Auf den Punkt: Zero-Trust in OT gelingt besser durch konkrete Funktionsprinzipien als abstrakte Architektur-Modelle und durch fokussierte Maßnahmen an IT-OT-Schnittstellen wie Jump-Hosts und Remote-Access-Pfaden.
Ein Spezialist für Betriebstechnik bei einem Pipeline-Betreiber beschreibt, wie CISOs Zero-Trust-Architekturen in operativen Technologieumgebungen implementieren und dem Vorstand vermitteln können. Der Ansatz verbindet regulatorische Anforderungen (TSA-Direktiven, NERC CIP-013) mit praktischen Schritten im Konvergenzbereich zwischen IT und OT.
Seit dem Colonial-Pipeline-Ransomware-Anschlag 2021 stellt sich die Betreiber-Branche zunehmend die Frage nach Zero-Trust-Implementierungen. Dies zeigt sich in Audit-Anforderungen, TSA-Sicherheitsdirektiven und Kontrollzielen von Projekten. Die Regulierung fordert verbindliche Positionen: TSA Directive 2021-02C verpflichtet Pipeline-Betreiber zu Netzwerksegmentierung und Zero-Trust-Architekturen; NERC CIP-013 regelt ähnlich die Supply-Chain-Sicherheit und Vendor-Management.
Das Problem liegt oft in der Formulierung. Während NIST SP 800-207 Zero-Trust als Modell beschreibt, das Zugriffsentscheidungen auf starke Identität, Richtlinien und Kontext statt Netzwerk stützt, wirkt dies in OT-Umgebungen mit 24/7-Betrieb und älteren Geräten zu abstrakt. Regulatoren und Geschäftsführung hören „Zero-Trust: Ja oder Nein?” – die Antwort fällt standardisiert aus „ja”, ohne dass konkrete Maßnahmen folgen, bis ein Vorfall eintritt.
Eine Neuformulierung hilft: Statt von Architektur-Modellen zu sprechen, sollten Security-Verantwortliche Zero-Trust als Funktionsprinzip vermitteln: „Jeder Nutzer und jedes System muss nachweisen, wer er/es ist und warum er/es Zugriff benötigt.” Dies entspricht NIST und CISA ohne unnötige Fachbegriffe und erzeugt bessere Akzeptanz bei OT-Teams.
Kritisch sind die Konvergenzpunkte zwischen IT und OT: Jump-Hosts, Historian-Verbindungen, Remote-Access-Pfade und gemeinsame Identity-Stores. An diesen Engpässen lassen sich Zero-Trust-Kontrollen wie stärkere Authentifizierung, Least-Privilege-Zugriff und detailliertes Logging mit minimalen Betriebsstörungen einführen. Dies führt zu schnellen Erfolgen ohne Abhängigkeit von älteren OT-Geräten.
Entscheidend für die Kommunikation nach oben: Alle Maßnahmen sollten explizit an bestehende regulatorische Anforderungen gekoppelt werden. Die Frage wechselt dann von „Warum ändern wir das?” zu „Wie machen wir das richtig?” – und verbindet dies direkt mit TSA, CISA-Alerts oder NERC-Compliance.
Quelle: www.csoonline.com · Erschienen 26. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.