TroutTrout
Back to Blog
ArchitectureMulti-siteZero TrustOT Security

Multi-Site OT-Sicherheit: So skalieren Sie Zero Trust über 50+ Standorte

Trout Team7 min read

Das Multi-Standort-Problem

Eine einzelne Fertigungsanlage mit 200 OT-Geräten ist ein Sicherheitsprojekt. Ein Unternehmen mit 50 Werken in 12 Ländern, jedes mit unterschiedlichen Netzwerktopologien, Gerätegenerationen und lokalen IT-Kapazitäten, ist ein Architekturproblem.

Die Herausforderungen sind struktureller Natur:

  • Richtlinienkonsistenz: Derselbe Anbieter sollte an jedem Standort denselben Zugriffsbeschränkungen unterliegen. In der Praxis konfiguriert jeder Standort seine Firewall-Regeln, VPN-Tunnel und Zugriffslisten eigenständig.
  • Transparenz: Das zentrale Sicherheitsteam kann nicht sehen, wer an Standort 37 auf was zugreift. Jeder Standort hat seine eigenen Protokolle, eigene Formate und eigene Aufbewahrungsrichtlinien.
  • Personal: Die meisten entfernten Standorte haben kein dediziertes Sicherheitspersonal. Eine Wasseraufbereitungsanlage mit 3 Bedienern hat keinen Sicherheitsingenieur. Eine Umspannstation hat überhaupt kein IT-Personal vor Ort.
  • Netzwerkheterogenität: Standort A hat ein modernes segmentiertes Netzwerk. Standort B hat ein flaches Layer-2-Netzwerk aus dem Jahr 2008. Standort C ist air-gapped. Eine Sicherheitsarchitektur, die eine einheitliche Netzwerkinfrastruktur voraussetzt, wird niemals ausgerollt werden.
  • Bereitstellungsgeschwindigkeit: Wenn das Hinzufügen eines neuen Standorts 6 Wochen Konfigurationsarbeit vor Ort erfordert, wird das Sicherheitsprogramm der Geschäftsentwicklung nie hinterherkommen.

Der traditionelle Ansatz (und warum er scheitert)

Die meisten Organisationen versuchen, OT-Sicherheit für mehrere Standorte umzusetzen, indem sie dieselbe standortspezifische Bereitstellung an jedem Ort replizieren:

  1. Firewalls an jedem Standort bereitstellen
  2. Standortspezifische Regeln konfigurieren
  3. VPN-Tunnel für den Fernzugriff einrichten
  4. Jump-Hosts für den Anbieterzugriff installieren
  5. Lokales Logging konfigurieren
  6. Das Ganze 50-mal wiederholen

Dieser Ansatz hat vorhersehbare Schwachstellen:

  • Konfigurationsdrift: Nach 6 Monaten haben keine zwei Standorte mehr dieselben Firewall-Regeln. Richtlinien weichen voneinander ab, da lokale Teams Ausnahmen und Anpassungen vornehmen.
  • Keine zentrale Transparenz: Protokolle existieren an jedem Standort, werden aber von niemandem aggregiert oder korreliert. Ein Anbieter, der an einem Tag auf 5 Standorte zugreift, ist für das zentrale Team unsichtbar.
  • Langsame Reaktion auf Vorfälle: Tritt ein Vorfall an Standort 23 auf, benötigt das zentrale Team VPN-Zugang zum Standort, Vertrautheit mit der lokalen Konfiguration und Zugriff auf lokale Protokolle. Die Reaktionszeit wird in Stunden oder Tagen gemessen, nicht in Minuten.
  • Nicht tragbare Kosten: Jeder Standort benötigt Firewall-Lizenzen, VPN-Konzentratoren, Jump-Hosts, Logging-Infrastruktur und regelmäßige Konfigurationsarbeiten vor Ort. Ab 50+ Standorten werden daraus wiederkehrende Kosten in Millionenhöhe.

Die zentralisierte Overlay-Architektur

Die Alternative ist ein Modell mit zentralisierter Richtlinie und verteilter Durchsetzung. Die Architektur besteht aus drei Komponenten:

  1. Zentrale Management-Ebene: Eine einzige Richtlinien-Engine, in der das Sicherheitsteam alle Zugriffsregeln, Benutzerberechtigungen und Compliance-Anforderungen definiert.
  2. Verteilte Durchsetzung an jedem Standort: Ein schlankes Gerät oder eine VM an jedem Standort, das die Richtlinie lokal durchsetzt, alle Zugriffe vermittelt und Sitzungen aufzeichnet.
  3. Verschlüsseltes Overlay-Netzwerk: Ein sicheres, softwaredefiniertes Netzwerk, das alle Standorte mit der zentralen Management-Ebene verbindet, ohne Änderungen an der bestehenden Netzwerkinfrastruktur zu erfordern.

