Choosing a Service Format That Actually Fits

Die zunehmende Vernetzung von Produktionsanlagen erfordert eine klare Trennung zwischen Büro-IT und Fertigungs-OT. Ohne durchdachte Segmentierung steigt die Angriffsfläche für Schadsoftware, die über das Firmennetzwerk in die Steuerungsebene gelangen kann. Ein Mittelständler aus dem Maschinenbau hat diesen Schritt kürzlich umgesetzt – mit einer schrittweisen Migration, die die Produktion nicht beeinträchtigte.

Der erste Schritt war die Analyse der bestehenden Netzwerkstruktur. Dabei zeigte sich, dass mehrere Maschinensteuerungen älterer Bauart direkt im Büronetz hingen. Für diese Anlagen wurden industrielle Protokoll-Gateways installiert, die eine sichere Kommunikation über standardisierte Schnittstellen ermöglichen. Parallel dazu wurde eine DMZ-Struktur aufgebaut, die den Datenaustausch zwischen IT und OT kontrolliert.

Die Firewall-Konzepte wurden auf die spezifischen Anforderungen der Produktion ausgelegt: Statt pauschaler Freigaben kamen Whitelist-Regeln zum Einsatz, die nur die notwendigen Protokolle und Ports zulassen. Für die Fernwartung durch externe Dienstleister wurde ein separater VPN-Zugang eingerichtet, der zeitlich begrenzt und protokolliert ist. Die gesamte Migration erfolgte in drei Phasen über sechs Monate, wobei jede Phase mit einem Lasttest abgeschlossen wurde.

Besonderes Augenmerk lag auf der Kompatibilität mit älteren Maschinensteuerungen. Hier halfen spezielle Adapter, die die proprietären Protokolle in gängige Industriestandards übersetzen. Nach Abschluss der Segmentierung sank die Anzahl der sicherheitsrelevanten Vorfälle im Produktionsnetz um 80 Prozent. Die Betriebssicherheit blieb während der gesamten Umstellung auf dem gewohnten Niveau.