Zero Trust für die Betriebstechnik: Was der neue CISA-Leitfaden von Ihrer Sicherheitsarchitektur verlangt

„Zero Trust“ für OT (Operational Technology) ist eine Sicherheitsarchitektur, die implizites Vertrauen in industriellen Netzwerken beseitigt und verlangt, dass jeder Benutzer, jedes Gerät und jede Datenübertragung kontinuierlich anhand von Identität, Kontext und Risiko überprüft wird, bevor Zugriff auf ein Betriebssystem oder einen physischen Prozess gewährt wird. Im Gegensatz zur IT muss „Zero Trust“ für OT so funktionieren, dass der laufende Betrieb, Sicherheitssysteme oder Altgeräte, auf denen keine modernen Sicherheitsagenten ausgeführt werden können, nicht beeinträchtigt werden.

Fünf US-Behörden – die CISA (Cybersecurity and Infrastructure Security Agency), das Verteidigungsministerium, das Energieministerium, das FBI und das Außenministerium – haben die bislang maßgeblichste Stellungnahme zum Thema Cybersicherheit in der Industrie veröffentlicht: „Adapting Zero Trust Principles to Operational Technology“. Die Botschaft ist eindeutig. Zero Trust ist nicht länger ein Rahmenkonzept, das IT-Umgebungen vorbehalten ist. Es ist nun die erwartete Sicherheitsstrategie für jede Organisation, die OT-Systeme betreibt – von Stromnetzen über Wasseraufbereitungsanlagen bis hin zu staatlichen Einrichtungen.

Wenn Sie als Sicherheitsverantwortlicher im Bereich OT diesen Beitrag lesen, geht es nicht darum, ob Zero Trust der richtige Weg ist. Es geht vielmehr darum, wie Sie die Lücke zwischen den Compliance- und Audit-Anforderungen behördlicher Vorschriften und einer Anlage schließen, die mit jahrzehntealter Ausrüstung betrieben wird, überlastetem Personal und einem Vorstand, der Sie fragt, was Sie dagegen unternehmen. Dieser Beitrag gibt Antwort darauf: Was der CISA-Leitfaden tatsächlich für jeden einzelnen Pfeiler vorschreibt und inwiefern die Plattform OPSWAT jeden dieser Punkte abdeckt.

Der Leitfaden nennt drei Säulen, die jedes OT-Zero-Trust-Programm berücksichtigen muss: umfassende Transparenz der Ressourcen, robustes IAM (Identitäts- und Zugriffsmanagement) sowie proaktives Risikomanagement in der Lieferkette. Er nennt zudem die Angreifer, die die Dringlichkeit unterstreichen – staatlich geförderte Gruppen wie „Volt Typhoon“, bei denen die CISA beobachtet hat, dass sie sich bereits in OT-Netzwerken positionieren, um dort eine dauerhafte Präsenz aufrechtzuerhalten und auf ihre Aktivierung zu warten.

In der IT wird Zero Trust durch Software umgesetzt – Identitätsanbieter, Endpunkt-Agenten und Zugriffsrichtlinien, die innerhalb weniger Stunden aktualisiert werden können. OT-Umgebungen unterliegen Einschränkungen, die direkte IT-Ansätze unbrauchbar machen: veraltete SPSen (speicherprogrammierbare Steuerungen) mit einer Lebensdauer von 20 Jahren, auf denen keine modernen Authentifizierungsagenten laufen, strenge Anforderungen an die Verfügbarkeit, bei denen ein Erkennungspaket zu einem ungeplanten Ausfall führen kann, sowie eine direkte Verbindung zwischen Cybersicherheit und physischer Sicherheit, über die die IT einfach nicht verfügt.

Der CISA-Leitfaden geht offen auf diese Einschränkungen ein. Die Umsetzung von Zero Trust in einer veralteten industriellen Infrastruktur erfordert Jahre und erhebliche Investitionen. Dieser Konflikt ist real.

