- IT/OT-Konvergenz ist kein technischer Trend, sondern eine betriebswirtschaftliche Notwendigkeit. Industrie 4.0, Predictive Maintenance und digitale Zwillinge erfordern Datenflüsse zwischen Produktion und IT.
- Die historische Trennung zwischen IT und OT löst sich auf, aber die Sicherheitsanforderungen beider Welten bleiben unterschiedlich.
- An den Schnittstellen entstehen neue Risiken: Lateral Movement, Protocol-Bridging-Angriffe und Supply-Chain-Kompromittierung über Wartungszugänge.
- Die EU-Maschinenverordnung 2023/1230 fordert ab 2027, dass vernetzte Maschinen gegen unbefugte digitale Zugriffe geschützt sind.
- Ein Defense-in-Depth-Ansatz mit klaren Zonenkonzepten, definierten Übergabepunkten und gemeinsamer Governance ist der Schlüssel zur sicheren Konvergenz.
Zwei Welten, die nie getrennt hätten sein sollen
Wenn du durch die Produktionshalle eines mittelständischen Fertigungsunternehmens gehst und dann zurück ins Büro, überquerst du eine Grenze, die es technisch eigentlich nicht mehr gibt. Die CNC-Maschine in der Halle bezieht ihre Auftragsdaten aus dem ERP-System im Rechenzentrum. Das MES (Manufacturing Execution System) überwacht den Produktionsfortschritt und meldet ihn an die Auftragssteuerung zurück. Der Instandhalter prüft den Zustand der Anlage über ein Dashboard auf seinem Tablet, das die Sensordaten in Echtzeit aus der Steuerung liest.
Die technische Konvergenz ist längst Realität. Aber die organisatorischen Strukturen, die Sicherheitskonzepte und die mentalen Modelle der Beteiligten hinken hinterher. Genau in dieser Lücke entstehen die Risiken, um die es in diesem Artikel geht.
Warum IT und OT zusammenwachsen
Die Konvergenz von IT und OT ist kein Selbstzweck und auch kein reiner Technologietrend. Sie wird von konkreten betriebswirtschaftlichen Anforderungen getrieben:
Industrie 4.0 und datengetriebene Fertigung
Moderne Produktionsoptimierung basiert auf Daten. Um Durchlaufzeiten zu verkürzen, Ausschuss zu reduzieren und Engpässe zu erkennen, müssen Produktionsdaten in Echtzeit verfügbar sein. Das geht nur, wenn die Steuerungssysteme in der Produktion mit den Analyse- und Planungssystemen in der IT kommunizieren.
Ein mittelständischer Kunststoffverarbeiter erfasst zum Beispiel Temperatur, Druck und Zykluszeit an jeder Spritzgussmaschine. Diese Daten fließen in ein MES, das die Produktion optimiert und Qualitätsabweichungen frühzeitig erkennt. Ohne die Verbindung zwischen OT (Maschinensteuerung) und IT (MES, ERP) wäre das nicht möglich.
Predictive Maintenance
Statt Maschinen nach starren Intervallen zu warten, analysieren moderne Systeme Vibrationsmuster, Temperaturen und Stromaufnahme, um den optimalen Wartungszeitpunkt zu bestimmen. Die Sensordaten kommen aus der OT-Welt, die Analyse läuft in der IT (oft in der Cloud). Predictive Maintenance kann Wartungskosten um 25 bis 30 Prozent senken und ungeplante Stillstände um bis zu 70 Prozent reduzieren. Das sind Zahlen, die jeder CFO versteht.
Digitale Zwillinge
Ein digitaler Zwilling ist ein virtuelles Abbild einer physischen Anlage, das in Echtzeit mit Daten aus der Produktion gespeist wird. Er ermöglicht Simulationen, Optimierungen und Fehleranalysen, ohne die reale Anlage zu beeinflussen. Digitale Zwillinge erfordern einen kontinuierlichen, bidirektionalen Datenstrom zwischen OT und IT.
