Zero Trust in der Industrie 4.0: Schutz, der mit deiner Angriffsfläche wächst

Industrie 4.0 schafft neue Angriffsflächen. Warum Zero Trust der richtige Ansatz ist und wie die Umsetzung in der Praxis aussieht.

  • ca. 8 Minuten
  • Illustration eines Wookiee-Maskottchens auf einem goldenen SchutzschildRedaktion carmasec
  • 16. Juli 2025

Das Ausgangsproblem: OT wurde nicht für Vernetzung gebaut

Operational Technology in der Energieversorgung, in Wasserwerken, in der Verkehrsinfrastruktur oder im Gesundheitswesen hat einen grundlegenden Konstruktionsfehler aus heutiger Perspektive: Sie wurde für Verfügbarkeit und Prozessstabilität entwickelt, nicht für Sicherheit gegen Cyberangriffe. Steuerungssysteme auf Basis proprietärer Protokolle wie Modbus, Profibus oder DNP3 liefen jahrzehntelang in physisch isolierten Umgebungen. Der sogenannte Air Gap, die physische Trennung vom Internet, war das primäre Sicherheitskonzept.

Diese Isolation existiert in der Form nicht mehr. Die zunehmende IT/OT-Konvergenz, ausgelöst durch Fernwartungsanforderungen, Effizienzprogramme und die Integration von Smart Grid, SCADA und industriellen IoT-Komponenten, hat die Grenzen aufgelöst. Was früher eine Produktionsinsel war, ist heute über ZTNA-Gateways, Cloud-Backends und Wartungs-VPNs mit der Außenwelt verbunden. Und damit angreifbar.

Das Purdue Enterprise Reference Architecture Model (PERA), lange Zeit der konzeptuelle Rahmen für OT-Sicherheit, beschreibt eine klare Zonierung in Ebenen: von der Feldgeräteebene über die Steuerungsebene bis hin zur Unternehmens-IT. Theorie und Praxis klaffen hier weit auseinander. In der Praxis überspringen Wartungszugänge, Remote-Dienste und Datenintegrationspfade diese Zonen. Angreifer:innen auch.

 

Was Zero Trust bedeutet und wo der Begriff herkommt

Den Begriff „Zero Trust“ prägte John Kindervag 2010 während seiner Zeit als Analyst bei Forrester Research. Die Kernthese: Kein Gerät, kein Nutzer, keine Verbindung darf allein aufgrund seiner Netzwerklokation als vertrauenswürdig gelten. Weder innerhalb noch außerhalb des Perimeters. Vertrauen muss explizit und kontinuierlich hergestellt werden, nicht implizit vorausgesetzt.

Das National Institute of Standards and Technology (NIST) hat diesen Rahmen 2020 mit der SP 800-207 formalisiert. Drei Kernprinzipien stehen im Zentrum: „Verify explicitly“ bedeutet, dass jede Zugriffsanfrage anhand von Identität, Gerätekontext und Verhalten geprüft wird. „Use least privilege access“ begrenzt Berechtigungen strikt auf das, was für eine Aufgabe erforderlich ist. „Assume breach“ geht davon aus, dass eine Kompromittierung bereits stattgefunden haben kann, und entwirft Architekturen, die laterale Bewegungen innerhalb des Netzwerks verhindern.

Die CISA (Cybersecurity and Infrastructure Security Agency) hat darauf aufbauend ein Zero Trust Maturity Model entwickelt, das fünf Säulen definiert: Identity, Devices, Networks, Applications and Workloads sowie Data. Diese Säulen beschreiben, wo Zero Trust-Kontrollen ansetzt und in welcher Reihenfolge eine Reifegradentwicklung sinnvoll ist.

Warum KRITIS ein besonderes Problem hat

KRITIS-Betreiber stehen vor Einschränkungen, die in der klassischen IT-Welt so nicht vorkommen.

Lange Betriebszyklen.
OT-Systeme laufen 15 bis 25 Jahre. Ein Leitsystem, das heute im Einsatz ist, wurde unter anderen Bedrohungsannahmen beschafft. Patches sind oft nicht möglich, weil der Hersteller keine bereitstellt, weil Zertifizierungen erlöschen würden, oder weil ein Neustart der Anlage operativ nicht tolerierbar ist. Das Ergebnis ist eine verwundbare, aber produktionskritische Landschaft, die sich nicht einfach modernisieren lässt.

Proprietäre Protokolle ohne Authentifizierungslogik.
Modbus kennt keine Authentifizierung. DNP3 in seiner Basisversion auch nicht. Viele OT-Protokolle wurden unter der Annahme entwickelt, dass niemand Unberechtigtes im Netz ist. Diese Annahme ist heute nicht mehr haltbar. Zero Trust kann hier nicht mit klassischen Nutzername-Passwort-Mechanismen arbeiten, sondern benötigt Lösungen wie zertifikatsbasierte Geräteidentitäten (X.509) und protokollbewusste Proxies.

