TroutTrout
Referenzarchitektur für Wasser- und Energieversorger|Architektur ansehen

Ohne Ausfall, ohne Umverkabelung. Zero Trust für Versorger-OT.

Eine Referenzarchitektur für Versorgungsunternehmen: Wasser, Energie, Gas. Authentifizierung, Kontrolle, Proxying und Audit angewendet auf SCADA, SPS und RTU. Ohne IP-Renummerierung, ohne Umschreiben der Firewall-Regeln, ohne Stillstand.

Direkte Antwort

Jeder Versorger-Standort durchläuft zwei sicherheitskritische Momente: Greenfield-Inbetriebnahme (neuer Standort im Bau) und Brownfield-Betrieb (Infrastruktur seit Jahren oder Jahrzehnten in Betrieb). Dieselbe Zero-Trust-Architektur deckt beide ab. Access Gate ist eine On-Premise-Sicherheits-Appliance, die neben den Site-Core platziert wird, identitätsgebundene Sessions über IT-, OT- und IoT-Anlagen vermittelt und einen manipulationssicheren Audit-Trail erzeugt. Das Architekturdiagramm finden Sie unten.

Zwei Momente. Ein Kontrollproblem.

Greenfield oder Brownfield. Gleiche Architektur.

Jeder Versorger-Standort durchläuft zwei sicherheitskritische Momente. Dieselbe Zero-Trust-Architektur deckt beide ab.

Greenfield

Inbetriebnahme eines neuen Standorts.

Access Gate wird im Integrationsfenster eingefügt. Asset-Discovery, IdP-Anbindung, Enclave-Policy und Audit werden vor der Übergabe konfiguriert. Der Standort geht mit identitätsgebundenem Zugriff und aktivem Audit ab Tag eins in Betrieb.

Brownfield

Härten eines Standorts im Betrieb.

Access Gate sitzt neben dem Site-Core, beobachtet den Verkehr und überlagert eine identitätsgebundene Policy über die bestehende Topologie. Keine Firewall-Anpassung, keine IP-Renummerierung, kein SCADA-Neustart.

Referenzarchitektur

Access Gate. Neben dem Site-Core.

Die Architektur ist identisch, unabhängig davon, ob der Standort gerade in Betrieb genommen wird oder bereits läuft. Access Gate wird neben den Site-Core gesetzt, beobachtet den Verkehr, vermittelt identitätsgebundene Sessions und erzeugt einen manipulationssicheren Audit-Trail. Ohne Änderung der MPLS- oder VLAN-Topologie, ohne IP-Renummerierung und ohne Agenten auf den Feldgeräten.

Referenzarchitektur: Access Gate neben dem Site-Core, zwischen dem IT-Subnetz (Verzeichnisdienst, Dienste) und den OT-Zonen (SCADA, SPS, RTU, HMI).
Access Gate sitzt daneben. Firewall, MPLS und VLAN-Topologie bleiben unverändert. Die orangefarbene Überlagerung ist die von Access Gate hinzugefügte identitätsgebundene Policy- und Audit-Ebene.
Wo es eingesetzt wird

Wasser, Energie, Gas. Dasselbe Muster.

Wasser- und Energieversorger folgen demselben Grundmuster: SCADA, RTU, SPS, geografisch verteilte Standorte, Fernzugriffe externer Dienstleister, Audit-Druck. Die Referenzarchitektur gilt identisch. Der regulatorische Anker und der Audit-Ablauf unterscheiden sich je Branche.

Wasser- und Abwasserversorger

Kontext. Wasserwerke, Pumpstationen, Verteilnetze. SCADA-Systeme, Fernwirkstationen (RTU), serielle Legacy-Wandler über geografisch verteilte Standorte.

Regulierung. NIS2-Umsetzung, KRITIS-Verordnung, BSI IT-Grundschutz, EPA und CISA-Vorgaben für den Wassersektor.

Ergebnis. Nachweis identitätsgebundenen Zugriffs auf Aufbereitungs-SCADA ohne Anlagenstillstand. Auditfähiger Evidence-Pack für KRITIS-Prüfung und NIS2.

Branche ansehen

Energieversorger und Stromerzeugung

Kontext. Schaltanlagen, Erzeugungsanlagen, Netzleitstellen für Übertragung und Verteilung. SCADA, RTU, IED, Schutzrelais über MPLS angebunden.

Regulierung. NIS2 Artikel 21, KRITIS-Verordnung, BSI IT-Grundschutz, IT-Sicherheitsgesetz 2.0, IEC 62443. NERC CIP für nordamerikanische Tochterunternehmen.

Ergebnis. Abdeckung des Ost-West-Verkehrs und der Wartungszugriffe Dritter. Exportierbare Nachweise für BSI-Prüfung, NIS2 oder IEC 62443.

Branche ansehen
Whitepaper anfordern

Referenzarchitektur, greenfield und brownfield.

Das PDF enthält das vollständige Architekturdiagramm, die Vier-Säulen-Abdeckung, drei operative Szenarien und die NIS2 + KRITIS + IEC 62443 Matrix.

Done

Kein Wartungsfenster

Neben dem Site-Core platziert. Keine Firewall-Anpassung, keine IP-Renummerierung, kein SCADA-Neustart. Ob bei der Inbetriebnahme eines neuen Standorts oder beim Härten eines bestehenden.

Auditreife Nachweise

Manipulationssichere, identitätsgebundene Session-Logs werden an Ihr SIEM weitergeleitet. Evidence-Packs lassen sich direkt auf NIS2 Artikel 21, KRITIS und BSI IT-Grundschutz abbilden.

FAQ

Fragen der Sicherheitsverantwortlichen bei Versorgern.

Die Architektur ist identisch, der operative Kontext unterscheidet sich. Greenfield (Inbetriebnahme eines neuen Standorts) bedeutet, dass Access Gate in das Integrationsfenster passt und vor der Übergabe an den Betrieb betriebsbereit ist. Brownfield (Standort ist bereits in Betrieb) bedeutet, dass die Appliance neben den Site-Core platziert wird und eine identitätsgebundene Policy ohne IP-Renummerierung, ohne Firewall-Anpassung und ohne Wartungsfenster überlagert.

Nein. Firewall und MPLS behalten ihre Aufgabe: Nord-Süd-Policy am Site-Rand, VLAN-Segmentierung in der Switching-Ebene, verschlüsselter Transport zwischen Standorten. Access Gate schließt die Sichtbarkeits- und Kontrolllücke, für die sie nie konzipiert waren: Identität pro Session, Audit-Trail darüber, wer welche SPS oder RTU berührt hat, und Sichtbarkeit über die Fernwartungssitzungen externer Dienstleister.

Access Gate fungiert als das von NIS2 Artikel 21 geforderte Vermittlungssystem für Zugriffskontrolle und Nachweisführung, mit kurzlebigen identitätsgebundenen Sessions und manipulationssicheren Logs. Für KRITIS-Betreiber decken dieselben vier Säulen Identität, Fernzugriffsverwaltung und Audit-Nachweise ab. Der BSI IT-Grundschutz und die KRITIS-Verordnung werden auf Kontrollfamilienebene erfüllt.