Warum Netztrennung Ihre Produktion nicht schützt

Das Versprechen der Trennung und seine Grenze

Wer eine Produktionsumgebung absichert, hört früh den Rat zur Netztrennung. Das Büronetz und die Produktion gehören in getrennte Zonen, idealerweise mit einer dicht konfigurierten Firewall dazwischen, im Extremfall ganz ohne physische Verbindung. Diese Trennung gilt als Goldstandard der OT-Security, und das aus gutem Grund. Eine Schadsoftware, die sich im Büronetz festsetzt, soll nicht in derselben Stunde die Steuerung einer Abfüllanlage erreichen.

Auf dem Netzplan sieht das überzeugend aus. Zwei sauber abgegrenzte Bereiche, eine kontrollierte Verbindung, klare Regeln. In der Praxis sieht es selten so aus. Netze wachsen über Jahre. Anlagen werden nachgerüstet, Wartungszugänge eingerichtet, Fernzugriffe für Lieferanten geöffnet, ein Engineering-Laptop hier, ein gemeinsam genutzter Update-Server dort. Jede dieser Entscheidungen ist für sich genommen nachvollziehbar. In Summe entsteht eine Verbindung zwischen den Zonen, die im Netzplan nicht eingezeichnet ist und die niemand mehr vollständig überblickt.

Genau diese Lücke zwischen Diagramm und Realität ist das eigentliche Thema. Die Trennung existiert auf dem Papier. Die Frage ist, ob sie auch im Kabel und in der Konfiguration existiert. Aus offensiver Sicht ist die Antwort meistens ernüchternd.

Die Brücke: dual-homed Wartungs- und Engineering-PCs

Bevor wir auf diesen einen Rechner zoomen, der Weg im Überblick: So gelangt ein Angreifer von außen Schritt für Schritt bis in die Produktion.

Die häufigste Schwachstelle ist kein exotischer Exploit, sondern ein ganz normaler Rechner mit zwei Netzwerkkarten. Ein Engineering-PC, an dem ein Techniker die SPS programmiert. Ein Visualisierungsrechner, der die HMI bereitstellt. Ein Wartungs-Laptop, der im Büronetz Updates und Software bezieht und im OT-Netz die Anlage konfiguriert. Diese Maschinen sind doppelt angebunden, weil ihre Aufgabe es so verlangt. Sie brauchen das Büronetz für Lizenzserver, Software-Repositorys und Domänenanmeldung, und sie brauchen das OT-Netz, um die Steuerungen zu erreichen.

Damit hängt ein einziger Rechner gleichzeitig in beiden Zonen. Er ist die Brücke, die die Firewall eigentlich verhindern sollte. Wer diesen Rechner kontrolliert, steht ohne Umweg im OT-Netz.

Der Weg auf eine solche Maschine führt selten über die OT-Seite. Er führt über das Büronetz, denn dort ist der Rechner regulär eingebunden. Ob als Linux-basierter Wartungs-Host, als Engineering-Workstation oder als HMI-Gateway: Er ist Mitglied der Domäne, bezieht Updates aus dem Büronetz und ist damit so angreifbar wie jedes andere Gerät in dieser Zone. Ein verbreitetes Muster: Ein Angreifer mit einem ersten Standbein im Büronetz fängt eine Authentifizierungsanfrage ab und leitet sie weiter, etwa über einen NTLM-Relay-Angriff per SMB, sofern die Signierung nicht erzwungen ist. Oder es existiert ein Servicekonto, das vor Jahren für eine Software eingerichtet wurde, ein schwaches Passwort trägt und lokale Administratorrechte auf vielen Maschinen besitzt, darunter auch dem Engineering-PC. Solche Konten sind in gewachsenen Domänen die Regel, nicht die Ausnahme.

Steht der Angreifer erst auf dem Wartungsrechner, zeigt sich das ganze Ausmaß der fehlenden Trennung. Eine simple Abfrage der Schnittstellen verrät die zweite Karte, und über sie wird das vermeintlich isolierte OT-Netz zum offenen Buch.

Port 102 verrät eine Siemens-S7-Steuerung, Port 502 ein Modbus/TCP-Gerät. Beide Protokolle sind in vielen Anlagen ohne Authentifizierung im Einsatz. Wer sie erreicht, kann Prozesswerte lesen, oft auch schreiben, und im ungünstigsten Fall die Steuerung in einen Stopp versetzen. Der Angreifer hat dafür keine OT-spezifische Lücke ausgenutzt. Er hat lediglich einen Rechner übernommen, der zufällig in beiden Welten zu Hause ist.

Weitere reale Bruchstellen

Der dual-homed PC ist die offensichtlichste Brücke, aber nicht die einzige. Mehrere typische Strukturen erlauben den Sprung über die Zonengrenze.

