.
- Zugangstore und Ticketing – RFID/NFC-Gates an den Lifteingängen, verbunden mit dem Ticketing- und Zugangskontrollsystem.
- Kommunikationsinfrastruktur – Glasfaser, Funkrepeater und WLAN-Zugangspunkte über den gesamten Berg verteilt, häufig an exponierten Standorten.
Jedes dieser Systeme ist vernetzt. Jedes ist ein potenzieller Einstiegspunkt. Und jedes befindet sich an einem Ort, der physisch schwer zu sichern ist.
Warum traditionelle Sicherheit nicht skaliert
Der Standardansatz zur Absicherung verteilter Standorte besteht darin, an jedem Standort Sicherheitsinfrastruktur zu installieren: eine Firewall pro Standort, einen VPN-Konzentrator, verwaltete Switches und einen lokalen Administrator für die Wartung.
Für ein Skigebiet mit 55+ Liftstationen, Dutzenden von Beschneiungsknoten und weiteren Standorten scheitert dieser Ansatz:
| Faktor | Traditionelle standortweise Absicherung | Zentralisierter Overlay-Ansatz |
|---|---|---|
| Investitionskosten | Firewall + verwalteter Switch pro Standort. 55 Lifte = mindestens 55 Firewalls. | Eine zentrale Verwaltungsebene + leichtes Gerät pro Standort. |
| Personalaufwand | Erfordert Netzwerk-/Sicherheitspersonal zur Konfiguration und Wartung jedes Geräts. | Ein Administrator verwaltet zentrale Richtlinien. |
| Abdeckung | Uneinheitlich – gut ausgestattete Standorte erhalten gute Sicherheit, abgelegene werden vergessen. | Einheitlich – dieselbe Richtlinie gilt für den Lift auf 2.353 m wie für die Talstation. |
| Bereitstellungszeit | Wochen bis Monate. Jeder Standort erfordert Konfiguration und Tests vor Ort. | Tage. Vorkonfigurierte Geräte werden an Standorte geliefert, angeschlossen und registrieren sich automatisch. |
| Richtlinienänderungen | Jedes Gerät einzeln anfassen. Eine Firewall-Regeländerung an 55 Standorten dauert Tage. | Einmaliger Richtlinien-Push. Änderungen werden in Minuten an alle Standorte übertragen. |
| Zugang für Saisonpersonal | Konten auf jedem lokalen System anlegen/widerrufen. | Zentrales Identitätsmanagement. Einmal deaktivieren, überall wirksam. |
| Wartungszugang für Lieferanten | VPN-Zugangsdaten pro Standort, oft geteilt oder nie widerrufen. | Zeitlich begrenzte, aufgezeichnete Sitzungen über ein zentrales Gateway. |
| Incident Response | Zum Standort fahren, lokale Firewall verbinden, Logs ziehen. | Zentrales Dashboard mit Echtzeit-Sichtbarkeit über alle Standorte. |
Die Rechnung ist einfach. Bei geschätzten 8 Stunden Einrichtungs- und Konfigurationsaufwand pro Standort für traditionelle Sicherheit benötigt ein Skigebiet mit 55 Liften allein für die Erstbereitstellung 440 Stunden technische Arbeit vor Ort. Mit einem zentralisierten Overlay-Ansatz sinkt der Aufwand vor Ort auf unter 30 Minuten pro Standort – Gerät anschließen, Konnektivität prüfen, weiter zum nächsten Standort.
Wie „Zero Trust ohne Sicherheitsteam" aussieht
Das STBMA-Beispiel zeigt ein Bereitstellungsmodell, das auf jeden Betreiber verteilter Infrastruktur anwendbar ist: Skigebiete, aber auch Windparkbetreiber, verteilte Solaranlagen, Wasserversorgungsunternehmen mit Dutzenden von Pumpstationen oder Logistikunternehmen mit Hunderten von Lagerhäusern.
