Cyberbedrohungen können sich über verschiedene Pfade ausbreiten, etwa über eine Brücke zwischen Unternehmens-IT und Produktionsnetz (IT-to-OT Pivot), über manipulierte Fernzugänge (Compromised Remote Access), durch interne Angriffe (Insider Threat) oder über infizierte Wechseldatenträger bei Vor-Ort-Wartungen (Infected Removable Media). Ohne geeignete Segmentierung und Zugriffskontrollen lassen sich solche Angriffsketten kaum wirksam unterbrechen.
Ein Cyberangriff, eine kompromittierte Office-IT – und kurz darauf steht die Produktion still. Dieser Ketteneffekt wird für Industrieunternehmen zunehmend zur Realität. Ein aktuelles Beispiel zeigt, wie schnell es ernst werden kann: Der Serviettenhersteller Fasana wurde Opfer eines Ransomware-Angriffs. Die Produktion kam zum Stillstand – am Ende stand die Insolvenz. Der Fall macht deutlich, wie wichtig Schutzmaßnahmen für IT und OT sind. Eine wirksame Maßnahme, um solche Szenarien zu verhindern und die Ausbreitung eines Angriffs einzudämmen, ist OT-Segmentierung.
OT-Segmentierung und ihre Bedeutung
OT-Segmentierung bezeichnet die strategische Unterteilung industrieller Infrastrukturen in separate logische oder physische Zonen mit kontrollierten Grenzen, die den Kommunikationsfluss zwischen Geräten oder Gerätegruppen regulieren. Anders als bei der klassischen IT-Segmentierung, die primär der Netzwerkoptimierung dient, zielt OT-Segmentierung darauf ab, im Fall eines Angriffs laterale Bewegungen zu begrenzen und die potenziellen Auswirkungen eines Sicherheitsvorfalls einzudämmen.
In der Praxis bedeutet OT-Segmentierung den Aufbau von auf Whitelists basierenden Sicherheitsbarrieren zwischen verschiedenen funktionalen Bereichen, wie etwa zwischen der Überwachungs- und der Maschinensteuerungsebene. Der Zugriff zu jedem Funktionsbereich wird von Richtlinien geregelt, die durch Protokolle, Adressen oder Verhaltensmuster definiert sind. Entscheidend ist dabei: Kommunikation wird nicht blockiert, sondern kontrolliert, sichtbar und nachverfolgbar gestaltet.
Die Vorteile von OT-Segmentierung: Sie reduziert die Angriffsfläche drastisch und sichert somit die Betriebskontinuität, verhindert ungeplante Ausfallzeiten und schützt Prozessdaten, Sachwerte und Arbeitsplätze. Außerdem trägt diese Maßnahme zur Einhaltung regulatorischer Vorschriften wie NIS-2 bei. Sie begrenzt unter anderem die Schadensausbreitung, kontrolliert den Zugriff sowie Autorisierung auf verschiedene Systembereiche und hilft, Sicherheitsvorfälle schneller zu identifizieren. „Angesichts der aktuellen Bedrohungslage wird OT-Segmentierung zu einem entscheidenden Wettbewerbsvorteil. Laut unserem für Deutschland veröffentlichten Cyberbedrohungs-Bericht ist die Fertigungsindustrie in Deutschland die am stärksten von Cyberangriffen betroffene Branche”, erläutert Alessandro Zuech, Head of OT Security bei Yarix, die Marke der Var Group für Cybersecurity.
Mythen aus der Praxis
Ein häufiger Irrglaube in der industriellen Praxis ist die Annahme, OT-Segmentierung bestehe lediglich darin, Netzwerke mit Firewalls oder VLAN zu trennen. Aus diesem Grund werden bei der Implementierung oft die tatsächlichen Kommunikationsflüsse und Abhängigkeiten zwischen den OT-Geräten nicht in Betracht gezogen, obwohl das die Grundlage einer sicheren OT-Umgebung ist. Diese vereinfachte Sichtweise führt oft zu Fehlkonzeptionen, die im schlimmsten Fall wirkungslos oder sogar kontraproduktiv sind.
Ein weiterer verbreiteter Mythos betrifft die Auswirkungen auf die Betriebsabläufe: Viele Unternehmen befürchten, dass OT-Segmentierung die Effizienz industrieller Prozesse beeinträchtigen könnte. Tatsächlich sichert eine richtig konzipierte Segmentierung allerdings die Prozesskontinuität, da sie die Widerstandsfähigkeit der Anlagen erhöht und den Schaden im Angriffsfall eindämmt. Statt Prozesse zu stören, schützt sie diese vor unerwünschten Eingriffen und Störungen.
Nicht zuletzt wird Segmentierung häufig als einmalige Aufgabe betrachtet, während es sich in Wahrheit um einen kontinuierlichen Prozess handelt, der mit der Evolution des Netzwerks Schritt halten muss. Gerade in der Industrie, wo Anlagen oft über Jahrzehnte betrieben werden und immer wieder neue Komponenten hinzukommen, ist ein dynamisches Segmentierungskonzept unerlässlich.