Sicherheit als Voraussetzung für moderne Betriebsmodelle

OT-Sicherheit: Vom Perimeterschutz zu identitätsbasiertem Datenverkehr

LinkedInRedditWhatsApp

Noch vor 20 Jahren war es vergleichsweise einfach, eine Produktionsanlage zu schützen. Das Gelände umgaben üblicherweise Zäune und gesicherte Tore.

Physisch isolierte Netzwerke und statische Hardware an festen Standorten machten Cyber-Angriffe von außen ebenso unmöglich wie das Fehlen von Remote-Zugriff und Cloudumgebungen. Wer Zugriff auf das Netzwerk hatte, wurde als vertrauenswürdig eingestuft. Dieses Konzept kam im Lauf der Zeit aber an seine Grenzen. Mit virtualisierten Steuerungen, Cloud-Anbindungen, containerisierten Services und dynamisch bereitgestellten Assets hat sich die industrielle Infrastruktur grundlegend verändert. Zugriffsmöglichkeiten lassen sich nicht länger an einen physischen Ort koppeln. In der Operational Technology (OT) entsteht deshalb der Bedarf für eine neue Sicherheitsarchitektur: auf Krypto-Identitäten basierte Sicherheit. Warum die Verwaltung von kryptografischen Identitäten über eine Public-Key-Infrastruktur (PKI) in modernen Produktionsumgebungen Sinn macht, lässt sich am besten nachvollziehen, wenn man die Entwicklungsschritte betrachtet, die Sicherheitskonzepte in der Industrie über die Jahre durchlaufen haben. Die drei skizzierten Phasen dienen dabei der Veranschaulichung. Je nach Art der Industrie oder Produktion beispielsweise lassen sich die Phasen nicht trennscharf unterscheiden und können zum Teil nebeneinander bestehen.

Anzeige

Die Ära des netzwerkbasierten Vertrauens

Die erste Generation industrieller Sicherheitskonzepte beruhte auf netzwerkbasiertem Zugriff. Neben einer physischen Segmentierung durch Air-Gaps und dedizierter Verkabelung bestanden die Sicherheitsmaßnahmen im Einsatz von virtuellen Netzwerken (VLANs) und statischen Access Control Lists (ACLs). Die Logik war simpel: Wer sich innerhalb des Netzwerksegments auf dem richtigen Port befand, galt als vertrauenswürdig.

Dieses Konzept funktionierte, solange Produktionsumgebungen statisch blieben. Doch die Grenzen dieses Ansatzes wurden mit zunehmender Vernetzung offensichtlich. Innerhalb einer Zone existiert häufig pauschales Vertrauen: Wer sich innerhalb des Segments befindet, dem wird vertraut. Geräteidentitäten und kryptografische Nachweise spielten keine Rolle. Skalierbarkeit für Cloud- oder Remote-Szenarien war praktisch nicht vorgesehen.

Die protokollbasierte Umsetzung

Später rückten dann Deep Packet Inspection inklusive Payload-Analyse und Protokollvalidierungen (Modbus, OPC UA, DNP3) in den Fokus des Sicherheitskonzepts. Außerdem kamen Firewalls auf der Anwendungsebene zum Einsatz, die nicht mehr nur IP-Adressen und Ports analysierten, sondern ungültige Methodenaufrufe innerhalb des OSI-7-Schichtenmodells blockieren konnten. Doch auch dieser Ansatz blieb letztlich netzwerkzentriert. Die physische oder logische Position eines Geräts bestimmte weiterhin die Zugriffsmöglichkeiten. Identität war noch immer kein zentrales Sicherheitsprinzip. Zudem stießen klassische physische Inspektionspunkte in verteilten oder cloudbasierten Architekturen schnell an technische und organisatorische Grenzen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Die identitätsbasierte Kommunikation

Heute hat sich ein grundlegender Paradigmenwechsel vollzogen. Produktionsanlagen sind über mehrere Standorte hinweg vernetzt. Moderne OT-Umgebungen setzen auf virtualisierte Controller, containerisierte Dienste, mit der Cloud verbundene Geräte und dynamisch bereitgestellte Ressourcen. Netzwerkbasiertes Vertrauen reicht in so einem Szenario nicht mehr aus. Vielmehr ist es notwendig, auf identitätsbasierte Kommunikation zu setzen. Dabei können die folgenden Fragen bestimmen helfen, ob eine vertrauenswürdige Kommunikation vorliegt.

  • Handelt es sich um ein aktuell gültiges Zertifikat?
  • Handelt es sich um den autorisierten Client?
  • Ist die Identität kryptografisch nachgewiesen?
  • Ist die gegenseitige Authentifizierung abgeschlossen?

Zu den Vorteilen identitätsbasierter Kommunikation gehört eine bessere Granularität bei der Zugriffskontrolle, die beispielsweise auch die zentrale Steuerung einer Produktionsanlage von einem Remote-Standort aus ermöglicht. Damit Unternehmen davon in vollem Umfang profitieren können, benötigt jede Speicherprogrammierbare Steuereinheit (SPS) eine vertrauenswürdige Identität, Telemetrieverbindungen müssen authentifiziert werden, Software-Updates signiert, Verbindungen gegenseitig verifiziert und Zertifikate kontinuierlich erneuert werden.

PKI wird vom Kostenfaktor zum Enabler

Diese Entwicklung verändert auch die Wahrnehmung von Sicherheitsfragen in der Industrie. Jahrzehntelang galt Security als notwendiges Übel. Bei der identitätsbasierten Kommunikation wird die Public-Key-Infrastruktur (PKI) dagegen zum Enabler. Sie schafft die Vertrauensbasis für verteilte Steuerung, sichere Fernwartung und skalierbare Digitalisierung. Sicherheit ist nicht mehr nur Schutzmechanismus, sondern Voraussetzung für moderne Betriebsmodelle.

Autor: Létitia Combes, BxC Security


Anzeige

Artikel zu diesem Thema

Cybersecurity, threat model
12. Mai 2026
Produktion in Gefahr? Warum OT-Security über Erfolg entscheidet

Weitere Artikel

TOUGHBOOK Guard setzt neue Maßstäbe in der Endpoint-Sicherheit
Warum Security-by-Design für Unternehmen zur Pflicht wird
So sichern IT-Teams 2026 ihre IoT-Infrastruktur ab
Kognitive KI und mentale Privatsphäre: Vier neue Risiken
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.