Der Leitfaden macht deutlich, dass die Bedrohungslage nicht darauf wartet, bis diese Pläne ausgereift sind. Da OT-Systeme zunehmend mit IT-Netzwerken vernetzt und fernüberwacht werden, gilt die traditionelle Annahme eines „Air Gap“ nicht mehr. Angreifer haben sich bereits darauf eingestellt. Die Kontrollmaßnahmen, die Unternehmen heute umsetzen – selbst schrittweise –, bestimmen, wie viel dieser Angriffsfläche während der laufenden Transformation exponiert ist. Die Frage ist nicht, ob man anfangen soll. Die Frage ist, wo.

Der Leitfaden der CISA nennt drei Prioritäten für Zero Trust in der OT: umfassende Transparenz der Ressourcen, robustes Identitäts- und Zugriffsmanagement sowie proaktives Risikomanagement in der Lieferkette. Außerdem werden bestimmte Angreifer – „Volt Typhoon“ und staatlich unterstützte Gruppen – namentlich genannt, die bereits die Lücken ausnutzen, die durch diese Kontrollmaßnahmen geschlossen werden sollen.

Die Plattform OPSWAT wurde genau für diesen Zweck entwickelt. Passive Erkennung von OT-Ressourcen, ohne ein einziges Gerät zu berühren. Hardware Isolierung, die ganze Kategorien von Fernangriffen physisch unmöglich macht. Deep CDR™-Technologie, die an jedem Punkt der Dateiübertragung zum Einsatz kommt – Netzwerk, USB, Datenübertragung. Durchsetzung von Identitäts- und Zugriffsregeln auf Sitzungsebene, bevor eine Verbindung ein Steuerungssystem erreicht.

In OT-Umgebungen bedeutet Anlagenübersicht, dass ein vollständiges, ständig aktualisiertes Verzeichnis aller Geräte im industriellen Netzwerk – einschließlich älterer SPSen, RTUs (Remote Terminal Units) und HMIs (Human Machine Interfaces) – sowie der Firmware-Versionen und Protokolle geführt wird. Dies geschieht mithilfe passiver Überwachungsmethoden, die keinen Datenverkehr erzeugen, der sensible Steuerungssysteme stören könnte.

Genau hier liegt die größte ungelöste Lücke der meisten OT-Sicherheitsprogramme; und die Gründe dafür sind architektonischer, nicht organisatorischer Natur. Industrial basieren auf einer Gerätepalette, die sich grundlegend von der in IT-Umgebungen unterscheidet. Ein typisches OT-Netzwerk umfasst SPSen, RTUs, DCS-Steuerungen, Sensoren, Relais, HMIs, Engineering-Workstations und eine wachsende Anzahl von IIoT-Geräten, von denen jedes über das Protokoll kommuniziert, für das es entwickelt wurde: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA und Dutzende proprietärer Varianten. Standard-IT-Erkennungswerkzeuge können diese Protokolle nicht analysieren. Sie verstehen die Semantik eines Modbus-Funktionscodes nicht, können ein DNP3-Datenobjekt nicht interpretieren und verfügen über kein Modell dafür, was normales und was anomales Verhalten bei einem impliziten Nachrichtenaustausch über EtherNet/IP ausmacht. Wenn diese Werkzeuge auf OT-Geräte treffen, geben sie entweder unvollständige Daten zurück oder erzeugen unerwarteten Datenverkehr, für dessen Verarbeitung das empfangende Gerät nie ausgelegt war.

Dieses zweite Szenario ist keineswegs hypothetisch. Aktives Scannen in OT-Umgebungen hat bereits zu ungeplanten Prozessunterbrechungen und Gerätesperren in Produktionsanlagen geführt. Aus diesem Grund empfiehlt der CISA-Leitfaden die passive Überwachung als geeignete Methode zur Erfassung von OT-Ressourcen, und aus diesem Grund ist diese Empfehlung in Umgebungen mit strengen Anforderungen an die Verfügbarkeit nicht verhandelbar. Die passive Erfassung, die über Netzwerk-TAPs oder SPAN-Ports erfolgt, überwacht den Datenverkehr, ohne Abfragen einzuspeisen, die sensible Steuerungssysteme stören könnten. Sie beobachtet, was kommuniziert wird, wie kommuniziert wird und wie der Normalzustand aussieht, ohne ein einziges Gerät im überwachten Netzwerk zu berühren.

Das Erfassungsproblem, das dieser Ansatz lösen muss, wird durch die Art der OT-Kommunikationsmuster noch verschärft. Viele Geräte kommunizieren nur bei bestimmten Betriebsereignissen: Eine SPS sendet möglicherweise nur während eines Produktionszyklus, ein Relais meldet sich möglicherweise nur im Fehlerfall, und ein Feldsensor kann zeitweise Burst-Datenverkehr mit langen Ruhephasen dazwischen aufweisen. Ein Überwachungsfenster, das nicht die gesamte Bandbreite der Betriebsmodi berücksichtigt, führt zu einem unvollständigen Bestand – und genau die Assets, die in diesem Bestand fehlen, sind diejenigen, die nicht geschützt, segmentiert oder überwacht werden können. Laut den Daten des SANS-Berichts „2025 State of ICS/OT Cybersecurity“ bleibt die Asset-Transparenz die oberste Priorität bei Sicherheitsinvestitionen für Industrieunternehmen, doch weniger als 1 von 8 gibt an, vollständige Transparenz über ihre gesamte Umgebung zu haben – vom ersten Netzwerkzugang bis hin zu potenziellen Auswirkungen auf physische Prozesse. Die Lücke ist kein Finanzierungsproblem. Es ist ein methodisches Problem.

Volt Typhoon nutzt genau diese Lücke aus. Der dokumentierte Vorgehensweise der Gruppe zufolge mischt sie sich in den normalen Netzwerkbetrieb ein – unter Verwendung legitimer Protokolle, autorisierter Pfade und standardmäßiger Verwaltungstools –, um sich dauerhaften Zugriff auf OT-Umgebungen zu verschaffen. Ohne vollständigen Überblick darüber, was sich im Netzwerk befindet und wie normales Verhalten aussieht, sind diese Techniken praktisch nicht zu erkennen.

MetaDefender Security™, die OT-Sicherheitsplattform OPSWAT, löst dieses Problem durch passive Erkennung von Systemressourcen und eine umfassende Analyse von OT-Protokollen. Indem die Plattform den Netzwerkverkehr abhört, anstatt ihn selbst zu generieren, erstellt sie ein vollständiges Bestandsverzeichnis der Systemressourcen und eine Verhaltensbasislinie, ohne die überwachten Geräte zu berühren – und bietet darüber hinaus Schwachstellen- und Patch-Management sowie Compliance-Berichte in einer einzigen OT-nativen Benutzeroberfläche. Anomale Sitzungen, unerwartete Gerätekommunikation und unbefugte Protokollinteraktionen lassen sich so erkennen – noch bevor sie zu betrieblichen Beeinträchtigungen führen.

Die größte Herausforderung im Bereich IAM in der Betriebstechnik besteht darin, dass Angreifer zunehmend legitime Zugriffswege – gültige Anmeldedaten, autorisierte Remote-Sitzungen und gängige Engineering-Tools – anstelle von Software-Exploits nutzen. Die in einer kürzlich veröffentlichten gemeinsamen Warnmeldung des FBI und der CISA beschriebenen, mit dem Iran in Verbindung stehenden Akteure stellten über Standard-Industriekommunikationsanschlüsse eine Verbindung zu internetfähigen SPSen her und interagierten mit den Steuerungssystemen, als wären sie autorisierte Bediener.