Remote Operations und verteilte Standorte
Mittelständische Unternehmen mit mehreren Produktionsstandorten oder internationalen Niederlassungen benötigen zentralen Zugriff auf Produktionsdaten. Ingenieure in der Zentrale überwachen Anlagen an entfernten Standorten, passen Parameter an und diagnostizieren Störungen aus der Ferne. Das spart Reisekosten und beschleunigt die Fehlerbehebung, erfordert aber sichere Verbindungen zwischen lokalen OT-Netzwerken und zentralen IT-Systemen.
Regulatorische Treiber
Auch die Regulierung treibt die Konvergenz voran. Die EU-Maschinenverordnung 2023/1230, die ab 2027 die bisherige Maschinenrichtlinie ablöst, fordert explizit, dass vernetzte Maschinen gegen unbefugte digitale Zugriffe geschützt sein müssen. Das setzt voraus, dass die Vernetzung bekannt, dokumentiert und abgesichert ist, also eine bewusste IT/OT-Integration statt einer unkontrollierten Vermischung.
Die historische Trennung und ihre Überreste
Um die heutigen Probleme zu verstehen, lohnt ein kurzer Blick auf die Geschichte. Bis in die 2000er-Jahre waren OT-Systeme weitgehend isoliert. Sie nutzten proprietäre Protokolle (Profibus, Modbus RTU über serielle Leitungen), proprietäre Hardware und waren physisch vom Büronetzwerk getrennt. Cybersicherheit war kein Thema, weil es keine Angriffsfläche gab.
Diese Isolation hat sich in mehreren Wellen aufgelöst:
Erste Welle (2000er): Industrielle Protokolle wanderten auf Ethernet. Modbus TCP, Profinet, EtherNet/IP ersetzten serielle Verbindungen. Plötzlich konnten OT-Geräte über Standard-Netzwerkinfrastruktur kommunizieren.
Zweite Welle (2010er): Windows-basierte HMIs und Engineering-Workstations wurden Standard. SCADA-Server liefen auf handelsüblicher Server-Hardware mit Windows-Betriebssystemen. Die IT-typischen Schwachstellen zogen in die Produktion ein.
Dritte Welle (2020er): Cloud-Anbindung, IoT-Sensoren und Edge Computing. Daten fließen direkt aus der Produktion in Cloud-Plattformen für Analyse, Monitoring und Optimierung. Die Grenze zwischen IT und OT verschwimmt endgültig.
Was geblieben ist, sind die organisatorischen Strukturen. In vielen Unternehmen gibt es immer noch eine klare Trennung: Die IT-Abteilung kümmert sich um Server, Netzwerk und Clients. Die Produktionstechnik kümmert sich um Maschinen und Steuerungen. Dazwischen liegt ein Niemandsland, für das sich niemand wirklich zuständig fühlt. Genau dort liegen die Risiken.
Risiken an der Schnittstelle
Die Konvergenz von IT und OT schafft Risiken, die in keiner der beiden Welten allein existieren. Sie entstehen genau an den Übergabepunkten.
Lateral Movement: Vom Büro in die Produktion
Das häufigste Angriffsszenario: Ein Angreifer kompromittiert zunächst ein IT-System (etwa durch eine Phishing-Mail an einen Mitarbeiter in der Buchhaltung). Von dort bewegt er sich lateral durch das Netzwerk, bis er die Verbindung zur OT-Welt findet. Wenn die Segmentierung zwischen IT und OT unzureichend ist, kann er von einem kompromittierten Büro-PC direkt auf SCADA-Server oder Engineering-Workstations zugreifen.
Der Colonial-Pipeline-Angriff 2021 ist ein prominentes Beispiel. Technisch wurde nur die IT-Seite kompromittiert (Billing-System). Aber weil das Unternehmen nicht sicher war, ob der Angreifer auch in die OT-Systeme eingedrungen war, wurde die Pipeline vorsorglich abgeschaltet. Der wirtschaftliche Schaden entstand nicht durch den Angriff auf die OT, sondern durch die Unsicherheit über die IT/OT-Grenze.
