TroutTrout
Back to Blog
Zero TrustAir GapOT Security

Zero Trust für Air-Gapped OT-Netzwerke: Was funktioniert und was nicht

Trout Team3 min read

Luftdicht isolierte OT-Netzwerke sind nicht mit dem Internet verbunden. Sie sind jedoch mit Menschen verbunden. Techniker schließen Laptops an. Lieferanten bringen USB-Sticks mit. Bediener authentifizieren sich an HMI-Terminals – oder auch nicht. Jeder dieser Punkte ist ein Angriffsvektor, den Netzwerkisolierung nicht abdeckt. Zero Trust greift hier. Die meisten Zero-Trust-Tools setzen jedoch Cloud-Konnektivität voraus, die luftdicht isolierte Netzwerke nicht haben.

Was in luftdicht isolierten Umgebungen nicht funktioniert

Cloud-Identitätsanbieter. Azure AD, Okta und Google Workspace erfordern für die Authentifizierung eine Internetverbindung. Liegt der Identitätsanbieter in der Cloud, fehlt dem luftdicht isolierten Netzwerk jede Identitätsschicht.

Cloud-verwaltete Firewalls. Palo Alto Prisma, Zscaler und ähnliche Plattformen leiten Datenverkehr über Cloud-Inspektionspunkte. In einer luftdicht isolierten Umgebung gibt es keinen Weg in die Cloud.

SaaS-SIEM-Plattformen. Splunk Cloud, Microsoft Sentinel und andere Cloud-SIEMs können keine Protokolle aus einem getrennten Netzwerk empfangen. Der Prüfpfad verbleibt lokal oder existiert gar nicht.

Agentenbasierter Endpunktschutz. Selbst wenn OT-Geräte Agenten ausführen könnten – was die meisten nicht können –, benötigen diese Agenten typischerweise Cloud-Konnektivität für Signaturaktualisierungen, Richtlinienverteilung und Telemetrieerfassung.

Was funktioniert

Identitätsdurchsetzung vor Ort

Setzen Sie ein Identitäts-Gateway innerhalb des luftdicht isolierten Netzwerks ein. Die gesamte Benutzerauthentifizierung erfolgt lokal. MFA-Token (TOTP) funktionieren offline. Die Richtlinien-Engine läuft vor Ort ohne externe Abhängigkeiten.

Access Gate läuft vollständig on-premise. Das Identitäts-Gateway, die Richtlinien-Engine, der Sitzungs-Proxy und die Protokollspeicherung betreiben alle innerhalb des lokalen Netzwerks. Keine Daten verlassen den Perimeter.

Zugangskontrolle auf Netzwerkebene

Statt auf Endpunkt-Agenten zu setzen, wird die Zugangskontrolle auf Netzwerkebene durchgesetzt. Ein Overlay-Netzwerk mit Proxy-Durchsetzung verifiziert die Identität und autorisiert jede Sitzung, bevor sie das OT-Asset erreicht. Das Gerät muss nicht an der Authentifizierung teilnehmen.

Lokale Sitzungsprotokollierung

Sitzungsprotokolle werden vor Ort erfasst. Sie werden auf dem Gerät gespeichert oder über Syslog an ein lokales SIEM weitergeleitet. Jede Verbindung wird mit Benutzeridentität, Zeitstempel, Quelle, Ziel, Protokoll und Nutzdaten protokolliert.

Software-definierte Segmentierung

Erstellen Sie Mikrosegmente ohne Switch-Neukonfiguration. Ein Overlay-Netzwerk baut logische Grenzen auf dem vorhandenen physischen Netzwerk auf. Jedes Asset oder jede Asset-Gruppe erhält ein eigenes Segment mit einer eigenen Zugriffsrichtlinie. Keine VLAN-Änderungen, kein Umverkabeln, keine Switch-Firmware-Updates.

Das Paradox der Luftisolierung

Das Paradox luftdicht isolierter Sicherheit: Die Lücke schützt vor Fernangriffen, erzeugt aber blinde Flecken für lokale Bedrohungen. Ohne eine Identitätsschicht wissen Sie nicht, wer innerhalb der Lücke auf was zugreift. Ohne Protokollierung können Sie einen Vorfall nicht rekonstruieren. Ohne Segmentierung kann ein kompromittiertes Gerät alles im flachen Netzwerk erreichen.

