Zero Trust für OT: Identitätsbasierte Sicherheit
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Kann Zero Trust in OT-Umgebungen funktionieren?
Zero Trust ist in IT-Umgebungen etabliert, aber in OT-Umgebungen wird es kontrovers diskutiert. Das klassische Zero-Trust-Prinzip "never trust, always verify" kollidiert mit OT-Anforderungen wie Echtzeitkommunikation und Legacy-Geräten ohne Authentifizierungsfähigkeiten. Forrester Research berichtet, dass 41% der Industrieunternehmen Zero-Trust-Prinzipien für OT-Umgebungen erproben oder implementieren (Forrester, 2025). Die Praxis zeigt, dass adaptiertes Zero Trust für OT funktioniert.
Wichtige Erkenntnisse
- 41% der Industrieunternehmen erproben Zero Trust für OT (Forrester, 2025)
- Zero Trust für OT erfordert Anpassungen für Legacy-Geräte ohne Authentifizierungsfähigkeiten
- Identitätsbasierter Zugang für Menschen (Ingenieure, Wartung) ist sofort umsetzbar
- Mikrosegmentierung ist das wichtigste Zero-Trust-Element für OT-Netzwerke
- Zero Trust und Purdue-Modell sind komplementär, nicht widersprüchlich
Zero Trust für OT bedeutet nicht, alle OT-Geräte gleichzeitig mit starker Authentifizierung auszustatten. Es bedeutet, Zero-Trust-Prinzipien dort zu implementieren, wo sie technisch möglich sind, und kompensierende Kontrollen dort einzusetzen, wo Legacy-Geräte das verhindern.
[INTERNAL-LINK: OT-Netzwerksegmentierung → OT-Netzwerksegmentierung: Zonen und Kanäle]
Was bedeuten Zero-Trust-Prinzipien in OT-Kontexten?
NIST definiert Zero Trust als Sammlung von Konzepten und Ideen für minimale Zugriffsrechte und kontinuierliche Verifikation. Für OT-Umgebungen adaptiert das NIST Cybersecurity Center of Excellence (NCCoE) diese Prinzipien in OT-spezifische Empfehlungen (NIST NCCoE, 2024).
Prinzip 1: Minimale Zugriffsrechte (Least Privilege)
Jeder Benutzer, jeder Prozess und jedes Gerät erhält nur die minimal notwendigen Rechte. Für OT bedeutet das: Wartungstechniker erhalten nur Zugang zu den Geräten, die sie warten, nicht zu allen OT-Geräten. SCADA-Server können nur bestimmte SPS ansprechen, nicht beliebige Geräte im Netzwerk. Dieser Ansatz ist sofort umsetzbar, ohne Legacy-Geräte zu verändern.
Prinzip 2: Kontinuierliche Verifikation
Einmal etablierte Verbindungen werden nicht dauerhaft als vertrauenswürdig eingestuft. Für OT bedeutet das kontinuierliches Monitoring aller Verbindungen auf Anomalien. Auch eine Verbindung, die gestern legitim war, wird heute auf Normkonformität geprüft. OT-SIEM-Systeme implementieren dieses Prinzip durch Verhaltensbaselines und Anomalieerkennung.
Prinzip 3: Annahme einer Kompromittierung (Assume Breach)
Zero Trust geht davon aus, dass eine Kompromittierung bereits stattgefunden hat oder jederzeit stattfinden kann. Für OT bedeutet das: Segmentierung begrenzt den Schaden einer Kompromittierung, schnelle Erkennungsfähigkeiten begrenzen die Verweildauer, und Incident-Response-Pläne sind vorab bereit.
Brauchen Sie Unterstützung bei Zero Trust für OT: Identitätsbasierte Sicherheit?
Unsere Cloud-Architekten unterstützen Sie bei Zero Trust für OT: Identitätsbasierte Sicherheit — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Wie implementieren Sie Zero Trust schrittweise in OT-Umgebungen?
Zero Trust in OT ist ein mehrjähriges Transformationsprogramm, kein Projekt. Gartner empfiehlt einen schrittweisen Ansatz, der mit dem niedrigsten Implementierungsrisiko beginnt (Gartner, 2025).
Schritt 1: Identität für Menschen
Beginnen Sie mit starker Identitätsverwaltung für alle menschlichen Zugriffe auf OT-Systeme. Multi-Faktor-Authentifizierung für Engineering-Workstations, privilegiertes Zugriffsmanagement für OT-Administratoren und Just-in-Time-Zugang für externe Wartungstechniker. Das ist der einfachste Zero-Trust-Einstieg mit sofortiger Wirkung.
