{"id":41386,"date":"2026-04-13T23:17:16","date_gmt":"2026-04-13T23:17:16","guid":{"rendered":"https:\/\/ramsdata.com.pl\/certes-networks-und-kryptographische-segmentierung-in-industriellen-netzwerken\/"},"modified":"2026-04-13T23:17:16","modified_gmt":"2026-04-13T23:17:16","slug":"certes-networks-und-kryptographische-segmentierung-in-industriellen-netzwerken","status":"publish","type":"post","link":"https:\/\/ramsdata.com.pl\/de\/certes-networks-und-kryptographische-segmentierung-in-industriellen-netzwerken\/","title":{"rendered":"Certes Networks und kryptographische Segmentierung in industriellen Netzwerken"},"content":{"rendered":"

Industrielle Netzwerke (OT – Operational Technology) sind einer der schwierigsten Bereiche der Cybersicherheit. SCADA-Systeme, PLCs, DCS-Systeme und industrielle IoT-Ger\u00e4te wurden mit Blick auf Verf\u00fcgbarkeit und Determinismus entwickelt, nicht auf Sicherheit. Viele laufen mit veralteten Protokollen, unterst\u00fctzen keine Verschl\u00fcsselung und k\u00f6nnen nicht aktualisiert werden, ohne Produktionsausf\u00e4lle zu riskieren. Certes Networks bietet einen Ansatz zum Schutz dieser Umgebungen, der keine \u00c4nderung oder den Austausch vorhandener Ger\u00e4te erfordert – die kryptografische Segmentierung. <\/p>\n

Inhaltsverzeichnis<\/h3>\n
    \n
  1. Besonderheiten der Sicherheit industrieller Netzwerke (OT)<\/li>\n
  2. Warum funktionieren traditionelle Sicherheitsans\u00e4tze in der OT nicht?<\/li>\n
  3. Was ist die kryptografische Segmentierung?<\/li>\n
  4. Wie implementiert Certes Networks die kryptografische Segmentierung?<\/li>\n
  5. Zero-Trust in OT-Umgebungen mit Certes<\/li>\n
  6. Sichtbarkeit und Verkehrs\u00fcberwachung OT<\/li>\n
  7. Anwendungsf\u00e4lle – Energie, Fertigung, kritische Infrastruktur<\/li>\n
  8. Wichtigste Schlussfolgerungen<\/li>\n
  9. FAQ<\/li>\n
  10. Zusammenfassung<\/li>\n<\/ol>\n

    Besonderheiten der Sicherheit industrieller Netzwerke (OT)<\/h3>\n

    OT-Netzwerke unterscheiden sich in Bezug auf die Sicherheitspriorit\u00e4ten grundlegend von IT-Netzwerken. In der IT liegt die Priorit\u00e4t bei CIA (Vertraulichkeit, Integrit\u00e4t, Verf\u00fcgbarkeit) – mit Schwerpunkt auf der Vertraulichkeit. In der OT ist die Priorit\u00e4t eine umgekehrte CIA – Verf\u00fcgbarkeit steht absolut an erster Stelle, dann die Integrit\u00e4t und zuletzt die Vertraulichkeit. Ausfallzeiten von Produktionsanlagen kosten Hunderttausende pro Stunde – daher wird jede Sicherheitsma\u00dfnahme, die Ausfallzeiten verursachen oder riskieren kann, von OT-Betreibern abgelehnt. <\/p>\n

    Bei den Ger\u00e4ten in OT-Netzwerken handelt es sich um eingebettete Systeme mit oft jahrzehntealten Betriebssystemen, ohne die M\u00f6glichkeit, Sicherheitssoftware zu installieren, ohne Firmware-Updates der Hersteller, mit Kommunikationsprotokollen (Modbus, DNP3, Profibus, OPC), die nicht auf Sicherheit ausgelegt sind. Die IT\/OT-Konvergenz – die Integration von B\u00fcronetzwerken mit Produktionsnetzwerken f\u00fcr die Zwecke von Industrie 4.0 – vergr\u00f6\u00dfert die Angriffsfl\u00e4che von Industrieumgebungen dramatisch. Die Certes Networks im Angebot von Ramsdata<\/a> sind spezialisierte Verschl\u00fcsselungs- und Segmentierungsl\u00f6sungen f\u00fcr Unternehmens- und Industrieumgebungen. <\/p>\n

