Abstract digital artwork with a flowing wave-like pattern comprised of small green dots that gradually fade into the white background. The wavy design, reminiscent of an SD-WAN backbone, creates a sense of movement and fluidity.

IT/OT-Konvergenz: Sicherung von Cyber-Physical Systemen

1. Die neue Realität der IT/OT-Konvergenz

Industrieunternehmen erleben derzeit einen tiefgreifenden Wandel, da sich IT-Systeme und Umgebungen der Operational Technology (OT) zunehmend verbinden. Was früher isolierte Steuerungssysteme und Produktionsnetzwerke waren, ist heute ein eng verknüpftes Ökosystem: Cloud-Analysen, Remote Access, IoT-Sensorik, mobile Belegschaften, autonome Systeme und verteilte Produktionsstandorte.

Diese Konvergenz erschliesst erheblichen Mehrwert:

Echtzeit-Einblicke in Abläufe statt blinder Flecken
Prädiktive Wartung und Optimierung durch Analytics
Vereinheitlichte Architekturen, die Redundanzen und Lifecycle-Kosten reduzieren
Schnellere Innovationszyklen, da Automatisierung und KI enger mit physischen Prozessen verzahnt sind

Doch die Vorteile bringen auch neue Herausforderungen mit sich:

OT ist geschäftskritisch: Produktion, Sicherheit und Umsatz hängen von Systemen ab, die keine Ausfälle oder intrusive Änderungen tolerieren.
Lange Lebenszyklen: OT-Anlagen laufen oft 10–30 Jahre – weit länger als IT-Patch- und Update-Zyklen.
Legacy-Systeme, die nie für Vernetzung gebaut wurden: Wenn sie an IT-Netze oder Cloud-Dienste angebunden werden, vergrössert sich die Angriffsfläche.
Verteilte Standorte und mehr Drittanbieter: Wartungsteams, Partner und Lieferanten benötigen Remote Access – häufig der grösste Angriffsvektor in OT-Umgebungen.
Wissen- und Kulturgefälle: IT priorisiert Agilität, OT Stabilität und Sicherheit. Beide Sichtweisen müssen zusammenkommen, um Cyber-Physical Systems ohne Betriebsunterbrüche abzusichern.

So entsteht eine grundlegende Spannung: Unternehmen wollen die Vorteile der Konvergenz nutzen, verfügen aber oft nicht über die Werkzeuge, Strukturen und Ressourcen, um sie sicher und kontinuierlich zu betreiben.

2. Traditionelle Cybersecurity-Ansätze reichen nicht aus

Um diese Risiken zu adressieren, greifen viele Unternehmen auf etablierte Frameworks und Einzellösungen zurück.

Sicherheitsstandards wie IEC 62443 und Zero Trust bieten wertvolle Leitlinien zu Segmentierung, Identity-basiertem Zugriff, Asset Inventory und kontinuierlichem Monitoring. Sie definieren, was zu tun ist – aber selten, wie man dies im laufenden industriellen Betrieb dauerhaft aufrechterhält.

Um ein Mindestmass an IT/OT-Sicherheit zu erreichen, entstehen dadurch oft komplexe Tool-Landschaften:

Monitoring-Tools, die seitlich an Steuerungsnetzwerke gekoppelt werden
Firewalls oder Gateways, die OT-Traffic segmentieren
Remote-Access-Gateways für interne Teams und Drittanbieter

Diese Lösungen sind wertvoll – haben jedoch strukturelle Nachteile:

Sie sind schwer in Brownfield-Umgebungen zu deployen, da Downtime keine Option ist.
Sie benötigen permanente Pflege: Policy-Updates, Zertifikatserneuerungen, neue Domänen/IPs, Protokoll-Support, Asset-Onboarding.
Sie erzeugen betrieblichen Mehraufwand, den OT-Teams ohne 24×7-Security-Expertise kaum tragen können.
Sie sind selten integriert – Identität, Netzwerk, Remote Access, Monitoring und Detection liegen auf verschiedenen Tools.
Sie hängen von internen Teams ab – genau dort passieren die meisten Fehler (Notfall-Rules, temporäre Workarounds, vergessene Lieferantenkonten, alte Firewall-Regeln).

Frameworks und Tools helfen – aber den sicheren Betrieb aufrechtzuerhalten ist die eigentliche Herausforderung.

3. Managed SASE: Ein einheitliches und betreibbares Modell für IT/OT-Sicherheit

Ein moderner Ansatz ist Managed Secure Access Service Edge (SASE), speziell für industrielle Umgebungen. Im Gegensatz zu Einzellösungen bietet Managed SASE eine einheitliche Plattform und ein Service-Modell, das IT und OT durchgängig absichert und betreibt.