Die in OT-Umgebungen am weitesten verbreitete Fernzugriffslösung – das VPN – birgt eine Risikoart, die struktureller Natur ist und nicht auf der Konfiguration beruht. VPNs stellen eine direkte Verbindung auf Netzwerkebene her, die die hierarchische Isolation des Purdue-Modells aufhebt und Drittanbieter in Kontrollnetzwerksegmente einbindet, ohne dass eine detaillierte Sitzungskontrolle oder ein Mechanismus zur Durchsetzung des Prinzips der geringsten Berechtigungen vorhanden ist. Jedes kompromittierte oder sichere Gerät auf der Anbieterseite dieses Tunnels erhält einen direkten Netzwerkpfad zu den Produktionssystemen. Bei älteren OT-Endpunkten ohne native Authentifizierungsfunktion verschärft sich das Risiko noch weiter. Diese Geräte können keine Zugriffsereignisse protokollieren, keine Sitzungsrichtlinien durchsetzen und keine unbefugten Verbindungen beenden. Jegliche Durchsetzung muss vollständig vor dem Gerät erfolgen – oder sie existiert gar nicht. MetaDefender Industrial , die industrielle Firewall OPSWAT für OT-Netzwerke, geht das Segmentierungsproblem direkt an – sie erzwingt eine zonenbasierte Segmentierung und kontrolliert laterale Bewegungen, selbst wenn sich eine Anbietersitzung bereits im Netzwerk befindet.

Der CISA-Leitfaden verdeutlicht die Folgen, die entstehen, wenn dieses Problem nicht angegangen wird. Staatlich unterstützte Angreifer konnten auf das Internet zugängliche SPS-Steuerungen über standardmäßige industrielle Kommunikationsports erreichen und steuern – nicht durch Software-Exploits, sondern einfach durch eine Verbindung, wie sie ein autorisierter Bediener herstellen würde. Die Anmeldedaten sahen korrekt aus. Die Protokolle entsprachen den Erwartungen. Nichts weckte Verdacht, da auf der Zugriffsebene keine Vorkehrungen getroffen worden waren, um die Legitimität der Sitzung zu überprüfen.

MetaDefender OT Access Zero Trust auf SitzungsebeneOT Access , noch bevor eine Verbindung eine OT-Ressource erreicht. Jede Fernsitzung – sei es ein interner Techniker, ein geplantes Wartungsfenster eines OEM oder ein Drittanbieter, der sich zum ersten Mal verbindet – wird individuell authentifiziert, auf den minimal erforderlichen Zugriff beschränkt, zeitlich begrenzt und vollständig protokolliert. Sitzungen werden aufgezeichnet, kontinuierlich überwacht und können in Echtzeit beendet werden, wenn das Verhalten außerhalb der erwarteten Parameter liegt. Es gibt keinen permanenten Netzwerkzugang, keinen dauerhaften Tunnel und keinen Pfad zu Ressourcen, der über das hinausgeht, was diese spezifische Sitzung ausdrücklich erfordert. Und für ältere Geräte, die nicht an modernen Authentifizierungsverfahren teilnehmen können,OT Access MetaDefender OT Access die Durchsetzung auf der Verbindungsebene, sodass die Kontrolle unabhängig von den Fähigkeiten des Geräts selbst gewährleistet ist.

Im OT-Bereich umfasst das Lieferkettenrisiko sowohl digitale als auch physische Übertragungsvorgänge: über Netzwerke bereitgestellte Software-Updates, vor Ort mitgebrachte Laptops von Lieferanten, von USB geladene Firmware sowie technische Dateien, die von der IT in isolierte Steuerungsnetzwerke übertragen werden. Jeder dieser Vorgänge birgt das Risiko, dass schädliche Inhalte in die Systeme gelangen, die, sobald sie kompromittiert sind, direkte Auswirkungen auf physische Prozesse haben können.

