Menu
IEC 62443 Zonen und Leitungen: Ein verständlicher Leitfaden zur Segmentierung Ihres OT‑Netzwerks

IEC 62443 Zonen und Leitungen: Ein verständlicher Leitfaden zur Segmentierung Ihres OT‑Netzwerks

Ein leicht verständlicher Leitfaden zu IEC 62443‑Zonen und -Kommunikationswegen: wie Sie Ihr OT‑Netzwerk segmentieren, Sicherheitsstufen zuweisen und das Risiko einer anlagenweiten Kompromittierung reduzieren.
IEC 62443 Zonen und Leitungen: Ein verständlicher Leitfaden zur Segmentierung Ihres OT‑Netzwerks

IEC 62443 „Zones and Conduits“ ist ein Segmentierungsmodell, das Ihre Operational-Technology-(OT)-Assets in Sicherheits‑„Zonen“ gruppiert und jeden Datenweg zwischen ihnen durch definierte „Conduits“ kontrolliert. Die Idee ist einfach: Anstatt eines flachen Fabriknetzwerks, in dem ein einzelnes kompromittiertes Gerät jede Maschine erreichen kann, teilen Sie die Anlage in logische Bereiche und überwachen den Verkehr zwischen ihnen. Dieser Leitfaden erklärt das Modell in einfachen Worten, führt durch ein ausgearbeitetes Segmentierungsbeispiel und zeigt, wie eine gemeinsame Datenbasis daneben passt.

Warum ein flaches OT‑Netzwerk ein Risiko darstellt

Die meisten älteren Produktionsbereiche sind organisch gewachsen. Eine speicherprogrammierbare Steuerung (SPS/PLC) hier, eine Bedienoberfläche dort, ein Historian später hinzugefügt, alle teilen sich ein Subnetz mit Büro‑Laptops und dem Gäste‑WLAN. In einem flachen Netzwerk ist laterale Bewegung trivial: Malware, die auf einem Engineering‑Arbeitsplatz landet, kann innerhalb von Sekunden einen Sicherheitscontroller erreichen. Das Update 2021 der IEC 62443 (der internationale Standard für Sicherheit in Industrieautomations‑ und -leitsystemen) existiert genau, um diese Kette zu durchbrechen.

Die Kernidee ist, dass nicht jedes Asset mit jedem anderen kommunizieren muss. Ein Vibrationssensor braucht keinen Weg zum Buchhaltungsserver. Indem Sie Grenzen um Gruppen von Assets mit ähnlichem Risiko und ähnlicher Funktion ziehen, verkleinern Sie den Schadensradius eines einzelnen Vorfalls. Das ist dieselbe Verteidigungslogik wie bei einer guten FMEA in der Fertigung: Fehlerpfade identifizieren und sie unterbrechen, bevor sie sich aufschaukeln.

Was eine Zone tatsächlich ist

Eine Zone ist eine logische oder physische Gruppierung von Assets, die gemeinsame Sicherheitsanforderungen teilen. Die Gruppierung wird durch Funktion, Kritikalität und Vertrauensniveau getrieben, nicht nur durch die physische Kabelverlegung. Typische Zonen auf einer Fabrikhalle sind:

  • Enterprise / IT‑Zone: ERP, E‑Mail, Business Analytics, die Unternehmens‑Domäne.
  • DMZ (demilitarisierte Zone): der Puffer, in dem Historian‑Server, Patch‑Server und Remote‑Access‑Jump‑Hosts leben und zwischen IT und OT vermitteln.
  • Supervisory‑Zone: SCADA‑Server und Operator‑Arbeitsplätze. Wenn SCADA neu für Sie ist, behandelt unser Einführungsartikel was SCADA ist die Grundlagen.
  • Control‑Zone: die SPS und Steuerungen, die den Prozess in Echtzeit betreiben.
  • Safety‑Zone: die sicherheitsgerichteten Systeme (SIS), so isoliert wie der Prozess es zulässt.

Jede Zone erhält ein Ziel‑Security‑Level (SL), von SL 1 (Schutz gegen beiläufige oder versehentliche Fehlanwendung) bis SL 4 (Schutz gegen einen gut ausgestatteten, gezielt vorgehenden Angreifer). Eine Safety‑Zone verlangt typischerweise ein höheres SL als eine Supervisory‑Reporting‑Zone.

Was ein Conduit leistet

Ein Conduit ist der kontrollierte Kommunikationsweg zwischen zwei Zonen oder zwischen einer Zone und der Außenwelt. Jedes Conduit ist eine Engstelle, die Sie bewusst schaffen, damit Sie den Verkehr inspizieren, authentifizieren und einschränken können, was sie überquert. Ein Conduit wird typischerweise durch eine Firewall, eine Daten‑Diode, einen verwalteten Switch mit Access‑Control‑Lists oder ein unidirektionales Gateway durchgesetzt.

Die Faustregel: Verkehr innerhalb einer Zone fließt frei; Verkehr zwischen Zonen fließt nur durch ein Conduit und nur, wenn er ausdrücklich erlaubt ist. Ein gut gestaltetes Conduit legt fest, welche Protokolle, welche Quell‑ und Zieladressen und welche Richtung erlaubt sind. Alles andere ist standardmäßig verweigert. Diese Praxis des „standardmäßig verweigern“ ist es, die ein Netzwerkdiagramm in eine tatsächliche Sicherheitskontrolle verwandelt.

Ein ausgearbeitetes Beispiel: Segmentierung einer Abfülllinie

Stellen Sie sich eine Getränkeabfüllanlage mit 40 vernetzten Assets auf einem flachen /24‑Subnetz vor. Heute kann jedes Gerät alle anderen 39 erreichen, was 40 x 39 = 1.560 mögliche gerichtete Kommunikationspfade ergibt — jeder einzelne ein Angriffsweg. So reduzieren Zonen und Conduits das.

  1. Gruppieren Sie die Assets. Sortieren Sie die 40 in vier Zonen: Enterprise (8 Assets), DMZ (4), Supervisory (10) und Control plus Safety (18).
  2. Weisen Sie Ziel‑Security‑Levels zu. Enterprise SL 2, Supervisory SL 2, Control SL 3, Safety SL 3. Je höher das SL, desto strenger die Conduit‑Kontrollen, die es schützen.
  3. Definieren Sie Conduits, keine offenen Grenzen. Erlauben Sie exakt drei Conduits: Enterprise → DMZ, DMZ → Supervisory und Supervisory → Control. Ein direkter Enterprise→Control‑Pfad existiert überhaupt nicht.
  4. Zählen Sie die verbleibenden Pfade. Cross‑Zone‑Verkehr läuft nun über drei Conduits statt frei umher. Wenn jedes Conduit beispielsweise 5 spezifische Protokoll‑und‑Host‑Regeln zulässt, haben Sie grob 1.000‑plus Cross‑Zone‑Angriffswege durch 15 geprüfte, protokollierte Regeln ersetzt.

Der Gewinn ist konkret. Wenn Ransomware auf einem Enterprise‑Laptop landet, trifft sie zuerst auf die DMZ‑Conduit‑Firewall. Um eine SPS zu erreichen, müsste sie drei separate Conduits hintereinander überwinden, von denen jedes den Versuch protokolliert. Das ist der Unterschied zwischen einem schlechten Nachmittag und einem werkweiten Stillstand. Zu verfolgen, wie oft solche Ausfälle tatsächlich auftreten, ist auch eine Frage der Wartungs‑ und Zuverlässigkeitskennzahlen, weshalb Teams Metriken wie MTBF und MTTR sowie die Gesamtanlageneffektivität nach jeder Netzwerkänderung beobachten.

Eine praktische Rollout‑Reihenfolge

Sie müssen nicht alles auf einmal neu gestalten. Eine sinnvolle Reihenfolge der Maßnahmen:

  • Inventarisierung zuerst. Sie können nicht zonieren, was Sie nicht kartiert haben. Erstellen Sie ein vollständiges Asset‑Register: jede Steuerung, HMI, jeder Switch und Sensor mit Funktion und Kritikalität.
  • Zeichnen Sie Zonen auf Papier, bevor Sie an Kabeln arbeiten. Gruppieren Sie nach Funktion und erforderlichendem SL und validieren Sie die Gruppierung mit den Personen, die die Linie tatsächlich betreiben.
  • Setzen Sie Conduits an den wertvollsten Grenzen zuerst ein. Die IT‑zu‑OT‑Grenze und die Sicherheitsgrenze liefern pro Arbeitsstunde den größten Risikominderungseffekt.
  • Standardmäßig verweigern, dann öffnen, was die Produktion braucht. Starten Sie jedes Conduit geschlossen und fügen Sie Regeln nur hinzu, wenn ein echter, getesteter Prozess sie verlangt.
  • Dokumentieren und prüfen. Behandeln Sie das Zone‑und‑Conduit‑Design als lebendes Dokument, das bei jeder Geräteerweiterung überprüft wird. Eine strukturierte Methode wie der PDCA‑Zyklus sorgt für ehrliche Reviews, und eine HAZOP‑Studie kann aufdecken, wo eine Sicherheitsänderung ein Prozess‑Sicherheitsrisiko erzeugen könnte.

