Einst nur Perimeterschutz – heute identitätsbasierter Datenverkehr für OT-Sicherheit

Für „Operational Technology“ (OT) entsteht Bedarf für eine neue Sicherheitsarchitektur – basierend auf Krypto-Identitäten

[datensicherheit.de, 25.05.2026] In der Welt der „Operational Technology“ (OT) entsteht der Bedarf für eine neue Sicherheitsarchitektur. War es noch vor 20 Jahren vergleichsweise einfach, eine Produktionsanlage zu schützen, stellt sich die Herausforderung heute ganz anders dar. Die damalige Situation: Das Gelände umgaben üblicherweise Zäune und gesicherte Tore. Physisch isolierte Netzwerke und statische Hardware an festen Standorten machten Cyberangriffe von außen ebenso unmöglich wie das Fehlen von Remote-Zugriff und „Cloud“-Umgebungen. „Wer Zugriff auf das Netzwerk hatte, wurde als vertrauenswürdig eingestuft“, erläutert Létitia Combes, BxC Security. Dieses Konzept kam im Lauf der Zeit aber ganz offensichtlich an seine Grenzen. Mittels virtualisierten Steuerungen, „Cloud“-Anbindungen, containerisierten Services und dynamisch bereitgestellten „Assets“ hat sich die industrielle Infrastruktur grundlegend verändert.

OT-Sicherheitsarchitektur auf Basis von Krypto-Identitäten

Combes führt warnend aus: „Zugriffsmöglichkeiten lassen sich nicht länger an einen physischen Ort koppeln. In der ,Operational Technology’ (OT) entsteht deshalb der Bedarf für eine neue Sicherheitsarchitektur – auf Krypto-Identitäten basierte Sicherheit.“

• Warum nun die Verwaltung kryptographischer Identitäten über eine Public-Key-Infrastruktur (PKI) in modernen Produktionsumgebungen sinnvoll ist, lässt sich laut Combes am besten nachvollziehen, wenn man die Entwicklungsschritte betrachtet, die Sicherheitskonzepte in der Industrie über die Jahre durchlaufen haben.

Diese drei nachfolgend skizzierten Phasen dienten dabei der Veranschaulichung. „Je nach Art der Industrie oder Produktion beispielsweise lassen sich die Phasen nicht trennscharf unterscheiden und können zum Teil nebeneinander bestehen.“

1. Die Ära des netzwerkbasierten Vertrauens

„Die erste Generation industrieller Sicherheitskonzepte beruhte auf netzwerkbasiertem Zugriff.“ Neben einer physischen Segmentierung durch Air-Gaps und dedizierter Verkabelung bestanden die Sicherheitsmaßnahmen demnach im Einsatz virtueller Netzwerke (VLANs) und statischer „Access Control Lists“ (ACLs).

• „Die Logik war simpel: Wer sich innerhalb des Netzwerksegments auf dem richtigen Port befand, galt als vertrauenswürdig“, so Combes. Dieses Konzept habe funktionieren können, solange Produktionsumgebungen statisch blieben. Doch die Grenzen dieses Ansatzes seien mit zunehmender Vernetzung offensichtlich geworden.

„Innerhalb einer Zone existiert häufig pauschales Vertrauen: Wer sich innerhalb des Segments befindet, dem wird vertraut.“ Geräteidentitäten und kryptographische Nachweise spielten damals noch keine Rolle. Skalierbarkeit für „Cloud“- oder Remote-Szenarien sei praktisch nicht vorgesehen gewesen.

2. Die Phase protokollbasierter Umsetzung

Später rückten dann „Deep Packet Inspection“ inklusive „Payload“-Analyse und Protokollvalidierungen (Modbus, OPC UA, DNP3) in den Fokus des Sicherheitskonzepts.

• Außerdem seien Firewalls auf der Anwendungsebene zum Einsatz gekommen, welche nicht mehr nur IP-Adressen und Ports analysiert hätten, „sondern ungültige Methodenaufrufe innerhalb des OSI-7-Schichtenmodells blockieren konnten“. Doch auch dieser Ansatz sei letztlich netzwerkzentriert geblieben.