Fehlende Security-Teams.
Viele KRITIS-Betreiber, insbesondere mittelgroße Stadtwerke, Wasserversorger oder Krankenhäuser, haben keine dedizierten OT-Security-Ressourcen. Der für Zero Trust notwendige Aufwand bei Inventarisierung, Klassifizierung und Monitoring erscheint vor diesem Hintergrund prohibitiv. Er ist es nicht, wenn man mit dem richtigen Scope beginnt.

Regulatorischer Druck steigt.
§8a BSIG verpflichtet KRITIS-Betreiber bereits heute zu technischen und organisatorischen Schutzmaßnahmen nach Stand der Technik. NIS2 (umgesetzt in Deutschland durch das NIS2UmsuCG) verschärft die Anforderungen und weitet den Geltungsbereich erheblich aus. Artikel 21 NIS2 fordert explizit Risikokonzepte, Netzwerksicherheitsmaßnahmen, Zugriffskontrollkonzepte und Segmentierung. Das sind genau die Bausteine, die Zero Trust adressiert.

Zero Trust in der OT-Praxis: Was funktioniert und was nicht

Die direkte Übertragung von IT-seitigen Zero Trust-Architekturen auf OT-Umgebungen scheitert in der Regel. Ein Industrieregler kann kein Software-Agenten ausführen. Eine SPS unterstützt keine MFA. Ein SCADA-System toleriert keine Latenzen durch kontinuierliche Authentifizierungsprüfungen, wenn Echtzeitsteuerung erforderlich ist.

Das bedeutet aber nicht, dass Zero Trust-Prinzipien in OT-Umgebungen nicht umsetzbar sind. Es bedeutet, dass die Implementierung angepasst werden muss.

Mikrosegmentierung nach Zone-Conduit-Modell

IEC 62443 beschreibt das Zone-Conduit-Modell als Grundlage für OT-Sicherheitsarchitekturen. Zonen gruppieren Assets nach Schutzbedarf und Kommunikationsprofil. Conduits definieren, welche Kommunikation zwischen Zonen erlaubt ist. Dieses Modell ist direkt mit Zero Trust-Prinzipien kompatibel: Kein Datenfluss zwischen Zonen ohne explizite Kontrolle und Protokollierung. Unidirektionale Datendioden für unkritische Monitoring-Daten von OT nach IT sind ein bewährtes Mittel, um Angriffsflächen strukturell zu reduzieren.

Geräteidentität statt Nutzeridentität

Wo Nutzer nicht authentifiziert werden können, müssen Geräte es sein. X.509-Zertifikate für OT-Endpunkte sind machbar, auch in Legacy-Umgebungen, wenn die Zertifikatsverwaltung über geeignete PKI-Infrastruktur erfolgt. Geräteidentitäten sind die Grundlage für granulare Zugriffskontrollen auf Netzwerkebene.

ZTNA statt VPN für Remote Access

Fernwartungszugänge auf Leittechnik sind einer der häufigsten Angriffsvektoren auf KRITIS-Infrastrukturen. Klassische VPN-Zugänge geben Wartungstechniker:innen oft weitreichenden Netzwerkzugriff weit über das hinaus, was für die jeweilige Aufgabe notwendig ist. ZTNA-Lösungen beschränken den Zugriff auf exakt die Ressource, die benötigt wird, für genau die Dauer, die erforderlich ist, mit vollständiger Protokollierung.

Network Detection and Response (NDR) für OT-Sichtbarkeit

Zero Trust setzt Sichtbarkeit voraus. In OT-Umgebungen, wo Agenten nicht einsetzbar sind, liefert passives NDR diese Sichtbarkeit durch Analyse des Netzwerkverkehrs. OT-fähige NDR-Lösungen verstehen proprietäre Protokolle und erkennen Anomalien im Kommunikationsverhalten, ohne aktiv in den Prozess einzugreifen. Das ist der Einstieg in kontinuierliches Monitoring, wie es das „Assume Breach“-Prinzip verlangt.

NIS-2 als konkreter Anlass

Die NIS2-Richtlinie ist kein abstraktes Compliance-Konstrukt. Sie definiert Mindestanforderungen, die inhaltlich stark mit Zero Trust-Prinzipien übereinstimmen. Risikomanagement und Risikoanalyse, Netzwerksicherheit und Segmentierung, Zugriffsverwaltung und Authentifizierung, Monitoring und Vorfallserkennung: Diese Anforderungen aus Artikel 21 NIS2 lassen sich nicht durch Dokumentation allein erfüllen. Sie erfordern technische Umsetzung.

