OT-Netzwerksegmentierung & das Purdue-Modell

Jeder Vorfall einer Sicherheitsverletzung in einem industriellen Netzwerk hat seine Geschichte. Und in nahezu jeder Geschichte tritt dieselbe schmerzhafte Wahrheit zutage: Der Angreifer musste sich nicht besonders anstrengen. Er fand ein flaches, schlecht segmentiertes Netzwerk – eines, in dem eine kompromittierte Engineering-Workstation direkt mit einer PLC kommunizieren konnte, in dem IT-Zugangsdaten Türen zu OT-Umgebungen öffneten und in dem keine logische Grenze zwischen einem Historian-Server und einem Safety Instrumented System bestand.

Das ist die Realität, mit der heute Tausende industrieller Organisationen konfrontiert sind. Die Konvergenz von IT und OT hat die betriebliche Effizienz beschleunigt, gleichzeitig jedoch die Tür zu einer neuen Klasse von Bedrohungen geöffnet, für deren Bewältigung ältere Architekturen nie ausgelegt waren.

OT-Netzwerksegmentierung ist, wenn sie korrekt umgesetzt wird, eine der wirksamsten Abwehrmaßnahmen für industrielle Organisationen. Sie begrenzt den Schadensradius eines Angriffs, schützt die Betriebskontinuität und schafft die Transparenz, die erforderlich ist, um Bedrohungen zu erkennen, bevor sie kritische Systeme erreichen. Doch „korrekt umgesetzt“ trägt in diesem Satz die eigentliche Last.

Dieser Leitfaden zeigt auf, wie wirksame OT-Netzwerksegmentierung in der Praxis aussieht – vom grundlegenden Purdue-Modell über zonenbasierte Architekturen, IT/OT-Grenzen und das Design industrieller DMZs – damit Ihre Organisation Abwehrmaßnahmen aufbauen kann, die auch unter Druck tatsächlich standhalten.

Bevor wir fortfahren, vergessen Sie nicht, unseren letzten Blogbeitrag über „Shadow warfare threatens India's energy sovereignty“hier.

Warum OT-Netzwerksicherheit ein grundlegend anderes Thema ist

Bevor wir uns der Architektur widmen, ist es wichtig zu verstehen, was OT-Netzwerksicherheit grundlegend von herkömmlicher IT-Sicherheit unterscheidet. In klassischen IT-Umgebungen folgen Sicherheitsprioritäten der CIA-Triade: Confidentiality, Integrity und Availability – in genau dieser Reihenfolge.

In Umgebungen der Operational Technology sind die Prioritäten umgekehrt. Verfügbarkeit steht an erster Stelle. Eine PLC, die einen chemischen Dosierprozess steuert, kann nicht für einen Patch-Zyklus offline genommen werden. Ein SCADA-System, das eine Pipeline überwacht, darf keinen zehnminütigen Neustart nicht verkraften. In dem Moment, in dem Ausfallzeiten akzeptabel werden, leiden sowohl Sicherheit als auch Produktion – und in kritischen Infrastrukturen können die Folgen weit über finanzielle Verluste hinausgehen.

Diese Dynamik schafft ein anspruchsvolles Umfeld für Sicherheitsteams. Viele OT-Assets laufen mit Legacy-Protokollen, Modbus, DNP3, PROFINET, EtherNet/IP – die für Zuverlässigkeit in isolierten Netzen entwickelt wurden, nicht für Resilienz gegenüber externen Angreifern. Ihnen fehlen häufig Authentifizierung, Verschlüsselung oder jegliche native Zugriffskontrolle. Patch-Zyklen erstrecken sich von Monaten bis hin zu Jahren. Und operative Zwänge bedeuten, dass sich Standard-Sicherheitskontrollen im IT-Stil nicht einfach nachrüsten lassen, ohne Systeme zu beeinträchtigen.

Genau deshalb ist Netzwerksegmentierung in OT-Umgebungen so kritisch. Sie gleicht die inhärenten Einschränkungen von Legacy-Assets aus, indem sie die Netzwerkpfade kontrolliert, über die diese Assets kommunizieren können, und verhindert, dass sich Bedrohungen frei zwischen Systemen bewegen.

Das Purdue-Modell für OT-Netzwerke: Fundament, keine Formel

Die Purdue Enterprise Reference Architecture, die in den 1990er-Jahren an der Purdue University entwickelt wurde, ist nach wie vor das am weitesten anerkannte Framework zur Strukturierung industrieller Netzwerkhierarchien. Auch wenn sie im Zeitalter von Cloud-Konnektivität und IIoT oft als überholt kritisiert wird, ist ihre Grundlogik bei der Definition klarer Netzwerkgrenzen relevanter denn je.

Das Purdue-Modell ordnet ein industrielles Unternehmen in fünf klare Ebenen ein:

• Ebene 0 – Feldgeräte: Sensoren, Aktoren und physische Prozesskomponenten. Dies sind die Assets, die den physischen Betriebsabläufen am nächsten stehen – Pumpen, Ventile, Motoren und Messgeräte.

• Ebene 1 – Basisssteuerung: PLCs, RTUs und DCS-Komponenten, die Feldgeräte direkt auslesen und steuern. Diese Assets führen Echtzeit-Steuerungslogik aus.

• Ebene 2 – Übergeordnete Steuerung: SCADA-Systeme, HMIs und Bediener-Workstations. Hier finden Prozessüberwachung und übergeordnete Entscheidungen statt.

• Ebene 3 – Standortbetrieb: Manufacturing Execution Systems (MES), Data Historian und Engineering-Workstations, die das operative Management auf Standortebene unterstützen.

• Ebene 4 & 5 – Unternehmens- und Corporate-IT: Geschäftssysteme einschließlich ERP, E-Mail-Infrastruktur und Unternehmensnetzwerke. Hier arbeitet die klassische IT-Sicherheit.

Der Kernwert des Purdue-Modells liegt nicht in seinem Alter, sondern in dem Prinzip, das es durchsetzt: Datenverkehr sollte zwischen benachbarten Ebenen fließen, nicht frei über alle Ebenen hinweg. Ein Steuerungssystem auf Ebene 1 sollte niemals direkt mit einer Geschäftsanwendung auf Ebene 4 kommunizieren. Jede Kommunikation, die mehrere Ebenen überschreitet, stellt einen potenziellen Angriffsvektor dar, der explizit kontrolliert werden muss.

Anpassung des Purdue-Modells an moderne industrielle Umgebungen

Die industriellen Umgebungen von heute sehen nicht mehr so aus wie die Netze, die die Architekten von Purdue in den 1990er-Jahren vor Augen hatten. Cloud-verbundene SCADA-Systeme, Fernzugriff für OEM-gestützten Support, IIoT-Sensoren, die Daten an Analyseplattformen liefern, sowie hybride IT/OT-Infrastrukturen haben die Grenzen zwischen den Ebenen verwischt.

Ein praxistauglicher, modernisierter Ansatz für das Purdue-Modell verwirft seine Logik nicht, sondern erweitert sie. Das bedeutet, Fernzugriffspfade, Cloud-Datenflüsse und die Anbindung von Drittanbietern zu berücksichtigen, während das Kernprinzip erhalten bleibt, dass seitliche Bewegungen zwischen Betriebsebenen aktiv gesteuert, überwacht und auf das betrieblich Notwendige beschränkt werden sollten.

OT-Netzwerkzonen und Conduits: Die Architektur der Kontrolle

Während das Purdue-Modell horizontale Schichten innerhalb eines industriellen Netzwerks definiert, legt das Konzept von Zonen und Conduits, formalisiert im Standard IEC 62443 für industrielle Cybersicherheit, fest, wie diese Schichten in der Praxis unterteilt und miteinander verbunden werden.

Sicherheitszonen definieren

Eine Sicherheitszone ist eine Gruppierung von Assets, die dieselben Sicherheitsanforderungen, dasselbe Risikoprofil und denselben Schutzbedarf teilen. Die Zonenbegrenzung ist der Punkt, an dem Sicherheitskontrollen angewendet werden. Assets innerhalb einer Zone vertrauen einander; Assets in unterschiedlichen Zonen tun dies nicht.

Eine wirksame Zonengestaltung berücksichtigt:

• die Kritikalität der Assets innerhalb der Zone: Sicherheitssysteme erfordern eine strengere Isolierung als Systeme zur Betriebsüberwachung

• die Kommunikationsanforderungen jedes Assets: Von welchen Quellen muss es Daten empfangen, und an welche Ziele muss es Daten senden?

• die Zugriffsanforderungen: Welche Benutzer, Systeme und Anbieter müssen mit den Assets in dieser Zone interagieren?

• die Folgen eines Kompromisses: Was geschieht betrieblich und aus Sicht der Sicherheit, wenn eine Zone verletzt wird?

Conduits zwischen Zonen absichern

Ein Conduit ist der Kommunikationspfad zwischen zwei oder mehr Zonen. Hier finden Zugriffskontrolle, Protokollfilterung, Verkehrsanalyse und Protokollierung statt. Jeder Conduit sollte nach dem Prinzip der geringsten Berechtigung gestaltet sein: Erlauben Sie nur die konkret erforderlichen Kommunikationsflüsse und verweigern Sie standardmäßig alles andere.

In der Praxis werden Conduits durch Next-Generation-Firewalls mit OT-Protokollverständnis, verwaltete Switches mit VLAN-Segmentierung und dedizierte Sicherheitsappliances umgesetzt, die industrielle Protokolle wie Modbus TCP, DNP3 und PROFINET inspizieren können. Generische IT-Firewalls, die industrielle Protokolle nicht analysieren können, werden bösartige Befehle nicht erkennen, wenn diese in legitimen Protokollverkehr getarnt sind.

IT/OT-Netzwerksegmentierung: Wo Strategie auf Risikoreduktion trifft

Die Schnittstelle zwischen IT- und OT-Netzwerken ist statistisch gesehen der Punkt, an dem die meisten Cyberangriffe auf industrielle Umgebungen ansetzen. Bedrohungsakteure bewegen sich seitlich von kompromittierten Unternehmens-E-Mail-Konten zu Domänencontrollern und von dort zu Historian-Servern und Engineering-Workstations – entlang legitimer Vertrauensbeziehungen zwischen IT- und OT-Systemen.

Wirksame IT/OT-Netzwerksegmentierung erfordert mehr als eine Firewall zwischen den beiden Domänen. Sie erfordert eine bewusste architektonische Strategie, die Datenflüsse, Authentifizierung, Fernzugriff und die operativen Realitäten industrieller Umgebungen adressiert.

Häufige IT/OT-Segmentierungsfehler, die versteckte Risiken erzeugen

• Annahme, eine Firewall sei gleichbedeutend mit Segmentierung – Eine falsch konfigurierte Firewall mit zu weit gefassten Regeln schafft kaum tatsächliche Trennung zwischen den Umgebungen

• Gemeinsame Zugangsdaten zwischen IT- und OT-Domänen zulassen – Ein einziges kompromittiertes Active-Directory-Konto kann sich in OT-Systeme auswirken, wenn Domänenvertrauensstellungen geteilt werden

• Unkontrollierte Fernzugriffspfade verwenden – VPN-Verbindungen, die von IT-Mitarbeitern genutzt werden und direkt in OT-Netze hineinreichen, umgehen kritische Prüfstellen

• Historian-Server und Datenintegrationsplattformen übersehen – Diese Assets überspannen IT und OT und müssen als Hochrisiko-Conduit-Punkte behandelt werden

• Die Inspektion verschlüsselten Verkehrs vernachlässigen – Verschlüsselte Kanäle werden zunehmend von Angreifern genutzt, um seitliche Bewegungen zu verbergen, selbst innerhalb von OT-Umgebungen

Design industrieller DMZs: Die kritische Brücke zwischen IT und OT

Die industrielle demilitarisierte Zone – die industrielle DMZ – ist das architektonische Herzstück eines gut segmentierten OT-Netzwerks. Sie dient als kontrollierter Puffer zwischen dem IT-Unternehmensnetzwerk und der Operational-Technology-Umgebung, ermöglicht den notwendigen Datenaustausch und verhindert gleichzeitig direkte Konnektivität zwischen den beiden Domänen.

Zu den typischerweise in einer industriellen DMZ gehosteten Kernkomponenten gehören:

• Data Historian und Replikationsserver: Prozessdaten werden hier aggregiert, bevor sie an Unternehmens-Analyseplattformen weitergegeben werden – dadurch entfallen direkte Verbindungen zwischen Systemen auf Ebene 2 und Unternehmensnetzwerken

• Fernzugriffs-Gateways: Kontrollierte Jump-Server oder Privileged Access Workstations, die autorisierten Lieferanten- und Fernwartungszugriff ermöglichen, ohne direkte Pfade in das OT-Netzwerk zu schaffen

• Patch-Management- und Update-Server: Validierte Patch-Repositorys, die kontrollierte Software- und Firmware-Updates ermöglichen, ohne OT-Assets einer direkten Internetverbindung auszusetzen

• Sicherheitsüberwachungs-Infrastruktur: Passive Überwachungssensoren und OT-fähige SIEM-Aggregationspunkte, die Sicherheitstelemetrie aus OT-Umgebungen erfassen, ohne aktives Scanning einzuführen, das Legacy-Geräte stören könnte

• Dateiübertragungs- und Anti-Malware-Scan-Knoten: Kontrollierte Übergabepunkte, die Dateien prüfen und validieren, bevor sie von IT zu OT übertragen werden – eine entscheidende Verteidigung gegen über USB eingebrachte und Supply-Chain-Malware

Die industrielle DMZ ist in einer ausgereiften OT-Sicherheitsarchitektur nicht optional – sie ist der grundlegende Kontrollpunkt, der es dem Unternehmen ermöglicht, effizient zu arbeiten und gleichzeitig die Sicherheitsgrenzen aufrechtzuerhalten, die operative Systeme schützen.

Segmentierung für SCADA-Netzwerke: Schutz des operativen Nervenzentrums

SCADA-Netzwerke stellen besondere Segmentierungsherausforderungen dar. Im Gegensatz zu diskreten Fertigungsumgebungen decken SCADA-Systeme häufig geografisch verteilte Assets ab – entfernte Pumpstationen, Umspannwerke, Pipeline-Überwachungspunkte – die über eine Mischung aus kabelgebundenen, drahtlosen und zellulären Kommunikationspfaden verbunden sind. Diese verteilte Topologie schafft zahlreiche potenzielle Einstiegspunkte, die eine zentrale Firewall-Policy allein nicht ausreichend schützen kann.

Wirksame Segmentierung für SCADA-Netzwerke sollte folgende Aspekte adressieren:

• Netzwerksegmentierung an entfernten Außenstandorten, nicht nur im Leitstand – Jede Remote Terminal Unit (RTU) bzw. jede Remote-Station sollte als potenzieller Einstiegspunkt behandelt werden, der eigene Zugriffskontrollen erfordert

• Protokollbewusste Inspektion an allen Kommunikations-Gateways – DNP3, IEC 60870-5 und andere SCADA-Protokolle transportieren Betriebsbefehle, die validiert und nicht nur weitergeleitet werden dürfen

• Verschlüsselung und Authentifizierung für jede Kommunikation zwischen Master- und Remote-Stationen – wo Einschränkungen älterer Protokolle native Verschlüsselung verhindern, sollten kompensierende Maßnahmen wie VPN-Tunnel auf Netzwerkschicht eingesetzt werden

• Verhaltensbasierte Anomalieerkennung, die Kommunikations-Baselines definiert und Abweichungen meldet – da SCADA-Verkehrsmuster hochgradig vorhersehbar sind, sind Anomalien häufig frühe Indikatoren für Kompromittierung oder Fehlkonfiguration

Praktische Empfehlungen: Segmentierung aufbauen, die Bestand hat

Wirksame OT-Netzwerksegmentierung ist kein Technologieeinkauf – sie ist eine architektonische Disziplin, die durch eine strukturierte Methodik aufgebaut wird. Die folgenden Prinzipien unterscheiden robuste Segmentierung von einem bloßen Compliance-Häkchen:

• Beginnen Sie mit Asset Discovery und Inventarisierung: Sie können nur das segmentieren, was Sie zuvor erfasst haben. Ein vollständiges OT-Asset-Inventar, einschließlich passiver Erkennung, um laufende Systeme nicht zu stören – ist der unverzichtbare Ausgangspunkt jedes Segmentierungsprojekts.

• Führen Sie eine Analyse der Kommunikationsflüsse durch: Dokumentieren Sie alle bestehenden Datenflüsse, bevor Sie Zonen entwerfen. Viele Organisationen sind überrascht, nicht dokumentierte Verbindungen zwischen OT- und IT-Systemen zu entdecken, die seit Jahren ohne formale Freigabe bestehen.

• Wenden Sie eine risikobasierte Priorisierung von Zonen an: Nicht alle Assets tragen dasselbe Risiko. Safety Instrumented Systems und kritische Steuerungs-Assets verdienen die höchste Isolationspriorität. Segmentieren Sie von innen nach außen – schützen Sie zuerst die kritischsten Assets.

• Entwerfen Sie für Überwachung, nicht nur für Kontrolle: Segmentierung ohne Sichtbarkeit ist unvollständig. Jede Zonengrenze sollte Sicherheitstelemetrie erzeugen. Überwachen Sie OT-Verkehr passiv auf Anomalien mit OT-nativen Erkennungstools, die industrielle Protokolle verstehen.

• Setzen Sie strenge Fernzugriffskontrollen durch: Fernzugriff gehört zu den risikoreichsten Vektoren in OT-Umgebungen. Jede Fernsitzung sollte über einen Jump Server vermittelt werden, Multi-Faktor-Authentifizierung erfordern, zeitlich begrenzt sein und, soweit möglich, vollständig mit Sitzungsaufzeichnung protokolliert werden.

• Validieren Sie Segmentierung unter realistischen Bedingungen: Regelmäßige Validierungsübungen zur Segmentierung, einschließlich kontrollierter Versuche zur Prüfung seitlicher Bewegungspfade, decken Lücken auf, die Konfigurationsprüfungen übersehen. Echte Abwehrmaßnahmen werden unter Belastung getestet.

• Betrachten Sie Segmentierung als kontinuierlichen Prozess: Die Netzwerktopologie ändert sich mit jeder neuen Installation, jeder Lieferantenanbindung und jeder betrieblichen Anpassung. Segmentierung muss sich entsprechend weiterentwickeln; sie ist kein einmaliges Projekt.

Wie Shieldworkz industrielle Organisationen unterstützt

Bei Shieldworkz verstehen wir, dass OT-Netzwerksegmentierung kein Produkt ist, das Sie einfach installieren – sondern eine Fähigkeit, die Sie aufbauen. Unser Team aus OT-Sicherheitsspezialisten arbeitet direkt mit industriellen Organisationen zusammen, um Segmentierungsarchitekturen zu entwerfen, umzusetzen und kontinuierlich zu verbessern, die die operativen Realitäten widerspiegeln und nicht theoretische Modelle.

Unsere OT-Netzwerksegmentierungsleistungen umfassen:

• OT-Asset Discovery & Netzwerkmapping: Wir führen eine nicht-intrusive, passive Asset-Erkennung durch, um ein vollständiges, validiertes Inventar Ihrer OT/ICS-Umgebung aufzubauen – die wesentliche Grundlage jeder Segmentierungsinitiative.

• Zonen- & Conduit-Design auf Basis von IEC 62443: Unsere Architekten entwerfen Sicherheitszonen und Conduits im Einklang mit den Prinzipien der IEC 62443, abgestimmt auf Ihre spezifische Betriebsumgebung, die Kritikalität der Assets und Ihre Compliance-Anforderungen.

• IT/OT-Grenzarchitektur: Wir entwerfen und implementieren die architektonische Trennung zwischen IT- und OT-Umgebungen – einschließlich industrieller DMZ-Designs, Entwicklung von Firewall-Richtlinien und Zugriffsarchitektur, die Sicherheit und Betriebskontinuität in Einklang bringt.

• SCADA- & ICS-Protokollbewusste Sicherheitskontrollen: Unsere Implementierungsspezialisten stellen OT-native Sicherheitswerkzeuge bereit und konfigurieren sie so, dass industrielle Protokolle inspiziert werden – damit Segmentierungskontrollen Ihren Betriebsverkehr tatsächlich sehen und verstehen.

• Sicherer Fernzugriff für OT-Umgebungen: Wir entwerfen sichere Fernzugriffsarchitekturen für Lieferanten- und Wartungszugriffe, die Least-Privilege-Zugriff, Multi-Faktor-Authentifizierung, Sitzungsüberwachung und automatische Sitzungsbeendigung durchsetzen.

• OT-Sicherheitsüberwachung & Anomalieerkennung: Wir integrieren passive Überwachungslösungen, die Verhaltens-Baselines für Ihr OT-Netzwerk etablieren und bei Anomalien alarmieren – damit Ihr Team die Sichtbarkeit erhält, die erforderlich ist, um Bedrohungen zu erkennen, bevor sie kritische Assets erreichen.

• Validierung der Segmentierung & Gap-Assessment: Durch strukturierte Bewertungen und kontrollierte Tests validieren wir, dass Ihre Segmentierungskontrollen unter realistischen Bedingungen wie vorgesehen funktionieren – und identifizieren Lücken, bevor Angreifer es tun.

• Laufende Security Advisory- & Compliance-Unterstützung: Unser Team bietet kontinuierliche Beratung, während sich Ihre Umgebung weiterentwickelt, und stellt sicher, dass die Segmentierung wirksam bleibt und mit Frameworks wie NIST CSF, IEC 62443, NERC CIP und branchenspezifischen Vorschriften im Einklang steht.

Segmentierung ist kein Projekt, sondern eine Verpflichtung

Die industriellen Netzwerke von heute sind realen, hochentwickelten und anhaltenden Bedrohungen ausgesetzt. Die Angreifer, die kritische Infrastrukturen ins Visier nehmen, sind geduldig, bestens ausgestattet und mit den Architekturen, die sie ausnutzen wollen, äußerst vertraut. Zwischen ihnen und einer Betriebsunterbrechung steht nicht ein einzelnes Produkt oder ein einzelner Anbieter – sondern ein prinzipienbasierter, kontinuierlich gepflegter Ansatz zur Absicherung der Umgebung, in der sie tätig sind.

OT-Netzwerksegmentierung, aufgebaut auf dem strukturierten Fundament des Purdue-Modells und des IEC-62443-Zonen-und-Conduit-Frameworks, ist genau dieser Ansatz. Sie ist kein theoretisches Konstrukt – sie ist eine praxiserprobte, bewährte Methode, um die Exposition kritischer Assets zu begrenzen, die Bewegung von Bedrohungen zu kontrollieren und die Betriebskontinuität zu sichern, auf die industrielle Organisationen angewiesen sind.

Bei Shieldworkz ist unser Anspruch einfach: Wir sind überzeugt, dass industrielle Organisationen Sicherheitsarchitekturen verdienen, die für die Realitäten ihrer Umgebung gebaut wurden – und nicht aus IT-Blueprints abgeleitet sind, die nie mit Blick auf Operational Technology entwickelt wurden. Jede von uns durchgeführte Zusammenarbeit spiegelt diese Überzeugung wider. Wir schützen nicht Netzwerke. Wir schützen Betrieb, Sicherheit und die Infrastruktur, von der Gemeinschaften und Volkswirtschaften abhängen.

Ist Ihre OT-Netzwerksegmentierung darauf ausgelegt, echten Bedrohungen standzuhalten?

Viele industrielle Organisationen glauben, dass ihre Segmentierung ausreichend ist, bis eine strukturierte Bewertung die Lücken offenlegt. Ganz gleich, ob Sie bei null beginnen, eine bestehende Architektur validieren oder regulatorische Compliance-Anforderungen erfüllen müssen – Shieldworkz unterstützt Sie dabei, ein belastbares, betrieblich tragfähiges und kontinuierlich überwachtes OT-Netzwerk aufzubauen.

Zusätzliche Ressourcen       

2026 OT Cybersecurity Threat Landscape Analysis Report hier  
Ein herunterladbarer Bericht zum Stryker-Cybervorfall hier       
Sanierungsleitfäden hier     
IEC 62443 und NIS2 Compliance-Checkliste hier  
Bewährte Verfahren für OT-Sicherheit und Leitfaden zur Risikobewertung hier