Der jüngste CISA-Advisory „Zero-Trust-Prinzipien auf Operational Technology anwenden“, der gestern veröffentlicht wurde, markiert einen entscheidenden Wendepunkt dafür, wie wir Industrial Control Systems (ICS) gegen neuartige Angriffe verteidigen. Angesichts zunehmender Risiken für kritische Systeme, fehlender tiefer Transparenz in das Verhalten der Assets, vorhandener ungepatchter Schwachstellen, Insider-Bedrohungen und Compliance-Herausforderungen wird die To-do-Liste von CISOs jeden Tag länger.      

Die neueste Guidance von CISA unterstützt OT-Eigentümer und -Betreiber dabei, die besonderen Herausforderungen des Übergangs zu einer echten Zero-Trust-Architektur zu bewältigen, wobei Technologielücken im Zusammenhang mit Legacy-Infrastruktur, funktionalen und betrieblichen Einschränkungen sowie Sicherheitsanforderungen berücksichtigt werden. Sie konzentriert sich auf den Aufbau umfassender Asset-Transparenz, auf die proaktive Behandlung von Lieferkettenrisiken und auf die Implementierung eines robusten Identitäts- und Zugriffsmanagements. Die Guidance betont die Bedeutung der Einführung mehrschichtiger Sicherheitsmaßnahmen einschließlich Netzsegmentierung, sicherer Kommunikationsprotokolle und proaktivem Schwachstellenmanagement.

Im heutigen Blog habe ich versucht, diese essenzielle Guidance in einer belastbaren Ressource für Führungs- und Engineering-Teams zu verdichten.

Bevor wir fortfahren, vergessen Sie nicht, unseren letzten Blogbeitrag zum Privileged Access Management in OT-Umgebungen hier anzusehen.

Ein wesentlicher Wandel: Von Perimetern zu Richtlinien

Der CISA-Advisory 2026 stellt klar, dass Zero Trust (ZT) kein einzelnes Produkt, sondern ein datenorientiertes Sicherheitsmodell ist. In OT bedeutet dies, sich von „implizitem Vertrauen“ auf Basis der Zugehörigkeit zu einem physischen Werksnetzwerk zu lösen und für jede Interaktion auf Prozessebene zu „expliziter Verifikation“ überzugehen.

Wesentliche Punkte des Advisorys

 Zero Trust in OT ≠ Lift-and-Shift aus der IT

o   Der Advisory betont, dass OT-Umgebungen Anpassung statt Replikation des IT-Zero-Trust erfordern.

o   Sicherheit, Verfügbarkeit und deterministische Abläufe haben Vorrang vor IT-Modellen, bei denen Vertraulichkeit an erster Stelle steht.

o   Das Ergebnis ist risikoinformierter, betrieblich sicherer Zero Trust und keine aggressive Durchsetzung.

„Never trust, always verify“ gilt weiterhin, aber..

o   Der Kerngrundsatz bleibt unverändert: kein implizites Vertrauen für Benutzer, Geräte oder Systeme. Allerdings muss die Durchsetzung Folgendes berücksichtigen:

• Legacy-PLCs und HMIs

• Nicht patchbare Assets

• Intermittierende Konnektivität 

o   Führt zu kompensierenden Kontrollen statt direkter Durchsetzung

Asset-Transparenz ist die Grundlage (kritische Lücke in OT)

o   Sie können Zero Trust nicht ohne vollständiges Asset-Inventar implementieren:

o   Geräte, Firmware, Protokolle, Datenflüsse

o   OT-Umgebungen fehlen diese Basis typischerweise → größtes Hindernis für die Einführung

o   Entspricht der breiteren Zero-Trust-Guidance: Transparenz geht der Durchsetzung voraus (AppGate)