Zero Trust bietet hier einen strukturierten Rahmen, der NIS2-Anforderungen nicht nur erfüllt, sondern operationalisiert. Wer Zero Trust als Architekturprinzip einführt, baut gleichzeitig die Evidenz auf, die ein NIS2-Audit erfordert: Zugriffsprotokolle, Segmentierungsnachweise, Geräteinventare, Anomalie-Alerts.

Wie der Einstieg gelingt: risikoorientiert, nicht maximal

Zero Trust ist kein Schalter, den man umlegt. Es ist ein Reifegradprozess. Der häufigste Fehler ist der Versuch, das gesamte Architekturkonzept auf einmal umzusetzen. Das scheitert an Ressourcen, an Legacy-Systemen und an der Komplexität der Abhängigkeiten.

Der richtige Ansatz ist risikobasiert: Welche Assets sind kritisch? Welche Zugänge sind am stärksten exponiert? Welche lateralen Bewegungspfade im Netz wären für Angreifer:innen am lukrativsten? Diese Fragen beantwortet eine strukturierte Risikoanalyse nach BSI IT-Grundschutz oder ISO 27001. Auf Basis dieser Antworten lässt sich eine Zero Trust-Roadmap entwickeln, die mit den wirkungsvollsten Maßnahmen beginnt und sukzessive ausbaut.

Das CISA Zero Trust Maturity Model beschreibt fünf Entwicklungsstufen je Säule: Traditional, Initial, Advanced, Optimal. Kein KRITIS-Betreiber muss auf Anhieb „Optimal“ erreichen. Ein klar definierter Ausgangszustand und ein realistischer Zielpfad sind wertvoller als eine ambitionierte Architektur, die in der Umsetzung steckenbleibt.

Fazit

Zero Trust für KRITIS ist kein Projekt, das du abschließt. Es ist eine Haltung gegenüber Sicherheit, die du in Architekturentscheidungen, Betriebsprozesse und Beschaffungsstrategien einbettest. Wer heute damit beginnt, gewinnt drei Dinge gleichzeitig: eine deutlich reduzierte Angriffsfläche durch Mikrosegmentierung und granulare Zugriffskontrollen, eine nachweisbare Erfüllung der NIS2-Anforderungen mit auditfähiger Evidenz, und die operative Sicherheit, dass ein erfolgreicher Einbruch in eine Teilinfrastruktur nicht zur vollständigen Kompromittierung der Gesamtanlage führt.

Sicherheit entsteht nicht durch den perfekten Perimeter. Sie entsteht durch die Annahme, dass der Perimeter bereits gefallen ist, und durch Architekturen, die genau darauf ausgelegt sind.

 

Du willst wissen, wo deine KRITIS-Infrastruktur heute steht?

 Wir bewerten deinen Reifegrad und entwickeln mit dir eine Zero Trust-Roadmap, die zu deiner Betriebsrealität passt.

Jetzt zur Bewertung

Das könnte dich auch interessieren:

Person arbeitet an einem Laptop, auf dessen Bildschirm ein leuchtendes Schutzschild mit einem Schloss zu sehen ist.

Information Security & Compliance|16.04.2026

Schicht 8: Warum der Mensch deine wichtigste und verwundbarste Sicherheitsebene ist

Technik filtert, scannt und blockt. Und trotzdem klickt jemand auf den Link. Wie Social Engineering funktioniert, warum einmalige Schulungen nichts ändern und was wirksame Security Awareness wirklich ausmacht.

Mehr Informationen
Ein Roboterarm tippt auf eine Laptop-Tastatur, während ein leuchtendes AI-Symbol und ein Warnhinweis auf einem transparenten Display erscheinen.

Defensive Security|16.02.2024

Warum Allow Listing die Qualität deiner Ergebnisse entscheidet

Wann es sinnvoll ist, Pentester:innen die üblichen Sicherheitsbarrieren gezielt überspringen zu lassen und was das mit der Qualität deiner Testergebnisse zu tun hat.

Mehr Informationen
Blaues Muster mit leuchtenden Punkten und einem klaren weißen Quadrat. Text: Working at carmasec.

carmasec culture & company|16.04.2024

Vom Labor in die Beratung: Wie Wissenschaft auf Cybersecurity trifft

Vom Forschungslabor in die Sicherheitsberatung. Was Stefanie mitgenommen hat, was sie überrascht hat und was das über carmasec sagt.

Mehr Informationen
Läufer von hinten der durch eine futuristische Stadt läuft. Blogartikel DORA fit?

Information Security & Compliance|12.03.2024

Das musst du jetzt über DORA wissen

Anforderungen, Fristen, Lücken. Was der Digital Operational Resilience Act bedeutet — und warum DORA mehr ist als eine weitere Compliance-Übung.

Mehr Informationen