In den letzten Jahren hat sich Zero Trust in der IT-Sicherheit als wesentlicher Ansatz zum Schutz vor Cyberangriffen etabliert. Kein Wunder also, dass es Bestrebungen gibt, Zero Trust auch in der OT zu etablieren. Das bringt neue Herausforderungen.
Zero-Trust-Konzepte sind eine Herausforderung in der Operational Technology (OT), können aber für mehr Sicherheit sorgen.
Traditionell verfügen Industrieunternehmen über zahlreiche OT-Anlagen. Allerdings finden sich cyber-physische Systeme aufgrund der zunehmenden Verbreitung des erweiterten Internets der Dinge (XIoT; Extended Internet of Things) mittlerweile in den meisten modernen Unternehmen. Diese Systeme sind ausgesprochen heterogen und können von Fabrikanlagen über Überwachungssysteme bis hin zur Gebäudeautomation reichen.
Entscheidend ist dabei die Tatsache, dass jede Infrastruktur einzigartig ist. Eine Strategie, die für ein OT-System funktioniert, lässt sich nicht einfach eins zu eins auf ein anderes Unternehmen übertragen. Man muss jede Infrastruktur für sich betrachten und die jeweils entscheidenden Faktoren wie etwa die Latenzzeit berücksichtigen, da diese gravierende Folgen auf die Betriebssicherheit haben kann.
Das Alter von OT-Systemen
Ein weiteres zentrales Problem ist die Tatsache, dass etliche OT-Systeme bereits seit Jahrzehnten im Einsatz sind und nicht in absehbarer Zeit erneuert werden. Während in der IT Geräte meist in einem Turnus von drei bis fünf Jahren ausgetauscht werden, sind insbesondere im industriellen Umfeld, aber auch in Teilen der Gebäudetechnik, Nutzungsdauern von zehn bis dreißig Jahren keine Seltenheit.
Zudem sind die dortigen Systeme oftmals nicht auf eine Vernetzung ausgelegt. Deshalb mangelt es ihnen an den Voraussetzungen, etwa im Hinblick auf die verwendeten Betriebssysteme, sicheren Zero-Trust-Fernzugriff „von der Stange“ zu ermöglichen. Es gibt zwar Tools auf dem Markt, die helfen, einige dieser Probleme individuell zu lösen, aber es gibt – entgegen einigen Marketing-Versprechen – kein Patentrezept für eine Zero-Trust-Implementierung in OT-Umgebungen. Entsprechend sollte man einen risikobasierten Ansatz wählen und dabei berücksichtigen, welche Geräte am wahrscheinlichsten angegriffen und bei welchen die Auswirkungen auf den Betrieb am gravierendsten wären. Denn im Gegensatz zur IT ist bei der OT die Betriebssicherheit das höchste Ziel, dem alles untergeordnet werden muss.
Risiko- und Bedrohungsanalyse
Um zu bestimmen, wie jedes einzelne Gerät geschützt werden sollte, ist es entscheidend, die potenziellen Risiken für dieses Gerät genau zu analysieren. Außerdem muss ermittelt werden, wie angreifbar ein Gerät ist und wie es von Angreifern kompromittiert werden könnte. Traditionell wird das Risiko anhand des Common Vulnerability Scoring System (CVSS) bewertet. Ein weiterer Ansatz ist das Exploit Prediction Scoring System (EPSS), welches die Wahrscheinlichkeit der Ausnutzung einer Schwachstelle bewertet. Kombiniert man beide Methoden, können die individuell relevantesten Schwachstellen effektiver, effizienter und einfacher erfasst und nach Prioritäten geordnet werden. Zusätzlich bietet MITRE ATT&CK für industrielle Kontrollsysteme (ICS) einen guten Ausgangspunkt, um basierend auf tatsächlich erfolgten ICS-Angriffen Erkenntnisse für die eigene Infrastruktur zu gewinnen.