Flache Active-Directory-Strukturen

In vielen Betrieben verwalten Büro und Produktion ihre Windows-Rechner in derselben Domäne, oder die OT-Domäne vertraut der Büro-Domäne über eine Vertrauensstellung. Damit gilt: Wer Domänen-Administrator im Büronetz wird, ist es faktisch auch in der Produktion. Eine flache AD-Struktur ohne sauberes Tiering hebt jede Netztrennung auf der Identitätsebene auf, selbst wenn die Firewall korrekt konfiguriert ist. Die Kompromittierung des Domänencontrollers ist dann das einzige Ziel, das ein Angreifer braucht.

Fernwartung und VPN als Sprungbrett

Lieferanten und Integratoren brauchen Zugriff auf ihre Anlagen. Häufig endet dieser Fernzugang direkt im OT-Netz, abgesichert nur durch ein gemeinsames Passwort oder einen Zugang, der dauerhaft offen steht. Ein kompromittiertes Lieferantenkonto, ein veralteter VPN-Gateway mit bekannter Schwachstelle oder ein Wartungs-Notebook beim Dienstleister wird so zum direkten Einfallstor in die Produktion, ganz ohne den Umweg über das Büronetz des Betreibers.

Engineering-Laptops und Wechseldatenträger

Der Laptop des Inbetriebnahme-Technikers war gestern in einer fremden Anlage, heute hängt er in Ihrem OT-Netz. USB-Sticks tragen Projektdateien, Firmware und Konfigurationen von Maschine zu Maschine. In Umgebungen mit echter physischer Trennung ist der Wechseldatenträger oft der einzige verbliebene Übertragungsweg, und genau deshalb ein bevorzugter Kanal für Schadsoftware.

Gemeinsam genutzte Dienste

Active Directory, DNS, Zeitserver, ein zentraler Update-Server für Virensignaturen, ein Jump-Host für den Zugriff: Sobald ein solcher Dienst aus beiden Zonen erreichbar ist, ist er auch ein potenzieller Übergang zwischen ihnen. Ein zentraler Patch-Server, der ins OT-Netz ausliefert, kann im Kompromittierungsfall statt Updates auch Schadcode verteilen. Geteilte Infrastruktur ist bequem und genau deshalb gefährlich.

Warum „einfach trennen” in der Praxis scheitert

Wenn die Brücken so klar benennbar sind, liegt die Frage nahe, warum man sie nicht einfach abreißt. Die Antwort liegt in der Eigenart von OT-Umgebungen.

Legacy-Steuerungen ohne Sicherheitsfunktionen. Eine SPS, die seit fünfzehn Jahren zuverlässig läuft, kennt oft keine Authentifizierung, keine Verschlüsselung und keine Protokollierung. Sie vertraut jedem, der sie über das Netz erreicht. Solche Geräte lassen sich nicht härten, sie lassen sich nur abschirmen. Ein Austausch bedeutet einen Eingriff in einen laufenden Prozess, der über Jahre validiert wurde.

Fehlendes Asset-Inventar. In vielen Anlagen weiß niemand genau, welche Geräte im Netz hängen, mit welcher Firmware, über welche Schnittstellen. Was man nicht kennt, kann man nicht trennen. Ein Segmentierungsprojekt, das auf einem unvollständigen Inventar aufsetzt, übersieht zwangsläufig genau die Verbindung, auf die es ankommt.

Gewachsene Strukturen. Die heutige Topologie ist das Ergebnis vieler einzelner Erweiterungen über Jahre. Jede für sich war sinnvoll, niemand hat die Gesamtwirkung dokumentiert. Eine nachträgliche Trennung muss diese Geschichte erst rekonstruieren, bevor sie eingreifen kann.

Verfügbarkeit vor Sicherheit. In der IT priorisiert man Vertraulichkeit. In der OT steht die Verfügbarkeit an erster Stelle, denn ein Anlagenstillstand kostet unmittelbar Geld und kann Menschen gefährden. Ein Patch-Fenster, das in der IT eine Stunde dauert, bedeutet in der Produktion mitunter einen geplanten Stillstand, der Monate im Voraus terminiert wird. Sicherheitsmaßnahmen, die das Risiko eines ungeplanten Stopps erhöhen, stoßen daher zu Recht auf Widerstand.

Diese Faktoren erklären, warum die saubere Lösung aus dem Lehrbuch in der Realität auf Hindernisse trifft. Sie sind kein Argument gegen Trennung, sondern eines für einen realistischen, mehrstufigen Ansatz.

Was wirklich hilft: Defense-in-Depth für OT

Eine einzelne Maßnahme schützt nicht, weil eine einzelne Lücke genügt. Hilfreich ist ein gestaffeltes Vorgehen, bei dem mehrere Schichten unabhängig voneinander wirken. Die IEC 62443 liefert dafür den Rahmen.