Wo Fabrico hineinpasst

Zonen und Conduits bestimmen, wie Ihr OT‑Netzwerk verdrahtet und durch Firewalls geschützt ist. Fabrico steuert diese Segmentierung nicht und ist kein SCADA‑ oder Netzwerk‑Steuersystem. Was Fabrico liefert, ist die Echtzeit‑Datenbasis, die auf einer gut segmentierten Anlage aufsetzt: Live‑OEE und Produktionsüberwachung sowie ein feldtaugliches CMMS für Arbeitsaufträge, Asset‑Datensätze, präventive Planung und Ersatzteilverfolgung. Da Fabrico Maschinenzustände per Computer Vision auch an Geräten ohne SPS/PLC erfassen kann, gewinnen Sie Sichtbarkeit, ohne neue Steuerungen oder zusätzliche Cross‑Zone‑Datenpfade hinzuzufügen, die Ihr Conduit‑Design verkomplizieren. Fabrico ist in der EU entwickelt und gewährleistet Datenresidenz in der EU, was wichtig ist, wenn Ihre Segmentierungsstrategie auch Datenhoheitsregeln erfüllen muss. Entdecken Sie den CMMS‑Überblick oder den OEE‑ und MES‑Überblick, um zu sehen, wie die Datenschicht Ihre Sicherheitsarchitektur ergänzt.

Häufig gestellte Fragen

Ist IEC 62443 dasselbe wie eine Firewall?

Nein. Eine Firewall ist ein Werkzeug, mit dem Sie ein Conduit durchsetzen können, aber IEC 62443 ist ein vollständiges Rahmenwerk, das Asset‑Inventar, Risikobewertung, Security‑Levels, Rollen und Lifecycle‑Management abdeckt. Conduits werden durch Firewalls, Daten‑Dioden oder verwaltete Switches durchgesetzt, doch die Norm betrifft die gesamte Gestaltungsdisziplin, nicht ein einzelnes Gerät.

Wie viele Zonen braucht eine Fabrik?

Es gibt keine feste Zahl. Einige kleine Linien kommen gut mit drei oder vier Zonen aus, während eine große Mehrprozess‑Anlage ein Dutzend haben kann. Die richtige Anzahl ergibt sich aus der Gruppierung von Assets, die tatsächlich Funktion und Sicherheitsanforderungen teilen, und dann nur dort weiter zu trennen, wo das Risiko die zusätzliche Komplexität rechtfertigt. Weniger, gut verteidigte Grenzen schlagen in der Regel viele schlecht gewartete.

Kann ich Zonen und Conduits an einer alten Anlage nachrüsten?

Ja — die meisten Einrichtungen tun genau das. Beginnen Sie mit einem vollständigen Asset‑Inventar, zeichnen Sie logische Zonen und setzen Sie Conduits an den risikoreichsten Grenzen zuerst ein (typischerweise die IT‑zu‑OT‑ und die Sicherheitsgrenzen). Sie können die Arbeit über Monate phasenweise durchführen, ohne einen kompletten Umbau: Sie verstärken eine Grenze nach der anderen, während die Produktion weiterläuft.

Bereit, Echtzeit‑OEE und CMMS‑Sichtbarkeit auf Ihrem segmentierten OT‑Netzwerk zu schichten, ohne neues Cross‑Zone‑Risiko hinzuzufügen? Buchen Sie eine Fabrico‑Demo und sehen Sie die Datenbasis in Aktion.

Das Neueste aus unserem Blog

Definieren Sie Ihren Zuverlässigkeitsfahrplan
Überzeugen Sie sich selbst!
Definieren Sie Ihren Zuverlässigkeitsfahrplan
Indem Sie auf die Schaltfläche „Akzeptieren“ klicken, erklären Sie sich mit der Nutzung einverstanden.Cookies beim Zugriff auf diese Website und bei der Nutzung unserer Dienste. Erfahren Sie mehrWeitere Informationen zur Verwendung und Verwaltung von Cookies finden Sie in unserem Datenschutzrichtlinie und Cookie-Erklärung