OT-Sicherheit steht vor einem Paradigmenwechsel: Vernetzte Anlagen, Cloudanbindungen und dynamische Assets machen identitätsbasierte Kommunikation zur neuen Grundlage.
Vernetzte Anlagen, Cloud und Remotezugriff verändern industrielle Schutzkonzepte.MDKAWSAR - stock.adobe.com
Anzeige
Summary:
BxC Security beschreibt, wie sich OT-Sicherheit vom Perimeterschutz zur identitätsbasierten Kommunikation entwickelt. Der Wandel betrifft moderne Produktionsumgebungen mit virtualisierten Steuerungen, Cloudanbindungen und Remotezugriff. PKI wird dabei zur Vertrauensbasis für sichere Fernwartung, verteilte Steuerung und skalierbare Digitalisierung.
Vor 20 Jahren war der Schutz einer Produktionsanlage vergleichsweise klar strukturiert. Zäune, gesicherte Tore, isolierte Netzwerke und statische Hardware an festen Standorten prägten die Sicherheitsarchitektur. Cyberangriffe von außen waren durch physische Trennung, fehlenden Remotezugriff und nicht vorhandene Cloudumgebungen deutlich schwerer umzusetzen.
Dieses Modell beruhte auf einer einfachen Annahme: Wer Zugriff auf das Netzwerk hatte, galt als vertrauenswürdig. Mit virtualisierten Steuerungen, Cloudanbindungen, containerisierten Services und dynamisch bereitgestellten Assets reicht diese Logik jedoch nicht mehr aus. Zugriff lässt sich nicht länger zuverlässig an einen physischen Ort koppeln, wie aus diesem Beitrag von BxC Security hervorgeht.
Die erste Generation industrieller Sicherheitskonzepte setzte auf netzwerkbasierten Zugriff. Air-Gaps, dedizierte Verkabelung, VLANs und statische Access Control Lists bestimmten, wer kommunizieren durfte. Innerhalb des richtigen Netzwerksegments galt ein Gerät als vertrauenswürdig. Dieses Prinzip funktionierte vor allem in statischen Produktionsumgebungen. Mit zunehmender Vernetzung wurde jedoch sichtbar, dass innerhalb einer Zone häufig pauschales Vertrauen entsteht. Geräteidentitäten und kryptografische Nachweise spielten in diesem Modell keine zentrale Rolle. Auch für Cloud- und Remoteszenarien war diese Architektur kaum skalierbar.
Anzeige
Wie Protokollprüfung die OT-Sicherheit erweitert hat
In einer zweiten Phase rückten Deep Packet Inspection, Payload-Analyse und Protokollvalidierungen in den Fokus. Genannt werden unter anderem Modbus, OPC UA und DNP3. Ergänzend kamen Firewalls auf Anwendungsebene zum Einsatz, die nicht mehr nur IP-Adressen und Ports auswerteten, sondern auch ungültige Methodenaufrufe innerhalb des OSI-7-Schichtenmodells blockieren konnten. Dennoch blieb auch dieser Ansatz netzwerkzentriert. Die physische oder logische Position eines Geräts entschied weiterhin über Zugriffsmöglichkeiten. Identität wurde damit noch nicht zum zentralen Sicherheitsprinzip. In verteilten oder cloudbasierten Architekturen stoßen klassische Inspektionspunkte zudem schnell an technische und organisatorische Grenzen.
Warum identitätsbasierte Kommunikation entscheidend wird
Moderne OT-Umgebungen sind heute über mehrere Standorte hinweg vernetzt. Sie nutzen virtualisierte Controller, containerisierte Dienste, cloudverbundene Geräte und dynamisch bereitgestellte Ressourcen. In solchen Strukturen reicht netzwerkbasiertes Vertrauen nicht mehr aus. Identitätsbasierte Kommunikation stellt andere Fragen:
Anzeige
Ist ein Zertifikat aktuell gültig?
Handelt es sich um den autorisierten Client?
Ist die Identität kryptografisch nachgewiesen?
Wurde die gegenseitige Authentifizierung abgeschlossen?
Der Vorteil liegt in einer feineren Zugriffskontrolle. Diese kann etwa die zentrale Steuerung einer Produktionsanlage von einem Remotestandort aus ermöglichen. Voraussetzung ist, dass jede speicherprogrammierbare Steuereinheit eine vertrauenswürdige Identität besitzt. Außerdem müssen Telemetrieverbindungen authentifiziert, Software-Updates signiert, Verbindungen gegenseitig verifiziert und Zertifikate kontinuierlich erneuert werden.
Sie wollen mehr zum Fachkongress Digitale Fabrik wissen? Klicken Sie hier!
PKI wird zum Enabler der OT-Sicherheit
Mit dem Wandel verändert sich auch die Rolle von Security in der Industrie. Lange galt sie als notwendiges Übel. In identitätsbasierten OT-Architekturen wird die Public-Key-Infrastruktur dagegen zum Enabler. PKI schafft die Vertrauensbasis für verteilte Steuerung, sichere Fernwartung und skalierbare Digitalisierung. Damit wird Sicherheit nicht nur zum Schutzmechanismus, sondern zur Voraussetzung für moderne Betriebsmodelle in der Produktion.
Anzeige
Quelle: BxC
Security
FAQ zur OT-Sicherheit und PKI
1. Warum ist OT-Sicherheit in modernen Produktionsumgebungen schwieriger geworden?
Weil Produktionsanlagen heute stärker vernetzt sind und mit Cloudanbindungen, Remotezugriffen, virtualisierten Steuerungen und dynamischen Assets arbeiten.
2. Welche Schwäche hat netzwerkbasierte OT-Sicherheit?
Innerhalb eines Netzwerksegments entsteht häufig pauschales Vertrauen, ohne dass Geräteidentitäten kryptografisch nachgewiesen werden.
3. Wie unterstützt PKI die OT-Sicherheit?
Eine Public-Key-Infrastruktur verwaltet kryptografische Identitäten und ermöglicht vertrauenswürdige Kommunikation zwischen Geräten, Diensten und Steuerungen.
4. Warum sind Zertifikate für OT-Sicherheit relevant?
Sie helfen dabei, gültige Identitäten nachzuweisen, Kommunikationspartner zu authentifizieren und Verbindungen gegenseitig zu verifizieren.
5. Welche Bedeutung hat OT-Sicherheit für die Digitalisierung?
Sie schafft die Grundlage für sichere Fernwartung, verteilte Steuerung und skalierbare digitale Betriebsmodelle.