Starker Fokus auf Netzsegmentierung (Mikrosegmentierung für OT)

o   Flache OT-Netze stellen ein erhebliches Risiko dar

o   Zentrale Empfehlung:

o   zonenbasierte Segmentierung (an ISA/IEC 62443 ausgerichtet)

o   Schrittweiser Übergang zu Mikrosegmentierung / Kommunikationspfaden mit minimalen Rechten

o   Ziel: laterale Bewegung eindämmen und den Auswirkungsradius reduzieren

Identität ist in OT schwierig und muss über Benutzer hinausgehen

·       OT erfordert Identität für:

o   Maschinen (PLCs, RTUs)

o   Anwendungen

o   Service-Konten

·       Nicht nur menschliches IAM, sondern auch Geräte-IAM

·       Kontinuierliche Authentifizierung ist ideal, wird jedoch häufig ersetzt durch:

o   Kontrollen auf Netzwerkebene

o   Geräteprofiling

Priorisierung des Least-Privilege-Prinzips

·       Prinzip: nur erforderliche Kommunikation und Zugriffe zulassen

·       Realität:

o   Viele OT-Systeme erfordern breite Vertrauensbeziehungen

·       Vorgehen:

o   Mit kritischen Assets („Crown Jewels“) beginnen

o   Geringste Rechte schrittweise anwenden

Zero Trust in OT ist eine phasenweise Reise (kein Big-Bang-Programm)

·       Der Leitfaden betont die schrittweise Einführung:

·       Entspricht dem Reifegraddenken von CISA:

Kontinuierliches Monitoring & Anomalieerkennung sind essenzielle Kontrollen

·       Da die Durchsetzung in OT begrenzt ist:

o   Erkennung wird ebenso wichtig wie Prävention

·       Fokusbereiche:

o   Überwachung des East-West-Traffics

o   Protokollbewusste Anomalieerkennung

·       Hier werden OT-NDR-Plattformen kritisch

Legacy-Systeme erfordern „kompensierende Zero-Trust-Kontrollen“

·       Viele OT-Assets:

o   Unterstützen kein MFA, keine Agenten und keine Verschlüsselung

·       Daher:

o   Externe Durchsetzungsebenen verwenden

• Jump Hosts / Bastions

• Industrie-Firewalls

• Secure-Remote-Access-Gateways

·       Denken Sie daran: Zero Trust wird um Assets herum durchgesetzt, nicht innerhalb

Governance, Sicherheit und Abstimmung mit dem Engineering sind unverzichtbar

·       OT Zero Trust ist nicht nur Cybersicherheit:

o   Erfordert Engineering-, Betriebs- und Sicherheitsteams

·       Jede Kontrolle muss:

o   Ausfallzeiten vermeiden

o   Deterministisches Verhalten erhalten

·       Starker Impuls hin zu funktionsübergreifenden Governance-Modellen

Die strategische Kernaussage

Diese Guidance rahmt Zero Trust im OT-Kontext im Wesentlichen neu: als risikogesteuerte Eindämmungs- und Transparenzstrategie und nicht als strenges Identitätsdurchsetzungsmodell.

Für jemanden, der OT SOC / Services aufbaut, sind die Implikationen klar:

·  Mit Asset-Transparenz + Detection Engineering beginnen

·   Segmentierung als Risikoreduktion, nicht als Compliance positionieren

·  Zero Trust als operative Resilienz und nicht nur als Sicherheit verkaufen

Die fünf Säulen an OT angepasst

CISAs Zero-Trust-Maturity-Model (ZTMM) 2.0 dient als Grundgerüst, aber die OT-spezifische Guidance 2026 ergänzt entscheidende Ebenen der Betriebssicherheit:

• Identität: Weg von Benutzernamen hin zu Non-Person Entities (NPEs). Jede PLC, jeder Sensor und jedes Gateway muss eine kryptografisch verifizierbare Identität haben.

• Geräte: Kontinuierliche Zustandsbewertung. Wenn eine Engineering Workstation (EWS) eine Patch-Abweichung oder unerwartete Software aufweist, wird ihr Zugriff auf den Safety Controller sofort entzogen.

• Netzwerke: Übergang von einfachen VLANs zu Mikrosegmentierung. Wir isolieren nun spezifische „Conduits“ zwischen Funktionszonen (z. B. Trennung von HMI und SIS).