Ein ausgereiftes Managed-SASE-Modell für OT umfasst:

Vereinheitlichte OT/IT-Sichtbarkeit

OT-Asset-Discovery über PLCs, HMIs, Sensoren, Controller und IoT-Geräte
Deep Protocol Understanding für industrielle Protokolle
Kontextreiches Inventar, das auch IT-Security nutzen kann

OT-fähige Sicherheitsdurchsetzung

OT-spezifische Firewall-Kontrollen mit Protokoll-Transparenz
Segmentierung entlang von Produktionslinien und Zonen gemäss IEC 62443
Change-Management ohne Betriebsunterbruch

Zero-Trust-Remote-Access für OT

Identity-basierter, Just-in-Time, per-Session-Zugriff auf CPS-Assets
Granulare Regeln für Lieferanten, Partner und interne Teams
Echtzeit-Monitoring jeder Session inkl. Recording und Audit Logs
Keine flachen VPN-Netze, kein implizites Vertrauen

Hybrid-Cloud-Fähigkeit ohne Abstriche bei Sicherheit

Einheitliche Policies für Cloud, IT und Shopfloor
Starke Identität und Verschlüsselung End-to-End
Konsistente Compliance (IEC 62443, NIS2, branchenspezifische Vorgaben)

Und entscheidend: ein tragfähiges Betriebsmodell

1. Ein 24×7 Operations Center für Vorfälle und kontinuierliche Sicherheit

Security-Ingenieur:innen, die rund um die Uhr:

- Bedrohungen in IT und OT überwachen
- Bei Vorfällen reagieren – mit industrietauglichen SLAs
- Dringende Änderungen sicher ausrollen
- Updates, Upgrades und Lifecycle-Management übernehmen
- Dafür sorgen, dass die Sicherheitslage jeden Tag konsistent bleibt

Das stellt sicher, dass Sicherheit nicht mit der Zeit erodiert – besonders nicht, wenn neue Geräte hinzukommen, Lieferanten sich verbinden oder Bedingungen sich ändern.

2. Dedizierte Technical Account Managers (TAMs) für langfristige Transformation

Spezialist:innen, die Projekte strategisch begleiten:

- Resiliente IT/OT-Architekturen und Segmentierungsmodelle designen
- Zero-Trust-Policies entwickeln oder verfeinern
- Migrationen und Rollouts ohne Downtime planen
- Compliance-Programme und Risiko-Reduktion unterstützen
- Konfigurationen kontinuierlich optimieren

TAMs geben Stabilität und tiefes Know-how über die jeweilige Kundenumgebung – und stellen sicher, dass die Architektur kontrolliert und sicher weiterentwickelt wird.

Fazit

Die IT/OT-Konvergenz verändert industrielle Abläufe fundamental – doch ohne ein neues Betriebsmodell für Cybersecurity wird die Komplexität schnell grösser als die Kapazität interner Teams.

Frameworks und Einzellösungen liefern Bausteine, aber Managed SASE bietet die einheitliche, durchgängig betriebene Sicherheitsgrundlage, die der Realität moderner Cyber-Physical Systems entspricht: verteilt, kritisch, immer-on und laufend im Wandel.

Lassen Sie die Komplexität
hinter sich

Sie möchten auch von der Open Systems SASE Experience profitieren? Unsere Experten helfen Ihnen gern weiter.

Kontakt

SASE Experience

NETZWERKDIENSTE

Sicherheitsdienste

BRANCHEN

ANWENDUNGSFALL

RESSOURCEN

UNTERNEHMEN

KARRIERE

PARTNER

IT/OT-Konvergenz: Sicherung von Cyber-Physical Systemen

1. Die neue Realität der IT/OT-Konvergenz

2. Traditionelle Cybersecurity-Ansätze reichen nicht aus

3. Managed SASE: Ein einheitliches und betreibbares Modell für IT/OT-Sicherheit

Und entscheidend: ein tragfähiges Betriebsmodell

Fazit

Lassen Sie die Komplexität
hinter sich

IT/OT-Konvergenz: Sicherung von Cyber-Physical Systemen

1. Die neue Realität der IT/OT-Konvergenz

2. Traditionelle Cybersecurity-Ansätze reichen nicht aus

3. Managed SASE: Ein einheitliches und betreibbares Modell für IT/OT-Sicherheit

Und entscheidend: ein tragfähiges Betriebsmodell

Fazit

ÄHNLICHE BLOGBEITRÄGE

Cyber-Physical Systems in OT: Weshalb Sichtbarkeit und Compliance die CPS-Sicherheit heute bestimmen

ZTNA: der Kickstart für Ihre OT-Sicherheit

SASE vs. SSE: Zentrale Unterschiede & Lösungen

Lassen Sie die Komplexität hinter sich

Lassen Sie die Komplexität
hinter sich