Zero Trust innerhalb der Lücke adressiert alle drei Punkte: Identitätsverifizierung für jede Sitzung, Prüfprotokollierung für jede Verbindung und Mikrosegmentierung zur Begrenzung lateraler Bewegung.

Überlegungen zur Bereitstellung

Kein Internet für Updates. Software-Updates müssen manuell über sichere Datenträger eingespielt werden. Access Gate unterstützt Offline-Updatepakete.

Keine Cloud für die Verwaltung. Die Verwaltung mehrerer Standorte erfordert eine lokale Management-Ebene. Access Gate unterstützt standortübergreifende Verwaltung über verschlüsselte Tunnel zwischen luftdicht isolierten Standorten.

Eingestufte Umgebungen. Luftdicht isolierte Netzwerke in SCIF- oder eingestuften Umgebungen unterliegen zusätzlichen Handhabungsanforderungen. Access Gate hat keine Cloud-Abhängigkeit und speichert alle Daten lokal.

Weitere Zero-Trust-OT-Ressourcen, Architekturleitfäden und Vergleiche finden Sie im Zero Trust für OT-Netzwerke Hub.

FAQ

Frequently Asked Questions

Kann Zero Trust ohne Internetverbindung funktionieren?
Ja. Zero Trust ist ein Architekturprinzip, kein Cloud-Dienst. On-premise-Implementierungen setzen Identität, Zugangskontrolle und Protokollierung lokal durch – ohne jede Internetabhängigkeit.
Wie funktioniert MFA in einer luftdicht isolierten Umgebung?
Zeitbasierte Einmalpasswörter (TOTP) funktionieren offline. Der Benutzer generiert einen Code auf einem Hardware-Token oder Mobilgerät. Das Identitäts-Gateway validiert ihn lokal. Ein Netzwerkaufruf an einen externen Anbieter ist nicht erforderlich.
Was ist mit Signaturaktualisierungen für die Bedrohungserkennung?
Signaturbasierte Erkennung erfordert regelmäßige Updates. In luftdicht isolierten Umgebungen werden Updates über sichere Datenträgerübertragung eingespielt. Verhaltens- und anomaliebasierte Erkennung funktioniert ohne Signaturen.
Wie verwaltet man mehrere luftdicht isolierte Standorte?
Access Gate unterstützt eine lokale Management-Ebene, die Standorte über verschlüsselte Tunnel verbindet. Sind Standorte physisch getrennt ohne jede Konnektivität, betreibt jeder Standort eine unabhängige lokale Richtlinienverwaltung.
Erfüllt Luftisolierung die CMMC-Anforderungen?
Luftisolierung adressiert einige NIST 800-171-Kontrollen (wie Einschränkungen für internetgebundene Zugriffe), deckt jedoch keine Zugangskontrolle, Prüfprotokollierung, MFA oder Verschlüsselung innerhalb des Netzwerks ab. Kontrollen innerhalb der Lücke sind weiterhin erforderlich.

Other Articles

Zero TrustOT Security

Agent-Free Zero Trust: Why OT Environments Can't Use Endpoint Software

IT Zero Trust relies on endpoint agents. OT devices cannot run them. Here is why, and how network-layer enforcement provides equivalent protection without touching the device.

Zero TrustCISA

What the New CISA Zero Trust OT Guide Means for On-Premise Deployments

CISA, the Department of War, DOE, FBI, and Department of State published joint Zero Trust OT guidance on April 29, 2026. Three findings matter most for on-premise deployments: agentless network-layer enforcement is endorsed for legacy OT, microsegmentation must operate without redesign, and air-gap alone is called out as a false sense of security.

CMMCManufacturing

CMMC Level 2 for Manufacturers: Why VLANs Are Not Enough for Shop Floor OT

VLANs segment traffic at the switch level. CMMC Level 2 requires identity-based access control, audit logging, and encryption. VLANs provide none of these. Here is what assessors actually look for on the shop floor.

News & Insights

Resources & Insights.

Securing Modbus whitepaper
WhitepaperWhitepaper

Securing Modbus in Modern Industrial Environments

Zero Trust OT webinar
WebinarWebinar

Zero Trust for OT Networks

OT network architecture diagram
ArchitectureGuide

Reference Architectures for OT Security

All articles