{"id":2082,"date":"2026-03-14T06:44:40","date_gmt":"2026-03-14T05:44:40","guid":{"rendered":"https:\/\/g7itchme.wordpress.com\/?p=2082"},"modified":"2026-03-14T06:44:40","modified_gmt":"2026-03-14T05:44:40","slug":"reihe-industrial-iot-die-smarte-fabrik-verstehen-teil-12","status":"publish","type":"post","link":"https:\/\/technodidact.de\/en\/reihe-industrial-iot-die-smarte-fabrik-verstehen-teil-12\/","title":{"rendered":"Reihe: Industrial IoT \u2013 Die smarte Fabrik verstehen (Teil 12)"},"content":{"rendered":"<h2 class=\"wp-block-heading\">Von der Theorie in die Praxis: Technische Ma\u00dfnahmen f\u00fcr ein sicheres IIoT-Netzwerk.<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Von DerSchneider<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im letzten Artikel haben wir die Grundlagen der IIoT-Sicherheit gelegt. Wir haben verstanden, warum die Betriebstechnologie (OT) eine v\u00f6llig andere Denkweise erfordert als die klassische Informationstechnologie (IT) und warum das Schichtenmodell&nbsp;<strong>Defense-in-Depth<\/strong>&nbsp;der einzig erfolgversprechende Ansatz ist.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Doch wie sieht diese Verteidigung in der Praxis aus? Welche konkreten technischen Ma\u00dfnahmen k\u00f6nnen Betreiber einer smarten Fabrik heute ergreifen, um ihre Produktion vor Cyberangriffen zu sch\u00fctzen? Dieser Artikel liefert einen Werkzeugkasten f\u00fcr die sichere IIoT-Infrastruktur.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">1. Der erste und wichtigste Schritt: Netzwerksegmentierung<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die goldene Regel der IIoT-Sicherheit lautet:&nbsp;<strong>Trennen, was nicht zusammengeh\u00f6rt.<\/strong>&nbsp;Ein Angreifer, der es ins B\u00fcronetzwerk schafft, sollte nicht automatisch auch Zugang zur Produktionssteuerung haben.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Die Ma\u00dfnahme:<\/strong>\u00a0Errichtung einer oder mehrerer Firewalls zwischen dem IT-Netz (B\u00fcro, Verwaltung, Internet) und dem OT-Netz (Produktion, Maschinensteuerung). Innerhalb des OT-Netzes sollten weitere Zonen gebildet werden: eine Zone f\u00fcr die kritischsten Steuerungen, eine f\u00fcr die \u00dcberwachungssensoren, eine f\u00fcr die Wartungszug\u00e4nge.<\/li>\n\n\n\n<li><strong>Die Technik:<\/strong>\u00a0Hier kommen oft spezielle\u00a0<strong>Industrielle Firewalls<\/strong>\u00a0zum Einsatz. Normale B\u00fcro-Firewalls verstehen die Protokolle der Produktion (wie Modbus TCP oder Profinet) nicht. Industrielle Firewalls k\u00f6nnen diese Protokolle &#8222;deep packet inspection&#8220; \u2013 also bis in den Inhalt hinein \u2013 analysieren und gef\u00e4hrliche Befehle herausfiltern, z.B. den Befehl &#8222;Schreibe neuen Parameter in SPS&#8220;, der von einem nicht autorisierten Ger\u00e4t kommt.<\/li>\n\n\n\n<li><strong>Die Praxis:<\/strong>\u00a0Die Kommunikation zwischen den Zonen wird auf das absolute Minimum beschr\u00e4nkt. Der Datenaustausch von der Produktionsebene zur Cloud-Plattform l\u00e4uft nur \u00fcber einen definierten, hochsicheren Pfad, oft \u00fcber ein sogenanntes\u00a0<strong>Gateway<\/strong>\u00a0(siehe Teil 3), das als Schleuse fungiert.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">2. Sichere Kommunikation: Daten verschl\u00fcsseln und authentisieren<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">In der klassischen Automatisierungstechnik (Industrie 3.0) war Verschl\u00fcsselung oft kein Thema. Die Daten blieben im firmeneigenen Kabel, das als sicher galt. Im IIoT-Zeitalter, in dem Daten drahtlos \u00fcbertragen werden und oft das Firmengel\u00e4nde in Richtung Cloud verlassen, ist das nicht mehr haltbar.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Die Ma\u00dfnahme:<\/strong>\u00a0Alle Daten, die das vertrauensw\u00fcrdige Netzwerk verlassen, m\u00fcssen\u00a0<strong>verschl\u00fcsselt<\/strong>\u00a0werden. Und jedes Ger\u00e4t, das sich mit dem Netzwerk verbindet, muss sich\u00a0<strong>authentisieren<\/strong>.