Die Einführung von Multi-Faktor-Authentifizierung (MFA) in einer OT- oder On-Premise-Umgebung kostet rund 30 bis 60 $ pro Benutzer in der Hardware, 0 bis 6 $ pro Benutzer und Monat in Software-Lizenzen und etwa ein Drittel des Projektbudgets im Betrieb, was Schulung, Helpdesk und die Sonderfälle abdeckt, die in keiner Cloud-Preisseite auftauchen.
Für Verteidigungsauftragnehmer, Versorger und Hersteller mit Verpflichtungen nach CMMC, NIS2 und NERC CIP ist MFA nicht optional. Die eigentliche Frage ist, wie sich der Aufwand budgetieren lässt, ohne in Token-Formfaktoren zu investieren, die in der Produktion keinen Platz finden.
Trout verfolgt einen anderen Ansatz: MFA wird auf das Netzwerk-Mikrosegment verlagert, und Bediener können sich für die Dauer einer Aufgabe oder Schicht flexiblen Enklaven zuordnen.
Dieser Beitrag schlüsselt direkte und indirekte Kosten auf, vergleicht die sechs Optionen, zwischen denen Sie tatsächlich entscheiden werden, und skizziert eine Budgetlogik, die den Kontakt mit Bedienern übersteht.
Vergleich der sechs OT-MFA-Ansätze
Die meisten Standorte enden mit einer Kombination aus zwei oder drei der folgenden Optionen. Die Kostenfrage lautet selten „welche". Sie lautet „welche Kombination, für welche Rolle".
| Ansatz | Hardware pro Benutzer | Software / Lizenz | Betrieb und Schulung | Wo es passt |
|---|---|---|---|---|
| Badge-Tap + PIN am HMI | Leser 15–40 $, Badge 2–8 $ | Lokaler IdP oder integriert (~0–4 $/Benutzer/Monat) | Hoch zu Beginn, niedrig nach Eingewöhnung | HMIs in der Fertigung, geteilte Arbeitsplätze, Kiosk-Konsolen |
| FIDO2-Hardware-Key | 25–55 $ Listenpreis, ~25–35 $ im Volumen | IdP mit FIDO2-Unterstützung (häufig inklusive) | Wiederausgabe- und Verlustprozesse | Ingenieure, Jump-Hosts, ICCP-Gateways, Fernzugriff für Lieferanten |
| Smartcard + PKI (PIV/CAC) | Karte 4–10 $, Leser 30–80 $ | PKI-Infrastruktur (1+ VZÄ bei mittlerem Bestand) | Hoch: Zertifikatslebenszyklus, CRLs, Abläufe | Verteidigungsauftragnehmer, regulierte Versorger mit bestehender PKI |
| Mobiler Authenticator (TOTP / Push) | 0 $ bei BYOD, 150–250 $ für verwaltete Geräte | 3–6 $/Benutzer/Monat Cloud-IdP | Niedrig, wenn Mobiltelefone bereits erlaubt sind | Büro, Steuerungsingenieure, Fernzugriffsnutzer |
| Gedruckte OTP / Break-Glass | ~0 $ | 0 $ | Hoch: Geheimnishandhabung, Audit | Air-Gap-Standorte, Offline-Fallback |
| Trout Enklave-MFA (Netzwerk-Mikrosegment) | Nutzt jeden vorhandenen Faktor (Badge, FIDO2, Mobile) | Trout-Lizenz pro Standort | Niedrig: eine Netzwerkgrenze, kein Agent pro Gerät | Gemischte IT/OT-Bestände, Legacy-HMIs, Produktion im Maßstab |
Ein Verteidigungsauftragnehmer kombiniert in der Regel PIV-Karten auf Engineering-Laptops mit Badge-und-PIN an HMI-Zellen. Ein Versorger betreibt FIDO2-Keys auf dem Lieferanten-Fernzugriffspfad und Badge-Leser überall sonst. Die Mischung hängt von der Rolle und vom Standort ab, nicht von einem einheitlichen Unternehmensstandard.
Warum OT- und On-Premise-Rollouts teurer sind
Eine Reihe von Randbedingungen bricht das IT-typische Kostenmodell, bevor überhaupt Preise verglichen werden.