    Warum funktionieren traditionelle Sicherheitsans\u00e4tze in der OT nicht?<\/h3>\n

    Eine Firewall zwischen dem IT- und dem OT-Netzwerk (die so genannte industrielle DMZ) ist eine gute Praxis, aber unzureichend – sie sch\u00fctzt nicht vor seitlichem Datenverkehr innerhalb des OT-Netzwerks, verschl\u00fcsselt nicht die Kommunikation zwischen den Ger\u00e4ten und geht nicht auf das Problem der unsicheren Protokolle ein.<\/p>\n

    Die Installation von Sicherheitsagenten auf OT-Ger\u00e4ten ist in der Regel nicht m\u00f6glich – SPS- oder DCS-Steuerungen unterst\u00fctzen keine externe Software. Die Mikrosegmentierung \u00fcber VLAN ist begrenzt und bietet keine Verschl\u00fcsselung. Das Ersetzen von OT-Ger\u00e4ten durch neuere, sicherheitsf\u00e4hige Ger\u00e4te ist unerschwinglich teuer und aufgrund der Produktionskontinuit\u00e4t oft unm\u00f6glich. Certes Networks bietet einen Ansatz, der diese Einschr\u00e4nkungen umgeht – Verschl\u00fcsselung und Segmentierung werden transparent, inline und ohne \u00c4nderung der OT-Ger\u00e4te angewendet. <\/p>\n

    Was ist die kryptografische Segmentierung?<\/h3>\n

    Die kryptografische Segmentierung ist ein Ansatz zur Isolierung von Netzwerksegmenten durch Verschl\u00fcsselung des Datenverkehrs zwischen ihnen und nicht durch traditionelle Netzwerkmechanismen (VLAN, Firewall). Anstelle der Frage „Was ist zwischen den Segmenten erlaubt?“ stellt die kryptografische Segmentierung die Frage „Wer kann diesen Datenverkehr lesen?“. Nur Ger\u00e4te, die zur gleichen kryptografischen Gruppe geh\u00f6ren, k\u00f6nnen die Nachrichten entschl\u00fcsseln und lesen – andere Ger\u00e4te sehen verschl\u00fcsselten, nicht lesbaren Datenverkehr. <\/p>\n

    Dieses Modell hat entscheidende Vorteile f\u00fcr OT-Umgebungen. Die Verschl\u00fcsselung erfolgt transparent – OT-Ger\u00e4te wissen nicht, dass ihre Kommunikation verschl\u00fcsselt ist. Es sind keine Ger\u00e4te- oder Software\u00e4nderungen erforderlich. Die Segmentierungsrichtlinien werden zentral definiert und von einer dedizierten Certes-Appliance angewendet, nicht von den OT-Ger\u00e4ten selbst. Selbst wenn sich ein Angreifer physischen Zugang zu einem OT-Netzwerksegment verschafft, ist er nicht in der Lage, die Kommunikation zwischen Ger\u00e4ten aus anderen Verschl\u00fcsselungsgruppen zu lesen. <\/p>\n

    Wie implementiert Certes Networks die kryptografische Segmentierung?<\/h3>\n

    Certes Networks implementiert die kryptografische Segmentierung durch dedizierte CryptoFlow Net Protector (CNP)-Ger\u00e4te, die inline im OT-Netzwerk installiert werden – ohne die bestehende Infrastruktur zu ver\u00e4ndern. CNPs sind f\u00fcr den Netzwerkverkehr transparent: OT-Ger\u00e4te ‚wissen‘ nichts von ihrer Existenz und kommunizieren normal. CNPs verschl\u00fcsseln den Datenverkehr auf der Grundlage von Richtlinien, die zentral im Certes-Managementsystem (CipherTrust Manager oder Certes CipherPoint) definiert werden. <\/p>\n

    Kryptogruppen sind logische Segmente, zwischen denen der Datenverkehr erlaubt und verschl\u00fcsselt ist. Ger\u00e4te, die derselben Gruppe zugewiesen sind, k\u00f6nnen miteinander kommunizieren, Ger\u00e4te aus anderen Gruppen nicht, selbst wenn sie sich physisch im selben Netzwerk befinden. Die \u00c4nderung der Segmentierungsrichtlinien erfolgt zentral und wird sofort von allen CNPs im Netzwerk angewendet – keine Ausfallzeiten, keine Neukonfiguration von OT-Ger\u00e4ten. <\/p>\n