Begrenzte Zeit und Ressourcen
Die größten Herausforderungen für eine unternehmenskritische Umgebung sind stets die begrenzte Zeit und die knappen Ressourcen. Ein enormes Hindernis stellt dabei die Unmöglichkeit dar, Sicherheitsmaßnahmen auf OT-Systemen regelmäßig zu testen. Ausfallzeiten sind, wenn überhaupt, nur in äußerst geringen Maßen möglich. Entsprechend ist es schwierig, Funktionen angemessen zu testen oder hinzuzufügen. Auch hier gilt: Was in einem Teil der Infrastruktur funktioniert, lässt sich nicht ohne Weiteres auf andere Teile übertragen. In einigen Bereichen wird beispielsweise eine Mikrosegmentierung möglich sein, in anderen nicht. Deshalb sollten Unternehmen zunächst bewerten, welche Systeme für sie und die Aufrechterhaltung des Betriebs am wichtigsten sind. Entsprechend der beschriebenen Risikobewertung sollten Sicherheitsverantwortliche untersuchen, wie Systeme in der Vergangenheit ausgenutzt wurden, und diese nach Prioritäten ordnen, indem sie ihre begrenzten Ressourcen auf die Geräte lenken, die aufgrund früherer Vorfälle am meisten gefährdet sein könnten.
Sicherer Fernzugriff als Schlüssel für Zero Trust
Um all diese OT-spezifischen Herausforderungen adressieren zu können, bedarf es Lösungen für den sicheren Fernzugriff, die speziell für diesen Bereich entwickelt wurden. Diese müssen Zero-Trust-Kontrollen und das Least-Privilege-Prinzip effektiv umsetzen. Unternehmen müssen in der Lage sein, sämtliche angeschlossenen Geräte zu identifizieren, granulare Benutzerzugriffskontrollen durchzusetzen, und bei nicht vertrauenswürdiger Kommunikation und abnormalem Verhalten im Netzwerk alarmiert zu werden. Folgende Punkte sollte eine moderne Fernzugriffslösung für OT-Systeme erfüllen:
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Rollen- und richtlinienbasierter Zugang: Sicherheitsverantwortliche sollten extrem granulare Zugangskontrollen für Industrieanlagen auf mehreren Ebenen und an verschiedenen geografischen Standorten definieren und durchzusetzen können – und das bis hin zur Freigabe des Zugangs für einen bestimmten Benutzer zu einer bestimmten Anlage, um eine bestimmte Aufgabe innerhalb eines festgelegten Zeitfensters auszuführen.
Zugriff überwachen, verhindern und aufzeichnen: Transparenz und Kontrolle über den Zugriff von Dritten und Mitarbeitenden vor, während und nach einer Remote-Sitzung sind für die Untersuchung und Reaktion auf bösartige Aktivitäten unerlässlich. Eine ZTNA-Lösung sollte die Möglichkeit bieten, Aktivitäten in Echtzeit zu beobachten und die Sitzung bei Bedarf zu beenden sowie Aufzeichnungen im Nachhinein für Audits und forensische Zwecke einzusehen.
Sichere Authentifizierung: Anstatt sich bei der Passworthygiene auf Dritte zu verlassen, von denen viele ihre Passwörter an mehrere Personen weitergeben, benötigen Sicherheitsverantwortliche die Möglichkeit, Benutzeranmeldeinformationen zentral zu verwalten – mittels Passwortmanagement und optionaler Multi-Faktor-Authentifizierung.
Remote-Incident-Management: Einige ZTNA-Lösungen können Bedrohungserkennungen integrieren, wodurch Sicherheitsverantwortliche bei unbefugten oder ungewöhnlichen Aktivitäten gewarnt werden. Auf diese Weise erhalten sie die nötige Transparenz, um Vorfälle zu überwachen, zu untersuchen und darauf zu reagieren.
Thorsten Eckert.
(Bild: www.mallorcafotograf.com / Calroty)
Fazit
Traditionelle Sicherheitsmodelle, die auf festen Perimetern basieren, reichen nicht mehr aus, um die komplexen und vernetzten IT- und OT-Systeme zu schützen. Zero Trust bietet einen modernen Ansatz, der die Sicherheit auch in OT-Umgebungen deutlich verbessern kann. Und auch wenn die Umsetzung zahlreiche Herausforderungen mit sich bringt, wird Zero Trust mehr und mehr ein unverzichtbarer Bestandteil einer effektiven OT-Sicherheitsstrategie.
Über den Autor
Thorsten Eckert ist Regional Vice President Sales Central bei Claroty.