- Geteilte Arbeitsplätze: Ein einzelnes HMI wird über drei Schichten von zehn bis zwölf Personen bedient. Eine Lizenzierung pro Sitz unterstellt einen Menschen pro Platz, was die Realität in der Produktion nicht abbildet. Entweder zahlen Sie für gleichzeitige Sitzungen, oder Sie versorgen jeden Bediener einzeln und nehmen den Anmelde-Overhead in Kauf.
- Air-Gap-Standorte: Cloud-IdP-Push-Benachrichtigungen setzen voraus, dass das Gerät das Internet erreicht. Viele OT-Standorte können das nicht. Die Alternativen sind ein On-Premise-IdP, ein lokaler Credential-Cache oder Hardware-Token, die kein Netzwerk benötigen. Jede Option hat ihre eigene Kostenstruktur.
- Latenzanforderungen: Ein zwei Sekunden langer Cloud-Round-Trip bei jeder Anmeldung ist für Finanzen und HR akzeptabel. Für einen Bediener, der auf einen Alarm reagiert, ist er es nicht. Authentifizierung in der Produktion muss lokal erfolgen, was meist eine andere Lizenzstufe oder selbst gehostete Infrastruktur bedeutet.
- Handschuhe und Badges: Bediener tragen Handschuhe. Touchscreens, Fingerabdruckleser und die meisten Consumer-Biometrie-Geräte funktionieren damit nicht. RFID-Badges in Kombination mit einer separaten PIN bleiben die häufigste praktische Lösung.
- Legacy-HMIs: Ein erheblicher Teil der HMIs im Produktivbetrieb läuft auf Windows 7, XP-Embedded oder einem auf einen bestimmten Patch-Stand eingefrorenen Lieferanten-Stack. Sie können keinen modernen Authentifizierungs-Agenten ausführen. Die Lösung ist meist ein Proxy: ein Jump-Host, ein Reverse-Proxy oder Zugriffskontrollen auf Netzwerkebene vor dem HMI. Das ist eine separate Budgetposition.
Indirekte Kosten und betriebliche Realität
Neben den gelisteten Hardware- und Lizenzzahlen tragen OT-Rollouts indirekte Kosten, die oft darüber entscheiden, ob ein Projekt im Budget bleibt.
- Token-Schwund: Token in der Produktion gehen verloren, werden gewaschen oder beschädigt. Planen Sie 8 bis 12 % Wiederausgabe pro Jahr an Standorten mit gemischter Innen- und Außennutzung.
- Friktion beim Schichtwechsel: Wenn MFA den Schichtwechsel verzögert, suchen sich Bediener Umwege: eine geteilte Sitzung, eine offen gehaltene Tür, ein Notizzettel. Entweder absorbiert die UX die Friktion über schnelle Re-Authentifizierung, oder die Sicherheitslage absorbiert sie über nicht protokollierte Zugriffe.
- PKI-Lebenszyklus: Smartcards erfordern fortlaufende Zertifikatsausgabe, -widerrufung und -erneuerung. Planen Sie mindestens ein VZÄ für einen mittelgroßen Bestand ein, mit Re-Carding-Zyklen alle zwei bis drei Jahre.
- Pilot-Nacharbeit: Der erste Pilot an einem neuen Standort offenbart unerwartete Fälle: Drucker, die ein ausgenommenes Servicekonto brauchen, Lieferanten-Laptops, die sich nicht einrollen lassen, Gebäude ohne Signal. Planen Sie 15 bis 25 % der Projektkosten für ungeplante Iteration ein.
- Helpdesk-Welle: Erwarten Sie in den ersten sechs Wochen einen 3- bis 5-fachen Anstieg der Tickets. Unterdimensionierter Support ist der Ort, an dem nicht autorisierte MFA-Workarounds beginnen.
Regulatorische Rahmenwerke und Compliance-Treiber
MFA in OT ist keine rein sicherheitsgetriebene Entscheidung mehr. Vier Rahmenwerke machen sie zu einer vertraglichen Pflicht:
- NIST 800-171 §3.5.3 (gespiegelt in CMMC Level 2): MFA für privilegierte und nicht privilegierte Konten, für lokale und Netzwerkzugriffe, auf Systemen mit Controlled Unclassified Information. Keine Ausnahme für Werksnetze.
- NIS2-Richtlinie (Annex-I-Sektoren): explizite MFA-Erwartungen für wesentliche und wichtige Einrichtungen, darunter Energie, Wasser, Lebensmittel, Verkehr und die Herstellung kritischer Produkte. Die nationale Umsetzung variiert, der Mindeststandard ist jedoch konsistent.