Bevor ein Software-Artefakt die OT-Grenze erreicht, sollte seine Integrität bereits sichergestellt sein. MetaDefender Software Chain™ kümmert sich auf der IT-Seite der Übertragungskette darum – indem es von Anbietern bereitgestellte Engineering-Tools, Firmware-Pakete und industrielle Software-Updates anhand von SBOM-Daten validiert, sicherstellt, dass Artefakte während der Übertragung nicht manipuliert wurden, und unbekannte Komponenten aufdeckt, bevor sie zur Übertragung freigegeben werden. Wenn eine Datei den Kiosk oder den MFT erreicht, hat sie die Integritätsprüfung auf IT-Ebene bereits bestanden. Die Grenzkontrollen bekräftigen also eine bereits getroffene Entscheidung und kompensieren keine, die nie getroffen wurde.

Dies ist die Angriffsfläche, die netzwerkbasierte Kontrollen nicht vollständig abdecken können – doch die Durchsetzung auf Netzwerkebene spielt nach wie vor eine entscheidende Rolle, sobald sich ein Lieferant im System befindet.Firewall MetaDefender Industrial Firewall unerlässlich für die Überprüfung der tatsächlichen Nutzdaten der industriellen Protokolle jeder Herstellersitzung. Selbst wenn eine Verbindung eines Drittanbieters autorisiert ist, überprüft die Firewall, ob die Befehle innerhalb der für diese Sitzung erwarteten Funktionscodes und Wertebereiche bleiben – und blockiert so in Echtzeit böswillige Befehle von einem kompromittierten Herstellertool oder einem manipulierten Update. Zudem erzwingt sie strenge Kommunikationspfade: Ein mit einem Anbieter verbundenes Gerät kann nur die spezifischen Systeme erreichen, für die es zugelassen wurde, wodurch eine Kompromittierung der Lieferkette verhindert wird, bevor sie sich lateral über OT-Zonen ausbreiten kann. Und bei bekannten CVEs in OT-Komponenten, für die der Anbieter-Patch noch nicht ausgeliefert wurde – was im OT oft Monate dauert –,Firewall die Industrial Firewall virtuelle Patches auf NetzwerkebeneFirewall und blockiert so die Ausnutzung, ohne das Gerät zu berühren.

MetaDefender , die Sicherheitslösung OPSWAT für Wechseldatenträger, fängt jeden Wechseldatenträger ab und überprüft ihn, bevor er in einen gesicherten Bereich gelangt. Jede Datei wird mittels Metascan™ Multiscanning mehr als 30 Anti-Malware-Engines gescannt, von Predictive Alin AI zur Zero-Day-Erkennung vor der Ausführung ausgewertet und durch die Deep CDR™-Technologie verarbeitet, die die Datei in einen als sicher bekannten Zustand zurückversetzt – dabei werden eingebettete Bedrohungen entfernt, während die legitimen Inhalte, die ein Techniker für seine Arbeit benötigt, erhalten bleiben. MetaDefender Media Firewall, die Lösung OPSWAT zur Durchsetzung der Überprüfung von Wechseldatenträgern, erweitert diese Durchsetzung auf USB auf Endpunkt-Ebene – durch eine hardwarebasierte Validierung, die sicherstellt, dass nur Wechseldatenträger, die bereits von MetaDefender Kiosk gescannt und genehmigt wurden, an eine geschützte Workstation angeschlossenKiosk , unabhängig davon, wo in der Einrichtung sie sich befindet. MetaDefender , die fortschrittliche Endpunkt-Schutzlösung OPSWAT, wird auf kritischen Endpunkten eingesetzt, um zu überprüfen, ob Dateien von Wechseldatenträgern zuvor von MetaDefender Kiosk gescannt und verarbeitet wurden. Dies stellt sicher, dass nur validierte Dateien vom Endpunkt geöffnet, kopiert oder aufgerufen werden können und dass unbefugte oder ungescannte Dateien daran gehindert werden, in kritische Umgebungen zu gelangen.

