foto magnific

Noch vor 20 Jahren war es einfach, eine Produktionsanlage zu schützen. Das Gelände umgaben üblicherweise Zäune und gesicherte Tore. Physisch isolierte Netzwerke und statische Hardware an festen Standorten machten Cyberangriffe von außen ebenso unmöglich wie das Fehlen von Remote-Zugriff und Cloudumgebungen. Wer Zugriff auf das Netzwerk hatte, wurde als vertrauenswürdig eingestuft. Dieses Konzept kam im Lauf der Zeit aber an seine Grenzen. Mit virtualisierten Steuerungen, Cloud-Anbindungen, containerisierten Services und dynamisch bereitgestellten Assets hat sich die industrielle Infrastruktur grundlegend verändert.

Zugriffsmöglichkeiten lassen sich nicht länger an einen physischen Ort koppeln. In der Operational Technology (OT) entsteht deshalb der Bedarf für eine neue Sicherheitsarchitektur: auf Krypto-Identitäten basierte Sicherheit. Warum die Verwaltung von kryptografischen Identitäten über eine Public-Key-Infrastruktur (PKI) in modernen Produktionsumgebungen Sinn macht, lässt sich am besten nachvollziehen, wenn man die Entwicklungsschritte betrachtet, die Sicherheitskonzepte in der Industrie über die Jahre durchlaufen haben. Die drei skizzierten Phasen dienen dabei der Veranschaulichung. Je nach Art der Industrie oder Produktion beispielsweise lassen sich die Phasen nicht trennscharf unterscheiden und können zum Teil nebeneinander bestehen.

Die Ära des netzwerkbasierten Vertrauens

Die erste Generation industrieller Sicherheitskonzepte beruhte auf netzwerkbasiertem Zugriff. Neben einer physischen Segmentierung durch Air-Gaps und dedizierter Verkabelung bestanden die Sicherheitsmaßnahmen im Einsatz von virtuellen Netzwerken (VLANs) und statischen Access Control Lists (ACLs). Die Logik war simpel: Wer sich innerhalb des Netzwerksegments auf dem richtigen Port befand, galt als vertrauenswürdig.

Dieses Konzept funktionierte, solange Produktionsumgebungen statisch blieben. Doch die Grenzen dieses Ansatzes wurden mit zunehmender Vernetzung offensichtlich. Innerhalb einer Zone existiert häufig pauschales Vertrauen: Wer sich innerhalb des Segments befindet, dem wird vertraut. Geräteidentitäten und kryptografische Nachweise spielten keine Rolle. Skalierbarkeit für Cloud- oder Remote-Szenarien war praktisch nicht vorgesehen.

Die protokollbasierte Umsetzung

Später rückten dann Deep Packet Inspection inklusive Payload-Analyse und Protokollvalidierungen (Modbus, OPC UA, DNP3) in den Fokus des Sicherheitskonzepts. Außerdem kamen Firewalls auf der Anwendungsebene zum Einsatz, die nicht mehr nur IP-Adressen und Ports analysierten, sondern ungültige Methodenaufrufe innerhalb des OSI-7-Schichtenmodells blockieren konnten. Doch auch dieser Ansatz blieb letztlich netzwerkzentriert. Die physische oder logische Position eines Geräts bestimmte weiterhin die Zugriffsmöglichkeiten. Identität war noch immer kein zentrales Sicherheitsprinzip. Zudem stießen klassische physische Inspektionspunkte in verteilten oder cloudbasierten Architekturen schnell an technische und organisatorische Grenzen.

Die identitätsbasierte Kommunikation

Heute hat sich ein grundlegender Paradigmenwechsel vollzogen. Produktionsanlagen sind über mehrere Standorte hinweg vernetzt. Moderne OT-Umgebungen setzen auf virtualisierte Controller, containerisierte Dienste, mit der Cloud verbundene Geräte und dynamisch bereitgestellte Ressourcen. Netzwerkbasiertes Vertrauen reicht in so einem Szenario nicht mehr aus. Vielmehr ist es notwendig, auf identitätsbasierte Kommunikation zu setzen. Dabei können die folgenden Fragen helfen, ob eine vertrauenswürdige Kommunikation vorliegt.

Handelt es sich um ein aktuell gültiges Zertifikat?
Handelt es sich um den autorisierten Client?
Ist die Identität kryptografisch nachgewiesen?
Ist die gegenseitige Authentifizierung abgeschlossen?

Zu den Vorteilen identitätsbasierter Kommunikation gehört eine bessere Granularität bei der Zugriffskontrolle, die beispielsweise auch die zentrale Steuerung einer Produktionsanlage von einem Remote-Standort aus ermöglicht. Damit Unternehmen davon in vollem Umfang profitieren können, benötigt jede Speicherprogrammierbare Steuereinheit (SPS) eine vertrauenswürdige Identität, Telemetrieverbindungen müssen authentifiziert werden, Software-Updates signiert, Verbindungen gegenseitig verifiziert und Zertifikate kontinuierlich erneuert werden.