- NERC CIP-007 R5.7: MFA für interaktiven Fernzugriff auf BES Cyber Systems mit mittlerer und hoher Auswirkung. Dokumentierte Lücken werden mittlerweile mit siebenstelligen Strafen geahndet.
- IEC 62443-3-3 SR 1.1: Identifizierung und Authentifizierung menschlicher Benutzer, zunehmend in Sicherheitsfragebögen von Kunden und in DoD-nahen Verträgen referenziert.
Wenn ein Standort in den Anwendungsbereich eines dieser Rahmenwerke fällt, ist die Frage nicht mehr, ob MFA bereitgestellt wird, sondern wie ohne Werkzeuge, die nicht zur betrieblichen Realität passen.
Wie Trout MFA zwischen IT und OT angeht
Das Kostenbild ändert sich, wenn MFA auf Netzwerkebene durchgesetzt wird statt auf jedem Endpunkt. Trout legt eine Enklave um die Systeme, die ein Bediener erreichen muss, und führt die Authentifizierung an der Enklave-Grenze durch statt innerhalb jedes HMI, PLC oder Jump-Hosts.
In der Praxis tritt ein Bediener an einen beliebigen Arbeitsplatz, meldet sich einmal per MFA an und wählt mit zwei oder drei Klicks die Maschinen aus, die er in seiner Schicht nutzen wird. Seine Berechtigungen werden auf diese Maschinen auf Netzwerkebene angewendet, und jeder in der Sitzung abgesetzte Befehl wird auf seine Identität protokolliert. Endet die Sitzung, löst sich die Enklave wieder auf.
Das Modell skaliert ohne Anpassung von IT zu OT, weil die Durchsetzung nicht davon abhängt, was der Endpunkt ausführen kann. Damit entfällt der größte Kostentreiber in OT-Rollouts, nämlich Legacy-Geräte, die keinen Authentifizierungs-Agenten betreiben können, und wird durch einen einzelnen Kontrollpunkt auf Netzwerkebene ersetzt.
Budgetierung eines OT-MFA-Rollouts
Drei Praktiken verbessern die Budgetergebnisse konsequent:
- Eine Zone pilotieren, nicht den ganzen Standort. Ein 30-tägiger Pilot in einer Zelle oder einem HMI-Cluster bringt die meisten Kostenüberraschungen für eine Woche Engineering-Aufwand zutage. Standortweite Rollouts ohne Pilot sind der Ort, an dem sich ungeplante Iteration vervielfacht.
- Pro Rolle einen Token-Formfaktor standardisieren. FIDO2-Keys, Smartcards und mobile Authenticator parallel für dieselbe Bediener-Population zu unterstützen, verdreifacht Helpdesk-Last und Wiederausgabe-Logistik.
- Ein Drittel des Budgets für Operations vorsehen. Hardware und Lizenzen sind von Anfang an sichtbar; die Betriebskosten bleiben bis zum Rollout unsichtbar. Eine sinnvolle Aufteilung für einen ersten Rollout: 35 % Hardware, 30 % Lizenzen und Software, 35 % Operations und Schulung, nach dem ersten Jahr anhand realer Helpdesk-Daten justiert.
Trout konsolidiert Zugriffskontrolle, Segmentierung, MFA-Durchsetzung und Audit-Logging in einem einzelnen On-Premise-Deployment, das der Kunde vollständig besitzt. Einen Standort oder eine Bediener-Gruppe hinzuzufügen, ist eine Konfigurationsänderung auf Netzwerkebene und kein Rollout pro Gerät; die Betriebskosten der Skalierung wachsen damit nicht mit dem Bestand mit.
Fazit
MFA in OT- und On-Premise-Umgebungen ist teurer, als die Cloud-Preisseite suggeriert, liegt aber deutlich unter den durchschnittlich 4,45 Millionen Dollar einer Datenpanne und deutlich unter den regulatorischen Strafen, die heute unter CMMC, NIS2 und NERC CIP gelten. Ein belastbares Budget beginnt mit einem Pilot in einer einzelnen Zone, einer pro Rolle standardisierten Token-Strategie und einer ehrlichen Zuordnung für die operative Arbeit, die auf keiner Preisliste eines Anbieters auftaucht.
