Cloud-Angebundene OT: Sicherer Fernzugriff

Wie implementieren Sie sichere OT-Cloud-Architektur?

Eine sichere OT-Cloud-Architektur folgt dem Prinzip "Daten raus, keine Befehle rein". Microsoft und AWS bieten industriespezifische Cloud-Dienste (Azure IoT Hub, AWS IoT Greengrass), die OT-Cloud-Integration mit Sicherheitskontrollen unterstützen (Microsoft Azure, 2025).

Edge Computing als Sicherheitsschicht

Edge-Computing-Systeme zwischen OT und Cloud verarbeiten OT-Daten lokal, bevor sie in die Cloud übertragen werden. Sie aggregieren und anonymisieren Daten, filtern sensitive Informationen und komprimieren Datenströme. Nur nicht-sensitive, aggregierte Daten verlassen das Werksgelände. Edge-Systeme trennen OT-Netzwerk von Cloud-Verbindungen.

Unidirektionale Datenübertragung

Daten fließen von OT zur Cloud, nie umgekehrt. Ein Edge-Gateway sammelt OT-Daten und überträgt sie in die Cloud. Cloud-Systeme können keine Befehle direkt an OT-Geräte senden. Diese unidirektionale Architektur verhindert physisch Cloud-gesteuerte OT-Angriffe.

API-Sicherheit für OT-Cloud-Integration

APIs verbinden Edge-Systeme mit Cloud-Plattformen. Sichere APIs erfordern: starke Authentifizierung (API-Keys oder OAuth 2.0), TLS-Verschlüsselung, Rate-Limiting gegen Überlastangriffe und Audit-Logging aller API-Aufrufe. Unsichere APIs sind ein häufiger Einstiegspunkt für Cloud-OT-Angriffe.

Wie sichern Sie OT-Fernzugang für Wartung und Support?

Fernwartung ist der häufigste Angriffsvektor über Cloud-Verbindungen. Der IT-Sicherheitsdienstleister Claroty berichtet, dass 55% aller OT-Fernzugänge unzureichend gesichert sind (Claroty, 2025). Das Ersetzen unsicherer VPNs durch Zero Trust Network Access (ZTNA) ist die wichtigste Einzelmaßnahme.

Zero Trust Network Access (ZTNA) für OT

ZTNA ersetzt breite VPN-Tunnel durch granularen, identitätsbasierten Zugang. Ein Wartungstechniker erhält nur Zugang zu den spezifischen OT-Geräten, die er für seine aktuelle Aufgabe benötigt, für die Dauer dieser Aufgabe. ZTNA-Lösungen wie Claroty Remote Access, Tosibox und Secomea sind für OT optimiert.

Privilegiertes Zugriffsmanagement (PAM) für Remote-OT

PAM-Systeme steuern, überwachen und protokollieren alle Remote-OT-Zugänge. Externe Wartungstechniker erhalten temporäre Zugangsdaten ohne Kenntnis der tatsächlichen OT-Passwörter. Alle Sitzungen werden vollständig aufgezeichnet und können in Echtzeit überwacht werden. Zugangsanfragen werden durch einen Genehmigungsworkflow autorisiert.

Sichere Remote-Sitzungsaufzeichnung

Zeichnen Sie alle Remote-OT-Sitzungen vollständig auf: Bildschirmaufzeichnung, Tastatureingaben und Netzwerkverkehr. Diese Aufzeichnungen dienen als Beweismittel bei Vorfällen und als Compliance-Nachweis. Sie schaffen außerdem einen positiven Verhaltenseffekt bei Wartungstechnikern.

Welche Datenschutz- und Compliance-Anforderungen gelten für OT-Cloud?

OT-Cloud-Projekte müssen DSGVO und branchenspezifische Compliance-Anforderungen berücksichtigen. Für KRITIS-Betreiber gelten zusätzlich BSI-Anforderungen für Cloud-Dienste, die kritische OT-Systeme unterstützen (BSI C5, 2024).

Das BSI Cloud Computing Compliance Criteria Catalogue (C5) definiert Mindestanforderungen für Cloud-Dienste, die für KRITIS-Betreiber geeignet sind. Wählen Sie Cloud-Dienste, die C5-Zertifizierungen vorweisen können, wenn OT-Daten dorthin übertragen werden.

[PERSONAL EXPERIENCE] In OT-Cloud-Projekten stellen wir regelmäßig fest, dass Datensouveränität ein häufig übersehenes Thema ist. Deutsche Unternehmen haben oft vertragliche oder regulatorische Anforderungen, dass OT-Daten in Deutschland oder der EU bleiben müssen. Prüfen Sie frühzeitig, ob Ihre Cloud-Anbieter EU-Datenspeicherung anbieten und dokumentieren Sie dies.

[UNIQUE INSIGHT] OT-Cloud-Projekte, die mit einem "Daten-Klassifizierungsprojekt" beginnen (welche OT-Daten wie sensitiv sind und was in die Cloud darf), haben eine dreimal höhere Erfolgsrate als solche, die direkt mit der Cloud-Implementierung beginnen. Datensouveränität und Sicherheitsarchitektur vor der Implementierung zu klären, spart erhebliche Nacharbeitskosten.

Häufig gestellte Fragen

Kann ich meine SCADA-Software in die Cloud migrieren?

SCADA-Monitoring in die Cloud ist möglich und sinnvoll; SCADA-Steuerung aus der Cloud ist für kritische Systeme nicht empfehlenswert. Hybrid-Architekturen mit lokalem Steuerungssystem und Cloud-basiertem Monitoring und Analytics sind der sichere Mittelweg. Die Latenzanforderungen Ihrer spezifischen SCADA-Anwendung entscheiden über die technische Machbarkeit.

Wie sichere ich OT-Daten bei der Cloud-Übertragung?

Verwenden Sie TLS 1.3 oder höher für alle OT-Cloud-Datenübertragungen. Erwägen Sie zusätzliche End-to-End-Verschlüsselung für besonders sensitive Prozessdaten. Authentifizieren Sie Edge-Systeme gegenüber Cloud-Plattformen mit Zertifikaten, nicht nur API-Keys. Überprüfen Sie regelmäßig, dass Verschlüsselungskonfigurationen aktuell und korrekt sind.

Welche deutschen Cloud-Anbieter eignen sich für KRITIS-OT-Daten?

Deutsche Cloud-Anbieter wie Deutsche Telekom (Open Telekom Cloud), SAP und Ionos bieten deutsche Datenspeicherung und C5-Zertifizierung. Microsoft Azure, AWS und Google Cloud haben EU-Datenspeicherungsoptionen und EUCS-kompatible Angebote für KRITIS-relevante Workloads. Prüfen Sie C5-Zertifizierung und EUCS-Konformität bei der Anbieterauswahl.

Fazit: Sichere Cloud-OT-Integration ist machbar und notwendig

Cloud-Anbindung von OT-Systemen ist machbar und bringt erhebliche operative Vorteile. Der Schlüssel liegt in der richtigen Architektur: Edge Computing als Puffer, unidirektionaler Datenfluss, ZTNA für Fernzugriff und strikte Datensegmentierung nach Sensitivität. Unsichere Cloud-Anbindung ist das Problem, nicht Cloud-Anbindung an sich.

Erfahren Sie mehr über unsere OT-Sicherheitsservices für Cloud-angebundene industrielle Umgebungen.

[INTERNAL-LINK: Zero Trust für OT → Zero Trust für OT: Identitätsbasierte Sicherheit]