KRITIS · 10. April 2026 · 5 Min. Lesezeit

IT/OT-Konvergenz: Warum die Firewall allein nicht reicht

Netzwerkkabel — IT/OT-Konvergenz

Die Grenze zwischen Büro-IT und Anlagennetz verschwindet — durch Fernwartung, MES-Anbindungen, Cloud-Analytik und IIoT-Sensorik. Wer diese Konvergenz nur mit einer Firewall am Übergang beantwortet, übersieht die eigentlichen Risiken.

Das Problem: Dutzende undokumentierte Übergänge

In gewachsenen Umgebungen existieren typischerweise weit mehr Verbindungen zwischen IT und OT als offiziell bekannt: Herstellerzugänge für Fernwartung, Datenexporte in ERP-Systeme, WLAN-Brücken, USB-Wechseldatenträger. Eine einzelne Perimeter-Firewall bildet diese Realität nicht ab — sie schützt einen Übergang, während zehn andere offen stehen.

Der Ansatz: Zonen und kontrollierte Conduits

Wirksamer ist ein Zonenmodell nach IEC 62443: Jeder Übergang wird inventarisiert, minimiert und über definierte Conduits geführt. Eine industrielle DMZ entkoppelt die Datenflüsse — Daten aus der Produktion werden dort zwischengelagert und von der IT abgeholt, sodass kein direkter Pfad vom Internet bis zur Steuerung existiert. Fernwartung läuft über einen gehärteten Sprungserver mit MFA und Sitzungsaufzeichnung.

Ohne Detektion bleibt es Blindflug

Ergänzend braucht es Detektion im OT-Netz selbst: Anomalie-Erkennung auf Protokollebene entdeckt Manipulationen, die am Perimeter längst vorbei sind — etwa veränderte Steuerbefehle oder neue Geräte im Netz. Erst die Kombination aus Segmentierung, kontrollierten Übergängen und Sichtbarkeit macht Konvergenz beherrschbar.

Fazit: IT/OT-Konvergenz lässt sich nicht verhindern, nur gestalten. Die Firewall ist dabei ein Baustein von vielen — entscheidend ist die Architektur dahinter.

← Zurück zum Blog