PKI wird vom Kostenfaktor zum Enabler

Diese Entwicklung verändert auch die Wahrnehmung von Sicherheitsfragen in der Industrie. Jahrzehntelang galt Security als notwendiges Übel. Bei der identitätsbasierten Kommunikation wird die Public-Key-Infrastruktur (PKI) dagegen zum Enabler. Sie schafft die Vertrauensbasis für verteilte Steuerung, sichere Fernwartung und skalierbare Digitalisierung. Sicherheit ist nicht mehr nur Schutzmechanismus, sondern Voraussetzung für moderne Betriebsmodelle.

Létitia Combes, BxC Security

Mehr über das automatisierte Management von Identitäten in OT-Umgebungen finden Sie hier.

https://www.bxc-security.com/de/solutions/idial

Public Key Infrastructure

PKI steht für Public Key Infrastructure (Öffentliche Schlüssel-Infrastruktur). Das ist ein System, das digitale Zertifikate und Schlüssel verwaltet, um sichere Kommunikation und Identitätsprüfung im Internet zu ermöglichen.

Schlüsselkonzepte der PKI – einfach erklärt

Öffentlicher Schlüssel (Public Key) & Privater Schlüssel (Private Key)

Öffentlicher Schlüssel: Kann mit allen geteilt werden. Wird verwendet, um Daten zu verschlüsseln oder digitale Signaturen zu prüfen.
Privater Schlüssel: Bleibt geheim. Wird verwendet, um Daten zu entschlüsseln oder digitale Signaturen zu erstellen.

Beispiel:
Stell dir vor, du hast ein Vorhängeschloss (öffentlicher Schlüssel), das jeder schließen kann, aber nur du hast den Schlüssel (privater Schlüssel), um es wieder zu öffnen.

Digitale Zertifikate

Ein digitales Zertifikat ist wie ein Personalausweis für eine Website oder eine Person im Internet.
Es bestätigt, dass der öffentliche Schlüssel wirklich zu der Person/Website gehört, die sie vorgibt zu sein.
Wird von einer vertrauenswürdigen Stelle (Zertifizierungsstelle, CA) ausgestellt.

Beispiel:
Wenn du eine Website mit HTTPS besuchst, zeigt das Schloss-Symbol im Browser an, dass das Zertifikat der Website gültig ist.

Zertifizierungsstelle (CA – Certification Authority)

Eine vertrauenswürdige Organisation, die digitale Zertifikate ausstellt und prüft.
Bekannte CAs sind z.B. DigiCert, Let’s Encrypt, GlobalSign.

Beispiel:
Wenn du ein SSL-Zertifikat für deine WordPress-Seite kaufst, stellt dir die CA dieses Zertifikat aus.

Verschlüsselung

Daten werden so umgewandelt, dass nur der Empfänger sie lesen kann.
Wird z.B. bei E-Mails, Online-Banking oder HTTPS-Websites verwendet.

Beispiel:
Wenn du eine Nachricht an jemanden schickst, wird sie mit seinem öffentlichen Schlüssel verschlüsselt. Nur er kann sie mit seinem privaten Schlüssel lesen.

Digitale Signatur

Bestätigt, dass eine Nachricht oder ein Dokument wirklich von einer bestimmten Person stammt und nicht verändert wurde.

Beispiel:
Wenn du ein PDF-Dokument digital signierst, kann der Empfänger sicher sein, dass es wirklich von dir kommt.

Warum ist PKI wichtig?

Sicherheit: Schützt vor Betrug und Datenklau.
Vertrauen: Bestätigt die Identität von Websites und Personen.
Integrität: Stellt sicher, dass Daten nicht verändert wurden.

Albert Absmeier & KI

452 Artikel zu „OT-Sicherheit“

News | Industrie 4.0 | Infrastruktur | IT-Security | Künstliche Intelligenz | Online-Artikel | Strategien

Künstliche Intelligenz in der OT-Sicherheit: Vertrauen statt Verunsicherung

4. Februar 2026

Die Entwicklung künstlicher Intelligenz (KI) hat inzwischen auch den Bereich der OT-Sicherheit (Operational Technology) erreicht. Allerdings unterscheiden sich die Ansätze deutlich. Während viele Anbieter KI-Funktionen hastig in ihre Produkte integrieren, setzen andere zunehmend auf einen Ansatz, der Datenschutz, industrielle Anforderungen und menschliche Expertise in den Mittelpunkt stellt. Je weiter sich KI-Anwendungen entwickeln, desto stärker…

Jetzt 25 % Ticketrabatt für »manage it« Leser