<\/li>\n\n\n\n<li><strong>Die Technik:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>TLS\/SSL:<\/strong>\u00a0Der gleiche Standard, der auch Ihre Browserverbindung zu Banken sichert (das &#8222;https&#8220; in der Adresszeile), wird zunehmend auch im IIoT eingesetzt. Sensoren und Gateways bauen eine verschl\u00fcsselte Verbindung zur Cloud-Plattform auf.<\/li>\n\n\n\n<li><strong>VPN (Virtual Private Network):<\/strong>\u00a0F\u00fcr den Fernzugriff von Wartungstechnikern oder Dienstleistern ist ein VPN der Standard. Es erzeugt einen sicheren, verschl\u00fcsselten Tunnel durch das \u00f6ffentliche Internet hindurch direkt in das Produktionsnetz.<\/li>\n\n\n\n<li><strong>Zertifikate statt Passw\u00f6rter:<\/strong>\u00a0Die Authentisierung von Ger\u00e4ten erfolgt idealerweise nicht \u00fcber statische Passw\u00f6rter, die geknackt werden k\u00f6nnen, sondern \u00fcber digitale Zertifikate. Jedes Ger\u00e4t bekommt bei seiner Inbetriebnahme einen eindeutigen, kryptografischen &#8222;Ausweis&#8220;, den es bei jeder Verbindung vorzeigen muss.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">3. Schutz der Endger\u00e4te: H\u00e4rtung und Zugangskontrolle<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die Sensoren, Gateways und Steuerungen selbst m\u00fcssen gegen Angriffe geh\u00e4rtet werden.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Die Ma\u00dfnahme:<\/strong>\u00a0Das Ger\u00e4t so konfigurieren, dass es nur die unbedingt n\u00f6tigen Dienste anbietet. Alle \u00fcberfl\u00fcssigen Zug\u00e4nge, Testzug\u00e4nge oder Beispiel-Programme m\u00fcssen deaktiviert werden.<\/li>\n\n\n\n<li><strong>Die Technik:<\/strong>\n<ul class=\"wp-block-list\">\n<li><strong>Abschaffung von Standard-Passw\u00f6rtern:<\/strong>\u00a0Dies ist eine der einfachsten und zugleich wirksamsten Ma\u00dfnahmen. Jedes Ger\u00e4t muss bei der Inbetriebnahme ein individuelles, starkes Passwort erhalten. Das ber\u00fcchtigte &#8222;admin\/admin&#8220; oder &#8222;123456&#8220; ist in der Industrie ein unverantwortliches Risiko.<\/li>\n\n\n\n<li><strong>Regelm\u00e4\u00dfige Updates:<\/strong>\u00a0So schwierig das in der OT-Welt auch ist (siehe Teil 11), es f\u00fchrt kein Weg daran vorbei. Ein Prozess f\u00fcr das Testen und Einspielen von Sicherheitsupdates muss etabliert werden. Hersteller von IIoT-Komponenten m\u00fcssen ihrerseits garantieren, dass sie f\u00fcr den Lebenszyklus des Produkts Sicherheitsupdates bereitstellen.<\/li>\n\n\n\n<li><strong>Physikalische Sicherheit der Ger\u00e4te:<\/strong>\u00a0Ein Sensor in der Fabrikhalle sollte so verbaut sein, dass ein Unbefugter nicht einfach einen USB-Stick einstecken oder die Verkabelung manipulieren kann.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">4. Kontinuierliche \u00dcberwachung: Das Netzwerk im Blick<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Sie k\u00f6nnen nur sch\u00fctzen, was Sie sehen. Ein zentraler Baustein der IIoT-Sicherheit ist daher die kontinuierliche \u00dcberwachung des Netzwerkverkehrs.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Die Ma\u00dfnahme:<\/strong>\u00a0Installation von Sensoren im OT-Netzwerk, die den Datenverkehr analysieren und nach Anomalien suchen.<\/li>\n\n\n\n<li><strong>Die Technik:<\/strong>\u00a0Spezielle\u00a0<strong>OT-IDS (Intrusion Detection Systems)<\/strong>\u00a0werden mit dem Netzwerk verbunden (meist \u00fcber einen sogenannten SPAN-Port, der den Datenverkehr spiegelt, ohne ihn zu beeinflussen). Sie lernen das normale Verhalten der Produktion: Welche Ger\u00e4te kommunizieren normalerweise miteinander? Welche Befehle werden gesendet? Weicht ein Ger\u00e4t pl\u00f6tzlich von diesem Verhalten ab (z.B. versucht eine SPS, um 3 Uhr morgens Daten ins Internet zu senden), schl\u00e4gt das System Alarm.