Dies ist das Muster, das Access Gate umsetzt. So funktioniert es in der Praxis.

Bereitstellung: Was an jedem Standort passiert

Tag 0: Gerät versenden

Das zentrale Team konfiguriert ein Access Gate-Gerät (oder bereitet ein VM-Image vor) mit der Basisrichtlinie des Standorts. Das Gerät wird an den Standort versandt.

Tag 1: Verbinden und registrieren

Das Personal vor Ort (ein Bediener, ein Werkleiter, jeder der ein Ethernet-Kabel einstecken kann) verbindet das Gerät mit dem lokalen Netzwerk. Das Gerät:

  • Bezieht eine Netzwerkadresse
  • Baut einen verschlüsselten Tunnel zur zentralen Management-Ebene auf
  • Registriert sich und lädt die aktuelle Richtlinienkonfiguration
  • Beginnt mit der Erkennung lokaler Netzwerk-Assets

Keine Firewall-Neukonfiguration. Keine VLAN-Änderungen. Kein Sicherheits-Fachwissen vor Ort erforderlich.

Tag 2: Durchsetzen und aufzeichnen

Das Gerät ist aktiv. Alle Zugriffe auf OT-Assets an diesem Standort werden nun über das lokale Access Gate geleitet. Das zentrale Team kann:

  • Alle Sitzungen an diesem Standort im zentralen Dashboard einsehen
  • Richtlinienaktualisierungen übertragen, die sofort wirksam werden
  • Sitzungsaufzeichnungen überprüfen
  • Benachrichtigungen bei Richtlinienverstößen erhalten

Gesamte Bereitstellungszeit pro Standort: 1–2 Tage, von denen der größte Teil auf die Versandzeit entfällt. Zum Vergleich: Eine traditionelle Firewall- und VPN-Bereitstellung dauert typischerweise 4–6 Wochen.

Day-2-Betrieb für das zentrale Team

Sobald die Standorte bereitgestellt sind, verwaltet das zentrale Sicherheitsteam alles von einem Ort aus.

Neue Standorte hinzufügen

  1. Basisrichtlinie für den neuen Standort konfigurieren (aus einer Vorlage kopieren, für standortspezifische Assets anpassen)
  2. Gerät versenden
  3. Personal vor Ort steckt es ein
  4. Standort erscheint innerhalb von Minuten im zentralen Dashboard

Richtlinien aktualisieren

Eine Richtlinienänderung (z. B. „alle Anbietersitzungen erfordern MFA und Sitzungsaufzeichnung") wird gleichzeitig an alle Standorte übertragen. Keine Standortbesuche. Keine standortspezifische Konfiguration. Die Änderung tritt innerhalb von Minuten an allen 50+ Standorten in Kraft.

Vorfälle untersuchen

Wenn an Standort 23 ein Alarm ausgelöst wird:

  1. Das zentrale Team sieht den Alarm im einheitlichen Dashboard
  2. Es ruft sofort die Sitzungsaufzeichnung ab – kein VPN erforderlich
  3. Es überprüft genau, was passiert ist: wer sich verbunden hat, welches Protokoll, welche Befehle
  4. Es kann den Zugriff des Benutzers auf alle Standorte mit einer einzigen Aktion widerrufen

Compliance-Berichte

Einen einzigen Compliance-Bericht erstellen, der alle Standorte abdeckt. Der Bericht zeigt:

  • Gesamte Sitzungen nach Standort, Benutzer und Protokoll
  • Richtlinienverstöße und Abhilfemaßnahmen
  • Abdeckung durch Sitzungsaufzeichnungen (prozentualer Anteil aufgezeichneter OT-Zugriffspfade)
  • Benutzerzugriffsmuster über alle Standorte hinweg

Ein Bericht, alle Standorte, bereit für den Prüfer.

