OT-Netzwerksegmentierung: Zonen und Kanäle
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Warum ist Netzwerksegmentierung die wichtigste OT-Sicherheitsmaßnahme?
OT-Netzwerksegmentierung ist die wirkungsvollste Einzelmaßnahme zur Reduzierung von OT-Sicherheitsrisiken. Das SANS Institute berichtet, dass Unternehmen mit konsequenter Netzwerksegmentierung 68% weniger erfolgreiche OT-Angriffe verzeichnen als Unternehmen ohne Segmentierung (SANS ICS Security Survey, 2025). Da 96% aller OT-Angriffe über das IT-Netzwerk eintreten, blockiert konsequente Segmentierung den häufigsten Angriffsweg direkt.
Wichtige Erkenntnisse
- Konsequente Segmentierung reduziert erfolgreiche OT-Angriffe um 68% (SANS)
- 96% der OT-Angriffe treten über das IT-Netzwerk ein (Dragos)
- IEC 62443 Zone-Conduit-Modell ist der anerkannte Segmentierungsrahmen
- DMZ zwischen IT und OT ist Mindestanforderung für NIS2-Compliance
- Mikrosegmentierung innerhalb der OT-Zonen ist der nächste Reifegrad-Schritt
Netzwerksegmentierung allein löst nicht alle OT-Sicherheitsprobleme, aber sie begrenzt den Schaden eines erfolgreichen Angriffs erheblich. Ein Angreifer, der in ein IT-Segment eingedrungen ist, muss mehrere Sicherheitsgrenzen überwinden, bevor er kritische OT-Systeme erreicht.
[INTERNAL-LINK: Purdue-Modell → Was ist das Purdue-Modell?]
Was ist das Zone-Conduit-Modell nach IEC 62443?
IEC 62443 definiert das Zone-Conduit-Modell als Grundlage für OT-Netzwerksegmentierung. Eine "Zone" ist eine Gruppe von logisch oder physisch zusammengefassten OT-Assets mit ähnlichem Sicherheitsbedarf. Ein "Conduit" (Kanal) ist ein Kommunikationspfad zwischen Zonen mit definierten Sicherheitskontrollen (IEC 62443-3-2, 2020).
Zonenbildung: Wie definiere ich Sicherheitszonen?
Zonen werden nach Funktionen, Sicherheitsanforderungen und physischem Standort gebildet. Alle Geräte in einer Zone haben denselben Target Security Level (SL-T). Typische Zonen in einer Fertigungsanlage: Feldgeräte-Zone (Level 0-1), Prozesssteuerungs-Zone (Level 2), Operations-Zone (Level 3), und Unternehmens-Zone (Level 4).
Innerhalb einer Fertigungshalle empfiehlt IEC 62443, separate Zonen für jede Fertigungslinie zu bilden. Eine kompromittierte Linie kann dann keine anderen Linien direkt erreichen. Diese Mikrozonen erhöhen den Aufwand für Angreifer erheblich und begrenzen den Explosionsradius eines Angriffs.
Conduit-Design: Wie sichere ich Kommunikationskanäle?
Conduits sind die kontrollierten Kommunikationspfade zwischen Zonen. Sie definieren, welcher Datenverkehr erlaubt ist, in welche Richtung und mit welchen Sicherheitskontrollen. Ein Conduit enthält Firewalls, Intrusion Detection Systeme (IDS) oder unidirektionale Gateways als Sicherheitskontrollen.
Das Conduit-Design folgt dem Prinzip der minimalen Rechte: Nur explizit definierter Verkehr ist erlaubt, alles andere ist blockiert. Jede Firewall-Regel im Conduit muss dokumentiert, regelmäßig überprüft und nach dem Prinzip der geringsten Berechtigung gestaltet sein.
Brauchen Sie Unterstützung bei OT-Netzwerksegmentierung: Zonen und Kanäle?
Unsere Cloud-Architekten unterstützen Sie bei OT-Netzwerksegmentierung: Zonen und Kanäle — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Wie implementiert man eine DMZ zwischen IT und OT?
Eine OT-DMZ (demilitarisierte Zone) ist der wichtigste Segmentierungsschritt für die meisten Unternehmen. NIST SP 800-82 Rev. 3 definiert drei Mindestanforderungen für eine OT-DMZ: Trennung durch zwei Firewalls, Beschränkung der in der DMZ platzierten Dienste und vollständige Protokollierung aller Verbindungen (NIST, 2023).
Dienste in der OT-DMZ
In der DMZ befinden sich Dienste, die sowohl IT als auch OT benötigen: Historian-Server (Replikation von Prozessdaten), Remote-Access-Gateways, Update-Server für OT-Patches und Schnittstellen-Server für Business-Intelligence-Anbindung. Diese Dienste sind in der DMZ isoliert von beiden Seiten erreichbar, ohne direkte IT-OT-Verbindungen zu ermöglichen.
Firewall-Konfiguration für OT-DMZ
DMZ-Firewalls für OT erfordern spezifische Konfigurationen. IT-seitige Firewall: erlaubt nur notwendige Verbindungen zu DMZ-Diensten aus dem IT-Netz. OT-seitige Firewall: erlaubt nur ausgewählte OT-zu-DMZ-Verbindungen (z.B. Historian-Upload). Keine direkte Verbindung von IT zu OT ist möglich, alle Kommunikation läuft über die DMZ.
