IT- und OT-Netzwerke wachsen zusammen. ERP-Systeme rufen Daten aus Historians ab. Cloud-Dashboards zeigen Produktionskennzahlen in Echtzeit. Anbieter verbinden sich remote, um PLCs zu diagnostizieren. Jede Verbindung schafft einen Pfad aus der IT in die OT.
Die Frage lautet nicht, ob IT und OT verbunden werden sollen. Die Frage lautet, wie die Grenze zwischen ihnen kontrolliert wird.
Dieser Beitrag behandelt drei Architekturmuster, die jeweils einen anderen Aspekt der IT/OT-Grenzsicherheit adressieren.
IT/OT-Konvergenz: Das Problem
IT und OT haben unterschiedliche Prioritäten. Die IT optimiert für Vertraulichkeit und Verfügbarkeit von Daten. Die OT optimiert für Sicherheit und Verfügbarkeit physischer Prozesse. Werden beide verbunden, erbt man das Risikoprofil beider Welten.
Was schiefläuft:
- Ein kompromittiertes IT-System (Phishing, Ransomware) erhält über einen gemeinsamen Netzwerkpfad Zugang zur OT
- Ein VPN-Tunnel eines Anbieters, der für PLC-Diagnosen vorgesehen ist, wird zu einer dauerhaften Hintertür in die Anlage
- Die Cloud-Replikation von Historian-Daten legt OT-Betriebsmuster für jeden offen, der über Cloud-Zugangsdaten verfügt
Was Konvergenz bei richtiger Umsetzung ermöglicht:
- Echtzeit-Produktionssichtbarkeit ohne manuellen Datenexport
- Zentralisierte Incident Response über IT und OT hinweg
- Einheitliche Compliance-Position für CMMC, NIS2 und NIST 800-171
Muster 1: Industrial DMZ
Die Industrial DMZ platziert eine Pufferzone zwischen IT und OT. Kein Datenverkehr überquert direkt die Grenze von einer Seite zur anderen. Stattdessen leiten Proxy-Dienste in der DMZ autorisierte Anfragen weiter.
Architektur:
- Äußere Firewall zeigt zur IT, innere Firewall zeigt zur OT
- Die DMZ beherbergt Proxy-Bastionen, Historian-Replikate, Patch-Server und Log-Kollektoren
- Beide Firewalls verweigern standardmäßig den gesamten Datenverkehr; nur explizit definierte Datenflüsse sind erlaubt
Wann einsetzen:
- Datenaustausch zwischen IT und OT ist erforderlich (Historian-Daten, Produktionskennzahlen)
- Ein Staging-Bereich für Patches und Updates wird benötigt, bevor diese die OT erreichen
- Compliance erfordert nachweisbaren Grenzschutz (NIST 800-171 SC-7)
Technisches Detail: Die äußere und innere Firewall sollten unterschiedliche Hersteller oder Rule-Engines verwenden. Teilen beide Firewalls eine Schwachstelle, kann ein Angreifer beide in einem einzigen Exploit durchqueren. Diversität an der Grenze erhöht die Resilienz.
Einschränkung: Eine einzelne DMZ schützt die Grenze zwischen IT und OT, bietet jedoch keine Segmentierung innerhalb der OT selbst. Laterale Bewegung innerhalb der OT ist weiterhin möglich.
Muster 2: Secure Remote Access
Remote-Zugriff ist der häufigste Angriffsvektor in der OT. Anbieter-VPNs, Remote-Desktop-Sitzungen und cloudbasierte Remote-Access-Tools schaffen dauerhafte Pfade in die OT, die andere Kontrollen umgehen.
Architektur:
- VPN terminiert in der DMZ, nicht innerhalb der OT
- Multi-Faktor-Authentifizierung (MFA) ist für jede Sitzung erforderlich
- Sitzungen sind zeitlich begrenzt und auf bestimmte Assets beschränkt
- Keine dauerhaften Tunnel, kein dauerhafter Zugriff
Wann einsetzen:
- Anbieter müssen sich für Diagnose oder Wartung verbinden
- Remote-Operatoren müssen Systeme überwachen oder steuern
- Ein Audit-Trail jeder Remote-Sitzung für Compliance-Zwecke ist erforderlich
Technisches Detail: Ein häufiger Fehler besteht darin, VPN-Tunnel direkt auf OT-Geräten oder auf einem Jump-Host innerhalb des OT-Netzwerks zu terminieren. Dadurch erhält der VPN-Nutzer denselben Netzwerkzugang wie ein lokaler Operator. Stattdessen sollte der VPN an einem Gateway in der DMZ terminiert werden. Das Gateway authentifiziert den Nutzer, beschränkt den Zugriff auf das spezifische Asset und trennt die Verbindung nach Ablauf des Wartungsfensters.