Protocol-Bridging-Angriffe
An den Schnittstellen zwischen IT und OT sitzen oft Systeme, die beide Welten überbrücken: MES-Server, OPC-UA-Gateways, Historian-Datenbanken oder MQTT-Broker. Diese Systeme sprechen auf der einen Seite IT-Protokolle (TCP/IP, HTTPS, SQL) und auf der anderen Seite OT-Protokolle (Modbus, Profinet, S7comm).
Ein Angreifer, der einen solchen Brücken-Server kompromittiert, kann die Protokollgrenzen überwinden. Er greift über die IT-Seite an und nutzt die OT-Schnittstelle, um Steuerungsbefehle zu senden. Dabei umgeht er möglicherweise Firewalls, die zwar den direkten IT-OT-Verkehr blockieren, aber dem Brücken-Server vertrauen.
Supply-Chain-Risiken über Wartungszugänge
Maschinenhersteller und Wartungsdienstleister benötigen Zugriff auf OT-Systeme, oft über das IT-Netzwerk. Ein strukturiertes Lieferantenmanagement hilft, diese Zugänge zu kontrollieren. Wenn ein Dienstleister kompromittiert wird, kann der Angreifer über dessen Wartungszugang in die OT-Umgebung des Kunden gelangen. Dieses Risiko wird durch die Konvergenz verschärft, weil Wartungszugänge heute typischerweise über VPN-Verbindungen durch die IT-Infrastruktur geführt werden.
Fehlkonfigurationen an Übergabepunkten
Jede Schnittstelle zwischen IT und OT erfordert Firewall-Regeln, Zugriffskontrollen und Monitoring. In der Praxis sind diese Übergabepunkte oft schlecht dokumentiert und unzureichend gesichert. Gründe dafür: Die IT-Firewall-Administratoren verstehen nicht, welche OT-Protokolle warum welche Ports benötigen. Die OT-Techniker fordern „mach mal den Port auf, damit die Maschine läuft" und die IT macht es, ohne zu hinterfragen. Temporäre Regeln, die für Inbetriebnahmen angelegt wurden, werden nie wieder entfernt.
Kaskaden-Effekte
Die Konvergenz schafft Abhängigkeiten, die bei einem Vorfall zu Kaskadeneffekten führen. Beispiel: Ein Ransomware-Angriff verschlüsselt den Active-Directory-Server. Weil die HMI-Panels in der Produktion sich über Active Directory authentifizieren, können die Bediener sich nicht mehr anmelden. Die Maschinen laufen zwar noch, aber niemand kann sie bedienen oder überwachen. Eine IT-Störung wird zum Produktionsstillstand, ohne dass die OT-Systeme selbst betroffen sind.
Lösungsansätze: Sichere Konvergenz statt blinder Trennung
Die Antwort auf die Risiken der IT/OT-Konvergenz ist nicht, die Systeme wieder zu trennen. Das wäre weder praktikabel noch wirtschaftlich sinnvoll. Die Antwort ist eine bewusste, kontrollierte Konvergenz mit klaren Sicherheitsmechanismen.
Defense in Depth
Das Grundprinzip ist Defense in Depth: Mehrere Sicherheitsschichten, die einen Angreifer aufhalten, auch wenn eine einzelne Schicht versagt. In der IT/OT-Konvergenz bedeutet das:
Schicht 1 - Netzwerkzonen und Segmentierung: IT und OT in klar definierte Netzwerkzonen aufteilen, mit Firewalls an den Übergängen. Das Purdue-Modell (oder seine modernen Varianten) liefert eine bewährte Struktur dafür.