Was sind unidirektionale Sicherheitsgateways (Datendipoden)?
Für besonders kritische OT-Umgebungen bieten Datendipoden (Data Diodes) die höchste Segmentierungssicherheit. Sie ermöglichen Datenfluss physisch nur in eine Richtung. Waterfall Security Solutions berichtet, dass Datendipoden die einzige Sicherheitstechnologie sind, die einen vollständig bidirektionalen Angriff physisch unmöglich macht (Waterfall Security, 2025).
In deutschen Kernkraftwerken und bestimmten Rüstungsanlagen sind Datendipoden vorgeschrieben. Energieversorger und Wasserwerke setzen sie zunehmend für ihre kritischsten Steuerungsnetzwerke ein. Der Nachteil: Bidirektionale Kommunikation ist nicht möglich, was Fernwartung und Patch-Management einschränkt.
Wie planen und implementieren Sie OT-Netzwerksegmentierung schrittweise?
OT-Netzwerksegmentierung muss schrittweise und ohne Produktionsunterbrechung implementiert werden. Eine Studie von Fortinet zeigt, dass Segmentierungsprojekte ohne sorgfältige Planung in 43% der Fälle unerwartete Produktionsunterbrechungen verursachen (Fortinet, 2025). Detaillierte Planung und schrittweise Umsetzung sind entscheidend.
Phase 1: Ist-Analyse und Netzwerk-Mapping
Erfassen Sie alle vorhandenen Netzwerkverbindungen zwischen IT und OT, alle OT-Geräte und ihre Kommunikationsbeziehungen. Passive Netzwerküberwachung für 2-4 Wochen liefert die Datengrundlage. Dokumentieren Sie alle Verbindungen, die für den Betrieb tatsächlich notwendig sind, nicht nur die, die dokumentiert sind.
Phase 2: Zonen- und Conduit-Design
Definieren Sie Sicherheitszonen basierend auf Funktionen, Risiko und physischem Standort. Entwerfen Sie Conduits für alle notwendigen Kommunikationsbeziehungen zwischen Zonen. Jeder Conduit wird mit Sicherheitsanforderungen (Firewall-Regeln, IDS-Signaturen) dokumentiert. Holen Sie Bestätigung von OT-Ingenieuren, dass alle betrieblichen Kommunikationspfade berücksichtigt sind.
Phase 3: Schrittweise Implementierung
Implementieren Sie Segmentierungsmaßnahmen in Wartungsfenstern, beginnend mit den unkritischsten Segmenten. Testen Sie jeden Schritt intensiv, bevor Sie zum nächsten übergehen. Halten Sie Rollback-Pläne bereit. Dokumentieren Sie alle implementierten Regeln und kommunizieren Sie Änderungen an alle betroffenen Teams.
[PERSONAL EXPERIENCE] In OT-Segmentierungsprojekten stellen wir fast immer undokumentierte Verbindungen fest, die für den Betrieb tatsächlich notwendig sind. Diese "Schatten-Verbindungen" zu identifizieren, bevor die Segmentierung aktiv ist, ist der kritische Schritt, der Projekte zum Erfolg oder Scheitern bringt.
[UNIQUE INSIGHT] Unternehmen, die passives Netzwerkmonitoring sechs Wochen vor Beginn der Segmentierung installieren, haben eine dreimal niedrigere Rate an unerwarteten Betriebsunterbrechungen während der Implementierung. Die Datenlage rechtfertigt diese Investition in jedem Fall.
Häufig gestellte Fragen
Wie viele OT-Zonen sind für ein mittelgroßes Industrieunternehmen typisch?
Ein mittelgroßes Industrieunternehmen (5-15 Fertigungslinien, 200-1.000 OT-Assets) hat typischerweise 8-20 Sicherheitszonen. Dazu kommen die IT-Zone, die DMZ und 2-5 OT-Betriebszonen pro Standort. Die Anzahl der Zonen sollte dem tatsächlichen Schutzbedarf folgen, nicht einem theoretischen Maximum.
Kann ich Cloud-Dienste direkt mit OT-Zonen verbinden?
Direkte Verbindungen von Cloud-Diensten in OT-Zonen sind ein erhebliches Sicherheitsrisiko. Die empfohlene Architektur: OT-Daten werden über eine sichere DMZ-Zone zu einem Edge-Server geleitet, der dann mit Cloud-Diensten kommuniziert. Direkte Cloud-Verbindungen von OT-Geräten sind mit wenigen Ausnahmen abzulehnen.
Wie halte ich Firewall-Regeln zwischen OT-Zonen aktuell?
OT-Firewall-Regeln müssen dokumentiert, begründet und regelmäßig überprüft werden. Empfehlenswert sind quartalsweise Rule-Reviews mit OT-Ingenieuren und IT-Sicherheitsteams. Jede Regel muss einen dokumentierten Geschäftszweck haben. Regeln ohne aktiven Datenverkehr werden nach Review deaktiviert.
Fazit: Segmentierung ist der Grundstein, nicht die Endstufe
OT-Netzwerksegmentierung ist die wirkungsvollste Einzelmaßnahme, aber nicht die einzige notwendige. Sie schafft die Grundlage, auf der alle anderen Sicherheitsmaßnahmen aufbauen. Ohne Segmentierung ist jede andere Sicherheitsmaßnahme weniger wirksam.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und wie wir OT-Segmentierungsprojekte planen und implementieren.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.