Netzwerksegmentierung in der OT

Eine Zahl bringt den Status quo auf den Punkt: Auf der OT-Security-Konferenz mit über 150 Teilnehmenden gaben nur 9 Prozent an, ihre IT- und OT-Netze vollständig zu segmentieren. 17 Prozent betreiben IT und OT noch in einem gemeinsamen Netz und weitere 8 Prozent trennen die Netze zwar, segmentieren sie aber nicht. Der große Rest hängt irgendwo dazwischen.

Diese Zahl ist zugleich erschreckend und beruhigend. Erschreckend, weil die Segmentierung zu den wirksamsten Schutzmaßnahmen überhaupt gehört und trotzdem über 90 Prozent der Unternehmen Nachholbedarf haben. Beruhigend, weil sie zeigt: Wer jetzt handelt, zeigt, dass die Botschaft angekommen ist. In der Praxis findet sich kaum ein Werk, in dem die Segmentierung am Ende nicht zu etwas geführt hätte.

Doch was bedeutet Segmentierung überhaupt?

Ein flaches Netz ist eine Werkshalle ohne Brandschutztüren. Bricht irgendwo ein Feuer aus, breitet es sich ungehindert aus. Segmentierung zieht diese Türen ein. Technisch bedeutet dies, ein großes Broadcast-Netz in kleinere, kontrollierte Bereiche zu unterteilen – klassischerweise über VLANs – und den Verkehr zwischen diesen Bereichen gezielt zu steuern.

Als Orientierungsrahmen dient das Purdue-Modell. Es staffelt die Ebenen von der Feldebene (Level 0, Sensoren und Aktoren) über die Steuerungs- und Prozessleitebene bis hin zur Unternehmens-IT (Level 4/5). Dazwischen befindet sich die DMZ als Pufferzone. Das Modell ist zwar über 30 Jahre alt, in Zeiten von Cloud und IIoT jedoch kein Dogma mehr. Als gemeinsame Sprache zwischen IT und OT ist es aber nach wie vor Gold wert.

Warum das in der OT besonders zählt?

In der klassischen IT gilt: Vertraulichkeit zuerst. In der OT steht diese Logik auf dem Kopf, hier dominiert die Verfügbarkeit. Eine ausgefallene Steuerung kostet nicht Daten, sondern Produktion, Aufträge und im schlimmsten Fall die funktionale Sicherheit von Mensch und Anlage.

Und genau hier wird ein flaches Netz gefährlich. Die Auslöser sind oft erstaunlich banal. Netzinterne Broadcast-Stürme, der tägliche Scan eines Druckerservers, die Datenabfrage einer Betriebsdatenerfassung oder schlicht jemand, der intern die falsche IP-Adresse eingibt. Beim Thema Angriff denken alle an Hacker mit Kapuze, doch in der Realität ist es viel häufiger ein harmloser Scan oder ein Konfigurationsfehler, der eine Linie lahmlegt. Die Folgen sind in beiden Fällen leider identisch. Sie führen zu Verzögerungen, beeinträchtigen die Produktqualität und im Extremfall werden sogar Safety-Komponenten ausgehebelt. Damit ist die funktionale Sicherheit gemeint, nicht die IT-Sicherheit. Die Folgen sind teuer: Wiederinbetriebnahme, Gewinneinbußen und Reputationsverlust.

Dazu kommt der regulatorische Druck. NIS2 und der BSI-IT-Grundschutz machen Segmentierung faktisch zur Pflicht und auch Cyberversicherer verlangen zunehmend die Kapselung veralteter Systeme. Nüchtern betrachtet ist der ehrlichste Treiber selten die reine Sicherheitseinsicht, sondern meistens Gesetz, Versicherung oder ein gerade noch glimpflich ausgegangener Vorfall.

Der Weg zur Segmentierung umfasst fünf bewährte Phasen

Soweit das Warum. Jetzt folgt das Wie, und hier liegt der eigentliche Wert. Über die Jahre hat sich ein Ablauf in fünf Phasen herauskristallisiert, der gnadenlos pragmatisch ist und sich in jedem Projekt bewährt. Er funktioniert für das Greenfield-Werk genauso wie für den 20 Jahre gewachsenen Brownfield-Bestand.