Schicht 2 - Demilitarisierte Zone (DMZ): Zwischen IT und OT eine DMZ einrichten, in der die Brücken-Systeme stehen (MES, Historian, OPC-UA-Gateway). Kein direkter Verkehr von IT nach OT. Alle Datenflüsse laufen über die DMZ.
Schicht 3 - Zugangskontrolle: Klare Regeln, wer auf welche Systeme zugreifen darf. Separate Accounts für IT- und OT-Administration. Multi-Faktor-Authentifizierung für alle Remote-Zugänge.
Schicht 4 - Monitoring und Erkennung: Getrennte Monitoring-Systeme für IT und OT, aber mit zentraler Korrelation. Wenn im IT-Netzwerk ein Angriff erkannt wird, muss das OT-Security-Team sofort informiert werden und umgekehrt.
Schicht 5 - Incident Response: Ein integrierter Incident-Response-Plan, der beide Welten abdeckt. Klare Eskalationswege und vorab definierte Entscheidungskriterien (wann wird die Produktion heruntergefahren, wann nicht).
Definierte Übergabepunkte (Conduits)
Jeder Datenfluss zwischen IT und OT läuft über einen definierten Übergabepunkt (Conduit). Für jeden Conduit dokumentierst du:
- Welche Daten fließen in welche Richtung?
- Welches Protokoll wird verwendet?
- Welche Systeme sind beteiligt?
- Welche Firewall-Regeln gelten?
- Wer hat den Conduit genehmigt?
- Wann wurde er zuletzt überprüft?
Diese Dokumentation ist nicht nur für die Sicherheit wichtig, sondern auch für die Fehlersuche. Wenn eine Verbindung zwischen IT und OT gestört ist, brauchst du eine aktuelle Übersicht über alle legitimen Datenflüsse. In ISMS Lite lassen sich IT- und OT-Assets mit ihren Schnittstellen, Datenflüssen und Abhängigkeiten in einem gemeinsamen Register dokumentieren.
Gemeinsame Governance
Die vielleicht wichtigste Maßnahme ist organisatorisch: Etabliere eine gemeinsame Governance-Struktur für IT/OT-Sicherheit. Das kann ein gemeinsames Security-Board sein, regelmäßige Abstimmungstermine zwischen IT-Security und Produktionstechnik oder ein dedizierter OT-Security-Verantwortlicher, der an beiden Welten andockt.
In der Praxis hat sich folgendes Modell bewährt: Der ISB (Informationssicherheitsbeauftragte) ist für das gesamte ISMS verantwortlich, einschließlich OT. Für die operative OT-Sicherheit gibt es einen OT-Security-Koordinator aus der Produktionstechnik, der die lokale Expertise einbringt. Beide arbeiten eng zusammen und berichten gemeinsam an die Geschäftsleitung.
Risikobasierte Priorisierung
Du kannst nicht alle Risiken gleichzeitig adressieren. Priorisiere basierend auf den Auswirkungen. Die kritischsten Schnittstellen sind typischerweise:
- ERP-to-MES-Verbindung: Hier fließen Auftragsdaten in die Produktion. Ein Ausfall stoppt die Fertigung.
- Remote-Wartungszugänge: Direkter Zugriff von außen auf OT-Systeme. Höchstes Kompromittierungsrisiko.
- Cloud-Anbindungen: Datenflüsse aus der Produktion in Cloud-Plattformen. Oft unzureichend abgesichert.
- Historian/Datenarchiv: Sammelt Produktionsdaten aus der gesamten Anlage. Kompromittierung gibt dem Angreifer einen vollständigen Überblick.
Praktische Umsetzung: Vier Phasen
Phase 1: Bestandsaufnahme (4 Wochen)
Dokumentiere alle Verbindungen zwischen IT und OT. Inventarisiere die Brücken-Systeme. Erstelle ein Netzwerkdiagramm, das beide Welten abbildet. Identifiziere die kritischen Übergabepunkte. In dieser Phase geht es nur um Sichtbarkeit, noch nicht um Maßnahmen.
