Air Gaps und OT-Sicherheit im Zeitalter von Zero Trust

Von Editorial Team | Juni 17, 2026

OT-Sicherheit basierte stets auf einer zentralen Annahme: Ein physisch getrenntes System ist sicher. Der Air Gap bot jahrelang echte Gewissheit. Kein routbarer Pfad, keine gemeinsame Infrastruktur, keine logische Verbindung — und keine externe Angriffsfläche. In sicherheitskritischen industriellen Umgebungen hatte diese Klarheit ihren Wert.

Doch die industrielle Welt steht unter zunehmendem Konnektivitätsdruck. Betriebsdaten fließen in Enterprise-Dashboards. Predictive Maintenance setzt auf Telemetrieaggregation. Lieferanten erwarten Remote-Zugriff. Selbst hochsensible Workloads überschneiden sich heute mit streng kontrollierten Cloud-Umgebungen. Das erzeugt eine Spannung, die viele Organisationen noch nicht aufgelöst haben: Wenn Kabel verbunden sind, Tokens ausgestellt werden und Telemetrie nach außen fließt — was bedeutet „isoliert“ dann noch?

OT-Sicherheit — Konnektivitätsdruck in der Industrie und die Konvergenz von IT und OT

Warum OT mehr denn je vernetzt wird

Industrielle Betreiber stehen unter starkem Druck, Ausfallzeiten zu minimieren, Wartungskosten zu senken und die Produktionsvorhersagbarkeit zu verbessern. Predictive-Maintenance-Plattformen sind auf Echtzeit-Telemetrie von SPSen und Sensoren angewiesen. Energieversorger aggregieren Betriebsdaten für das Lastmanagement. Fertigungsgruppen bündeln die Transparenz über mehrere Standorte hinweg in Enterprise-Dashboards.

Führungskräfte erwarten, dass Betriebsdaten in finanzielle und lieferkettenbezogene Entscheidungen einfließen. In vielen Branchen verlangen Regulatoren zunehmend Berichterstattung und Nachvollziehbarkeit, die auf digitaler Rückverfolgbarkeit basieren.

Unter diesen Bedingungen lässt sich eine vollständig air-gapped Architektur für die meisten Systeme kaum noch rechtfertigen. Physische Trennung kann langsamere Fehlerbehebung, verzögerte Updates, duplizierte Infrastruktur und reduzierte operative Agilität bedeuten. Das Geschäftsargument für selektive Konnektivität ist oft überzeugend.

Das Schlüsselwort lautet: selektiv.

Doch selektive Konnektivität akkumuliert sich im Laufe der Zeit. Was als kontrollierte Brücke für Telemetrie oder Remote-Support beginnt, weitet sich schrittweise zu einem Geflecht von Abhängigkeiten aus. Die industrielle Umgebung bleibt segmentiert, ist aber nicht mehr statisch. Sie ist dynamisch vernetzt — und diese Verbindungen wachsen kontinuierlich in Zahl und Komplexität.

Das ist die heutige Geschäftsrealität. Die Frage ist, wie Organisationen das Risiko dieser Konnektivität managen, wenn physische Isolation nicht mehr der Standard ist.

OT-Sicherheit — logische Segmentierung vs. physischer Air Gap in industriellen Steuerungssystemen

Logische Segmentierung ist kein Air Gap

Ein Air Gap ist im strengsten Sinne physisch. Die Trennung ist buchstäblich — erzwungen durch das Fehlen von Konnektivität. Logische Segmentierung ist anders. Sie beruht auf Konfiguration, Richtlinien und Durchsetzung statt auf physischer Abwesenheit.

VLANs, Firewalls, Jump Hosts, dedizierte Glasfaserverbindungen, identitätsbasierte Zugriffskontrollen und Zero-Trust-Overlays sind leistungsstarke Mechanismen zur logischen Segmentierung. Aber es sind Mechanismen, die Korrektheit voraussetzen. Sie setzen voraus, dass Regeln präzise formuliert sind, Zugangsdaten korrekt beschränkt werden, Tokens wie vorgesehen ablaufen und Monitoring Missbrauch erkennt.

Der Fehler vieler Organisationen: Sie behandeln diese Kontrollen als virtuelle Air Gaps. Das sind sie nicht. Eine Firewall-Regel kann falsch konfiguriert sein. Eine Segmentierungsgrenze kann über einen übersehenen Routingpfad umgangen werden. Eine privilegierte Identität kann bei Governance-Versagen in Sekunden Umgebungen verbinden. Selbst eine „dedizierte“ Leitung stellt einen physischen Pfad dar, der bei Kompromittierung genutzt werden kann.

