Unser Netzplan zeigt eine saubere Trennung. Reicht das nicht?

Der Netzplan zeigt den geplanten Zustand. Ob die Trennung in der Praxis hält, zeigt nur der tatsächliche Verkehr — er kann durch nachträglich entstandene Verbindungen, Fernzugänge oder Fehlkonfigurationen unterlaufen sein, ohne dass der Plan das abbildet.

Wir haben doch ein Monitoring — sehen wir das nicht ohnehin?

Es kommt auf die Art an. Verfügbarkeits-Monitoring zeigt, ob Systeme laufen, nicht, ob auffälliger Verkehr über die IT/OT-Grenze läuft. Für die Sicherheitsfrage braucht es eine Sicht auf den tatsächlichen Netzwerkverkehr (NDR).

Greift die Analyse in unsere Produktion ein?

Nein. Die Anbindung ist passiv über einen Spiegel-Port oder Netzwerk-TAP — nur Mitlesen, kein Eingriff, kein Agent auf Maschinen.

Was ist mit Fernwartungszugängen?

Die passive Sicht zeigt, wenn ein Fernzugang aktiv ist und Verbindungen über die Grenze laufen — auch solche, die nicht dokumentiert waren. Die Absicherung der Zugänge selbst leisten andere Bausteine.

Was kostet uns diese Sicht?

Das hängt von Netzwerkgröße und Anlass ab und wird im Erstgespräch geklärt. Der erste Schritt — der Netzwerk-Check — ist kostenfrei und unverbindlich.

Wo werden die Daten verarbeitet?

Für Kunden im DACH-Raum ausschließlich in Deutschland — keine Drittstaaten, keine Hyperscaler.

Ressourcen › IT/OT-Trennung in der Produktion

IT-SICHERHEIT IM MASCHINEN- UND ANLAGENBAU

Wenn das Büro gehackt wird, steht dann auch die Produktion?

Auf dem Netzplan sind IT und Produktion getrennt. Die meisten Geschäftsführer gehen davon aus, dass ein Angriff auf das Büronetz die Maschinen nicht erreicht. Die Realität sieht oft anders aus: Bei vier von fünf untersuchten Umgebungen hält diese Trennung in der Praxis nicht. Dieser Artikel erklärt, warum die geglaubte Trennung und die tatsächliche auseinanderfallen, woran das liegt — und wie man den Unterschied überhaupt sehen kann.

Veröffentlicht: 30. Juni 2026 · Achim Kraus, AEGYS DATALYTICS · ca. 8 Min. Lesezeit

Das Wichtigste in Kürze

Viele Produktionsnetze gelten als vom Büronetz getrennt — auf dem Netzplan. In der Praxis fehlt bei 4 von 5 Umgebungen eine saubere Trennung (Dragos OT Cybersecurity Report 2026).
Ein Angriff beginnt fast immer in der IT (Phishing, gestohlene Zugangsdaten) und bewegt sich von dort weiter. Hält die Trennung nicht, erreicht er die Produktion.
Trennung „altert“: Netze wachsen historisch, Fernwartungszugänge und neue Verbindungen entstehen, ohne dass der Netzplan nachgezogen wird.
Verfügbarkeits-Monitoring beantwortet die Frage nicht: Es zeigt, ob Systeme laufen — nicht, ob auffälliger Verkehr über die IT/OT-Grenze läuft.
Sichtbar wird die tatsächliche Trennung nur, wenn der Verkehr über die Grenze passiv mitgelesen wird. Genau das leistet AEGYS Monitor — ohne Eingriff in die Produktion, Auswertung in Deutschland.

Warum „getrennt auf dem Netzplan" nicht „getrennt in der Realität" heißt

Die Annahme ist nachvollziehbar: Wer einmal eine Netzwerksegmentierung geplant hat — IT hier, Produktion dort, dazwischen eine Firewall — geht davon aus, dass diese Trennung Bestand hat. Auf dem Papier stimmt sie auch. Das Problem ist, dass Netzwerke leben.

Über die Jahre wächst die IT-Landschaft. Eine neue Maschine wird angebunden, ein Dienstleister bekommt einen Fernzugang, jemand legt eine Verbindung „nur für den Moment", die nie wieder entfernt wird. Personal wechselt, Dokumentation veraltet. Was als saubere Trennung begann, hat nach ein paar Jahren Löcher, von denen niemand mehr weiß. Der Netzplan zeigt den Soll-Zustand. Was tatsächlich über die Grenze läuft, steht dort nicht.

KURZ ERKLÄRT: IT/OT-SEGMENTIERUNG

Die bewusste Trennung des Büro-/IT-Netzes vom Produktions-/ OT-Netz, sodass ein Problem im einen Bereich nicht ungehindert in den anderen überspringt. Die Verbindungspunkte zwischen den Bereichen heißen im Standard IEC 62443 „Conduits" und sollen kontrolliert und dokumentiert sein.

Der typische Angriffsweg: von der Mail zur Maschine

Cyberangriffe auf Industrieunternehmen beginnen selten direkt an der Maschine. Sie beginnen in der IT — über eine Phishing-Mail, gestohlene Zugangsdaten oder eine Schwachstelle im Büronetz. Von dort sucht der Angreifer den Weg weiter: zu den Systemen, an denen sich Druck aufbauen lässt. In einem Produktionsbetrieb ist das die Fertigung, denn ein Stillstand kostet sofort und sichtbar.