Phase 2: Risikobewertung (4 Wochen)
Bewerte die identifizierten Schnittstellen nach Risiko. Berücksichtige dabei sowohl die Eintrittswahrscheinlichkeit (wie leicht kann ein Angreifer diese Schnittstelle ausnutzen?) als auch die Auswirkung (was passiert, wenn er es tut?). Priorisiere die Top-10-Risiken.
Phase 3: Quick Wins (8 Wochen)
Setze die Maßnahmen um, die den größten Sicherheitsgewinn bei vertretbarem Aufwand bringen. Typischerweise: Firewall-Regeln zwischen IT und OT verschärfen, Fernwartungszugänge absichern, Monitoring an kritischen Übergabepunkten einrichten, Standard-Passwörter auf Brücken-Systemen ändern.
Phase 4: Systematische Härtung (laufend)
Die langfristige Arbeit: DMZ aufbauen, Conduits formal dokumentieren, Monitoring ausbauen, Change-Management für IT/OT-Schnittstellen einführen, regelmäßige Überprüfungen etablieren.
Dokumentation der IT/OT-Schnittstellen
Die saubere Dokumentation aller IT/OT-Schnittstellen ist kein bürokratischer Overhead, sondern ein kritisches Sicherheitswerkzeug. Ohne diese Dokumentation weißt du bei einem Vorfall nicht, welche Wege ein Angreifer nehmen kann und welche Systeme du isolieren musst.
Was du für jede Schnittstelle dokumentieren solltest
Technische Beschreibung: Welche Systeme sind verbunden? Über welches Protokoll? Über welche Ports? In welche Richtung fließen die Daten? Gibt es Verschlüsselung? Gibt es Authentifizierung?
Geschäftlicher Zweck: Warum existiert diese Verbindung? Welcher Geschäftsprozess hängt davon ab? Was passiert, wenn die Verbindung unterbrochen wird? Wie lange kann der Geschäftsprozess ohne diese Verbindung weiterlaufen?
Verantwortlichkeiten: Wer hat die Verbindung eingerichtet? Wer ist für die Wartung zuständig? Wer entscheidet, ob sie bei einem Vorfall gekappt wird? Wer ist der technische Ansprechpartner auf der IT-Seite und auf der OT-Seite?
Sicherheitsmaßnahmen: Welche Firewall-Regeln gelten? Gibt es IDS/IPS? Wird der Verkehr protokolliert? Wann wurde die Konfiguration zuletzt überprüft?
Risikobewertung: Welches Risiko birgt diese Schnittstelle? Wie hoch ist die Eintrittswahrscheinlichkeit einer Kompromittierung? Welche Auswirkungen hätte sie?
Typische Schnittstellen im mittelständischen Produktionsunternehmen
In der Praxis findest du in einem mittelständischen Unternehmen typischerweise folgende IT/OT-Schnittstellen:
| Schnittstelle | IT-System | OT-System | Kritikalität |
|---|---|---|---|
| Auftragsübermittlung | ERP (SAP/Dynamics) | MES | Hoch |
| Produktionsrückmeldung | MES | ERP | Hoch |
| Prozessdatenarchivierung | Historian (DMZ) | SCADA | Mittel |
| Fernwartung Maschinenhersteller | VPN-Gateway | SPS/HMI | Hoch |
| Qualitätsdaten | LIMS/QM-System | Prüfautomaten | Mittel |
| Energiemanagement | Energiemonitoring-Software | Energiezähler/SPS | Niedrig |
| Gebäudetechnik | BMS-Server | GLT-Controller | Niedrig |
| Predictive Maintenance | Cloud-Plattform | IoT-Sensoren | Mittel |
Diese Liste ist nicht vollständig, aber sie gibt dir einen Ausgangspunkt für deine eigene Bestandsaufnahme.