Einschränkung: Adressiert ausschließlich Remote-Zugriff. Segmentiert keinen lokalen OT-Datenverkehr und verhindert keine laterale Bewegung von einem kompromittierten lokalen Gerät.
Muster 3: Zero Trust-Segmentierung
Zero Trust-Segmentierung erweitert die Sicherheit innerhalb der OT, indem Durchsetzungspunkte zwischen einzelnen Assets oder Asset-Gruppen platziert werden. Jede Verbindung wird authentifiziert, autorisiert, aufgezeichnet und inspiziert – unabhängig davon, ob sie aus der IT oder aus der OT selbst stammt.
Architektur:
- VPN + MFA am Perimeter für Remote-Nutzer
- Ein Access Gate sitzt zwischen Netzwerksegmenten und zeichnet jede Sitzung auf und inspiziert sie
- Jedes Segment enthält eine kleine Gruppe zusammengehöriger Assets (ein Regelkreis, eine Produktionszelle)
- Verbindungen zwischen Segmenten erfordern eine Identitätsverifizierung (Nutzer + Gerät)
Wann einsetzen:
- Laterale Bewegung innerhalb der OT muss verhindert werden
- Compliance erfordert systemspezifische Zugangskontrolle (CMMC AC.L2-3.1.1)
- Gemischte Vertrauensumgebungen sind vorhanden, in denen Anbieter, Operatoren und automatisierte Systeme dasselbe Netzwerk teilen
- Vollständige Sitzungsaufzeichnung und -inspektion für Audits ist erforderlich
Technisches Detail: Zero Trust in der OT arbeitet auf Layer 3. Jedes Mikrosegment erhält ein eigenes Subnetz. Der Durchsetzungspunkt (Access Gate) inspiziert jede Verbindungsanfrage: Quellidentität, Ziel, Protokoll und Aktion. Jede Sitzung wird mit vollständigen Metadaten aufgezeichnet. Da die Durchsetzung netzwerkbasiert erfolgt, funktioniert sie auch mit Legacy-Geräten, die keine Agenten ausführen oder an Authentifizierungs-Handshakes teilnehmen können. Das Access Gate authentifiziert stellvertretend für das Gerät.
Einschränkung: Erfordert mehr Durchsetzungspunkte als eine einzelne DMZ. Der Betrieb vereinfacht sich mit Appliances, die Segmentierung, Authentifizierung, Aufzeichnung und Logging in einem einzigen Gerät kombinieren.
Muster kombinieren
Diese Muster schließen sich nicht gegenseitig aus. Eine Produktionsumgebung benötigt typischerweise alle drei:
| Ebene | Muster | Zweck |
|---|---|---|
| IT/OT-Grenze | Industrial DMZ | Direkten IT-zu-OT-Datenverkehr verhindern |
| Remote-Verbindungen | Secure Remote Access | Anbieter- und Operatorsitzungen kontrollieren |
| Innerhalb der OT | Zero Trust-Segmentierung | Laterale Bewegung verhindern, alle Sitzungen aufzeichnen und inspizieren |
Compliance-Zuordnung
| Anforderung | Muster 1 (DMZ) | Muster 2 (Remote Access) | Muster 3 (Zero Trust) |
|---|---|---|---|
| CMMC AC.L2-3.1.3 (Flusskontrolle) | Durchgesetzt an der DMZ-Grenze | Durchgesetzt pro Sitzung | Durchgesetzt pro Segment |
| NIST 800-171 SC-7 (Grenzschutz) | Dual-Firewall-DMZ | Sitzungs-Gateway | Asset-spezifische Durchsetzung |
| NIS2 Art. 21 (Risikobasierte Maßnahmen) | Grenz-Logging | Sitzungsaufzeichnung | Asset-Ebenen-Monitoring |
| CMMC AU.L2-3.3.1 (Audit-Logging) | DMZ-Dienstprotokolle | Sitzungsprotokolle | Segmentprotokolle |
Fazit
Die Absicherung der IT/OT-Grenze ist keine einzelne Architekturentscheidung. Es ist ein mehrschichtiger Ansatz: eine DMZ an der Grenze, Zero Trust-Segmentierung innerhalb der OT und kontrollierter Remote-Zugriff für externe Verbindungen. Jedes Muster adressiert einen anderen Bedrohungsvektor. Zusammen bieten sie Grenzschutz, Verhinderung lateraler Bewegung und Sichtbarkeit auf Sitzungsebene.
Beginnen Sie mit der DMZ, falls keine vorhanden ist. Ergänzen Sie Zero Trust-Segmentierung für Ihre OT-Assets mit dem höchsten Risiko. Sichern Sie Remote-Zugriff mit MFA, Sitzungsaufzeichnung und zeitlich begrenztem Scope ab. Eine integrierte Gateway-Appliance kann alle drei Muster von einem einzigen Durchsetzungspunkt aus bereitstellen.