Zonen und Conduits

Die IEC 62443 ordnet eine Anlage in Zonen mit vergleichbarem Schutzbedarf und definiert die Verbindungen zwischen ihnen als kontrollierte Conduits. Statt einer einzigen großen Trennlinie zwischen Büro und Produktion entstehen mehrere abgestufte Zonen, etwa zwischen Leitebene, Steuerungsebene und einzelnen Anlagenteilen. Jeder Conduit wird bewusst gestaltet, dokumentiert und auf das Nötige beschränkt. Ein kompromittierter Bereich bleibt so auf seine Zone begrenzt, statt sofort das ganze Werk zu erreichen.

Gehärtete Jump-Hosts statt dual-homed PCs

Der doppelt angebundene Wartungsrechner verschwindet, wenn der Zugriff auf die OT über einen einzigen, gehärteten Jump-Host läuft. Dieser steht in einer eigenen, eng kontrollierten Zone, erzwingt Mehr-Faktor-Authentifizierung, protokolliert jede Sitzung und ist die einzige Stelle, an der jemand aus dem Büronetz die Produktion erreicht. Aus vielen unkontrollierten Brücken wird so ein überwachter Übergang.

Least Privilege und AD-Tiering

Konten erhalten nur die Rechte, die sie tatsächlich brauchen. Administrative Identitäten der OT werden von denen des Büronetzes getrennt, idealerweise in einer eigenen Verwaltungsstruktur ohne Vertrauensstellung zur Büro-Domäne. Das alte Servicekonto mit Administratorrechten auf allen Maschinen ist dann kein Generalschlüssel mehr.

Monitoring und Anomalieerkennung

OT-Verkehr ist erstaunlich vorhersehbar. Dieselben Geräte sprechen über dieselben Protokolle in regelmäßigen Mustern. Eine passive Überwachung, die diesen Normalzustand kennt, erkennt einen unerwarteten Scan oder einen neuen Kommunikationspartner schnell. Wichtig ist, dass die Erkennung den Prozess nicht stört, also bevorzugt mitlesend über einen Mirror-Port arbeitet.

Asset-Inventar und Incident-Readiness

Ein gepflegtes Inventar aller Geräte, Firmware-Stände und Verbindungen ist die Grundlage für alles Weitere. Darauf baut die Vorbereitung auf den Ernstfall: Wer schaltet wen ab, wie läuft die Anlage im Notfall isoliert weiter, wer ist erreichbar. In der OT gehört zu jeder Reaktion die Frage nach der Sicherheit von Mensch und Prozess.

Wie man es prüft: der OT-orientierte Penetrationstest

All diese Bruchstellen lassen sich beschreiben, aber ihre konkrete Ausprägung in Ihrer Anlage zeigt sich erst in der Prüfung. Ein Penetrationstest in der OT folgt dabei anderen Regeln als in der IT. Ein aggressiver Schwachstellen-Scan, der im Büronetz harmlos ist, kann eine ältere Steuerung zum Absturz bringen. Deshalb wird ein OT-Test schonend, eng abgestimmt und wo immer möglich passiv durchgeführt. Aktive Eingriffe finden in Absprache statt, bevorzugt an Geräten in einer Testumgebung oder während eines geplanten Stillstands.

Ein solcher Test deckt genau die Punkte auf, die hier beschrieben wurden. Er findet den dual-homed Rechner, dessen zweite Schnittstelle niemand mehr auf dem Schirm hatte. Er zeigt das Servicekonto mit zu vielen Rechten und die Vertrauensstellung, die das Büronetz mit der Produktion verbindet. Er prüft, ob die Firewall-Regeln zwischen den Zonen wirklich das tun, was der Netzplan verspricht, und er macht sichtbar, welche Steuerungen ohne Authentifizierung erreichbar sind. Das Ergebnis ist kein abstraktes Risiko, sondern eine belastbare Liste konkreter Wege, auf denen ein Angreifer von außen bis an die Anlage gelangen würde, mit einer nach Aufwand und Wirkung priorisierten Reihenfolge der Gegenmaßnahmen.

Abschluss

Netztrennung ist richtig und wichtig, aber sie ist eine Aussage über die Konfiguration, nicht über den Netzplan. Entscheidend ist nicht, ob zwei Zonen im Diagramm getrennt sind, sondern ob jede tatsächliche Verbindung zwischen ihnen bekannt, gewollt und kontrolliert ist. Solange ein einziger Wartungsrechner unbemerkt in beiden Welten hängt, schützt die schönste Trennung die Produktion nicht. Der Weg dorthin beginnt mit Sichtbarkeit und führt über mehrere unabhängige Schichten, die zusammen halten, wenn eine versagt.