Das Betriebsmodell hat vier Merkmale:
1. Zentrale Richtlinien, verteilte Durchsetzung
Sicherheitsrichtlinien werden einmalig in einer zentralen Verwaltungskonsole definiert. Regeln wie „Liftsteuerungen dürfen nur mit dem zentralen Leitsystem kommunizieren" oder „Beschneiungs-PLCs dürfen keine ausgehenden Verbindungen initiieren" werden als Richtlinien formuliert und an jeden Standort übertragen.
Die Richtlinien setzen sich an jedem Standort selbst durch – ohne lokale Administration. Es gibt keine lokale Firewall, die falsch konfiguriert werden könnte.
2. Identitätsbasierter Zugang statt netzwerkbasiertem Vertrauen
Die Verbindung mit dem WLAN des Skigebiets gewährt keinen Zugang zu OT-Systemen. Jede Verbindung erfordert eine Authentifizierung. Ein saisonaler Liftbediener authentifiziert sich mit seinen persönlichen Zugangsdaten, um auf die Liftüberwachungsschnittstelle zuzugreifen. Am Saisonende wird sein Zugang zentral widerrufen – sofort wirksam an jeder Liftstation.
3. Automatisiertes Onboarding und Offboarding
Neue Standorte (ein neuer Lift, eine neue Beschneiungszone) werden durch den Versand eines vorkonfigurierten Geräts hinzugefügt. Es verbindet sich mit dem Overlay-Netzwerk, lädt seine Richtlinien herunter und beginnt mit der Durchsetzung. Die Stilllegung eines Standorts ist ebenso einfach – aus der Verwaltungskonsole entfernen, und der Overlay-Tunnel wird beendet.
Das ist entscheidend für den Saisonbetrieb. Skigebiete nehmen Infrastrukturabschnitte je nach Schneelage in Betrieb und außer Betrieb. Die Sicherheit muss dem Betrieb folgen, nicht umgekehrt.
4. Vollständiges Audit-Trail ohne lokales Log-Management
Jedes Zugriffsereignis, jede Richtliniendurchsetzung und jede Konfigurationsänderung über alle 55+ Standorte wird zentral protokolliert. Wenn ein Prüfer oder Versicherer fragt „Wer hat am 14. Februar auf das Lawinenkontrollsystem zugegriffen?", ist die Antwort eine Datenbankabfrage – kein Ausflug auf den Berg, um Logs aus einem lokalen Gerät zu ziehen.
Über Skigebiete hinaus
Das Bereitstellungsmuster – zentrale Verwaltung, leichte Edge-Geräte, Overlay-Networking, kein lokales Sicherheits-Know-how erforderlich – gilt für jede Organisation, die verteilte physische Infrastruktur betreibt:
- Windparks – 50+ Turbinen über abgelegenes Gelände verteilt, jede mit einem SCADA-verbundenen Controller
- Umspannwerke im Stromnetz – Hunderte unbemannte Umspannwerke über Tausende von Quadratkilometern
- Wasserversorgungsunternehmen – Hunderte von Pumpstationen und Aufbereitungsanlagen in einem Versorgungsgebiet
- Logistikbetreiber – Lagerautomatisierungssysteme über Dutzende von Verteilzentren
- Telekommunikation – Mobilfunkturmausrüstung und abgelegene Vermittlungsstationen
Die gemeinsame Einschränkung ist dieselbe: zu viele Standorte, zu wenig qualifiziertes Sicherheitspersonal, zu viel auf dem Spiel, um es ungeschützt zu lassen. Die Organisationen, die dieses Problem lösen, hören auf, ein Rechenzentrum-Sicherheitsmodell an jedem abgelegenen Standort replizieren zu wollen, und verlagern die Sicherheit stattdessen auf eine zentrale Ebene, die im Maßstab ihrer Infrastruktur operiert.
Weitere Zero Trust OT-Ressourcen, Architekturleitfäden und Vergleiche finden Sie im Zero Trust für OT-Netzwerke Hub.