    Zero-Trust in OT-Umgebungen mit Certes<\/h3>\n

    Zero Trust im OT bedeutet nicht einfach die \u00dcbertragung des IT-Modells auf eine industrielle Umgebung – es erfordert eine Anpassung an die Besonderheiten, bei denen die Nichtverf\u00fcgbarkeit von Ger\u00e4ten (f\u00fcr Agenten, Updates) die Norm ist. Certes Networks implementiert Zero Trust-Prinzipien durch kryptographische Segmentierung ohne Agenten auf gesch\u00fctzten Ger\u00e4ten. <\/p>\n

    „Never trust, always verify“ bedeutet in der Certes-Umgebung: Jede Verbindung zwischen Segmenten erfordert eine kryptografische Autorisierung, Ger\u00e4te k\u00f6nnen nur innerhalb autorisierter kryptografischer Gruppen kommunizieren, jede nicht autorisierte Verbindung wird automatisch verschl\u00fcsselt und unlesbar gemacht, und alle Datenfl\u00fcsse werden zentral protokolliert. Das ist Zero Trust, angepasst an die Realit\u00e4t in der Industrie – keine Agenten, keine Ger\u00e4te\u00e4nderungen, kein Risiko von Ausfallzeiten. Weitere Informationen \u00fcber Sicherheitsl\u00f6sungen f\u00fcr industrielle Netzwerke finden Sie bei Ramsdata<\/a>. <\/p>\n

    Sichtbarkeit und Verkehrs\u00fcberwachung OT<\/h3>\n

    Eine der gr\u00f6\u00dften Herausforderungen in OT-Umgebungen ist der Mangel an Transparenz – man wei\u00df nicht, welche Ger\u00e4te im Netzwerk vorhanden sind, welche Protokolle sie verwenden und wie die normalen Kommunikationsmuster aussehen. Certes Networks bietet Transparenz, ohne Agenten zu installieren, indem es den Netzwerkverkehr passiv analysiert. <\/p>\n

    Das Certes \u00dcberwachungssystem identifiziert OT-Ger\u00e4te anhand ihrer Netzwerkkommunikation, bildet den Datenfluss zwischen den Ger\u00e4ten ab und erkennt Anomalien – unerwartete Verbindungen, unbekannte Protokolle, nicht autorisierter Datenverkehr zwischen Segmenten. Diese Transparenz ist die Grundlage einer effektiven kryptografischen Segmentierungspolitik – um die richtigen Gruppen zu definieren, m\u00fcssen Sie zun\u00e4chst verstehen, wer mit wem im OT-Netzwerk kommuniziert. <\/p>\n

    Anwendungsf\u00e4lle – Energie, Fertigung, kritische Infrastruktur<\/h3>\n

    Die Energie- und Versorgungswirtschaft ist ein Sektor, in dem die OT-Sicherheit f\u00fcr die \u00f6ffentliche Sicherheit von entscheidender Bedeutung ist. SCADA-Systeme, die die Energieverteilung, Wasseraufbereitungsanlagen oder Gasnetze steuern, m\u00fcssen von IT-Netzwerken und externen Bedrohungen isoliert werden. Certes Networks wird von Betreibern kritischer Infrastrukturen eingesetzt, um Umspannwerke, Umspannstationen und Leitstellen zu segmentieren. <\/p>\n

    Die industrielle Produktion erfordert eine Segmentierung zwischen Produktionslinien (damit ein Angriff auf eine Linie nicht auf andere \u00fcbergreift), zwischen dem OT-Netzwerk und der IT und zwischen Umgebungen verschiedener Lieferanten (wenn externe Dienstleister Zugang zum OT-Netzwerk haben). Die kryptografische Segmentierung von Certes erm\u00f6glicht eine granulare Kontrolle dieses Zugangs, ohne dass das gesamte Netzwerk neu konfiguriert werden muss. Die Verkehrsinfrastruktur (Bahn, Luftfahrt, H\u00e4fen) ist ein weiterer Bereich, in dem Certes Networks zum Schutz von Verkehrsleitsystemen und kritischer Infrastruktur eingesetzt wird. <\/p>\n

    Wichtigste Schlussfolgerungen<\/h3>\n