Vergleich: Standortspezifische Bereitstellung vs. zentralisiertes Overlay

FaktorStandortspezifische BereitstellungZentralisiertes Overlay
Bereitstellungszeit pro Standort4–6 Wochen (Firewall, VPN, Jump-Host, Logging)1–2 Tage (Gerät versenden, einstecken)
RichtlinienkonsistenzManuelle standortspezifische Konfiguration; Drift ist unvermeidlichEinzige Richtlinien-Engine; alle Standorte identisch durchgesetzt
Zentrale TransparenzErfordert Log-Aggregationsprojekt; oft unvollständigIntegriert; alle Sitzungen im zentralen Dashboard sichtbar
Personal pro StandortBenötigt lokale IT-/Sicherheitsressource für WartungKeine; vollständig vom zentralen Team verwaltet
Kosten pro Standort50.000–150.000 $+ (Hardware, Lizenzen, Arbeit)Einzelnes Gerät/VM; Bruchteil der traditionellen Kosten
Zeit für RichtlinienänderungTage bis Wochen (Koordination mit jedem Standort)Minuten (automatische Übertragung)
Reaktionszeit bei VorfällenStunden bis Tage (Standortzugang, lokale Protokollprüfung nötig)Minuten (zentrales Dashboard, sofortige Sitzungswiedergabe)
Netzwerkänderungen erforderlichJa (Firewall-Regeln, VLANs, VPN-Tunnel)Nein (Overlay liegt über dem bestehenden Netzwerk)
Skaliert auf 200+ StandorteUnpraktisch ohne großes dediziertes TeamLinear; jeder Standort ist aus Management-Sicht identisch

Bedeutung für verschiedene Branchen

Fertigung (10–200 Werke)

Jedes Werk hat unterschiedliche Anlagen, unterschiedliche Gerätegenerationen und unterschiedliche Netzwerkkonfigurationen. Der Overlay-Ansatz behandelt jedes Werk als Richtliniendurchsetzungspunkt. Das zentrale Team definiert rollenbasierten Zugriff (Wartungsingenieur, Anbieter, Bediener), und die Richtlinie gilt einheitlich – unabhängig davon, wie das Netzwerk des Werks darunter aussieht.

Versorgungsunternehmen (Umspannstationen, Aufbereitungsanlagen, Pumpstationen)

Dutzende oder Hunderte unbemannte Fernstandorte. Kein IT-Personal vor Ort. Das Gerät wird versandt, eingesteckt und verbindet sich. Das zentrale Team hat Einblick in jede Sitzung an jeder Umspannstation, ohne VPN-Tunnel zu jedem Standort pflegen zu müssen. Wie das in der Praxis funktioniert, zeigen die Beispiele für Umspannstationen im Stromnetz und Skigebiete mit 55+ verteilten Liftanlagen.

Verteidigung und Luft- und Raumfahrt (mehrere Einrichtungen, strenge Compliance)

CMMC erfordert konsistente Kontrollen in allen Einrichtungen, die CUI verarbeiten. Ein zentralisiertes Overlay stellt sicher, dass jede Einrichtung denselben Prüfstandard erfüllt, mit einheitlich über alle Standorte hinweg generierten Sitzungsaufzeichnungen und Zugriffsprotokollen.

Einzelhandel und Distribution (Lagerhäuser, Verteilzentren)

Hohe Standortanzahl, geringe Komplexität pro Standort, kein Sicherheitspersonal vor Ort. Das Gerätemodell wurde genau dafür entwickelt: versenden, einstecken, remote verwalten.

Skalierungsprinzipien

Drei Architekturprinzipien machen Zero Trust für mehrere Standorte praktikabel:

  1. Richtlinien leben an einem Ort. Jede Zugriffsregel, jede Benutzerberechtigung, jede Compliance-Anforderung wird einmal definiert und überall durchgesetzt. Konfigurationsdrift wird unmöglich.
  2. Durchsetzung erfolgt lokal. Das Gerät an jedem Standort übernimmt alle Vermittlung lokal. Wird die Verbindung zur zentralen Management-Ebene unterbrochen, setzt die lokale Durchsetzung mit der zuletzt bekannten Richtlinie fort. Kein Single Point of Failure.
  3. Das Overlay ist unabhängig vom Underlay. Es spielt keine Rolle, ob der Standort ein unsegmentiertes Netzwerk, ein segmentiertes Netzwerk oder ein air-gapped Netzwerk hat. Das Overlay schafft eine konsistente Sicherheitsschicht über allem, was vorhanden ist. Einen detaillierten Vergleich dieses Overlay-Ansatzes mit traditionellen VLANs finden Sie unter Overlay-Networking vs. VLANs für OT-Segmentierung.

OT-Sicherheit für mehrere Standorte ist kein Bereitstellungsproblem. Es ist eine Architekturentscheidung. Das richtige Muster einmal einsetzen – und jeder weitere Standort ist eine Tagesoperation statt ein sechswöchiges Projekt.

Weitere Zero Trust OT-Ressourcen, Architekturleitfäden und Vergleiche finden Sie im Zero Trust für OT-Netzwerke Hub.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles