Zonen und Conduits werden Pflicht im OT-Umfeld

8 Min. Lesezeit

OT-Security bekommt 2026 einen Regulierungs-Schub, den viele Fertiger noch unterschätzen. Der EU Cyber Resilience Act fordert ab Juni 2026 Vulnerability-Reporting für alle digitalen Produkte. Die Lifecycle-Pflicht greift ab Dezember 2027. IEC 62443 ist der einzige weit verbreitete Standard, der das technische Gerüst dafür mitbringt. Für Security-Teams in Maschinenbau, Energie und Prozessindustrie bedeutet das: Zonen, Conduits und Risk-basierte Segmentierung sind keine Nice-to-haves mehr.

Das Wichtigste in Kürze

CRA + IEC 62443 sind komplementär. Der EU Cyber Resilience Act definiert das Was (Secure-by-Design, Vulnerability Handling, Post-Market-Support). IEC 62443 liefert das Wie (Zonen, Conduits, Security Levels).
Air-Gap ist ein Mythos geworden. In modernen Fertigungsumgebungen gibt es praktisch keinen echten Air-Gap mehr. Jede IIoT-Anbindung, jeder Remote-Wartungszugang und jede Fernüberwachung löst die klassische Trennung auf.
Purdue-Modell reicht nicht mehr. Die hierarchische Sicht auf Produktions-IT ist zu starr für heutige Architekturen. IEC 62443 arbeitet mit Risk-basierten Zonen, die quer zu Purdue-Leveln verlaufen können.

VerwandtDORA nach 15 Monaten: Lehren aus den ersten Audits / Windows Defender: BlueHammer und RedSun aktiv

Was IEC 62443 technisch wirklich verlangt

Was ist IEC 62443? Die IEC-62443-Reihe ist ein internationaler Standard für Cybersecurity in industriellen Automations- und Steuerungssystemen (IACS). Sie definiert Rollen (Asset-Owner, Integrator, Produkt-Hersteller), vier Security Levels (SL 1 bis SL 4), Zonen-Konzepte mit Conduits zwischen den Zonen und einen kompletten Lifecycle von Risikoanalyse bis Betrieb. Für Unternehmen, die unter CRA fallen, ist sie der technische Leitfaden, auf den die CRA-Pflichten projiziert werden können.

Der praktische Kern des Standards sind zwei Konzepte. Erstens: Zonen. Eine Zone ist eine logische Gruppe von Assets mit gleichen Security-Anforderungen. Sie muss nicht an physikalischen Grenzen ausgerichtet sein, sondern orientiert sich am Risiko-Profil. Ein Roboter in Fertigungslinie A und ein Roboter in Fertigungslinie B können in derselben Zone liegen, wenn sie gleiche Schutzbedürfnisse haben. Zweitens: Conduits. Jede Kommunikation zwischen Zonen läuft über einen definierten Conduit. Dort werden Authentifizierung, Filter und Inspection durchgesetzt. Ohne Conduits gibt es keine erlaubte Kommunikation zwischen Zonen.

Die Security Levels bauen aufeinander auf. SL 1 deckt zufällige Gefährdungen ab, SL 2 beabsichtigte Angriffe mit einfachen Mitteln, SL 3 Angriffe mit ausgefeilten Techniken und moderaten Ressourcen, SL 4 staatlich finanzierte Angreifer mit hohem Aufwand. Jedes Asset bekommt einen Ziel-SL-Wert, der aus der Risikoanalyse abgeleitet wird. Die Lücke zwischen aktuellem und Ziel-SL definiert die Investitions-Roadmap.

Juni 2026

Frist für CRA-Vulnerability-Reporting-Pflicht. Alle digitalen Produkte im EU-Markt müssen ab diesem Zeitpunkt Schwachstellen melden und Patch-Pfade haben. Lifecycle-Support-Pflicht folgt im Dezember 2027.

Quelle: EU Cyber Resilience Act, finaler Zeitplan 2026/27.

Warum das Purdue-Modell 2026 an Grenzen stößt

Das Purdue Enterprise Reference Architecture Model (PERA) hat die OT-Security-Diskussion jahrzehntelang dominiert. Die hierarchische Sicht mit Levels 0 bis 5 (Prozess, Kontrolle, Aufsicht, Operations, Enterprise) war ein praktikables Modell, solange Fertigungsumgebungen klar vertikal getrennt waren. 2026 passt die Logik nicht mehr vollständig zur Realität. IIoT-Sensoren schicken Daten direkt in die Cloud und überspringen mehrere Levels. Remote-Wartungszugänge verbinden externe Techniker mit Level-1-Systemen. Digital-Twin-Plattformen ziehen Rohdaten aus den unteren Ebenen und aggregieren sie in übergeordnete Analyse-Systeme.

IEC 62443 antwortet darauf mit dem Zonen-Modell. Assets werden nach Schutzbedarf gruppiert, nicht nach Hierarchie-Level. Das erlaubt flexible Strukturen: Eine Engineering-Workstation kann in einer anderen Zone liegen als der HMI-Arbeitsplatz daneben, wenn ihre Schutzbedürfnisse unterschiedlich sind. Ein Cloud-Gateway kann innerhalb der Fertigungs-Netz-Zone bleiben, solange seine Conduits sauber definiert sind. Die Umsetzung ist anspruchsvoller, aber sie entspricht der heutigen Realität besser.

Viele Mittelständler haben in den letzten Jahren aus Ressourcen-Gründen eine Mischung aus Purdue-Begrifflichkeit und punktueller Risiko-Analyse gebaut. Mit CRA und NIS2 wird diese Zwischenform 2026 zur Compliance-Hürde. Die Aufsichts-Gespräche fragen nach klaren Zonen-Definitionen, nicht nach Level-Diagrammen. Wer keine Zonen-Landkarte hat, bekommt dokumentierte Schwachstellen in Audit-Berichten.

Die gute Nachricht: Die Umstellung vom Purdue-Modell auf IEC-62443-Zonen ist kein vollständiger Neuanfang. Bestehende Netzwerk-Segmente lassen sich in Zonen übersetzen, sobald die Schutzbedarfe pro Asset dokumentiert sind. Der konzeptionelle Sprung liegt in der Denkweise: Statt nach Hierarchien zu gruppieren, wird nach Risiko-Profil gruppiert. Das macht den Unterschied in Audit-Gesprächen und in der Reaktion auf konkrete Incidents, weil Angreifer selten hierarchisch vorgehen. Sie suchen Schwachstellen, wo sie sie finden.

Was das Air-Gap-Erbe in der Praxis bedeutet

Das Air-Gap-Versprechen hat sich in den letzten fünf Jahren in den meisten deutschen Produktionsbetrieben verflüchtigt. Ursachen sind klar: Predictive Maintenance braucht Datenflüsse in die Cloud. Remote-Support der Hersteller verlangt Zugang zu den Anlagen. Digitale Qualitätssicherung zieht Messdaten aus den Linien ab. Und die Betriebsbuchhaltung braucht Verbrauchs- und Ausbringungsdaten in Echtzeit. Jede dieser Verbindungen löst ein Stück Air-Gap auf.

Die Realität ist, dass moderne OT-Netzwerke über zahlreiche Schnittstellen mit IT-Systemen und externen Partnern verbunden sind. Die Trennlinie verläuft nicht mehr zwischen IT und OT, sondern zwischen verschiedenen Risiko-Zonen innerhalb eines gemeinsamen Netzwerks. Die Aufgabe der Security-Teams ist, diese Zonen explizit zu definieren, die Conduits zwischen ihnen zu überwachen und Angriffe, die quer durch die Zonen laufen, früh zu erkennen.

Wo OT-Security 2026 scheitert

Air-Gap-Annahme ohne tatsächliche Netzwerkisolation
Kein aktuelles Asset-Inventar der OT-Systeme
Remote-Zugänge ohne MFA und Session-Audit
Patch-Management ohne OT-spezifische Prozesse

Was IEC-62443-konforme Setups auszeichnet

Zonen-Modell mit dokumentierter Risiko-Analyse
Conduits mit Authentifizierung und Protokoll-Filter
OT-spezifisches SIEM mit Protokoll-Support für Modbus, OPC UA
Laufendes Vulnerability-Management auch für Legacy-Geräte

Der OT-spezifische Patch-Management-Prozess ist einer der unterschätzten Erfolgsfaktoren. Klassische IT-Patches laufen im Wochenrhythmus, OT-Systeme vertragen das nicht. Eine produktive Fertigungslinie, die alle sieben Tage gepatcht wird, riskiert Qualitäts- und Verfügbarkeits-Probleme. Der IEC-62443-Ansatz ist, Patches in Wartungsfenster zu integrieren, bei kritischen Schwachstellen kompensierende Maßnahmen (Segmentierung, Monitoring) zu erhöhen und Risiko-Entscheidungen dokumentiert zu treffen. Das Anti-Muster ist, dringende Patches ohne Rücksprache mit Produktions-Verantwortung einzuspielen.

Wie Security-Teams jetzt den Einstieg aufsetzen

Für Security-Teams, die 2026 unter CRA-Druck geraten oder NIS2-Registrierungspflichten erfüllen müssen, hat sich ein Vier-Phasen-Plan etabliert. Erste Phase: Asset-Inventar. Wer welche Geräte hat, welche Firmware-Stände, welche Netzwerkverbindungen, welche Abhängigkeiten zu externen Partnern. Ohne dieses Fundament greift jede nachgelagerte Entscheidung ins Leere. Zweite Phase: Risiko-Analyse pro Asset-Cluster. Welche Bedrohungsszenarien sind realistisch, welche Ausfälle wären geschäftsrelevant, welche Security-Level sind erforderlich. Dritte Phase: Zonen-Design und Conduit-Definition. Hier werden die IEC-62443-Konzepte konkret auf die eigene Umgebung projiziert. Vierte Phase: Technische Umsetzung und laufender Betrieb.

Die dritte Phase ist oft der Engpass, weil sie eine gemeinsame Sprache zwischen IT-Security, OT-Ingenieuren und Produktions-Verantwortlichen verlangt. IT-Security denkt in Firewalls und Access-Policies, OT denkt in Schnittstellen und Wartungsrhythmen. Produktions-Verantwortung denkt in Verfügbarkeit und Durchsatz. Ein gemeinsames Workshop-Format mit allen drei Gruppen ist die praktikabelste Methode. Es braucht in der Regel drei bis fünf Tage gezielte Arbeit, ergänzt durch zwei bis vier Wochen Nachbereitung, um eine erste tragfähige Zonen-Landkarte zu erstellen.

Ein oft übersehener Baustein in der dritten Phase ist die Dokumentation der Conduits. Jede Kommunikation zwischen Zonen sollte in einer Liste erfasst sein, mit Protokoll, Frequenz, betroffenen Assets und Verantwortlichkeiten. Diese Liste wird von Auditoren ausdrücklich gefragt und ist Grundlage für jede spätere Erweiterung. Wer die Conduits nicht dokumentiert, verliert die Kontrolle über Angriffsflächen, sobald neue Anbindungen entstehen. Eine lebende Liste ist wichtiger als eine schön gestaltete Einmal-Grafik, weil die OT-Realität sich kontinuierlich verändert und neue Verbindungen laufend dazukommen.

Die Technologie-Seite hat sich 2026 deutlich entspannt. OT-spezifische Firewalls, Network-Intrusion-Detection-Systeme und SIEMs sind verfügbar, oft mit Unterstützung der gängigen OT-Protokolle (Modbus, OPC UA, PROFINET, EtherNet/IP). Anbieter wie Claroty, Nozomi Networks, Dragos, Tenable OT oder Cisco Cyber Vision decken den Bedarf ab. Die Auswahl hängt an der bestehenden Infrastruktur und der Größe der OT-Landschaft. Für Mittelständler mit einer überschaubaren Anzahl Anlagen reicht oft eine integrierte Lösung, große Konzerne haben meist eine Multi-Vendor-Strategie.

Was zwischen CRA und Marktdruck 2026 wichtig wird

Die CRA-Fristen verändern die OT-Security-Diskussion von einem Nice-to-have zu einer Marktpflicht. Ab Juni 2026 müssen alle digitalen Produkte im EU-Markt Vulnerability-Reporting-Pfade haben und gefundene Schwachstellen innerhalb definierter Fristen dokumentieren. Ab Dezember 2027 greift die Lifecycle-Support-Pflicht. Hersteller müssen Updates für eine festgelegte Zeit bereitstellen, Asset-Owner müssen nachweisen können, dass sie diese Updates einspielen. Die IEC 62443 bietet den einzigen weit akzeptierten technischen Rahmen, der diese Pflichten operationalisiert.

Für Käufer von OT-Systemen bedeutet das, dass Ausschreibungen 2026 anders werden. IEC-62443-Zertifizierungen des Herstellers werden abgefragt, CRA-Konformität muss belegt werden, Vulnerability-Handling-Prozesse müssen Teil des Angebots sein. Hersteller, die diese Dokumentation nicht liefern können, fallen aus den Ausschreibungen. Asset-Owner, die diese Nachweise nicht einfordern, bekommen in ihren eigenen Audits Probleme, weil sie kompensieren müssen, was der Hersteller nicht liefert.

Ein weiterer Aspekt ist die Rolle externer Dienstleister. Viele deutsche Fertigungsbetriebe beziehen Wartung, Remote-Support und sogar Teile ihres Security-Monitorings von Drittanbietern. Diese Zulieferer fallen unter die NIS2-Supply-Chain-Klauseln, wenn ihre Leistung für den Betrieb kritischer Anlagen relevant ist. Asset-Owner müssen die Security-Praxis ihrer Dienstleister prüfen und in Vertrags-Addenda dokumentieren. Wer das nicht proaktiv macht, erbt im Audit die Schwachstellen seiner Lieferanten.

Zusätzlich entwickelt sich die Zertifizierungs-Landschaft. CRA wird durch die European Cybersecurity Certification Group (ECCG) mit eigenen Schemata unterlegt, IEC 62443 hat ISA-Secure-Zertifikate für Produkte und Anlagen. Diese Nachweise werden in B2B-Verträgen abgefragt. Hersteller, die bis Ende 2026 keine passenden Zertifikate haben, verlieren Ausschreibungen. Asset-Owner, die diese Zertifikate nicht einfordern, nehmen versteckte Compliance-Risiken in Kauf.

Ein letzter Aspekt ist die Lieferketten-Dimension. OT-Systeme bestehen aus Hunderten oder Tausenden von Komponenten aus unterschiedlichen Quellen. Software Bill of Materials (SBOM) wird 2026 zum Standard-Artefakt, um Transparenz über eingesetzte Komponenten zu schaffen. Security-Teams, die SBOMs sauber verarbeiten und gegen Vulnerability-Feeds prüfen, erkennen Schwachstellen im eigenen Bestand schneller. Ohne SBOM-Disziplin sind neue CVEs in OT-Komponenten oft wochen- oder monatelang unsichtbar.

Häufige Fragen

Brauchen auch kleine Mittelständler eine IEC-62443-Konformität?

Direkt zertifizieren müssen sie selten. Aber sobald sie Produkte unter CRA in den EU-Markt bringen oder Teil einer Lieferkette mit KRITIS-Betreibern sind, werden die IEC-62443-Konzepte in den Kunden-Audits abgefragt. Die Anwendung des Standards ohne formelle Zertifizierung ist meist der pragmatische Weg.

Wie unterscheide ich Zonen von klassischen Netzwerk-Segmenten?

Netzwerk-Segmente sind rein technisch getrennt, oft über VLANs oder physikalisch separate Switches. Zonen sind logische Gruppen mit gemeinsamem Schutzbedarf und können technisch in verschiedenen Netzwerk-Segmenten liegen. Eine Zone kann mehrere Segmente umfassen oder umgekehrt. Die Zuordnung erfolgt auf Basis der Risikoanalyse.

Wie oft sollte die Zonen-Landkarte aktualisiert werden?

Jährlich als Minimum, bei jeder größeren IT- oder Produktions-Änderung anlassbezogen. Neue IIoT-Anbindungen, zusätzliche Remote-Zugänge, neue Anlagen oder geänderte Geschäftsprozesse verändern den Risiko-Rahmen. Eine Aktualisierung ohne Anlass nach mehr als zwei Jahren dokumentiert eine schwache Governance-Praxis.

Welche Rolle spielt MFA in OT-Netzwerken?

Eine wachsende. Klassische HMI-Arbeitsplätze in der Produktion haben oft nur Basis-Authentifizierung. 2026 wird MFA für Remote-Zugänge, Engineering-Workstations und Service-Techniker-Accounts zum Standard. Die Einführung ist technisch machbar und ergibt in IEC-62443-SL-3-Zonen einen Pflichtpunkt.

Was ist der wichtigste Schritt für Security-Teams in den nächsten sechs Monaten?

Asset-Inventar und Remote-Zugangs-Audit. Ohne aktuelles Asset-Inventar keine Risiko-Analyse. Ohne Remote-Zugangs-Audit kein Überblick über bestehende Angriffsflächen. Beides lässt sich mit moderatem Aufwand innerhalb eines Quartals durchziehen und bildet die Basis für alle nachgelagerten Schritte.