Zero Trust: Absicherung mobiler IoT- und OT-Systeme

Gerade in diesen Bereichen ist der Datenverkehr bislang nur schwer oder nur mit großem Aufwand zu kontrollieren. Zudem spielt die Mobilität in vielen Einsatzbereichen eine Rolle.

Von unserem Gastautor Christoph Schuhwerk, CISO in Residence bei Zscaler

[datensicherheit.de, 12.03.2026] Zero Trust hat sich als Prinzip einer Sicherheitsarchitektur in vielen Unternehmen etabliert: Vertrauen wird nicht vorausgesetzt, sondern fortlaufend überprüft mit dem Ziel, Zugriffe und Datenflüsse konsequent nach dem „Least-Privilege“-Prinzip abzusichern. In klassischen IT-Umgebungen ist dieser Sicherheitsansatz angekommen, aber in Produktionsumgebungen oder Systemen mit mobilem IoT-Datenverkehr besteht noch Nachholbedarf.

In diesen Bereichen ist der Datenverkehr bislang nur schwer oder mit großem Aufwand zu kontrollieren. Dazu zählen insbesondere OT- und IoT-Systeme, bei denen Mobilität in vielen Einsatzbereichen eine Rolle spielt. Gerade hier wächst die Anzahl der Anwendungsfälle rasant und mit ihr die Notwendigkeit, Zero Trust so zu erweitern, dass auch diese Umgebungen zuverlässig und praktikabel abgedeckt werden.

Christoph Schuhwerk, CISO in Residence bei Zscaler, Foto: Zscaler

Achillesferse der Datensicherheit

Im Zuge der Digitalisierung von großen Teilen der Industrie wird Flexibilität für Systeme und Mitarbeiter zunehmend zur Grundanforderung. Ein Beispiel sind Scanner im Warehouse-Management: Oft laufen diese Geräte nicht mit einem vollständigen Android-System, sondern mit einem stark reduzierten, geschlossenen System. Häufig kommen SIM-Karten zum Einsatz, über die das Gerät mit einem Gateway kommuniziert.

In der Praxis entstehen dadurch komplexe Kommunikationswege: Der Datenverkehr läuft beispielsweise beim Drucken von Labels über das Mobilfunknetz zu den Gateways der Mobilfunkbetreiber, von dort weiter zum Firmennetzwerk, dann zu einem Druckserver an einem anderen Standort und anschließend zum Drucker. Genau die Kommunikationskette kann zur Angriffsfläche werden. Nicht unbedingt weil einzelne Komponenten per se unsicher sind, sondern weil die Kette nur so stark ist wie ihr schwächstes Glied.

Ein weiteres typisches Szenario betrifft Maschinen, die nach der Inbetriebnahme weiterhin vom Hersteller überwacht und gewartet werden. Dafür werden beispielsweise Telemetriedaten oder Firmware-Updates übertragen. In der Vergangenheit wurden Zugriffsanforderungen oft mit eher improvisierten Methoden gelöst wie beispielsweise mit separaten Wartungs-Ports, die physisch verplombt wurden, oder über Fernwartungs-Zugänge, die zwar nur temporär geöffnet wurden, aber nicht durchgehend Ende-zu-Ende abgesichert waren. Denn irgendwo muss es immer eine Instanz geben, die den Traffic passieren lässt. Und genau dort ist die Achillesferse: eine kleine, aber entscheidende Schwachstelle, die immer wieder aufs Neue gefunden und geschlossen werden muss, wenn sichere Kommunikation gewährleistet sein soll.

Die SIM-Karte als Ausgangspunkt für Sicherheit

Viele der beschriebenen Use Cases entstehen dort, wo Geräte oder Dinge beweglich eingesetzt werden und über Mobilfunk kommunizieren müssen. In solchen Szenarien rückt die SIM-Karte als technischer Ankerpunkt in den Fokus: Genau hier findet der relevante und potenziell angreifbare Datenverkehr statt, den Angreifer als Einfallstor in weitere Netzbereiche nutzen könnten. Der Ansatz von Zero Trust Everywhere setzt deshalb möglichst nah am Gerät an und verschiebt den Beginn der Absicherung bis an den Kommunikationsursprung.

