Foto: Zwei Personen stehen mit Tablets in einer modernen Industrie- oder Produktionsumgebung mit verglasten Maschinenbereichen und technischen Anlagen.

KRITIS Network Solutions

Sichere IT-Betriebsmodelle für KRITIS und OT.
IT-Netzwerke zum Schutz kritischer Infrastruktur.

IT-Netzwerke für KRITIS- und OT-Security sicher und resilient aufbauen

IT-Netzwerke spielen in allen Umgebungen mit digitalen Informationen eine wichtige Rolle – in kritischen Infrastrukturen (KRITIS) und Operational Technologies (OT) hingegen tragen sie unmittelbar betriebsrelevante oder kritische Prozesse. Dazu zählen ebenso die Produktion und Verarbeitung essenzieller Güter, wie auch wichtige Gebäudeautomations-, Sicherungs- und Leitsysteme für die entsprechenden Anlagen. Die Ausfallsicherheit der Systeme und damit auch der IT-Netzwerke steht an oberster Stelle.

Um die notwendige Hochverfügbarkeit, Betriebssicherheit und Resilienz für KRITIS- und OT-Netzwerke zu erreichen, braucht es daher einen klar segmentierten Aufbau, der bestimmten Prinzipien folgt. Visualisiert haben wir das in der LANCOM IT-Referenzarchitektur für KRITIS- und OT-Umfelder, welche u.a. Compliance- und BSI-Vorgaben und -Empfehlungen von Anfang an berücksichtigt:

Infografik „LANCOM Netzwerk-Referenzarchitektur für KRITIS- und OT-Netzwerke“ zur sicheren, zonenbasierten IT-/OT-Architektur nach dem Defense-in-Depth-Prinzip. Rechts zeigt ein Schaubild die Ebenen von oben nach unten: WAN, IT-DMZ, IT, OT-DMZ, Leitstand, Steuerungen/Zellen, Feldgeräte und physischer Prozess. Dargestellt sind unter anderem VPN-Gateways, Perimeter-Firewalls, Switches, Proxy- und Update-Server, Active Directory, ERP, SCADA-, HMI- und Engineering-Systeme, SPS-/PLC-Netze, Safety-Steuerungen, Sensoren, Aktoren sowie Maschinen und physische Prozesse. Externe Dienstleister, Hersteller, Cloud-Dienste und Service-Provider greifen ausschließlich kontrolliert über definierte Übergabepunkte und DMZ-Zonen zu. Die Grafik beschreibt eine strikt segmentierte Sicherheitsarchitektur mit klarer Trennung von Internet-, IT- und OT-Netzen. Kommunikation zwischen Zonen ist standardmäßig verboten und nur über Firewalls, DMZs und Allow-Lists erlaubt. Externe Zugriffe erfolgen verschlüsselt, rollenbasiert, zeitlich begrenzt und vollständig protokolliert. Fernwartung ist nur über Jump-Hosts möglich. Die OT-Umgebung bleibt unabhängig von der IT funktionsfähig und verhindert direkte Zugriffe oder laterale Bewegungen bis in Steuerungs- und Feldebene. Die unteren Ebenen umfassen PLC-/Safety-Steuerungen, Sensor-/Aktor-Netze, Remote-I/O sowie physische Anlagen und Prozesse mit hohen Anforderungen an Safety und Betriebssicherheit. — In empfohlenen KRITIS- und OT-Netzwerken werden IT, IT-DMZ, OT-DMZ und produktive OT klar voneinander getrennt und Zugriffe, Datenflüsse und Änderungen über definierte Kontrollpunkte beherrschbar gemacht.

Die LANCOM IT-Referenzarchitektur für KRITIS- und OT-Netzwerke bietet eine sichere Basis für Betreiber, Planer und technische Verantwortliche bei der Planung, im Betrieb und in Audit-, Änderungs- und Störungssituationen und dient als praxiserprobte Vorlage für den erfolgreichen IT-Netzwerkaufbau.

Jetzt Projektkompatibilität prüfen

Anwendungsbereiche von IT-Netzwerken für KRITIS und OT

Unsere dezidierten Themenseiten beschreiben jeweils typische Anwendungsfälle für den KRITIS- und OT-Bereich. Die Anwendungsbereiche im Einzelnen: 1. Grundlegende IT-/OT-Architektur, 2. moderne IT-Netzwerke für Sicherheitstechnik, 3. Vernetzung für Gebäudeautomation, 4. Secure Edge Computing und 5. Leittechnik für das Verkehrswesen.