Schritt 2: Mikrosegmentierung
Implementieren Sie Mikrosegmentierung innerhalb der OT-Zonen. Statt einer großen OT-Zone mehrere kleine Segmente für einzelne Fertigungslinien, Gerätegruppen oder Prozessbereiche. Jedes Segment hat eigene Firewall-Regeln, die nur notwendige Kommunikation erlauben. Diese granulare Segmentierung ist das wirkungsvollste Zero-Trust-Element für OT.
Schritt 3: Geräte-Identität für moderne OT-Geräte
Moderne OT-Geräte (neuere SPS, IIoT-Gateways, aktualisierte HMI-Systeme) unterstützen oft Zertifikat-basierte Authentifizierung. Implementieren Sie PKI (Public Key Infrastructure) für diese Geräte schrittweise. Legacy-Geräte ohne Authentifizierungsfähigkeit werden durch Netzwerksegmentierung kompensiert.
Schritt 4: Software-Defined Perimeter für Fernzugriff
Ersetzen Sie VPN-basierte Fernzugänge durch Software-Defined Perimeter (SDP)-Lösungen. SDP ermöglicht granularen, identitätsbasierten Fernzugang zu spezifischen OT-Ressourcen statt breiten Netzwerkzugängen. Wartungstechniker erhalten nur Zugang zu den Geräten, die für ihre aktuelle Aufgabe notwendig sind.
Wie verträgt sich Zero Trust mit dem Purdue-Modell?
Zero Trust und das Purdue-Modell sind keine gegensätzlichen Konzepte. Das Purdue-Modell definiert Netzwerkzonen und Segmentierungsgrenzen; Zero Trust definiert Prinzipien für Zugriffsentscheidungen innerhalb und zwischen diesen Zonen. IDC empfiehlt, das Purdue-Modell als strukturellen Rahmen zu nutzen und Zero-Trust-Prinzipien innerhalb dieses Rahmens zu implementieren (IDC, 2025).
Konkret: Das Purdue-Modell definiert, dass Level 3 (MES) und Level 2 (SCADA) durch eine DMZ getrennt sein müssen. Zero Trust definiert zusätzlich, dass jede Verbindung durch die DMZ explizit autorisiert, kontinuierlich überwacht und bei Anomalien sofort unterbrochen wird.
[PERSONAL EXPERIENCE] In Zero-Trust-OT-Projekten erleben wir regelmäßig, dass der Mensch-Zugriffs-Teil (Privileged Access Management) die größte sofortige Sicherheitsverbesserung bringt. Legacy-OT-Geräte können oft nicht sofort mit Zero-Trust-Authentifizierung ausgestattet werden, aber alle menschlichen Zugänge können sofort gesichert werden.
[UNIQUE INSIGHT] Deutsche Industrieunternehmen, die Zero Trust als "minimale Zugriffsrechte für alle OT-Zugriffe" kommunizieren, haben eine höhere Akzeptanz als solche, die es als technisches Konzept einführen. Der operative Sinn - nur das Notwendige erlauben - ist für OT-Ingenieure intuitiv verständlich.
Häufig gestellte Fragen
Kann ich Zero Trust für Legacy-SPS ohne Authentifizierung implementieren?
Direkte Zero-Trust-Authentifizierung ist für Legacy-SPS ohne diese Fähigkeit nicht möglich. Aber kompensierende Zero-Trust-Maßnahmen sind umsetzbar: Mikrosegmentierung isoliert die SPS, nur explizit autorisierte Quellen können kommunizieren, und kontinuierliches Monitoring überwacht alle Verbindungen. Der Effekt ist ähnlich wie Zero Trust, auch ohne Geräteauthentifizierung.
Was ist der Unterschied zwischen Zero Trust und VPN?
Ein VPN erstellt einen breiten Netzwerktunnel, der Zugang zu vielen Ressourcen ermöglicht. Zero Trust erstellt granularen, ressourcenspezifischen Zugang. Ein Wartungstechniker mit VPN kann theoretisch alle OT-Ressourcen im Netzwerk erreichen; mit Zero Trust nur die explizit autorisierten Geräte. Zero Trust ist das sicherere Modell für OT-Fernzugang.
Fazit: Zero Trust als Evolutionspfad, nicht als Revolution
Zero Trust in OT ist ein mehrjähriger Evolutionspfad, der schrittweise implementiert wird. Beginnen Sie mit menschlichen Identitäten und Mikrosegmentierung. Erweitern Sie auf Geräteidentitäten, wo es technisch möglich ist. Legacy-Geräte werden durch kompensierende Kontrollen abgedeckt.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und Zero-Trust-Implementierungen für industrielle Umgebungen.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.