Die kulturelle Dimension
Die technische Absicherung der IT/OT-Schnittstellen ist nur die halbe Miete. Die andere Hälfte ist die kulturelle Integration der beiden Welten.
IT-Teams und OT-Teams haben unterschiedliche Hintergründe, unterschiedliche Prioritäten und oft auch ein unterschiedliches Verständnis von „Sicherheit". Der IT-Sicherheitsexperte denkt an Firewalls und Endpoint Protection. Der Automatisierungsingenieur denkt an Schutzeinrichtungen und funktionale Sicherheit. Beide haben recht, und beide haben blinde Flecken.
Gemeinsame Workshops. Organisiere regelmäßige Workshops, in denen IT- und OT-Teams gemeinsam an konkreten Szenarien arbeiten. Was passiert, wenn der ERP-Server kompromittiert wird? Wie wirkt sich das auf die Produktion aus? Was passiert, wenn eine SPS manipuliert wird? Wie erkennt das die IT? Diese Szenarien schaffen Verständnis für die jeweils andere Perspektive.
Gegenseitige Hospitationen. Lade IT-Mitarbeiter ein, einen Tag in der Produktionshalle zu verbringen. Und lade Produktionstechniker ein, einen Tag im IT-Betrieb mitzuarbeiten. Nichts baut Silos schneller ab als persönliches Erleben der anderen Welt.
Gemeinsame Incident-Response-Übungen. Wenn ein Vorfall beide Welten betrifft, müssen beide Teams zusammenarbeiten. Übe das, bevor es soweit ist. Eine jährliche Tabletop-Übung mit einem IT/OT-übergreifenden Szenario ist eine Investition, die sich im Ernstfall hundertfach auszahlt.
Die Rolle der Regulierung
Die EU-Maschinenverordnung 2023/1230 ist ein wichtiger Treiber für sichere IT/OT-Konvergenz. Sie fordert, dass Maschinen mit digitalen Elementen so konstruiert sein müssen, dass ihre Sicherheitsfunktionen nicht durch unbefugte digitale Zugriffe beeinträchtigt werden können. In der Praxis bedeutet das: Wenn eine Maschine über eine Netzwerkverbindung verfügt (und das tun die meisten modernen Maschinen), dann muss diese Verbindung gegen Missbrauch geschützt sein.
Für Maschinenbetreiber ergibt sich daraus eine Sorgfaltspflicht: Du musst die Netzwerkverbindungen deiner Maschinen kennen, die Risiken bewerten und angemessene Schutzmaßnahmen treffen. Die Verordnung ergänzt damit die Anforderungen von NIS2, die auf Betreiberseite Risikomanagement für alle Netz- und Informationssysteme fordert.
Auch der Cyber Resilience Act adressiert die IT/OT-Schnittstelle indirekt. Hersteller von Produkten mit digitalen Elementen (zu denen auch industrielle Steuerungssysteme gehören) müssen sicherstellen, dass ihre Produkte sicher mit anderen Systemen interagieren können. Für den Maschinenbetreiber bedeutet das perspektivisch, dass die OT-Produkte, die er ab 2027 kauft, bessere Sicherheitseigenschaften haben werden. Aber die Verantwortung für die sichere Integration in die eigene IT-Landschaft bleibt beim Betreiber.
Die Botschaft ist eindeutig: Unkontrollierte IT/OT-Konvergenz wird regulatorisch nicht mehr toleriert. Die Verbindung zwischen Büro und Produktion muss bewusst gestaltet, dokumentiert und abgesichert sein.
Weiterführende Artikel
- OT-Sicherheit im Mittelstand: Warum die Produktionssteuerung ins ISMS gehört
- Purdue-Modell erklärt: Netzwerkzonen in der Produktion
- SCADA und SPS absichern: Praxismaßnahmen ohne Produktionsstopp
- Patch-Management in der OT: Wenn du nicht einfach updaten kannst
- Risikobewertung für OT-Systeme: Andere Prioritäten als in der IT