:quality(80)/p7i.vogel.de/wcms/24/c2/24c27aeefdf93876a395faa9790e6e40/0128909922v2.jpeg "Das Vorspiel ist vorbei. NIS2 fordert Unternehmen heraus, endlich aus ihrem Tiefschlaf zu erwachen und Cybersicherheit zur Priorität zu machen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/4b/ee/4bee19d172fd9c8c8993590986ba9c06/0129260266v2.jpeg "Enrique Lores, Präsident und CEO von HP, ist zurückgetreten und wechselt zum Zahlungsdienstleister Paypal. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/81/37/8137ad44f55d3228683ef68cc3d96963/0129235950v1.jpeg "Peter Zils, Gründer und langjähriger Vorstandsvorsitzender von Ecotel, übernimmt nach dem Rücktritt von Markus Hendrich die Leitung des TK-Lösungsanbieters interimsmäßig. (Bild: Ecotel Commmunication AG)")
:quality(80)/p7i.vogel.de/wcms/ea/44/ea4421ef6d8dcea0d10d9ab51823fe67/0129193951v1.jpeg "Monika Schmetzer ist neue Leiterin der Lenovo ISG Business Group Deutschland und Österreich. Sie folgt auf Dieter Stehle, der das Unternehmen verlässt. (Bild: Lenovo)")
:quality(80)/p7i.vogel.de/wcms/ff/64/ff64c80bbb54c2cc5bd3192564ca9b3f/0129132936v1.jpeg "Dr. Nils Schwerdfeger ist COO bei Myra Security. (Bild: Myra Security)")
:quality(80)/p7i.vogel.de/wcms/66/22/66221b7a2c23107b972d002a3c8f6253/0129110244v1.jpeg "Wahrnehmung zählt: Erwartungen an KI prägen Vertrauen in Demokratie stärker als ihr realer Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/16/27/1627c7f25a427ab5c4135f0cc60022ba/0128572571v1.jpeg "NIS 2 setzt Mindestanforderungen für Governance, Incident-Meldungen und Lieferkettenrisiken, doch Formate und Schnittstellen unterscheiden sich bislang je Mitgliedstaat. (Bild: © NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/da/e1dae6f55425d75714079fffad8e4ad1/0129247479v2.jpeg "Exclusive Networks nimmt Zero Networks ins DACH-Portfolio auf. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/17/fd1778d08449fea134998137a6b60297/0129245350v1.jpeg "Nur 1.034 Gramm bringt das Acer Travelmate P6 14 AI in der von uns getesteten Version auf die Waage. In dem Chassis aus Aluminium-Magnesium-Legierung sitzt ein Mainboard mit einem Intel Core Ultra 7 258V. Das 14-Zoll-IPS-Display liefert die Full-HD+-Auflösung, allerdings nur mit 60 Hz. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0f/77/0f771deb5ec0e397df095a914782ba79/0128876251v1.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos: „Unser Partnerportal ist neben der persönlichen Betreuung die wichtigste Schnittstelle zwischen Sophos und unseren Partnern.“ (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/04/f6/04f6ddd72255faee9ff9922cfedea951/0129047993v2.jpeg "Deepfakes sind ein zweischneidiges Schwert: Sie bieten kreative Möglichkeiten, bergen aber auch ernsthafte Risiken für Unternehmen und deren Sicherheit. (Bild: © ludariimago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d8/24/d82467f22cedecb6b9e352aed1e7761f/0129130135v1.jpeg "Die EU erarbeitet Vorschläge für Google mit Blick auf deren KI-Einsatz. (Bild: © bluedesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/73/71/7371e98d1d3083c53e9c2e4547e1a95c/0129134273v2.jpeg "KI-Projekte erfordern eine leistungsfähige Infrastruktur. Ohne Partner, die das Know-how dafür mitbringen, ist der Weg zu erfolgreichen Lösungen schwer zu finden. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/11/0f/110f00f836727507d8d29697099001f0/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v. l.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/8a/3c/8a3ca24fcd1aad93d9217fad474cf3b4/0129050382v2.jpeg "Der Europa-Park Rust wird vom 23.03.-26.03.2026 wieder von den Cloud-Enthusiasten bevölkert. (Bild: René Lamb Fotodesign GmbH)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:fill(fff,0)/p7i.vogel.de/companies/66/39/6639d5f16d7d9/bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent.png "bb-net-logo-rgb-zweifarbig-claim-einzeilig-transparent (bb-net gmbh)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cc/f3/ccf342d0bc49987dc657b03a0dc52f03/0123879536v4.jpeg "0123785341v3 (Bild: Getty)")
:quality(80)/p7i.vogel.de/wcms/18/4e/184e781771dc0f3ae683e982ec46b45e/0124952137v1.jpeg "Wer Zero Trust nachhaltig umsetzen will, muss über den Tellerrand blicken: Die Kombination aus Zero Trust, souveränen Cloud-Diensten und BSI-C5-zertifizierten Anbietern bietet Unternehmen den bestmöglichen Schutz. (Bild: © 1st footage - stock.adobe.com)")