Phase 1 – Vorbereitung

Alles beginnt mit einer ehrlichen Bestandsaufnahme. Wer sind die Stakeholder? Welche kritischen Geschäftsprozesse hängen am Netz? Welche externen Partner greifen zu? Dazu der Schutzbedarf quer durch alle Bereiche: OT-Netze, HR, F&E, Remote-Wartung, IoT/BYOD, Compliance. Und schließlich der technische Ist-Zustand: VLAN-Struktur, Layer-2/3-Design, vorhandene Firewalls, Redundanzen und Dokumentation.

Das klingt nach unbeliebter Fleißarbeit und genau deshalb wird sie gern übersprungen. Das wäre jedoch ein Fehler. Die häufigste Ursache für gescheiterte Segmentierungsprojekte ist nämlich nicht die falsche Technik, sondern ein Netz, das man segmentiert hat, ohne es vollständig zu kennen. Man kann keine Tür einbauen, ohne die Wand zu kennen.

Phase 2 – Planung

Wenn die Architektur entsteht wird gestaltet. Die Segmentierungsstrategie legt fest, was voneinander getrennt wird: Server, Clients, IoT, Gäste, OT-Linien, DMZ. Und hier beginnt das Nachdenken im Detail. Bekommen verschiedene Servertypen eigene Netze – TL0/TL1, Webserver, PKI, DNS/DHCP, ERP? Teilen wir die Clients klassisch nach Abteilungen auf oder, was oft eleganter ist, nach Etage? Auf diese Fragen gibt es keine Standardantworten, da sie vom jeweiligen Betrieb abhängen. Genau deshalb gehört dieser Schritt an den Anfang und nicht ans Ende.

Das Herzstück der gesamten Planung ist jedoch die Kommunikationsmatrix. Welche Systeme müssen tatsächlich miteinander kommunizieren? Nach dem Prinzip „Need to Use“ wird ausschließlich bekannter, notwendiger Verkehr erlaubt, alles andere wird geblockt. Diese Matrix bildet die Grundlage für alle späteren Firewall-Regeln. Wer sie sauber erstellt, hat den Großteil der intellektuellen Arbeit hinter sich.

Hinzu kommen das Routing- und Firewall-Konzept. Mit Zero Trust als Leitlinie und Inter-VLAN-Verkehr ausschließlich über Firewalls – sowie die Frage der Redundanz: Stack-Switches, Core-Redundanz, HA-Firewalls und VRRP/HSRP. In der OT ist Hochverfügbarkeit Voraussetzung.

Phase 3 – Weichenstellung

Jetzt fällt die Entscheidung, an der alles hängt. Es gibt nicht den einen richtigen Weg, sondern Entscheidungszweige, und der Bestand gibt die Richtung vor:

• Geringer Aufwand, dezentrale Kontrollpunkte, minimaler Eingriff in die Produktion → Layer 2 dominiert.
• Höherer Aufwand, dafür zentrale Kontrollpunkte mit klaren Routing-Segmenten und Firewall-Zonen → Layer 3.
• Hohe Sicherheitsanforderungen (Zero Trust, Compliance) → Layer-3-Segmentierung wird Pflicht.
• Alte OT-Geräte im Bestand → Layer-2-Segmente pro Produktionslinie oder Maschine, also Mikrosegmentierung.
• Bei einer bereits segmentierten Infrastruktur sollte das L3-Zonenkonzept gestärkt und das Regelwerk granularer gemacht werden.

Worin liegt der praktische Unterschied? Der klassische Layer-3-Weg zeichnet sich durch saubere Routing-Segmente aus und erfolgt über eine zentrale Steuerung durch Firewalls. Der Preis dafür ist meist eine IP-Umstellung jeder betroffenen Maschine, in der Praxis dauert das inklusive Wartungsfenster rund 3 bis 5 Stunden pro Maschine. Bei 200 Maschinen wird daraus schnell ein Projekt, das sich über mehrere Monate erstreckt. Viele alte Steuerungen vertragen die neue IP schlicht nicht.