Zero-Trust-Architekturen gelten oft als moderne Antwort auf Isolation. Richtig implementiert reduzieren sie implizites Vertrauen und erzwingen strikte Zugriffsvalidierung. Doch statt Konnektivität zu eliminieren, verwalten sie diese strenger. Zero Trust ersetzt Distanz durch Identität und Richtlinien. Das ist eine bedeutsame Verschiebung — bedeutet aber auch, dass Isolation nun von der Stärke der Identity Governance, der Konfigurationsdisziplin und dem kontinuierlichen Monitoring abhängt.

Die aktuelle CISA-Leitlinie zur Anwendung von Zero-Trust-Prinzipien in der Betriebstechnologie macht diese Verschiebung explizit. Sie stellt fest, dass Netzwerksegmentierung in OT-Umgebungen häufig als „primäre Verteidigungslinie“ dient. Diese Formulierung ist aufschlussreich: Sie spiegelt eine Realität wider, in der physische Trennung nicht mehr das Standardschutzmodell für die meisten Systeme ist. Stattdessen trägt geschichtete Segmentierung — sorgfältig konzipiert und kontinuierlich validiert — die Last moderner Isolation.

Wenn Segmentierung die primäre Verteidigungslinie ist, lautet die Frage: Wie ausgereift ist Ihre Segmentierungsstrategie? Ist sie dokumentiert? Wird sie regelmäßig überprüft? Aktiv überwacht? Gegen Lateral-Movement-Szenarien getestet?

OT-Sicherheit — Vertrauensannahmen bei Air Gaps, Wechseldatenträger-Risiken und Lieferketten-Integrität in ICS-Umgebungen

Auch Air Gaps setzen Vertrauen voraus

Es liegt nahe, den Air Gap als Relikt zu betrachten — als etwas, das moderne Architekturen und Geschäftsdruck obsolet gemacht haben. Das wäre ein Fehler. Physische Isolation bleibt eine der stärksten verfügbaren Sicherheitsmaßnahmen. Systeme, die tatsächlich nicht über ein Netzwerk erreichbar sind, eliminieren ganze Klassen von Remote-Angriffen.

Doch physische Trennung bedeutete noch nie Immunität. Sie verschiebt lediglich, wo das Risiko liegt.

Air-gapped Umgebungen hängen weiterhin von Menschen, Prozessen und der Integrität der Lieferkette ab. Wechseldatenträger überschreiten Grenzen — wie der Stuxnet-Angriff im Iran eindrücklich gezeigt hat. Wartungs-Laptops betreten sichere Zonen. Firmware-Updates werden von externen Lieferanten eingebracht. Auftragnehmer schließen Diagnosegeräte an. Jeder dieser Berührungspunkte ist ein Moment, in dem Vertrauen manchmal die Konnektivität ersetzt.

Deshalb sollte der Air Gap nicht als redundant bezeichnet werden — sondern als bewusste Entscheidung. Er verursacht operative Kosten: Er erschwert Wartung, verlangsamt die Fehlerbehebung und schränkt die Datentransparenz ein. In den meisten industriellen Umgebungen lassen sich diese Kompromisse kaum im großen Maßstab rechtfertigen. In Systemen jedoch, bei denen eine Kompromittierung existentielle oder sicherheitskritische Folgen hätte, verdient physische Isolation ernsthafte Berücksichtigung.

Die Beispiele sind eindeutig: Kernenergiesteuerungssysteme, klassifizierte Geheimdienstinfrastruktur, militärische Führungs- und Kontrollnetzwerke sowie bestimmte sicherheitskritische industrielle Steuerungsumgebungen, bei denen eine Fehlfunktion katastrophale physische Schäden verursachen könnte. In diesen Bereichen kann die operative Reibung physischer Trennung vollständig gerechtfertigt sein.

Für die meisten Organisationen lautet die Frage jedoch: Welche Systeme benötigen sie wirklich? Diese Entscheidung erfordert eine nüchterne Bewertung von Sensibilität, Sicherheitsauswirkungen, regulatorischer Exposition und nationalen oder wirtschaftlichen Konsequenzen.

OT-Sicherheit für Führungskräfte — IT/OT-Konnektivität kartieren, Identity Governance und Lieferantenzugriff kontrollieren

Was das für Führungskräfte in Industrie und Sicherheit bedeutet

Wenn Isolation heute häufiger architektonisch als physisch ist, müssen Führungskräfte sie als aktives Kontrollziel behandeln — nicht als überlieferte Annahme.

Kartieren Sie jeden Konnektivitätspfad zwischen IT und OT.