„Die physische oder logische Position eines Geräts bestimmte weiterhin die Zugriffsmöglichkeiten. Identität war noch immer kein zentrales Sicherheitsprinzip.“ Zudem seien klassische physische Inspektionspunkte in verteilten oder „cloud“-basierten Architekturen schnell an technische und organisatorische Grenzen gestoßen.

3. Das Zeitalter identitätsbasierter Kommunikation

„Heute hat sich ein grundlegender Paradigmenwechsel vollzogen. Produktionsanlagen sind über mehrere Standorte hinweg vernetzt.“ Moderne OT-Umgebungen setzten auf virtualisierte Controller, containerisierte Dienste, mit der „Cloud“ verbundene Geräte und dynamisch bereitgestellte Ressourcen.

• Netzwerkbasiertes Vertrauen reiche in so einem Szenario nicht mehr aus. Vielmehr sei es notwendig, auf identitätsbasierte Kommunikation zu setzen. „Dabei können die folgenden Fragen bestimmen helfen, ob eine vertrauenswürdige Kommunikation vorliegt.“

1. „Handelt es sich um ein aktuell gültiges Zertifikat?“
2. „Handelt es sich um den autorisierten Client?“
3. „Ist die Identität kryptographisch nachgewiesen?“
4. „Ist die gegenseitige Authentifizierung abgeschlossen?“

Sicherheit nicht länger nur Schutzmechanismus, sondern Voraussetzung für moderne OT-Betriebsmodelle

Zu den Vorteilen identitätsbasierter Kommunikation gehöre eine bessere Granularität bei der Zugriffskontrolle, welche beispielsweise auch die zentrale Steuerung einer Produktionsanlage von einem Remote-Standort aus ermögliche.

• „Damit Unternehmen davon in vollem Umfang profitieren können, benötigt jede Speicherprogrammierbare Steuereinheit (SPS) eine vertrauenswürdige Identität, Telemetrieverbindungen müssen authentifiziert werden, Software-Updates signiert, Verbindungen gegenseitig verifiziert und Zertifikate kontinuierlich erneuert werden.“

Diese Entwicklung verändere auch die Wahrnehmung von Sicherheitsfragen in der Industrie. Combes gibt abschließend zu bedenken: „Jahrzehntelang galt Security als notwendiges Übel. Bei der identitätsbasierten Kommunikation wird die Public-Key-Infrastruktur (PKI) dagegen zum ,Enabler’. Sie schafft die Vertrauensbasis für verteilte Steuerung, sichere Fernwartung und skalierbare Digitalisierung. Sicherheit ist nicht mehr nur Schutzmechanismus, sondern Voraussetzung für moderne Betriebsmodelle!“

Weitere Informationen zum Thema:

BxC Security
OT Security als Geschäftswert / Bereitstellung maßgeschneiderter Cyber­sicherheits­lösungen für Ihre Geschäftsanforderungen

TOP CONSULTANT
Unternehmensporträt: BxC GmbH & Co. KG of BxC Security

BxC Security
IDIAL – Pro­duk­tions­aus­fälle zu­ver­lässig vermeiden / Industrial Digital Identity for Automated Lifecycle. Sichern Sie den kontinuierlichen Produktions­betrieb durch automati­siertes Zertifikats­manage­ment in OT- und ICS-Umgebungen.

datensicherheit.de, 24.04.2026
Getrenntes IT- und OT-Monitoring größter operativer Blinder Fleck / IT- und OT-Umgebungen sind technisch längst miteinander vernetzt – bleiben im Monitoring aber häufig noch strikt voneinander getrennt

datensicherheit.de, 24.03.2026
OT/ICS Cybervorfälle in industriellen Netzwerken einen neuen Höchststand / IT-Schwachstellen als primäres Einfallstor für OT-Angriffe / 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen