Bild 1: Die zunehmende Vernetzung von IT- und OT-Systemen ermöglicht es Angreifern, sich lateral vom Office-Netzwerk bis zu industriellen Steuerungen vorzuarbeiten. © Illumio

Mit der Entwicklung hin zu Smart Factories sowie der zunehmenden Nutzung von Fernzugriffen und Cloud-Diensten stößt dieser Ansatz jedoch an seine Grenzen. Viele Produk-tionsnetzwerke sind historisch gewachsen und weisen flache Architekturen mit zahlreichen impliziten Kommunikationspfaden auf (Bild 1). Gelingt es Angreifern, in ein solches Netzwerk einzudringen, können sie sich oft relativ leicht lateral bewegen, etwa von Office-IT-Systemen über Engineering-Workstations bis hin zu speicherprogrammierbaren Steuerungen (SPS).

Um die Widerstandsfähigkeit zu erhöhen, benötigen Unternehmen mehr als reine Perimeterschutzmaßnahmen. Entscheidend sind eine umfassende Visibilität der internen Verbindungen sowie die Möglichkeit, diese gezielt zu steuern und zu begrenzen.

Sichtbarkeit als Grundlage für sichere Konnektivität

Sicherheitsteams müssen nachvollziehen können, welche Systeme miteinander kommunizieren, welche Protokolle genutzt werden und welche Abhängigkeiten zwischen IT- und OT-Komponenten bestehen.

In vielen Produktionsumgebungen ist diese Sicht jedoch nur begrenzt vorhanden. Netzwerke sind über Jahre gewachsen, Dokumentationen oft unvollständig und Kommunikationsbeziehungen nur teilweise bekannt. Unternehmen verlassen sich häufig auf Netzwerkdiagramme oder Architekturpläne, die nicht die realen Kommunikationsflüsse abbilden.

Bild 2: Durch kontinuierliche Analyse des Netzwerkverkehrs lassen sich typische Kommunikationsmuster erkennen und potenziell riskante Verbindungen identifizieren. © Illumio

Analyse- und Monitoringlösungen, die den tatsächlichen Netzwerkverkehr kontinuierlich erfassen und auswerten, schaffen hier Abhilfe (Bild 2). Sie analysieren laufende Kommunikationsbeziehungen zwischen Systemen und identi-fizieren typische Datenflüsse innerhalb der Produktionsumgebung. Unterstützt durch Machine-Learning-Verfahren entsteht daraus eine kontextbasierte Echtzeitdarstellung des Traffics, mit der Sicherheitsteams ungewöhnliche oder potenziell riskante Verbindungen erkennen können.

Mikrosegmentierung begrenzt die Ausbreitung von Angriffen

Um Angriffe zügig einzudämmen, setzen moderne Sicherheitsarchitekturen auf Mikrosegmentierung (Bild 3). Dabei wird die Infrastruktur in kleine, klar definierte logische Segmente unterteilt, zwischen denen Kommunikation nur über kontrollierte Verbindungen möglich ist. Wird ein System kompromittiert, bleibt der Handlungsspielraum eines Angreifers auf das betroffene Segment beschränkt. Eine unkontrollierte laterale Bewegung innerhalb des Produktionsnetzes wird dadurch deutlich erschwert.

Bild 3: Mikrosegmentierung begrenzt die Ausbreitung von Cyberangriffen, indem sie Konnektivität zwischen Systemen gezielt kontrolliert. © Illumio

Insbesondere in konvergierten IT- und OT-Umgebungen ist dieser Ansatz wichtig, da Produktionssysteme, Engineering-Stationen, HMI-Systeme und industrielle Server häufig über gemeinsame Netzwerkinfrastrukturen verbunden sind. Segmentierung reduziert solche großen Vertrauensbereiche und ermöglicht eine gezielte Kontrolle interner Kommunikationsbeziehungen.

Viele Unternehmen versuchen, Mikrosegmentierung mit klassischen Segmentierungsansätzen umzusetzen, etwa mit VLANs (Virtual Local Area Networks) oder Firewalls. Diese bieten jedoch nicht die notwendige Granularität für die moderne industrielle Sicherheit. Zwar lassen sich damit größere Netzwerkbereiche voneinander trennen, doch die Kommunikation innerhalb dieser Zonen bleibt häufig weitgehend unkontrolliert.

Moderne Mikrosegmentierung verfolgt einen präziseren, softwaredefinierten Ansatz: Richtlinien werden auf Ebene einzelner Workloads oder Anwendungen angewendet. Jede Kommunikationsanfrage wird überprüft – ein Prinzip, das dem Zero-Trust-Ansatz entspricht.

Moderne Mikrosegmentierungsplattformen ermöglichen es, Policies zentral zu definieren und über unterschiedliche Infrastrukturbereiche hinweg um- und durchzusetzen. Anstatt Firewall-Regeln mit IP-Adressen werden kontextbezogene Attribute wie ihre Rolle innerhalb einer Anwendung oder ihre Funktion im Produktionsprozess über Policies angesprochen.

Hardwarebasiertes Enforcement für IT/OT-Umgebungen

In modernen Smart Factories ist die Produktionsumgebung zunehmend mehrstufig aufgebaut. Im Unternehmensnetz laufen Enterprise-Resource-Planning-Systeme (ERP), etwa SAP, die Produktionsaufträge planen und steuern. Diese kommunizieren mit MES, die den Produktionsprozess koordinieren. In den einzelnen Fabriken verbinden industrielle Gateways oder Edge-Server diese Systeme mit den eigent-lichen Produktionsanlagen und den darunterliegenden Steuerungen.

Viele dieser Gateways und Anwendungssysteme basieren heute auf Standardplattformen wie Windows oder Linux oder laufen in virtualisierten oder containerisierten Umgebungen. In solchen Fällen lassen sich Mikrosegmentierungsrichtlinien direkt über Software-Agenten umsetzen. Illumio nutzt hierfür sogenannte Virtual Enforcement Nodes (VEN), die auf diesen Systemen installiert werden und die Kommunikation über die lokalen Firewall-Mechanismen kontrollieren.

Nicht alle Komponenten einer Produktionsumgebung lassen sich jedoch durch Software absichern. Insbesondere Maschinensteuerungen, etwa speicherprogrammierbare Steuerungen (SPS), die Roboterarme, Förderbänder oder Dosiersysteme steuern, laufen häufig auf spezialisierten Plattformen ohne Standardbetriebssystem oder verfügen nur über begrenzte Rechenressourcen. Die Umsetzung von Mikrosegmentierung stellt in solchen IT/OT-Umgebungen besondere Anforderungen, da zusätzliche Sicherheitssoftware auf diesen Systemen meist nicht installiert werden kann.

Ein Ansatz besteht darin, das Enforcement von Policies in Hardware zu verlagern. Hier setzen kombinierte Architekturen wie die von Illumio und Nvidia an: Während eine Plattform die Visibilität über Kommunikationsbeziehungen sowie die Mikrosegmentierungsrichtlinien bereitstellt, ermöglicht die Nvidia-BlueField-Plattform deren Integration und technisches Enforcement in den IT/OT-Umgebungen.

BlueField ist eine Data Processing Unit (DPU), die als SmartNIC über eine PCIe-Schnittstelle angebunden wird. Sie verfügt über eigene Rechenressourcen auf Basis von Arm-Kernen sowie Hardwarebeschleunigung für Netzwerk- und Sicherheitsfunktionen. Dadurch können Netzwerkverkehr und Sicherheitsrichtlinien unabhängig vom Hostsystem verarbeitet werden.

In der gemeinsamen Architektur fungiert die BlueField-DPU als lokaler Enforcement-Punkt für Mikrosegmentierungsrichtlinien. Illumio setzt die Richtlinien über die DPU um, wobei die Regeln von der zentralen Illumio Policy Compute Engine definiert werden. Der Netzwerkverkehr wird dabei direkt auf der DPU analysiert und anhand der definierten Policies geprüft. Die Umsetzung der Segmentierungsrichtlinien erfolgt somit hardwarebasiert.

Solche hardwarebasierten Enforcement-Punkte lassen sich beispielsweise in industriellen Edge-Servern, Gateways, moderneren SPSen oder anderen Infrastrukturkomponenten integrieren und erweitern die Durchsetzung von Segmentierungsrichtlinien im Produktionsnetz.

Sicherheit als Voraussetzung für Smart Factories

Die zunehmende Vernetzung von Produktionsumgebungen eröffnet Chancen für Effizienz und datengetriebene Optimierung. Gleichzeitig steigt aber das Cyberrisiko.

Der Autor: Alexander Goller ist Principal Solutions Architect bei Illumio. © Illumio

Moderne Sicherheitsstrategien müssen daher über den klassischen Perimeterschutz hinausgehen. Entscheidend ist die Fähigkeit, Kommunikationsbeziehungen innerhalb komplexer IT- und OT-Umgebungen sichtbar zu machen, über Mikro-segmentierung gezielt zu kontrollieren und im Ernstfall einzuschränken.

Durch die Kombination aus Sichtbarkeit sowie software- und hardwarebasierter Mikrosegmentierung lassen sich zentrale Sicherheitsprinzipien umsetzen und die notwendige Cyberresilienz aufbauen.