• Anwendungen/Workloads: Absicherung des „East-West“-Traffics. Dies umfasst den Schutz proprietärer industrieller Protokolle (wie Modbus/TCP oder CIP) vor unautorisierten Befehlsinjektionen.

• Daten: Die kritischste Säule. Der Schutz der „Integrität“ von Sensordaten wird nun gegenüber der „Vertraulichkeit“ priorisiert, um physische Manipulationen von Prozessen zu verhindern.

Die Feinheiten: OT-spezifische Hürden

Die Implementierung von ZT in einer Raffinerie oder einem Kraftwerk ist nicht mit der Umsetzung in einer Niederlassung vergleichbar. Der Advisory hebt drei „stille Killer“ von OT-ZT-Projekten hervor:

1. Protokollfragilität: Viele Legacy-OT-Protokolle unterstützen keine Verschlüsselung oder moderne Authentifizierung. CISA empfiehlt Zero-Trust-Proxys oder unidirektionale Gateways, um Legacy-Traffic in einem sicheren, identitätsbewussten Tunnel zu kapseln.

2. Konflikt zwischen Sicherheit und Schutz: Traditionelles ZT würde bei einem fehlgeschlagenen MFA-Prompt möglicherweise standardmäßig blockieren. In OT kann das Blockieren eines sicherheitskritischen Befehls zu einer Explosion führen. Die Guidance führt für bestimmte Notfall-Sicherheitsfunktionen „Fail-to-Open“-Richtlinien ein.

3. Die „Push-Only“-Anforderung: Der Leitfaden 2026 betont stark eine Push-only-Architektur. Daten sollten von High-Trust (OT) zu Low-Trust (IT/Cloud) über hardwaregestützte Einwegverbindungen fließen, um nicht angeforderte Inbound-Pfade zu eliminieren.

Der Aktionsplan für CISOs (90-Tage-Roadmap)

Erfolg messen: OT-Zero-Trust-KPIs

Für das Reporting an den Vorstand sollten Sie sich von der „Anzahl blockierter Angriffe“ hin zu Resilienzkennzahlen bewegen:

• Reduktion der Angriffsfläche: Anteil der OT-Assets, die keinen direkten, nicht angeforderten Inbound-Pfad aus dem IT-Netzwerk mehr haben. (Ziel: >85%).

• Mean Time to Contain (MTTC): Wenn ein Asset kompromittiert ist, wie lange benötigt die ZT-Richtlinie, um genau dieses Mikrosegment zu isolieren? (Ziel: <5 Minuten).

• Abdeckung der Identitäten: Anteil der OT-zu-OT-Kommunikation, die über NPE-Identitäten authentifiziert wird und nicht über implizites IP-basiertes Vertrauen.

• Prozessverfügbarkeit während Sicherheitsupdates: Messen, ob Änderungen an ZT-Richtlinien unbeabsichtigte Ausfallzeiten verursacht haben. (Ziel: 0 ungeplante Ausfälle).

Abschließender Gedanke für den Vorstand

Zero Trust in OT ist 2026 kein „fortgeschrittener“ Zustand mehr; es ist die Grundvoraussetzung für die Versicherbarkeit. Indem wir implizites Vertrauen entfernen, stoppen wir nicht nur Angreifer – wir stellen sicher, dass ein einzelnes kompromittiertes Laptop im Unternehmensbüro keinen physischen katastrophalen Ausfall in der Anlage verursachen kann.

Für weitere Informationen konsultieren Sie die aktuellen regulatorischen Playbooks auf shieldworkz.com/regulatory-playbooks für vorab zugeordnete Compliance-Vorlagen, die diese CISA-Guidance mit NERC CIP und IEC 62443 in Einklang bringen.

Zusätzliche Ressourcen      

2026 OT Cybersecurity Threat Landscape Analysis Report hier 
Ein herunterladbarer Bericht zum Stryker-Cybervorfall hier      
Remediation-Leitfäden hier    
IEC 62443 und NIS2-Compliance-Checkliste hier 
Leitlinien zu Best Practices und Risikobewertung für OT-Sicherheit hier