Der Layer-2-Weg umgeht das Problem. Ein Gerät wird transparent „in die Leitung“ gehängt (Bump in the Wire) und segmentiert, ohne die L3-Topologie anzufassen. Es gibt keine IP-Umstellung und die Umsetzung ist deutlich schneller. Im Idealfall gibt es einen Hardware-Bypass für den Störfall. Gute Geräte dieser Klasse verstehen zudem Industrieprotokolle wie Modbus, PROFINET, S7COMM oder OPC UA per Deep Packet Inspection und lassen per Whitelisting nur bekannten Verkehr durch.

Die Erfahrung aus zahlreichen Projekten spricht dabei eine klare Sprache. In den meisten Brownfield-Werken ist eine Kombination aus L3-Zonen im Rückgrat für die grobe Trennung und L2-Mikrosegmentierung direkt an der kritischen oder alten Maschine die beste Antwort.

Phase 4 – Umsetzung

Hier zahlt sich die Vorarbeit aus oder sie rächt sich. Je nach Entscheidung aus Phase 3 verläuft die Umsetzung unterschiedlich.

Beim Layer-2-Ansatz geht es vergleichsweise schlank zu: Gerät und Management-System werden implementiert, das Policy-Learning wird aktiviert und das Regelwerk wird geschärft, dann geht es live.

Der Layer-3-Ansatz ist umfangreicher: VLAN-Struktur ausrollen, DHCP-Scopes je Segment definieren, Routing auf Core oder Firewall aktivieren, Logging und Monitoring einschalten. Hinzu kommen die Feinarbeiten an DNS, NAC/802.1X und WLAN-Zuweisungen.

Was beide Wege gemeinsam haben und was niemand überspringen sollte, ist eine gründliche Testphase. Ping, DNS, DHCP, Routing, Performance und vor allem Failover müssen durchgeprüft werden, bevor die erste produktive Maschine umzieht. Die Migration selbst läuft dann schrittweise in Gerätegruppen und in Wartungsfenstern ab. Big Bang ist in der OT keine Strategie, sondern ein Risiko.

In Phase 5 – Betrieb und Übergabe

Mit dem Go-live ist das Projekt nicht zu Ende, sondern es fängt eigentlich erst an. Eine saubere Dokumentation von VLAN-Plan, IP-Plan, Firewall-Regeln und Topologien ist die Lebensversicherung für alle, die später eingreifen müssen. Die Schulung von IT und OT zu Prozessen, Onboarding und Netzwerkgrenzen sorgt dafür, dass die Architektur im Alltag auch gelebt wird. Ein laufendes Monitoring von Traffic, Logs, Blockaden und Kapazitäten hält sie gesund. Und über allem stehen regelmäßige Reviews. Ein Netz verändert sich, neue Maschinen kommen hinzu und Regeln veralten. Segmentierung ist kein Projekt mit Enddatum, sondern ein Zustand, den man pflegt.

Der eine entscheidende Schritt

Wenn man aus diesen fünf Phasen einen einzigen Moment herausgreift, dann ist es weder der Einbau des Switches noch die Firewall-Regel, sondern der Augenblick, in dem IT und OT zum ersten Mal an einem Tisch sitzen und gemeinsam die Kommunikationswege dokumentieren.

Die ehrlichste Erkenntnis aus all dem ist, dass Segmentierung fast nie an der Technik scheitert. Die ist seit Jahren reif. Was fehlt, ist meistens die Brücke zwischen zwei Abteilungen, die einander nicht ganz trauen. Die IT hält die OT für rückständig und die OT die IT für realitätsfern. Beide haben ein wenig recht. Und genau deshalb müssen sie miteinander reden, bevor irgendjemand etwas anfasst.

Segmentierung leistet mehrere Dinge auf einmal: Sie kontrolliert den Zugriff, isoliert Funktionen, kapselt nicht gepatchte Systeme, verhindert das Abhören und Manipulieren von Klartextkommunikation und unterbindet die laterale Ausbreitung von Schadsoftware. Eine Brandschutztür eben.

Drei Punkte zum Mitnehmen

1. Fehlende Segmentierung ist das größte vermeidbare Risiko für die Produktion und das Schöne daran ist, dass es vermeidbar ist.
2. Ein strukturierter Ablauf ist besser als jeder Aktionismus. Die fünf Phasen sind der Unterschied zwischen einem Netz, das sicherer wird, und einem, das nur anders aussieht.
3. Der erste Schritt ist kein Switch, sondern ein Gespräch zwischen IT und OT.