Was bringt Segmentierung für die OT-Security?

Durch eine gezielte Segmentierung können Unternehmen ihre industrielle Infrastruktur effektiver schützen und sowohl das Risiko als auch die Auswirkung von Cyber-Angriffen deutlich reduzieren. Das Ziel der Segmentierung ist es, sicherheitskritische OT-Systeme zu isolieren und die OT gegen Cyber-Angriffe resilienter zu machen.

31. März 2025

Cyber Security

Daniela Gibmeyer

Segmentierung als Kernbestandteil der OT-Security

Segmentierung in der OT-Sicherheit bedeutet die Unterteilung von Netzwerken und Systemen in kleinere, isolierte Segmente (sog. Zonen), um das Risiko von Cyber-Angriffen zu minimieren und die Sicherheit der industriellen Steuerungssysteme (ICS) zu gewährleisten. Dabei geht es nicht um eine physische Trennung, sondern die Kontrolle der Kommunikation zwischen den Zonen durch eine Firewall oder ähnliche Systeme.

Der wichtigste Schritt ist die klare Trennung zwischen IT und OT durch eine Firewall. Diese Maßnahme verhindert, dass Cyber-Angriffe aus der IT ungehindert auf die Produktion übergreifen. Zudem ist eine solche Trennung in der Regel eine Grundvoraussetzung für den Abschluss von Cyber-Versicherungen.

Die Segmentierung beginnt mit der grundlegenden IT-OT-Trennung und wird schrittweise bis hin zur Mikrosegmentierung verfeinert. Die meisten Angriffe erfolgen über Phishing-Mails in der IT, weshalb die Sicherheit auf dieser Seite besonders kritisch ist. Weitere Anforderungen aus dem Standard IEC 62443 sind u.a. die Segmentierung von sicherheitsrelevanten Systemen und die Kontrolle von Fernzugriffen auf OT-Systeme.

Praktische Umsetzung der Segmentierung

Während die IT-OT-Trennung in vielen Unternehmen bereits etabliert ist, geht es nun darum, weitere Sicherheitszonen innerhalb der OT zu schaffen. Beispielsweise sollten veraltete mobile Endgeräte mit unsicherer WLAN-Verschlüsselung in isolierte Segmente ausgelagert und deren Datenverkehr durch Firewalls abgesichert werden. Je feingliedriger die Produktionslandschaft segmentiert wird, desto höher ist das Sicherheitsniveau – bis hin zur Mikrosegmentierung, bei der einzelne Anlagen oder Komponenten mit separaten Firewalls geschützt werden.

Ziel ist es, eine transparente Netzwerkinfrastruktur zu schaffen, die nicht nur die OT-Security verbessert, sondern auch die Digitalisierung und Innovationen wie KI in der Produktion ermöglicht. Dafür ist es wichtig, das Kommunikationsverhalten im Netzwerk zu analysieren. Nur wer genau versteht, welche Assets wie miteinander kommunizieren, kann Innovationen vorantreiben und Anomalien frühzeitig erkennen.

Herausforderungen und typische Fehler

Ein häufiges Problem bei der Umsetzung sind falsch konfigurierte Firewalls. In der Praxis werden Sicherheitsregeln oft zu großzügig erweitert, sodass die Firewall letztlich kaum Schutz bietet. Eine fundierte Netzwerkanalyse ist daher unabdingbar, bevor Schutzmaßnahmen implementiert werden. Viele Hersteller sind zudem noch unzureichend auf das Thema vorbereitet, da klare Dokumentationen zu Schnittstellen und Protokollen oft fehlen. Dies ändert sich jedoch mit dem Cyber Resilience Act, der Hersteller zur Bereitstellung dieser Informationen verpflichtet.

Wir begleiten Unternehmen entlang des gesamten Prozesses

Analyse des Status quo: Bestehendes Know-how, Zuständigkeiten und Assets ermitteln
Entwicklung eines maßgeschneiderten Sicherheitskonzepts
Technische Umsetzung und Implementierung geeigneter Lösungen
Betrieb und Management der Sicherheitskomponenten, falls dem Unternehmen Ressourcen fehlen
Unterstützung bei der Einhaltung regulatorischer Vorgaben wie der TRBS-Richtlinie, die u.a. den Schutz von Safety-Einrichtungen gegen Cyber-Angriffe umfasst.

OT-Security ist dabei keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess, der technische Lösungen, organisatorische Maßnahmen und die Sensibilisierung der Mitarbeitenden gleichermaßen umfasst.

Marc Borrosch

Sales Specialist OT-Security

Möchtest Du mehr über das Thema Segmentierung in der OT-Security erfahren, dann mache jetzt direkt einen Gesprächstermin mit Marc aus!

Termin vereinbaren

Logische oder physische Trennung

von Netzwerken (z. B. IT- und OT-Netzwerke voneinander trennen)

Einsatz von Firewalls & VLANs

um den Datenverkehr zwischen Segmenten zu kontrollieren

Zero-Trust Architekturen

bei denen jede Kommunikation überprüft wird

Einsatz von DMZs

(Demilitarisierte Zonen), um sichere Schnittstellen zwischen IT- und OT-Systemen zu schaffen

Least Privilege Access

um sicherzustellen, dass nur autorisierte Geräte und Nutzer mit den minimal notwendigen Rechten auf bestimmte Netzwerke oder Systeme zugreifen können

Mirkosegmentierung

bei der einzelne Systeme oder Geräte innerhalb eines Netzwerks weiter isoliert werden

Eindämmung von Cyber-Angriffen – Begrenzung der Bewegungsfreiheit von Angreifern innerhalb des Netzwerks
Schutz kritischer OT-Systeme – Abschirmung kritischer Steuerungssysteme von externen Bedrohungen
Erhöhung der Netzwerkresilienz – Verhindern, dass sich Störungen oder Malware von einem Bereich auf das gesamte Netzwerk ausbreiten
Einhaltung von Sicherheitsrichtlinien und Standards – Unterstützung regulatorischer Vorgaben wie der NIS2
Optimierung des Netzwerkverkehrs – Reduzierung unnötiger Verbindungen und Verbesserung der Performance von OT-Systemen

Marc Borrosch

Sales Specialist | OT-Security

0151 2034 7613

Dan-Julian Soupidis

Sales Specialist | Consulting Services

0151 2034 7621

Was bringt Segmentierung für die OT-Security?

Was bedeutet Segmentierung in der OT-Security?

Kostenloses Beratungsgespräch mit Marc vereinbaren

Marc Borrosch