Konkret bedeutet das: Die SIM-Karte wird Bestandteil des Sicherheitskonzepts und der Datenverkehr wird direkt dort zu einem Microtunnel gebündelt und anschließend verschlüsselt Ende-zu-Ende übertragen. Auch der Mobilfunkanbieter kann den Traffic in diesem Modell nur verschlüsselt sehen, nicht jedoch die Inhalte. Geht ein Gerät verloren oder wird ein Gerät entwendet, kann es einzeln gesperrt werden. Dank Überprüfung des Gerätekontexts wird auch der Zugriff durch unautorisierte Parteien unterbunden. Umgekehrt fällt auch der Versuch der Manipulation der SIM-Karte auf und kann zur Sperrung des Geräts führen. Über einen Zero Trust-Ansatz z.B. mit Zscaler Cellular wird die Absicherung der Identität und des Datenflusses auch für mobile Endgeräte oder mobile und fahrbare Gegenstände einfach möglich.

Policies bleiben zentral, Netze werden austauschbar

Ein zentrales Ziel moderner Produktion ist eine weitgehend automatisierte Fertigung (Stichwort: „Dark Factory“). Teil- oder voll-autonome Roboter, Komponenten und Geräte müssen dabei kontinuierlich überwacht und kontrolliert werden, ohne die betriebliche Flexibilität zu verlieren. Genau hier stoßen klassische Netzwerkmodelle häufig an ihre Grenzen: Wenn ein Gerät den Standort wechselt, ist es oft zu aufwändig, Netzwerk-Policies immer wieder neu anzupassen und am alten Ort sauber zurück zu bauen.

Das Zero Trust Everywhere-Prinzip eliminiert diesen Aufwand, indem es die Security vom darunterliegenden Transportnetz entkoppelt: Die Policy wird Cloud-basiert vorgehalten und überwacht, während das Netzwerk selbst nur als Transportmedium fungiert. Damit spielt es für die Durchsetzung der Sicherheitsregeln keine entscheidende Rolle, ob ein Gerät über WLAN, 5G oder eine andere Technologie kommuniziert, wo es sich befindet oder wie schnell die Anbindung ist – solange eine Internetverbindung besteht.

Entscheidend dabei ist es, die starke Sicherheitskette möglichst früh zu beginnen und möglichst spät – also so nah wie möglich am anfragenden Gerät und am Datensatz – zu beenden und zwischen den Punkten eine durchgehende Verschlüsselung aufrechtzuerhalten. Auf diese Weise wird Zero Trust auf Teile des Ökosystems ausgedehnt, die bisher nur eingeschränkt erreichbar waren.

In solchen Anwendungsbereichen erkennen Unternehmen, dass Cybersicherheit nicht bei klassischen IT-Endpunkten enden darf. Eine stärker automatisierte und mobilere Industrie muss den Schutz konsequent auf Geräte ausweiten, die in OT-/IoT-Umgebungen betrieben werden und über SIM-Karten kommunizieren. Wird die SIM-Karte als Beginn der Verschlüsselung und Policy-Durchsetzung verstanden, lassen sich auch bislang schwer greifbare Datenflüsse kontrolliert gestalten. Ein solches Umdenken geht mit einem weiteren Schritt in Richtung allumfassender Cyber-Resilienz einher.

Zero Trust – Executive Overview

• Zero Trust muss über klassische IT hinaus gedacht werden, weil mobile OT- und IoT-Systeme zunehmend kritische Datenflüsse erzeugen.
• In verteilten Kommunikationsketten entsteht ein Risiko dort, wo Datenverkehr durchgelassen oder nur teilweise abgesichert wird.
• Zero Trust Everywhere setzt möglichst nahe am Gerät an und nutzt die SIM-Karte als technischen Anker, damit Verschlüsselung frühestmöglich beginnt.
• Der gesamte Traffic wird über einen Microtunnel Ende-zu-Ende verschlüsselt übertragen, sodass auch Netzbetreiber nur verschlüsselte Daten sehen.
• Cloud-basiert werden Policies über einen Sicherheitsbroker umgesetzt, während das Transportnetz austauschbar wird.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2026
Post-Quantum-Readiness: Akuter Anspruch für die Datensicherheit der Zukunft

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion