IT/OT-Sicherheitsarchitektur in kritischen Infrastrukturen
Start
/
Security Blog
/

Verfügbarkeit sichern: Warum IT- und OT-Sicherheit in KRITIS-Infrastrukturen zusammen gedacht werden müssen

Viele KRITIS-Betreiber unterschätzen OT-Systeme. Erfahren Sie, warum IT- und OT-Sicherheit integriert werden müssen, um Verfügbarkeit nachhaltig zu sichern.

Inhalt

Viele Organisationen investieren massiv in IT-Sicherheit – und übersehen dabei einen entscheidenden Faktor:
die Systeme, die Gebäude, Anlagen und Sicherheitsinfrastruktur tatsächlich steuern.

Ob Zutrittskontrolle, Videoüberwachung oder Gebäudetechnik – all diese Funktionen laufen heute über Operational Technology (OT). Genau hier entstehen neue Risiken.

Denn Angriffe auf IT-Systeme bleiben längst nicht mehr im digitalen Raum. Sie wirken direkt in die physische Welt – und damit unmittelbar auf Prozesse, Anlagen und Versorgungssicherheit.

Verfügbarkeit kritischer Infrastrukturen entsteht nur, wenn IT- und OT-Systeme als integrierte Sicherheits- und Betriebsarchitektur geplant und betrieben werden.

IT-Sicherheit allein reicht nicht mehr aus

Moderne Sicherheitsarchitekturen bestehen längst nicht mehr nur aus klassischen IT-Komponenten wie Servern, Netzwerken und Anwendungen. Sie umfassen ebenso die Systeme, die Gebäude und Infrastrukturen steuern und überwachen.

Dazu zählen unter anderem:

  • Gebäudeautomation
  • Sicherheitssysteme wie Zutrittskontrolle und Videoüberwachung
  • Steuerungs- und Leitsysteme

Diese Systeme bilden gemeinsam die OT-Landschaft eines Unternehmens. Sie sind integraler Bestandteil der Betriebsprozesse – und damit auch der Sicherheitsarchitektur.

Angriffsflächen entstehen an den Schnittstellen von IT und OT

In der Praxis entstehen die größten Risiken nicht innerhalb einzelner Systeme, sondern an deren Übergängen. Besonders die Schnittstellen zwischen IT und OT sind häufig unzureichend abgesichert.

Typische Schwachstellen zeigen sich immer wieder in ähnlicher Form:

  • unzureichend gesicherte Fernwartungszugänge
  • fehlende oder inkonsistente Netzwerksegmentierung
  • unklare Zuständigkeiten zwischen IT und Betrieb

Ein besonders kritischer Bereich sind Remote-Zugriffe. Sie sind für Betrieb und Wartung unverzichtbar, eröffnen aber gleichzeitig erhebliche Angriffsflächen. Eine sichere Umsetzung erfordert daher mehr als technische Maßnahmen – sie setzt ein durchdachtes Zusammenspiel von Authentifizierung, Protokollierung und Infrastruktur voraus.

IT- und physische Sicherheit folgen der gleichen Logik

Ein zentraler Grundsatz moderner Sicherheitskonzepte lautet:
IT-Sicherheit und physische Sicherheit basieren auf der gleichen Schutzlogik – sie nutzen lediglich unterschiedliche Werkzeuge.

Was in der IT als Netzwerksegmentierung umgesetzt wird, entspricht im physischen Raum der Zonierung von Gebäuden. Zugriffskontrollen in IT-Systemen lassen sich direkt mit Zutrittskontrollen vergleichen. Monitoring in der IT erfüllt eine ähnliche Funktion wie Videoüberwachung oder Alarmtechnik.

Diese Parallelen sind entscheidend, denn sie zeigen:
Eine integrierte Sicherheitsarchitektur ist keine optionale Erweiterung, sondern eine logische Konsequenz.

Defense-in-Depth: Sicherheit als Architekturprinzip

Die Integration von IT und OT erfordert eine klare Struktur. Hier hat sich das Prinzip des Defense-in-Depth als Standard etabliert.

Sicherheitsarchitekturen werden dabei in verschiedene Ebenen und Zonen unterteilt, beispielsweise:

  • Managementebene
  • Automatisierungsebene
  • Feldebene

Entscheidend ist jedoch nicht nur die Trennung, sondern vor allem die Definition kontrollierter Übergänge zwischen diesen Bereichen. Kommunikationsbeziehungen müssen klar geregelt und abgesichert sein.

Dieser Ansatz entspricht dem Stand der Technik in der OT-Sicherheit, wie er unter anderem in der Normenreihe IEC 62443 beschrieben wird.

