Thought Leadership
Die zunehmende Digitalisierung und Vernetzung von Produktionsanlagen erweitert die Angriffsfläche für Cyberkriminelle: Einmal im System, kann sich ein Hacker durch das gesamte Netzwerk arbeiten – mit verheerenden Folgen für die Produktion. OT-Segmentierung schafft Abhilfe.
Ein Cyberangriff, eine kompromittierte Office-IT – und kurz darauf steht die Produktion still. Dieser Ketteneffekt wird für Industrieunternehmen zunehmend zur Realität. Ein aktuelles Beispiel zeigt, wie schnell es ernst werden kann: Der Serviettenhersteller Fasana wurde Opfer eines Ransomware-Angriffs. Die Produktion kam zum Stillstand – am Ende stand die Insolvenz. Der Fall macht deutlich, wie wichtig Schutzmaßnahmen für IT und OT sind. Eine wirksame Maßnahme, um solche Szenarien zu verhindern und die Ausbreitung eines Angriffs einzudämmen, ist OT-Segmentierung.
Was ist OT-Segmentierung und warum ist sie so wichtig?
OT-Segmentierung bezeichnet die strategische Unterteilung industrieller Infrastrukturen in separate logische oder physische Zonen mit kontrollierten Grenzen, die den Kommunikationsfluss zwischen Geräten oder Gerätegruppen regulieren. Anders als bei der klassischen IT-Segmentierung, die primär der Netzwerkoptimierung dient, zielt OT-Segmentierung darauf ab, im Falle eines Angriffs laterale Bewegungen zu begrenzen und die potenziellen Auswirkungen eines Sicherheitsvorfalls einzudämmen.
In der Praxis bedeutet OT-Segmentierung den Aufbau von auf Whitelists basierenden Sicherheitsbarrieren zwischen verschiedenen funktionalen Bereichen – wie etwa zwischen der Überwachungsebene und der Maschinensteuerungsebene. Der Zugriff zu jedem Funktionsbereich wird von Richtlinien geregelt, die durch Protokolle, Adressen oder Verhaltensmuster definiert sind. Entscheidend ist dabei: Kommunikation wird nicht blockiert, sondern kontrolliert, sichtbar und nachverfolgbar gestaltet.
Die Vorteile von OT-Segmentierung: Sie reduziert die Angriffsfläche drastisch und sichert somit die Betriebskontinuität, verhindert ungeplante Ausfallzeiten und schützt Prozessdaten, Sachwerte und Arbeitsplätze. Außerdem trägt diese Maßnahme zur Einhaltung regulatorischen Vorschriften, wie z.B. NIS2, bei: unter anderem begrenzt sie die Schadensausbreitung, kontrolliert den Zugriff und Autorisierung auf verschiedene Systembereiche und hilft, Sicherheitsvorfälle schneller zu identifizieren. “Angesichts der aktuellen Bedrohungslage wird OT-Segmentierung zu einem entscheidenden Wettbewerbsvorteil. Laut unserem für Deutschland veröffentlichten Cyberbedrohungs-Bericht ist die Fertigungsindustrie in Deutschland die am stärksten von Cyberangriffen betroffene Branche.”, erläutert Alessandro Zuech, Head of OT Security bei Yarix, die Marke der Var Group für Cyber Security.
Mythen aus der Praxis
Ein häufiger Irrglaube in der industriellen Praxis ist die Annahme, OT-Segmentierung bestehe lediglich darin, Netzwerke mit Firewalls oder VLANs zu trennen. Aus diesem Grund werden bei der Implementierung oft die tatsächlichen Kommunikationsflüsse und Abhängigkeiten zwischen den OT-Geräten nicht in Betracht gezogen – obwohl das die Grundlage einer sicheren OT-Umgebung ist. Diese vereinfachte Sichtweise führt oft zu Fehlkonzeptionen, die im schlimmsten Fall wirkungslos oder sogar kontraproduktiv sind.
Ein weiterer verbreiteter Mythos betrifft die Auswirkungen auf die Betriebsabläufe: Viele Unternehmen befürchten, dass OT-Segmentierung die Effizienz industrieller Prozesse beeinträchtigen könnte. In Wirklichkeit jedoch sichert eine richtig konzipierte Segmentierung die Prozesskontinuität, da sie die Widerstandsfähigkeit der Anlagen erhöht und den Schaden im Angriffsfall eindämmt. Statt Prozesse zu stören, schützt sie diese vor unerwünschten Eingriffen und Störungen.
Nicht zuletzt wird Segmentierung häufig als einmalige Aufgabe betrachtet, während es sich in Wahrheit um einen kontinuierlichen Prozess handelt, der mit der Evolution des Netzwerks Schritt halten muss. Gerade in der Industrie, wo Anlagen oft über Jahrzehnte betrieben werden und immer wieder neue Komponenten hinzukommen, ist ein dynamisches Segmentierungskonzept unerlässlich.
