OT-Security beginnt im Netzwerk: Segmentierung als entscheidender Hebel
Cyberangriffe betreffen zunehmend nicht nur klassische IT-Systeme, sondern auch Produktionsumgebungen wie Kraftwerke und deren Verteilanlagen. Aktuelle Zahlen zeigen den steigenden Handlungsdruck: Seit Inkrafttreten der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen am 1. April 2025 sind beim Bundesamt für Cybersicherheit (BACS) 222 Meldungen eingegangen.
Produktionsumgebungen sind häufig durch historisch gewachsene, heterogene Systemlandschaften geprägt, in denen moderne Technologien mit älteren Steuerungssystemen koexistieren. Die zunehmende Vernetzung erweitert die Angriffsfläche erheblich, während klassische IT-Sicherheitskonzepte aufgrund von Echtzeitanforderungen und Systemabhängigkeiten nur eingeschränkt anwendbar sind. Gleichzeitig erhöhen regulatorische Vorgaben im OT-Umfeld die Anforderungen an Transparenz, Risikobewertung und den Nachweis angemessener Sicherheitsmassnahmen.
IT und OT unterscheiden sich insbesondere hinsichtlich ihrer Sicherheitsprioritäten: Während in der IT die Vertraulichkeit von Daten im Vordergrund steht, sind in der OT die Verfügbarkeit und Stabilität industrieller Prozesse entscheidend. OT-Security muss daher darauf ausgerichtet sein, den kontinuierlichen Produktionsbetrieb sicherzustellen und gleichzeitig Cyberrisiken zu minimieren.
Die Umsetzung des IKT-Minimalstandards stellt Industrieunternehmen vor eine anspruchsvolle Aufgabe. Einerseits erfordert die aktuelle Bedrohungslage eine rasche Absicherung industrieller Anlagen, um Produktionsausfälle und Sicherheitsrisiken zu vermeiden. Andererseits verlangt der Standard den Aufbau umfassender Governance- und Compliance-Strukturen, die Dokumentation der gesamten OT-Infrastruktur sowie die Einführung und Pflege von Sicherheitsprozessen.
Die wissenschaftliche Literatur sowie bestehende Standards wie der IKT-Minimalstandard, IEC 62443 oder NIS2 beschreiben OT-Security umfassend und mit hoher fachlicher Tiefe. Dies führt häufig zu einer sehr detaillierten Darstellung der Anforderungen, wodurch die Umsetzung in der Praxis als technisch und organisatorisch anspruchsvoll wahrgenommen wird.
Für die praktische Umsetzung hat sich daher ein risikobasierter Ansatz etabliert, der eine schrittweise Priorisierung der Massnahmen ermöglicht. Dabei werden zunächst diejenigen technischen Grundlagen geschaffen, die eine unmittelbare Reduktion der Angriffsfläche bewirken und als Voraussetzung für weitere Sicherheitsmassnahmen dienen. In vielen OT-Umgebungen stellt die Netzwerksegmentierung den zentralen ersten Schritt dar, da sie industrielle Systeme logisch und physisch voneinander trennt und damit die laterale Ausbreitung von Angriffen wirksam begrenzt. Sie bildet somit die grundlegende Schutzschicht innerhalb der OT-Netzwerkarchitektur und schafft die Basis für weiterführende Massnahmen wie Netzwerküberwachung und Anomalieerkennung.
Auf der durch die Netzwerksegmentierung geschaffenen strukturellen Basis lassen sich weitere Sicherheitsmechanismen gezielt aufbauen. Während die Segmentierung primär der strukturellen Begrenzung der Angriffsfläche dient, verlagert sich der Fokus in der nächsten Stufe auf die operative Überwachung des Netzwerkverhaltens innerhalb der definierten Zonen.
Kontinuierliche Netzwerküberwachung und Anomalieerkennung ermöglichen dabei die Analyse von Kommunikationsmustern im laufenden Betrieb. Dadurch können Abweichungen vom erwarteten Verhalten identifiziert und potenzielle Sicherheitsvorfälle frühzeitig erkannt werden, ohne die bestehende Netzwerkarchitektur zu beeinträchtigen. Diese funktionale Ergänzung erweitert die rein strukturelle Sicherheit der Segmentierung um eine dynamische Erkennungsebene innerhalb der OT-Netzwerkinfrastruktur.
Ergänzend sind kontrollierte Fernzugriffskonzepte sowie ein strukturiertes Patch- und Schwachstellenmanagement erforderlich, wobei in OT-Umgebungen aufgrund von Betriebs- und Testanforderungen häufig nur verzögerte Updates möglich sind. Sicherheitsmechanismen müssen den Produktionsbetrieb stabil unterstützen und dürfen die Systemverfügbarkeit nicht beeinträchtigen.
Für den Betriebsalltag ist zudem die praktische Anwendbarkeit von OT-Sicherheitslösungen entscheidend. Da diese häufig auch von nicht spezialisierten Mitarbeitenden eingesetzt werden, sind verständliche Visualisierungen und eine klare Darstellung des Sicherheitsstatus notwendig, um Risiken auch ohne tiefgehende Cybersecurity-Kenntnisse erkennen und angemessen bewerten zu können.
Fazit
Wirksame OT-Security basiert auf einem schrittweisen, netzwerktechnisch strukturierten Ansatz. Zentrale Grundlage ist die Netzwerksegmentierung, welche industrielle Systeme isoliert und die laterale Ausbreitung von Angriffen begrenzt. Darauf aufbauend ermöglichen Netzwerküberwachung, Anomalieerkennung sowie kontrollierte Zugriffe und ein konsequentes Schwachstellenmanagement eine stabile und sichere Produktionsumgebung.
Damit lässt sich die Sicherheit industrieller Netzwerke nachhaltig erhöhen, ohne die Verfügbarkeit und den kontinuierlichen Betrieb der Produktionsprozesse zu beeinträchtigen