OT-Segmentierung: Warum sie heute über Produktionssicherheit entscheidet
Am Morgen des 19. Mai 2025 druckten sämtliche Drucker des Serviettenherstellers Fasana Erpresserschreiben statt Lieferscheine. Die Produktion stand still, binnen zwei Wochen summierte sich der Schaden auf rund zwei Millionen Euro entgangenen Umsatz — am 1. Juni folgte der Insolvenzantrag, 240 Arbeitsplätze standen auf dem Spiel. Das Lehrreiche an diesem Fall: Nicht die Maschinen wurden zuerst angegriffen, sondern die Office-IT. Zum Totalausfall kam es, weil sich der Angriff ungehindert ins Produktionsumfeld ausbreiten konnte. Genau hier setzt OT-Segmentierung an — die gezielte Trennung von Produktionsnetzen und Büro-IT, damit ein kompromittierter Arbeitsplatzrechner nicht die komplette Fertigungslinie mitreißt.
Dieser Beitrag zeigt Geschäftsführern, CIOs und IT-Verantwortlichen in produzierendem Gewerbe, Chemie und Versorgung, was hinter dem Konzept steckt, welche Fehleinschätzungen in der Praxis immer wieder auftauchen, was NIS2 konkret fordert — und wie der Einstieg in vier Schritten gelingt.
Warum OT-Segmentierung 2026 oben auf die Agenda gehört
Die vernetzte Produktion ist längst Realität — und zugleich eines der größten Einfallstore für Cyberangriffe. Wo früher Maschinen isoliert arbeiteten, kommunizieren heute Produktionsanlagen, Leitstände, Wartungszugänge und Office-IT nahtlos miteinander. Das steigert Effizienz und Transparenz, vergrößert aber auch die Angriffsfläche massiv.
Die Zahlen des BSI-Lageberichts 2025 belegen, wie real das Risiko ist: 950 Ransomware-Fälle wurden im Berichtszeitraum angezeigt, 72 Prozent davon mit zusätzlichem Datenleak. Rund 80 Prozent der Angriffe trafen kleine und mittlere Unternehmen. Und: Die Fertigungsindustrie war mit 23 Prozent der gemeldeten Fälle der am häufigsten betroffene Sektor in Deutschland.
Der Grund liegt auf der Hand: Produktionsanlagen sind auf Verfügbarkeit ausgelegt, nicht auf Sicherheit. Ein Angriff, der die Fertigung stoppt, erzeugt unmittelbaren wirtschaftlichen Druck — und damit Verhandlungsbereitschaft auf Opferseite. Der Fall Fasana zeigt, dass am Ende nicht nur Lösegeld, sondern die Existenz des Unternehmens auf dem Spiel stehen kann.
Was OT-Segmentierung bedeutet — und was nicht
OT-Segmentierung heißt nicht, Produktionsnetze hermetisch abzuriegeln. Es geht um die gezielte Unterteilung der OT-Infrastruktur in Zonen mit klar definierten Kommunikationsregeln. Zwischen diesen Zonen werden Sicherheitsbarrieren etabliert, die ausschließlich erlaubte Verbindungen zulassen — typischerweise auf Basis von Whitelists: Erlaubt ist nur, was explizit freigegeben wurde.
Das international etablierte Referenzmodell dafür liefert die Normenreihe IEC 62443 mit ihrem Konzept der „Zonen und Conduits“.
Info: Zonen und Conduits (IEC 62443). Eine Zone fasst Systeme mit gleichem Schutzbedarf zusammen — etwa eine Fertigungszelle samt Steuerungen. Ein Conduit ist der definierte Kommunikationskanal zwischen zwei Zonen, über den ausschließlich freigegebener Datenverkehr läuft. Anders als das klassische, starre Ebenen-Denken ist dieser Ansatz risikobasiert: Die Zonen folgen dem realen Schutzbedarf der Anlage, nicht einem Organigramm.
Der entscheidende Unterschied zur klassischen IT-Segmentierung: In der OT steht nicht Performance oder Komfort im Vordergrund, sondern die Begrenzung von Schadensausbreitung. Kommunikation wird nicht pauschal blockiert, sondern kontrolliert, transparent und nachvollziehbar gestaltet — etwa zwischen Leitebene und Maschinensteuerung. Selbst wenn ein Bereich kompromittiert wird, bleiben kritische Anlagen funktionsfähig.
IT-Segmentierung und OT-Segmentierung im Vergleich
Wer Segmentierungskonzepte aus der Büro-IT eins zu eins auf die Produktion überträgt, scheitert regelmäßig. Die Rahmenbedingungen unterscheiden sich grundlegend:
| IT-Segmentierung (Office) | OT-Segmentierung (Produktion) | |
|---|---|---|
| Oberstes Schutzziel | Vertraulichkeit der Daten | Verfügbarkeit der Anlagen |
| Schutzobjekte | Clients, Server, Anwendungen | Steuerungen (SPS), Sensorik, Leitsysteme |
| Lebenszyklus | 3–5 Jahre, regelmäßig gepatcht | 15–30 Jahre, oft nicht patchbar |
| Toleranz für Unterbrechungen | Wartungsfenster planbar | Stillstand = unmittelbarer Schaden |
| Typische Methode | VLANs, Firewalls, Zero Trust | Zonen & Conduits nach IEC 62443, Whitelisting |
| Fehlerfolge bei falscher Regel | Ticket beim Helpdesk | Anlagenstillstand oder Sicherheitsrisiko |
Beide Welten wachsen dennoch zusammen: Konzepte wie Mikrosegmentierung und kontinuierliche Verifikation, wie sie unser Beitrag zur Zero-Trust-Architektur beschreibt, liefern die konzeptionelle Grundlage — die OT-Umsetzung folgt aber eigenen Regeln.
Typische Fehleinschätzungen aus der Praxis
In vielen Projekten zeigt sich ein wiederkehrendes Muster: Netzwerksegmentierung in der Produktion wird auf Firewalls oder VLANs reduziert. Die tatsächlichen Kommunikationsflüsse und Abhängigkeiten zwischen OT-Komponenten bleiben unberücksichtigt. Das führt zu Sicherheitskonzepten, die auf dem Papier gut aussehen, im Ernstfall aber kaum Wirkung entfalten — oder den Betrieb sogar stören.
Warnung: Die drei teuersten Irrtümer
- „Wir haben eine Firewall zwischen IT und OT — das reicht.“ Ohne Kenntnis der realen Kommunikationsbeziehungen ist jedes Regelwerk Stückwerk. Erlaubt die Firewall pauschal ganze Netzbereiche, existiert die Trennung nur nominell.
- „Unsere Anlagen sind gar nicht mit dem Internet verbunden.“ Fernwartungszugänge von Herstellern, USB-Sticks von Dienstleistern und Schatten-Verbindungen aus Projektzeiten widerlegen diese Annahme in fast jedem Audit.
- „Segmentierung bremst die Produktion aus.“ Das Gegenteil ist der Fall: Richtig umgesetzt erhöht sie die Resilienz, weil sie Angriffe eindämmt und ungeplante Stillstände verhindert.
Ein vierter Punkt kommt hinzu: OT-Segmentierung wird häufig als einmaliges Projekt verstanden. Tatsächlich ist sie ein kontinuierlicher Prozess — jede neue Maschine, jeder neue Fernwartungszugang und jede Umbaumaßnahme verändert die Kommunikationslandschaft und muss ins Zonenkonzept eingeordnet werden.
NIS2 macht Segmentierung zur Compliance-Frage
Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Deutschland in Kraft — ohne Übergangsfrist. Rund 29.500 Unternehmen in 18 Sektoren sind betroffen, darunter ausdrücklich das produzierende Gewerbe, Chemie, Energie- und Wasserversorgung sowie die Abfallwirtschaft. Bereits Unternehmen ab 50 Mitarbeitenden oder 10 Millionen Euro Umsatz können in den Anwendungsbereich fallen.
Das Gesetz verlangt nachweisbare Risikomanagement-Maßnahmen nach Stand der Technik — dazu zählen Netzwerksicherheit und Segmentierung, Zugriffskontrolle, Incident Response und Meldeprozesse. Die Registrierungsfrist beim BSI ist am 6. März 2026 abgelaufen; wer sich noch nicht registriert hat, sollte das umgehend nachholen, denn eine verspätete Registrierung ist weiterhin möglich und deutlich besser als gar keine. Hinzu kommt: Die Geschäftsleitung haftet persönlich für die Überwachung der Umsetzung, bei Verstößen drohen Bußgelder bis zu 10 Millionen Euro.
Für Produktionsbetriebe bedeutet das: Eine saubere IT/OT-Segmentierung ist nicht mehr nur Best Practice, sondern Teil der gesetzlich geforderten Sorgfalt. Wer sie dokumentiert umsetzt, erfüllt gleich mehrere NIS2-Anforderungen auf einmal.
In vier Schritten zur OT-Segmentierung
Damit OT-Segmentierung im Alltag funktioniert, braucht es mehr als Technik. Bewährt hat sich folgendes Vorgehen:
1. Transparenz schaffen
Eine saubere Bestandsaufnahme aller OT-Assets und ihrer Kommunikationsbeziehungen ist die Grundlage jeder Zonenbildung. Passive Netzwerkanalysen liefern diese Informationen, ohne in den laufenden Betrieb einzugreifen — ein entscheidender Punkt, denn aktive Scans können empfindliche Steuerungen aus dem Tritt bringen. Ergebnis ist ein Asset-Inventar samt Kommunikationsmatrix: Wer spricht mit wem, über welches Protokoll, und warum?
2. Zonen nach Anlagenlogik schneiden
Zonen und Kommunikationspfade sollten sich an der realen betrieblichen Logik orientieren — nicht an klassischen IT-Modellen oder dem Organigramm. Eine Fertigungszelle mit ihren Steuerungen bildet eine Zone, die Leitebene eine andere, die Verbindung zur Office-IT läuft über eine eigene Übergangszone (DMZ). Maßgeblich ist der Schutzbedarf: Systeme, deren Ausfall die Produktion stoppt, gehören in besonders streng kontrollierte Zonen.