Verfügbarkeit als zentrale Zielgröße in KRITIS-Infrastrukturen

Im Mittelpunkt aller Maßnahmen steht nicht die Sicherheit als Selbstzweck, sondern der Betrieb. Ziel ist es, kritische Prozesse stabil und unterbrechungsfrei aufrechtzuerhalten.

Verfügbarkeit bedeutet in diesem Kontext:

  • stabile und zuverlässige Prozesse
  • minimierte Ausfallzeiten
  • schnelle Wiederherstellung im Störungsfall

Damit wird deutlich: Verfügbarkeit ist kein isoliertes IT-Thema, sondern ein integraler Bestandteil der gesamten Sicherheitsarchitektur.

Typische Fehler in der Praxis

Trotz zunehmender Regulierung zeigen sich in der Praxis immer wieder ähnliche strukturelle Schwächen.

Ein häufiger Fehler ist die organisatorische Trennung von IT und OT. Dadurch entstehen Silos, in denen Sicherheitsmaßnahmen nicht aufeinander abgestimmt sind. Hinzu kommt, dass Verfügbarkeit oft nicht aktiv geplant, sondern implizit vorausgesetzt wird.

Auch regulatorische Anforderungen werden häufig isoliert umgesetzt. Das führt zwar zu formaler Compliance, verbessert jedoch nicht zwangsläufig die tatsächliche Sicherheit oder Resilienz.

IT sichert Daten – OT sichert Prozesse. Erst im Zusammenspiel entsteht Verfügbarkeit.

Diesen Beitrag teilen:

Inhalt

Weitere Artikel

  • Banken

Verfügbarkeit sichern: Warum IT- und OT-Sicherheit in KRITIS-Infrastrukturen zusammen gedacht werden müssen

Viele KRITIS-Betreiber unterschätzen OT-Systeme. Erfahren Sie, warum IT- und OT-Sicherheit integriert werden müssen, um Verfügbarkeit nachhaltig ...
Weiterlesen →
  • Banken

Resiliente Sicherheitsarchitekturen – Anforderungen für kritische Infrastrukturen

KRITIS-Anforderungen wie NIS2 und DORA erhöhen den Druck. Erfahren Sie, wie physische, technische und IT/OT-Sicherheit integriert ...
Weiterlesen →
  • Rechenzentrum

Multi-Betriebsmodelle für Rechenzentren: Zwischen Effizienzdruck und Governance-Komplexität

Wie Rechenzentren Kapazitäten effizient nutzen: Multi-Betriebsmodelle im Fokus – inklusive Herausforderungen bei Governance, Sicherheit und Betrieb. ...
Weiterlesen →
Nach oben scrollen
Leistungen
Branchen
Unternehmen
Referenzen
Beratungsgespräch vereinbaren

Impressum

Datenschutz

VZM auf der Data Centre World 2026 in Frankfurt
Sicherheitsberatung
Analysen & Bewertungen

Risiken fundiert einschätzen

Corporate Security

Ganzheitliche Unternehmenssicherheit

Sicherheitskonzeption

Individuelle Schutzstrategien

Datenschutz

Daten und Compliance

KI & KI-Compliance

Rechtssicher mit Künstlicher Intelligenz

Zertifizierungen & Audits

Sicherheit mit Standards belegen

City Sicherheit & Anfahrschutz

Urbane Sicherheitslösungen

Expatriate & Travel Security

Sicherheit weltweit

Personelle Sicherheitsdienstleistungen

Qualifiziertes Sicherheitspersonal

Sicherheitsplanung
Sicherheitstechnik

Technische Sicherheitssysteme

Schließanlagen & Türen-Engineering

Funktionale Zutrittslösungen

Brandschutz

Schutz vor Brand und Gefahrenlagen

Resilienz-Management
Risikomanagement

Risiken beherrschen

Business Continuity Management

Geschäftsprozesse absichern

Krisenmanagement

Unerwartetes strukturiert bewältigen

Technik und Infrastruktur
Rechenzentren

Verfügbarkeit kritischer IT-Infrastrukturen

IT- & Informationssicherheit

Sicherheit für IT und OT

Leitstellen & Sicherheitszentralen

Planung & Betrieb zentraler Sicherheitssysteme

Funktions- und Integrationstests

Sicherheitsfunktionen zuverlässig prüfen

Öffentliche Einrichtungen
Infrastruktur & Versorgung
Wirtschaft & Industrie
Events & Organisationen
Kritische Infrastruktur Branchenübergreifend

Versorgungs- und Sicherheitssysteme mit zentraler Bedeutung

Unternehmen