Umsetzung in der Praxis: Vorgehen, Tools, Standards
Die Basis jeder effektiven OT-Segmentierung bildet eine fundierte Bestandsaufnahme. “Ohne passive Asset-Discovery laufen Unternehmen Gefahr, ihr Netzwerk auf Basis falscher Annahmen zu segmentieren”, warnt Zuech. Im ersten Schritt werden daher mittels passiver Verkehrsanalyse alle Geräte, Kommunikationsflüsse und verwendeten Protokolle identifiziert – ohne den laufenden Betrieb zu stören.
Mit diesen Informationen erfolgt das Flow Mapping: die Abbildung und Analyse der realen Kommunikationsbeziehungen zwischen OT-Assets. Darauf aufbauend werden Zonen und Conduits nach dem ISA/IEC 62443-Standard definiert – dem führenden Referenzrahmen für OT-Sicherheit. Zonen gruppieren Assets mit ähnlichen Risikostufen und Sicherheitsanforderungen, während Conduits die kontrollierten Kanäle darstellen, die die Kommunikation zwischen verschiedenen Zonen ermöglichen. Jede Zone erhält dabei ein Ziel-Sicherheitsniveau (Security Level Target, SL), das festlegt, welchen Schutzgrad sie mindestens erfüllen muss – abhängig von ihrer Bedeutung für die Produktion und der potenziellen Schadenshöhe im Angriffsfall.
Wie ein solches Modell in der Praxis aussehen kann, zeigt die Tabelle: Sie veranschaulicht beispielhaft, wie industrielle Systeme wie ERP-Server, Historian, SCADA, SPS oder Feldgeräte in funktionale Zonen (Z1–Z5) eingeteilt und mit spezifischen Protokollen, SL-Anforderungen und Übergängen versehen werden. Solche Tabellen dienen als wichtige Grundlage für die technische Umsetzung – z. B. für die Konfiguration von Firewalls, das Whitelisting von Verbindungen oder das Einrichten sicherer Fernzugänge.
In der Umsetzung werden je nach Netzstruktur und Komplexität unterschiedliche Formen der Segmentierung eingesetzt: von physischer Trennung über VLANs bis hin zu industriellen DMZs und Mikrosegmentierung auf Anwendungsebene. Welcher technische Ansatz gewählt wird, hängt maßgeblich vom konkreten Umfeld ab – zum Beispiel von der Heterogenität der Anlage, der verfügbaren Dokumentation oder der Anforderungsdichte im Produktionsprozess.
Auf dieser Grundlage kann ein logisches Sicherheitsdesign entwickelt werden, das sich eng an den tatsächlichen Prozessflüssen orientiert – ein zentraler Erfolgsfaktor, um sowohl Sicherheit als auch Betriebsstabilität zu gewährleisten. Insbesondere ältere, heterogene Umgebungen stellen dabei Herausforderungen dar: Fehlende Dokumentation, proprietäre oder veraltete Protokolle und geringe Skalierbarkeit erhöhen das Risiko unbeabsichtigter Störungen. In solchen Fällen entscheidet eine sorgfältige Erkundungs- und Migrationsplanung über den Projekterfolg.
Fazit und Ausblick
Im Zuge der zunehmenden Vernetzung wird OT-Segmentierung ein immer wichtigerer Pfeiler für Resilienz und langfristiger Betriebskontinuität. Der Trend geht zur Integration von Segmentierung mit kontinuierlichen Monitoring-Lösungen, starker Authentifizierung, Privileged Access Management und Zero-Trust-Prinzipien, die auf die OT-Landschaft zugeschnitten sind. Segmentierung wird damit zum Ausgangspunkt, nicht zum Ziel, auf dem Weg zur cyber-industriellen Reife von Unternehmen. “Angesichts geopolitischer Krisen, globaler Lieferengpässe und beschleunigter Digitalisierung wird der Schutz industrieller Anlagen immer wichtiger. Schon heute ist das keine reine Technikaufgabe mehr, sondern eine strategische Pflicht. OT-Segmentierung ist einer der ersten ganz praktischen Schritte, um widerstandsfähiger zu werden”, betont Alessandro Zuech.
it-sa 2025: Cyber-Held werden
Im Rahmen der Leitmesse für Cybersecurity bietet Var Group Interessierten die Möglichkeit, zu einem Cybersicherheitshelden für das eigene Unternehmen zu werden. Am Stand 7A-413 können sich Besucher NIS2-Beratungsstunden sichern. Jeden Tag haben sie die Chance beim Hauptgewinn bis zu zehn Stunden Beratung zu gewinnen.
Autor: Var Group