<\/li>\n\n\n\n<li><strong>Der Mehrwert:<\/strong>\u00a0Ein solches System erkennt Angriffe oft, lange bevor sie Schaden anrichten k\u00f6nnen. Es ist die &#8222;Einbruchsmeldeanlage&#8220; f\u00fcr das digitale Fabrikgel\u00e4nde.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">5. Der Mensch als Teil der Sicherheitskette<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Die beste Technik n\u00fctzt nichts, wenn der Mitarbeiter auf einen Phishing-Link klickt und so dem Angreifer die T\u00fcr \u00f6ffnet.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Die Ma\u00dfnahme:<\/strong>\u00a0Regelm\u00e4\u00dfige Sensibilisierung und Schulung aller Mitarbeiter, die Zugang zu IT- oder OT-Systemen haben.<\/li>\n\n\n\n<li><strong>Die Inhalte:<\/strong>\u00a0Woran erkenne ich eine Phishing-Mail? Warum ist es gef\u00e4hrlich, einen fremden USB-Stick an den Produktions-PC anzuschlie\u00dfen? An wen melde ich verd\u00e4chtige Vorf\u00e4lle?<\/li>\n\n\n\n<li><strong>Die Bedeutung:<\/strong>\u00a0Sicherheit ist keine reine Technologie-Aufgabe, sondern eine Frage der Unternehmenskultur. Jeder Mitarbeiter muss verstehen, dass er eine wichtige Rolle im Schutzkonzept spielt.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Was tun im Ernstfall?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Trotz aller Vorsorge kann es zu einem Sicherheitsvorfall kommen. Dann ist ein klarer Plan entscheidend. Ein&nbsp;<strong>Notfallhandbuch f\u00fcr Cyber-Vorf\u00e4lle<\/strong>&nbsp;(Incident Response Plan) sollte bereitliegen und regelm\u00e4\u00dfig ge\u00fcbt werden. Die entscheidenden Fragen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Wer entscheidet im Zweifelsfall, eine Anlage vom Netz zu nehmen? (Das ist eine existenzielle Entscheidung!)<\/li>\n\n\n\n<li>Wie kommunizieren wir mit der Belegschaft, mit Kunden, mit der Presse?<\/li>\n\n\n\n<li>Wie stellen wir den Betrieb wieder her? Liegen aktuelle, offline gespeicherte Backups der Steuerungsprogramme vor?<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Sicherheit im IIoT ist kein Projekt, das man einmal durchf\u00fchrt und dann abhakt. Es ist ein&nbsp;<strong>kontinuierlicher Prozess<\/strong>&nbsp;der Anpassung und Verbesserung. Die Bedrohungen entwickeln sich weiter, und die Verteidigung muss Schritt halten.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Im n\u00e4chsten Artikel verlassen wir die reine Technologie und wenden uns der menschlichen Seite der smarten Fabrik zu. Wir fragen:&nbsp;<strong>Was bedeutet die IIoT-Revolution f\u00fcr die Menschen, die in den Fabriken arbeiten? Werden sie \u00fcberfl\u00fcssig oder bekommen sie bessere Werkzeuge?<\/strong><\/p>","protected":false},"excerpt":{"rendered":"<p>Von der Theorie in die Praxis: Technische Ma\u00dfnahmen f\u00fcr ein sicheres IIoT-Netzwerk. Von DerSchneider Im letzten Artikel haben wir die Grundlagen der IIoT-Sicherheit gelegt. Wir haben verstanden, warum die Betriebstechnologie (OT) eine v\u00f6llig andere Denkweise erfordert als die klassische Informationstechnologie (IT) und warum das Schichtenmodell&nbsp;Defense-in-Depth&nbsp;der einzig erfolgversprechende Ansatz ist. Doch wie sieht diese Verteidigung in [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[46,26],"tags":[3230],"class_list":["post-2082","post","type-post","status-publish","format-standard","hentry","category-industrie-4-0","category-mit-den-handen","tag-iiot"],"_links":{"self":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/2082","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/comments?post=2082"}],"version-history":[{"count":0,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/posts\/2082\/revisions"}],"wp:attachment":[{"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/media?parent=2082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/categories?post=2082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/technodidact.de\/en\/wp-json\/wp\/v2\/tags?post=2082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}