Foto: Techniker mit Schutzhelm und Tablet steht zwischen industriellen Rohrleitungen, Ventilen und technischen Anlagenkomponenten.

IT-Netzwerke in OT und KRITIS

Wer KRITIS- oder OT-Umgebungen plant oder modernisiert, braucht vor allem ein belastbares Grundmodell: klare Trennung von IT und OT, definierte Übergänge, Logging und resiliente Betriebsprozesse. Diese Themenseite zeigt, welche Architekturprinzipien sich bewährt haben und wie die LANCOM IT-Referenzarchitektur als technischer Ordnungsrahmen genutzt werden kann. Erfahren Sie hier alles zu den wichtigsten Aufbaufaktoren sowie zur sicheren Fernwartung, Datenentkopplung und Updateverwaltung eines KRITIS-/OT-Netzwerks.

KRITIS-/OT-Netzwerke resilient aufbauen

Foto: Zwei Personen sitzen vor mehreren Monitoren mit Kamera-Livebildern und überwachen eine Sicherheits- und Videoüberwachungsanlage.

Sicherheitstechnik

Moderne IT-Netzwerke verbinden Kamerasysteme, Zutrittskontrolle, Schließsysteme sowie Alarm- und Meldetechnik. Im KRITIS-/OT-Umfeld braucht Sicherheitstechnik voneinander getrennte Zonen für die Sicherheitsgewerke, verschlüsselte und kontrollierte Kommunikationspfade und modulare Erweiterbarkeit für einen autarken, resilienten Betrieb. Gemeinsam mit unseren Partner MOBOTIX und KENTIX bieten wir ganzheitliche, normkonforme Lösungen für die IT-Vernetzung hinter der Sicherheitstechnik.

Sicherheitstechnik im KRITIS-/OT-Umfeld integrieren

Foto: Zwei Personen stehen vor einem modernen Gebäude und schauen gemeinsam auf Smartphone und Tablet.

Gebäudesteuerung und -automation

Gebäudeautomation wird überall dort zum IT-Architekturthema, wo HLK (Heizung, Lüftung und Kühlung), Energie, Monitoring und weitere Gewerke langfristig beherrschbar, sicher und resilient betrieben werden müssen. Umgesetzt wird dies u.a. mit lokalen Steuerungslogiken und Edge Computing, standardisierten Schnittstellen und kontrollierten Rollouts sowie gehärteten Netzwerkgeräten und verschlüsselten Protokollen. Unsere Lösung untermauert, wie IT-Netzwerke eine moderne Gebäudesteuerung im Kontext eines segmentierten und servicefähigen Building Management System unterstützen.

Gebäudesteuerung und -automation sicher umsetzen

Foto: Zwei Personen mit Schutzhelmen laufen zwischen hohen Containerstapeln eines Containerterminals; im Hintergrund fährt ein Containerstapler, darüber fliegt ein Passagierflugzeug.

Leittechnik Verkehrswesen

In verkehrsnaher Leit- und Sicherungstechnik müssen Security, Integrität und Verfügbarkeit so umgesetzt werden, dass Safety-Anforderungen, deterministisches Verhalten und Rückwirkungsfreiheit gewahrt bleiben. Hierbei spielen verschiedene Verschlüsselungsmaßnahmen, u.a. mithilfe des RSCS SITLine Layer‑2‑Netzwerkverschlüsselers ebenso eine große Rolle, wie die Orientierung am Safety Integrity Level (SIL) 3 bzw. SIL 4 und anderen vorgeschriebenen Normen. Wir zeigen Ihnen, warum Leitsysteme im Verkehrswesen ein besonders strukturiertes und gesichertes IT-Architekturmodell brauchen.

Leittechnik im Verkehrswesen passend schützen

Zwei Kolleginnen sitzen am Tisch vor einem Laptop, eine gestikuliert mit ihren Händen

Secure Edge Computing

Secure Edge Computing ist eine der wichtigsten Technologien in KRITIS- und OT-Netzwerken: Sie ermöglicht, dass sicherheits- und zeitkritische Prozesse direkt dort verarbeitet und geschützt werden, wo die Daten entstehen – am Rand des Netzwerks. Lokale Firewalls übernehmen den Netzwerkschutz und dienen zugleich als sichere Plattform für isolierte Software-Anwendungen. So werden sensible Daten lokal verarbeitet, Latenzen reduziert und kritische Infrastrukturen besser vor Cyberangriffen oder Ausfällen geschützt. Erfahren Sie, wie die LANCOM Secure Edge Computing Lösung für mehr Geschwindigkeit, höhere Ausfallsicherheit und einen stärkeren Schutz vertraulicher Informationen sorgt.