Hält die Trennung zwischen IT und OT, endet der Weg an der Grenze. Hält sie nicht, führt er direkt weiter in die Steuerungstechnik. Genau deshalb ist die Frage „ist mein Büro sicher?" für einen Produktionsbetrieb die falsche. Die richtige Frage ist: „Wenn mein Büro fällt — wie weit kommt der Angreifer dann?"

Ein zusätzliches, oft übersehenes Einfallstor sind Fernwartungszugänge. Maschinenhersteller und Dienstleister warten Anlagen aus der Ferne — häufig über proprietäre Protokolle, die weder das IT- noch das OT-Team vollständig überblickt. Ein kompromittierter Fernzugang führt am gesamten Sicherheitsperimeter vorbei direkt in die Produktion. Viele dieser Zugänge sind nicht einmal vollständig bekannt.

„Alles grün" heißt nicht „alles sicher"

Viele Produktionsbetriebe haben ein Monitoring — aber das falsche für diese Frage. Verfügbarkeits-Monitoring beobachtet, ob Systeme laufen, wie ausgelastet sie sind und ob eine Anlage ausfällt. Das ist wichtig für den Betrieb. Es beantwortet aber nicht die Sicherheitsfrage.

Ein Angreifer, der sich von der IT in die OT bewegt, lässt die Anlagen weiterlaufen — er will ja unentdeckt bleiben, bis er bereit ist. Das Verfügbarkeits-Monitoring zeigt in dieser Phase „alles grün", weil technisch alles läuft. Was es nicht zeigt: dass ungewöhnlicher Verkehr über die IT/OT-Grenze läuft, dass eine Verbindung besteht, die dort nicht hingehört, dass jemand die Produktion kartiert. Diese zwei Fragen — „läuft die Anlage?" und „passiert etwas Bösartiges?" — brauchen unterschiedliche Werkzeuge.

KURZ ERKLÄRT: VERFÜGBARKEIT VS. SICHERHEIT

Verfügbarkeits-Monitoring: Laufen die Systeme, wie ausgelastet sind sie, fällt etwas aus? Ziel: Betrieb stabil halten.

Sicherheits-Monitoring (NDR): Passiert im Netzwerk etwas Bösartiges — ungewöhnliche Verbindungen, Bewegung über Grenzen, verdächtiger Außenverkehr? Ziel: Angriffe früh sichtbar machen.

Den echten Verkehr über die Grenze sichtbar machen

Ob eine Trennung in der Praxis hält, lässt sich nicht aus dem Netzplan ablesen — nur aus dem tatsächlichen Verkehr. Der einzige rückwirkungsfreie Weg dafür ist, den Verkehr an der Grenze zwischen IT und OT passiv mitzulesen: welche Systeme über die Grenze kommunizieren, in welche Richtung, zu welchen Zielen.

Diese passive Analyse ist im OT-Umfeld nicht nur möglich, sondern der vorgesehene Weg. Auch neutrale Fachquellen halten fest, dass eine passive Netzwerkanalyse — Mitschneiden des Verkehrs ohne aktiven Eingriff — sich besonders für OT-Umgebungen eignet, gerade weil sie den Betrieb nicht stört.

AEGYS Monitor wird genau dafür passiv ans Netzwerk angebunden, typischerweise über einen Spiegel-Port oder Netzwerk-TAP. Er macht sichtbar, welcher Verkehr tatsächlich über die IT/OT-Grenze läuft — und damit, ob die geplante Trennung in der Realität hält oder ob es Verbindungen gibt, die niemand auf dem Schirm hatte. Kein Agent auf der Maschine, kein Eingriff in die Steuerung, Auswertung ausschließlich in Deutschland.

EHRLICHE ABGRENZUNG

AEGYS ist das Auge, nicht die Hand. Der Monitor zeigt, ob die Trennung hält — er stellt sie nicht her und blockiert keinen Verkehr. Die Segmentierung selbst, Firewalls und die Absicherung der Fernzugänge bleiben Aufgabe der dafür vorgesehenen Systeme. AEGYS liefert die unabhängige Sicht darauf, ob diese Maßnahmen in der Praxis wirken.

Wie der praktische Aufbau Schritt für Schritt aussieht — entlang IEC 62443 —, zeigt der ergänzende Leitfaden OT-Sicherheit im Maschinenbau: 5 Schritte.

Wissen Sie, was tatsächlich zwischen Ihrem Büro- und Produktionsnetz läuft?

Der Netzwerk-Check gibt Ihnen in rund zwei Minuten eine erste Einordnung — ohne Verpflichtung, ohne Installation, ohne Eingriff in die Produktion.

Netzwerk-Check starten

In zwei Minuten haben Sie eine erste Einordnung — kein Termin, kein Sales-Call nötig.

Lieber direkt sprechen? Mit dem Team sprechen — 15 Minuten zur Einordnung.

HÄUFIGE FRAGEN

Häufige Fragen zur IT/OT-Trennung

Quellen

Dragos OT Cybersecurity Report 2026 (IT/OT-Segmentierung)
VDMA Industrial Security 2025
IEC 62443 (Zonen und Conduits)
BSI Lagebericht 2025
Fachpresse zur passiven OT-Netzwerkanalyse