Verlassen Sie sich nicht auf Netzwerkdiagramme, die vor Jahren erstellt wurden. Identifizieren Sie VPN-Tunnel, Jump Hosts, Telemetrie-Pipelines, API-Integrationen, Lieferanten-Gateways und temporäre Projektbrücken, die möglicherweise dauerhaft geworden sind. Konnektivität in industriellen Umgebungen akkumuliert sich stillschweigend. Was nicht vollständig erfasst ist, lässt sich nicht absichern.

Inventarisieren Sie Identitätsbeziehungen, nicht nur IP-Routen.

In hybriden Architekturen sind die bedeutsamsten Verbindungen oft identitätsbasiert. Service-Accounts, geteilte Zugangsdaten, privilegierte Tokens und föderierte Authentifizierungspfade können Umgebungen verbinden, die im Netzwerkdiagramm segmentiert wirken. Behandeln Sie Identity Governance mit der gleichen Ernsthaftigkeit wie physische Segmentierung.

Überprüfen Sie Remote-Zugriffslösungen für Lieferanten und Auftragnehmer.

Remote-Diagnose und Wartung durch Dritte sind heute Routine. Stellen Sie sicher, dass der Zugriff zeitlich begrenzt, minimal privilegiert und protokolliert ist. Entfernen Sie dauerhafte Zugangsdaten. Prüfen Sie regelmäßig, ob Konten, die für „temporäre“ Projekte erstellt wurden, noch aktiv sind. Remote-Zugriff ist oft die direkteste operative Brücke über OT-Grenzen hinweg.

Überwachen Sie ausgehende Telemetrie-Flüsse genauso sorgfältig wie eingehenden Traffic.

Viele industrielle Organisationen konzentrieren sich stark auf die Abwehr von Inbound-Angriffen und vernachlässigen dabei ausgehende Datenpfade. Telemetrie-Streams zu Cloud-Analytics-Plattformen, Enterprise-Dashboards oder externen Partnern können indirekte Exposition erzeugen. Validieren Sie Verschlüsselung, Authentifizierung und Protokollierung für diese ausgehenden Kanäle.

Führen Sie Architektur-Reviews durch, wenn Sie Zero-Trust-Overlays in hybriden Umgebungen einführen.

Zero Trust kann die Kontrollreife erheblich verbessern — doch das Einbetten in bestehende IT/OT-Architekturen ohne strukturiertes Review kann unerwartete Abhängigkeiten erzeugen. Bewerten Sie nicht nur die Richtliniendurchsetzung, sondern auch, wie Identität, Segmentierung und Monitoring umgebungsübergreifend interagieren.

Behandeln Sie Schwachstellenmanagement als Disziplin, nicht als Zeitplan.

Patch-Management in industriellen Systemen unterscheidet sich grundlegend von IT. In vernetzten Umgebungen können Updates automatisch über zentralisierte Plattformen fließen. In air-gapped oder stark eingeschränkten Umgebungen wird das Patchen zum kontrollierten logistischen Prozess: Download, Hash-Verifizierung, Malware-Scanning, formale Genehmigung, gestuftes Testen, physischer Transfer über kontrollierte Datenträger und Revalidierung vor der Inbetriebnahme. Jeder Schritt zählt.

OT-Sicherheit Red Teaming — DIESEC adversariales Testing industrieller Steuerungs- und ICS-Umgebungen

OT-Sicherheit im vernetzten Zeitalter neu denken

Die Umgebungen, für deren Schutz Air Gaps ursprünglich konzipiert wurden, haben sich verändert. Der Air Gap ist nicht tot — aber er ist nicht mehr so leicht zu rechtfertigen, und für die meisten operativen Umgebungen ist er nicht mehr der Standard. Organisationen, die diese Realität gut managen, behandeln Isolation nicht als binäre Aussage. Sie behandeln sie als kontinuierlich durchgesetztes Kontrollset.

Wo echte physische Trennung gerechtfertigt ist, bewahren sie diese kompromisslos. Wo Konnektivität operativ notwendig ist, steuern sie diese Lücke mit gleicher Strenge — durch Segmentierungsdisziplin, Identity Governance, kontinuierliches Monitoring und regelmäßige Validierung.

Die Aufrechterhaltung beider Modelle erfordert Defense-in-Depth, das nicht allein auf der Netzwerktopologie beruht. Mit der fortschreitenden Konvergenz von OT und IT wird unabhängige Validierung entscheidend. Die Penetrationstest- und Red-Teaming-Services von DIESEC helfen Industrieorganisationen dabei, diese zunehmend vernetzten Architekturen unter realistischen Angriffsbedingungen zu testen — und Schwachstellen über physische, logische und prozedurale Grenzen hinweg zu identifizieren, bevor sie in der realen Welt ausgenutzt werden.
Kontaktieren Sie uns, um mehr zu erfahren.

Gepostet in DIESEC™ abgelegt unter , , , , , , , , , ,