KRITIS und OT mit Secure Edge Computing schützen

Basiswissen zu IT-Netzwerken in KRITIS und OT: Häufig gestellte Fragen und Antworten

Was ist OT-Security im KRITIS-Umfeld?

OT-Security im KRITIS-Umfeld schützt Netzwerke und Systeme, die betriebsrelevante oder kritische Prozesse steuern. Im Mittelpunkt stehen dabei vor allem Verfügbarkeit, Betriebssicherheit, Nachvollziehbarkeit und kontrollierte Kommunikationsbeziehungen.

Mehr zu IT-Netzwerken für KRITIS und OT

Wie trennt man IT und OT sicher voneinander?

Sicher getrennt sind IT und OT dann, wenn produktive OT nicht direkt aus der Unternehmens-IT erreichbar ist. Bewährt haben sich Zonenmodelle mit IT, IT-DMZ, OT-DMZ und produktiver OT sowie klar definierte Kontrollpunkte für Zugriffe, Daten und Änderungen.

Mehr zur sicheren IT-/OT-Trennung

Brauchen KRITIS-Netze eine eigene Netzwerkarchitektur?

Ja, weil historisch gewachsene Direktverbindungen, unkontrollierte Datenflüsse und offene Servicepfade in OT-Umgebungen ein Betriebs- und Sicherheitsrisiko darstellen. Eine dezidierte IT-Architektur schafft die Voraussetzung für klare Zonen, definierte Übergänge und belastbare Betriebsprozesse.

Mehr zur Referenzarchitektur für KRITIS und OT

Wie unterscheidet sich OT-Security von klassischer IT-Security?

OT-Security muss den stabilen und sicheren Betrieb von Anlagen und technischen Prozessen schützen. Deshalb sind Änderungen stärker kontrolliert, Fernzugriffe enger begrenzt und lokale Betriebsfähigkeit wichtiger als in klassischer Office-IT.

Mehr zu OT-Security

Warum reicht ein VPN für Fernwartung in KRITIS-Umgebungen nicht aus?

Weil Fernwartung in OT nicht nur eine Verbindung, sondern ein kontrollierter Prozess sein muss. Dazu gehören starker Identitätsnachweis, definierte Einstiegspunkte, Jump-Hosts, Wartungsfenster und vollständige Protokollierung statt direkter Zugriffe auf produktive Zonen.

Mehr zu sicherer Fernwartung in KRITIS- und OT-Netzen

Was bringt eine IT-Referenzarchitektur für KRITIS- und OT-Netze?

Eine IT-Referenzarchitektur strukturiert KRITIS- und OT-Netze mit klaren Zonen, definierten Übergängen und kontrollierten Betriebsprozessen und dient als klare Orientierungsvorlage für die Umsetzung. So werden Sicherheit, Nachvollziehbarkeit und Betriebssicherheit sowie Wiederherstellung in komplexen Umgebungen besser plan- und beherrschbar.

Mehr zur IT-Referenzarchitektur für KRITIS und OT

Welche KRITIS-/OT-Netzwerkarchitektur benötigen Sie?

Gern tauschen wir uns mit Ihnen gemeinsam zu Ihrer Aufgabenstellung aus. Vereinbaren Sie doch einfach einen für Sie unverbindlichen und kostenlosen Beratungstermin über unser Kontaktformular:

Ihre Fragen beantworten wir gerne!

Vorname *

Nachname *

E-Mail *

PLZ *

Ort *

Telefon *

Unternehmen *

Betreff *

Ihre Nachricht *

Ich habe die Datenschutzerklärung gelesen und stimme der Speicherung und Verarbeitung meiner Daten durch die LANCOM Systems GmbH zu. LANCOM Systems nutzt diese Daten, um mich, auch durch automatisierte Verarbeitungsvorgänge (Anreicherung, Auswertungen und Messungen), selbst oder durch Dritte zu kontaktieren und mir Informationen über Produkte, Dienstleistungen und Veranstaltungen zukommen zu lassen. Ich kann meine Einwilligung jederzeit widerrufen, elektronisch an datenschutz@lancom.de oder per Brief an: LANCOM Systems GmbH, Adenauerstr. 20/B2, 52146 Würselen. *

Lassen Sie uns ins Gespräch kommen

Freundliche Sales-Mitarbeiter mit Headset nehmen Kundenanruf in Büro an

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122