Kritische Infrastrukturen stehen zunehmend unter Druck: Angriffe auf Strom- und Wasserversorger nehmen rasant zu, gleichzeitig steigt die Komplexität der Netzwerke durch Digitalisierung und IoT-Anbindung. Ein rein perimeterbasierter Schutz reicht nicht mehr aus. Mikrosegmentierung und Zero-Trust-Prinzipien bieten einen modernen, wirksamen Ansatz, um sowohl IT- als auch OT-Netzwerke nachhaltig abzusichern.

Versorgungsnetze sind ein bevorzugtes Ziel für Cyberangriffe
 

• Zentrale Bedeutung für Gesellschaft & Wirtschaft: Strom- und Wassernetze sind systemrelevant – ihre Störung hat weitreichende Folgen.
• Zunahme intelligenter Netzkomponenten: Smart Grids, Sensoren und digitale Zähler erhöhen die Angriffsfläche.
• Vernetzte Altanlagen: Jahrzehnte alte Steuerungstechnik wird mit IP-fähigen Geräten verbunden – oft ohne durchgängige Sicherheitsarchitektur.
• Unkontrollierte Schnittstellen zu Dritten: Remote-Zugänge von Dienstleistern, Herstellern oder Wartungspersonal sind schwer zu überwachen.

Beispiel: Bei einem kommunalen Wasserversorger gelangten Angreifer über einen kompromittierten Fernwartungszugang an ein Leitsystem – das hätte zur gezielten Verunreinigung führen können. Nur der Zufall verhinderte Schlimmeres.

Die besonderen Sicherheitsherausforderungen in OT-Umgebungen
 

• Fehlende Härtung von Steuerungssystemen: Viele Anlagen können keine Patches erhalten – oder nur mit erheblichem Aufwand.
• Netzwerke sind oft flach und unsegmentiert: Ein Angreifer kann sich nach dem ersten Zugriff lateral bewegen.
• Alte Protokolle ohne Verschlüsselung: Kommunikation erfolgt oft über ungesicherte industrielle Protokolle.
• Abhängigkeit vom Dauerbetrieb: Sicherheitsupdates oder Systemänderungen sind schwer in laufende Prozesse integrierbar.

Typische Schwachstellen in Energie- und Wassernetzen
 

• Zentrale SCADA-Systeme ohne ausreichende Zugriffskontrolle
• OT-Geräte mit offener Kommunikation ins IT-Netz
• Unbekannte Geräte, die "stillschweigend" im Netz aktiv sind
• Fehlende Netzwerksegmentierung zwischen Leitstand, Feldgeräten und Büro-IT

Lösungsansatz: Mikrosegmentierung und Zero Trust in der Praxis
 

Statt sich auf Außengrenzen zu verlassen, setzt der Zero-Trust-Ansatz auf die konsequente Prüfung jedes Zugriffs – jederzeit, an jedem Ort. Mikrosegmentierung ergänzt diese Strategie durch die Aufteilung des Netzwerks in isolierte Sicherheitszonen.

Wichtige Komponenten:

• Identitätsbasierte Zugriffskontrolle: Jedes Gerät, jeder Nutzer und jeder Dienst wird authentifiziert und autorisiert – auch intern.
• Softwaredefinierte Netzwerksegmentierung (SDN): Virtuelle Firewalls und Policies trennen sensible Bereiche voneinander – auch innerhalb eines Standorts.
• Policy-Engine für dynamische Reaktionen: Geräte dürfen nur mit klar definierten Gegenstellen kommunizieren – alle anderen Verbindungen werden blockiert.
• Monitoring & Anomalieerkennung: Jedes ungewöhnliche Verhalten löst sofort eine Warnung oder automatische Reaktion aus.
   

Vorteile für Versorger:

• Eindämmung von Angriffen: Ein Eindringling kann sich nicht mehr unbemerkt im Netz bewegen.
• Sichere Integration alter und neuer Systeme: Selbst ungepatchte Geräte lassen sich in sichere Segmente einbinden.
• Regelkonforme Absicherung: nach IT-Sicherheitsgesetz & ISO 27019

Sicherheit als kontinuierlicher Verbesserungsprozess
 

• Regelmäßige Netzwerkanalyse & Zonenüberprüfung
• Automatisierte Aktualisierung von Richtlinien bei Geräteänderungen
• Einbindung von Anomalieerkennungstools (z. B. NDR-Lösungen)
• Schulung aller Beteiligten – auch auf OT-Seite
• Erstellung eines Sicherheits-Dashboards für Audits & Nachweise

Fazit: Vertrauen ist gut, Kontrolle ist Pflicht
 

Energie- und Wassernetze müssen nicht nur funktionieren – sie müssen sicher funktionieren. Mikrosegmentierung in Kombination mit einem Zero-Trust-Ansatz bietet die passende Antwort auf die komplexe Bedrohungslage in der Versorgungsbranche. Wer heute beginnt, seine Netzwerke feingranular zu strukturieren und Vertrauen durch Kontrolle ersetzt, baut einen nachhaltigen Schutz für die digitale Zukunft auf – ohne den laufenden Betrieb zu gefährden.
 

Quellen:
BSI – IT-Grundschutz & Zero Trust Empfehlungen www.bsi.bund.de
NIST Special Publication 800-207 www.nist.gov
UP KRITIS / BDEW-Whitepaper www.upkritis.de
Cisco / Palo Alto Networks / Fortinet Reports www.cisco.com | www.paloaltonetworks.com
ENISA – Guidelines for Securing ICS and SCADA www.enisa.europa.eu