Bei Datenübertragungen, die Netzwerkzonen überschreiten – von der IT in die OT oder von cloudverbundenen Systemen in isolierte Steuerungsumgebungen – sorgt MetaDefender Diode™, die Daten-Diode-Lösung OPSWAT, für einen hardwaregestützten Einweg-Datenfluss. Dies umfasst Betriebsdaten wie Historienwerte, Sensortelemetrie und Prozessdaten, die vom OT-Netzwerk zu IT-Systemen, Analyseplattformen oder der Cloud-Infrastruktur fließen, um dort überwacht und ausgewertet zu werden. Kein eingehender Befehl, keine Verbindungsanfrage, kein Software-Update und keine Nutzlast kann die Grenze in umgekehrter Richtung überschreiten. Die Sicherheitsgarantie hängt nicht von einer korrekten Konfiguration, regelmäßig gepatchter Software oder der Integrität von Zugangsdaten ab, da keiner dieser Faktoren auf Softwareebene die Möglichkeit hat, die Hardwarebeschränkung zu umgehen. Für Unternehmen, die ältere Steuerungssysteme betreiben, die nicht aktualisiert werden können, keine Endpunkt-Agenten ausführen können und keine sicherheitsbedingten Ausfallzeiten tolerieren können, ist dies die Architektur, auf die sich der CISA-Leitfaden und die breitere industrielle Sicherheitsgemeinschaft als geeignete technische Lösung geeinigt haben.

MetaDefender File Transfer™ (MFT) erfüllt die Anforderungen an eine strukturierte Datenübertragung für Unternehmen, die Betriebsdateien zwischen verschiedenen Zonen unter vollständiger Überprüfung, Audit-Protokollierung und Workflow-Kontrolle übertragen müssen. Das System führt bei jeder Übertragung eine Inhaltsüberprüfung durch und stellt so sicher, dass der Dateiübertragungsweg selbst nicht zu einem unüberwachten Zugangspunkt wird.

Nicht jede Grenze lässt sich durch Richtlinien schützen. Manche erfordern physische Maßnahmen. Cross-Domain Solutions (CDS) setzen Grenzen auf Hardwareebene zwischen OT- und IT-Netzwerken durch, sodass keine Fehlkonfiguration von Software, gestohlene Zugangsdaten oder Zero-Day-Angriffe einen Einfallstor öffnen können. MetaDefender Optical Diode MetaDefender Security Gateway™ sind beide nach Common Criteria EAL4+ zertifiziert und [unterstützen die Einhaltung von NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 und ISO 27001](opswat) – also den gesamten Rahmen an Richtlinien für kritische Infrastrukturen in den Bereichen Energie, Nuklear, Chemie und Verteidigung.

Der CISA-Leitfaden orientiert sich an den Funktionen des NIST CSF (Cybersecurity Framework) 2.0 – „Govern“, „Identify“, „Protect“, „Detect“, „Respond“ und „Recover“. In der folgenden Tabelle wird jede Anforderung der entsprechenden OPSWAT zugeordnet:

„Zero Trust“ im OT-Bereich ist kein Produkt, das man einfach so kaufen kann. Der CISA-Leitfaden macht diesbezüglich deutlich: Tools und Technologien sind zwar notwendig, reichen aber allein nicht aus. Was Unternehmen benötigen, ist eine Plattform, die für Umgebungen entwickelt wurde, in denen Verfügbarkeit, Sicherheit und Compliance nicht verhandelbar sind. Die MetaDefender™-Plattform OPSWAT bietet diese Architektur über den gesamten Umfang des CISA-Mandats hinweg – vom Posteingang, wo der erste Zugriff beginnt, bis hin zur hardwaregestützten Grenze, an der Befehle an kritische Systeme enden.

Wie die obige Tabelle zeigt, OPSWAT alle CISA-konformen Kontrollkategorien in allen sechs NIST CSF 2.0-Funktionen auf einer einzigen Plattform OPSWAT – ein Umfang, den kein reiner OT-Anbieter erreicht. Sind Sie bereit zu prüfen, wie Ihre OT-Umgebung im Vergleich zum CISA Zero-Trust-Framework abschneidet?

Mit einem Experten chatten →