Risikomanagement für OT-Netzwerke: IT/OT-Konvergenz richtig gestalten
Wie können wir unsere IT- und OT-Systeme miteinander in Einklang bringen?

Lübeck, 07.10.2025 (PresseBox) - Gerade im Angesicht immer größerer Bedrohungen durch Cyberkriminalität ist es elementar, im gesamten Unternehmen für Cyberrisiken zu sensibilisieren und ihrer Behebung Priorität einzuräumen.

Dabei sollte dem so wichtigen Austausch zwischen IT- und OT-Fachkräften im Unternehmen genügend Raum verschafft werden. Passend dazu untersuchen wir in diesem Artikel die grundlegenden Herausforderungen, die bei der Integration der Shopfloor Assets in das Informationssicherheits-Managementsystem (ISMS) bestehen und zeigen Strategien auf, mit denen man diese meistern kann.

Die fundamentalen Unterschiede zwischen OT und IT

1. Operative Prioritäten
   Während IT-Umgebungen in der Regel auf die Vertraulichkeit und Integrität von Daten optimiert werden, stehen in den OT-Netzwerken Verfügbarkeit und Prozessstabilität an erster Stelle. Denn Downtimes in der Produktion wirken sich unmittelbar auf das Geschäft aus und sind nicht mit einem schnellen Systemneustart in der IT zu vergleichen.
   
2. Lebenszyklus der Systeme
   Der Einsatz von Produktionsanlagen wird aufgrund der hohen Anschaffungskosten über Jahrzehnte hinweg geplant, was zur Folge hat, dass viele heute noch laufende Anlagen hardware- und softwareseitig veraltet sind und nie für eine Vernetzung konzipiert wurden. Im Gegensatz dazu durchlaufen IT-Systeme viel kürzere Lebenszyklen und werden von den Herstellern für die Lebensdauer kontinuierlich mit Updates versorgt.
   
3. Netzwerkkommunikation
   Industrieanlagen kommunizieren oft mithilfe von spezialisierten Netzwerkprotokollen und Standards, die beispielsweise Verbindungen in Echtzeit mit möglichst niedriger Latenz ermöglichen. Solche Protokolle werden während der Laufzeit der Maschine aufgrund des hohen Aufwands selten aktualisiert und sind nicht mit den IT-Netzwerken kompatibel. So benötigen viele ältere OT-Systeme noch das Server Message Block (SMB) Protokoll in der unsicheren Version SMBv1, während die meisten IT-Systeme mit der aktualisierten SMBv3 arbeiten.

   Um dennoch eine Überwachung des Netzverkehrs und bidirektionale Kommunikation zwischen den Netzwerken zu ermöglichen, werden Softwaretools wie deredge.SHIELDOR von TRIOVEGA eingesetzt. Die patentierte Lösung für die OT-Sicherheit kann beispielsweise im IT-Netzwerk in SMBv3 vorliegende Dateien in das veraltete SMBv1 umwandeln und mit einem Verzeichnis im OT-Netzwerk synchronisieren. Auch der umgekehrte Weg wird unterstützt. Dabei werden die Dateien fortwährend auf Malwaresignaturen überprüft und auftretende Bedrohungen isoliert. So wird die Kommunikation mit der Anlage möglich, während Sicherheitsrisiken gesenkt werden.

Schlüsselelemente einer erfolgreichen IT/OT-Konvergenz

1. Einheitliches Risikomanagement
   Die Eigenheiten beider Systemlandschaften müssen gleichermaßen in der Bewertung von Unternehmensrisiken berücksichtigt werden. Ein erfolgreiches Risikomanagement vereint deswegen operative und sicherheitsrelevante Auswirkungen aller IT- und OT-Komponenten in einer gemeinsamen Strategie für das ISMS, die auch die Kommunikation über die Netzwerkränder hinweg einschließt.
   
2. Schulungen und Sensibilisierung
   Dieses gemeinsame Vorgehen setzt ein gegenseitiges Verständnis für die speziellen Herausforderungen in den IT- und OT-Abteilungen im Unternehmen voraus. Wurde in der Vergangenheit typischerweise jeweils in Silos gearbeitet, müssen die Mitarbeitenden in der Produktion nun für IT-Sicherheitsrisiken sensibilisiert werden, während IT-Personal die besonderen Anforderungen der Produktion verstehen muss. Regelmäßige Schulungen und ein kontinuierlicher Austausch zwischen beiden Bereichen sind essenziell.
   
3. Netzwerksegmentierung und Monitoring
   Eine strikte Trennung zwischen IT- und OT-Netzwerken ist unverzichtbar, um zu verhindern, dass Malware sich in der gesamten Organisation ausbreiten kann. Traditionelle Ansätze der Netzwerksegmentierung ermöglichen die notwendigen Verbindungen dabei durch offene Ports, die ihrerseits ein Einfallstor für Angriffe darstellen.

Hier können Softwarelösungen wie deredge.SHIELDORAbhilfe schaffen: Angelehnt an dasAir Gap-Konzeptwird eine vollständige Trennung zwischen den Netzwerken erreicht, wobei der Datenverkehr zwischen Produktionsanlagen und Unternehmens-IT selektiv über positive oder negative Filterregeln zugelassen wird. Intrusion Detection und Intrusion Prevention Systeme identifizieren und blockieren unerwünschte Kommunikationsversuche. Die Netzwerk-Ports können geschlossen bleiben.

Mit diesen grundlegenden Strategien können Unternehmen die Konvergenz von IT und OT auf effiziente Weise gestalten.