3. Conduits technisch absichern
Zwischen den Zonen kommen kontrollierte Übergänge zum Einsatz: Firewalls mit OT-tauglichen Regelwerken, Whitelist-Prinzip statt Blacklist, protokollbewusste Filterung industrieller Protokolle. Ergänzend sorgt eine Anomalie-Erkennung auf Netzwerkebene dafür, dass ungewöhnliche Kommunikationsmuster früh auffallen. Welche Bausteine dafür zusammenspielen, zeigt unsere Übersicht zur Netzwerksicherheit.
4. Drittzugriffe und Betrieb organisieren
Externe Dienstleister sind eines der häufigsten Einfallstore in Produktionsnetze. Klare vertragliche Sicherheitsanforderungen, zeitlich begrenzte und protokollierte Fernwartungszugänge sowie Rückverfolgbarkeit jedes Zugriffs sind essenziell. Dazu gehören außerdem Incident-Response-Pläne, Schulungen und regelmäßige Überprüfungen — sie erhöhen die Handlungsfähigkeit im Ernstfall und unterstützen die Einhaltung der gesetzlichen Meldepflichten.
Praxis-Tipp: Der schnellste Quick-Win. Inventarisieren Sie zuerst alle Fernwartungszugänge in Ihre Produktion — auch die der Maschinenhersteller. Deaktivieren Sie dauerhafte Zugänge und stellen Sie auf anlassbezogene Freischaltung mit Protokollierung um. Dieser Schritt kostet wenig, ist in Tagen umsetzbar und schließt einen der häufigsten Angriffswege.
Vom Security-Thema zum strategischen Wettbewerbsfaktor
OT-Segmentierung ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess, der mit der Weiterentwicklung der Produktionsumgebung Schritt halten muss. Gerade in Industrien mit Anlagenlaufzeiten von 15 bis 30 Jahren ist diese Dynamik entscheidend: Das Zonenkonzept von heute muss die Maschine von morgen aufnehmen können.
Zugleich wächst der externe Druck — und damit der Nutzen: Cyber-Versicherer fragen den Reifegrad der OT-Sicherheit inzwischen konkret ab, Großkunden verlangen in Lieferketten-Audits Nachweise zur Netztrennung, und NIS2 macht dokumentierte Segmentierung zur Sorgfaltspflicht. Für Unternehmen der Fertigungsindustrie entwickelt sich OT-Segmentierung damit vom reinen Security-Thema zum strategischen Wettbewerbsfaktor: Sie schützt nicht nur vor Angriffen, sondern sichert Produktionsfähigkeit, Lieferfähigkeit, Reputation — und letztlich den Geschäftserfolg.
Prüfen Sie selbst: Wie gut ist Ihre Produktion getrennt?
Bevor Sie in Technik investieren, lohnt ein ehrlicher Realitätscheck. Diese fünf Fragen beantworten die meisten Betriebe beim ersten Mal nicht vollständig — und genau dort beginnt die Arbeit:
- Existiert ein aktuelles Inventar aller OT-Assets inklusive ihrer Kommunikationsbeziehungen — oder beruht Ihr Bild der Anlagenkommunikation auf Annahmen?
- Könnte ein verschlüsselter Office-Rechner heute direkt eine Maschinensteuerung erreichen, oder liegt mindestens eine kontrollierte Übergangszone dazwischen?
- Wissen Sie, wie viele Fernwartungszugänge in Ihre Produktion führen — und wer sie wann zuletzt genutzt hat?
- Würde Ihr Team einen ungewöhnlichen Kommunikationsversuch zwischen zwei OT-Zonen überhaupt bemerken?
- Ist Ihre Segmentierung so dokumentiert, dass sie einem NIS2-Nachweis oder einem Versicherungs-Audit standhält?
Wer mehr als eine dieser Fragen mit „Nein“ oder „unklar“ beantwortet, hat seinen Startpunkt gefunden. Die gute Nachricht: Keiner dieser Punkte erfordert einen Umbau der Anlagen — sie erfordern Transparenz, klare Regeln und ein Betriebsmodell, das beides am Leben hält.
Fazit
Der Fall Fasana zeigt, was passiert, wenn sich ein Angriff ungehindert vom Büro in die Produktion ausbreiten kann. OT-Segmentierung ist die wirksamste strukturelle Antwort darauf: Zonen nach Anlagenlogik, kontrollierte Übergänge, abgesicherte Drittzugriffe — und ein Betriebsmodell, das mitwächst. Wer jetzt mit der Bestandsaufnahme beginnt, erfüllt nicht nur NIS2-Anforderungen, sondern schützt das, wovon der Betrieb lebt: eine laufende Produktion.
Sie möchten wissen, wie gut Ihre Produktion heute getrennt ist?
Vereinbaren Sie ein kostenloses Erstgespräch mit unseren Experten — wir analysieren Ihre IT/OT-Übergänge herstellerunabhängig und vor Ort in der Metropolregion Rhein-Neckar.
Jetzt Termin vereinbarensales@gemakom.de | +49 6202 9260-0