Foto: Techniker mit Schutzhelm und Tablet steht zwischen industriellen Rohrleitungen, Ventilen und technischen Anlagenkomponenten.

IT-Netzwerke für KRITIS und OT

IT-Netzwerkarchitekturen für KRITIS und OT.
Segmentiert, kontrolliert und belastbar geplant.

Kritische Infrastrukturen und Operational Technology vernetzen

KRITIS- und Operational Technology (OT)-Umgebungen zählen zu den schützenswertesten Strukturen unserer Gesellschaft. Gibt es in essenziellen Gesundheits-, Versorgungs-, Bildungs- oder Produktionsstätten Beeinträchtigungen oder gar einen Stillstand, sind die Auswirkungen meist gefährlich bis lebensbedrohlich. Darum ist im KRITIS- und OT-Bereich ein IT-Architekturmodell gefragt, das jederzeit die Verfügbarkeit, Betriebssicherheit und Nachvollziehbarkeit sicherstellt. Schutz und Betrieb müssen hier zusammen gedacht werden: mit klaren Zonen, definierten Kommunikationspfaden, kontrollierten Übergängen und einem Betriebsmodell, das auch unter Störbedingungen tragfähig bleibt.

Aus Gründen des besonderen Schutzbedarfs ist daher auch seit dem 17. März 2026 das KRITIS-Dachgesetz („Dachgesetz zur Stärkung der physischen Resilienz kritischer Anlagen“) in Kraft, welches entsprechend der CER-Richtlinie die Resilienz deutscher kritischer Infrastrukturen durch einheitliche Mindeststandards erhöhen soll. Hierzu zählen u.a. neue Registrierungspflichten, verschärfte Risikoanalysen und Schutzmaßnahmen sowie Meldepflichten für Sicherheitsvorfälle für Betreiber von KRITIS-Anlagen.

Technisch umsetzen lassen sich diese Anforderungen mit einer passenden IT-Referenzarchitektur für KRITIS- und OT-Netzwerke, die wir Ihnen im Folgenden vorstellen werden.

Jetzt unverbindlich individuell beraten lassen

KRITIS- und OT-Netze brauchen ein verlässliches IT-Architekturmodell

KRITIS- und OT-Umgebungen bauen auf derselben Sicherheitsbasis auf wie klassische IT: Systeme, Anwendungen, Verbindungen und Zugriffe müssen geschützt werden.

Für OT-Security reicht das allein aber nicht aus. Denn hier stehen nicht flexible IT-Services im Mittelpunkt, sondern der sichere und stabile Betrieb von Anlagen, Prozessen und technischen Infrastrukturen. Genau deshalb braucht OT-Sicherheit ein verlässliches IT-Architekturmodell.

Generelle IT-Security plus zusätzliche OT-Security

Während klassische IT-Security vor allem sichere Systeme, regelmäßige Updates, hochverfügbaren Remote Access, belastbare Verbindungen sowie zentrale Verwaltung und Cloud-Anbindung adressiert, kommen in der OT zusätzliche Anforderungen hinzu.

Dazu zählen: Ein geplanter Betrieb in Wartungsfenstern, Fernzugriff nur bei Bedarf und zeitlich begrenzt, strikte Segmentierung und Kontrolle von Verbindungen sowie lokale und autarke Funktionsfähigkeit auch ohne Internet.

In KRITIS-nahen Umgebungen wird daraus ein klares Zielbild: minimale, fachlich begründete Kommunikation, kontrollierte Übergänge und ein Betrieb, der auch unter Störbedingungen beherrschbar bleibt.

Zweiteilige quadratische LANCOM Infografik zur grundlegenden Sicherheitsbasis von IT- und OT-Security und zusätzlichen Anforderungen an OT-Security: Obere Hälfte mit dunkelblauem Hintergrund (Grundlegende Sicherheitsbasis IT-Security) mit 5 Icons zu "Sicheres System: Sichere Daten und Anwendungen", "Regelmäßige Updates und Patches", "Sicherer, hochverfügbarer Remote-Access", "Belastbare und skalierbare Verbindungen (statt Netzwerk offen für viele Verbindungen)", "Zentrale Verwaltung und sichere Cloud-Anbindung"; untere Hälfte mit hellblauem Hintergrund (Zusätzliche OT-Anforderungen) mit 5 Icons zu "Sicherer Betrieb: Sichere Anlagen und Prozesse", "Geplante Wartungsfenster", "Fernzugriff nur bei Bedarf und zeitlich begrenzt", "Strikte Segmentierung und Kontrolle von Verbindungen" und "Lokale und autarke Funktionsfähigkeit (ohne Internet)"

Was zeichnet belastbare KRITIS- und OT-Netzwerke aus?

Wer Netzwerke für KRITIS und OT plant oder modernisiert, muss die folgenden Aspekte beachten:

Icon: Horizontal in zwei Hälften geteilter Kreis; in der oberen Hälfte steht "IT" mit einem Sicherheitsschloss daneben; in der unteren Hälfte steht "OT" mit einem Sicherheitsschloss und Sicherheitsschild daneben

Zonen- und Übergangskonzept (Segmentierung nach IEC 62443 / BSI)

KRITIS- und OT-Netzwerke sind konsequent in Sicherheits­zonen und Conduits zu strukturieren. Eine strikte Trennung von IT und OT ist umzusetzen. Übergänge zwischen Zonen dürfen ausschließlich über definierte, gehärtete Kommunikationspfade erfolgen (z. B. Gateways, Firewalls) und sind nach dem Prinzip „Least Privilege“ sowie rollenbasiert abzusichern. Nicht dokumentierte oder historisch gewachsene Direktverbindungen sind unzulässig.

Icon: Drei Rechtecke übereinander, die mit Prozesspfeilen miteinander verbunden sind und mit zwei Sicherheitsschlössern abgesichert werden

Minimierte, geschützte und auditierbare Kommunikation

Kommunikationsbeziehungen sind auf den betrieblich notwendigen Umfang zu beschränken und explizit freizugeben („Default Deny“). Datenübertragungen sind hinsichtlich Vertraulichkeit, Integrität und Authentizität zu schützen (z. B. durch Verschlüsselung und sichere Protokolle). Sämtliche Zugriffe, Datenflüsse und sicherheitsrelevante Ereignisse sind gemäß BSI-Anforderungen revisionssicher zu protokollieren, zentral auszuwerten und kontinuierlich zu überwachen.

Icon: Rechteckiges Fenster / Bildschirm mit Bedienoberfläche und Warndreieck mit Check-Häkchen für geprüfte Sicherheit oder Konformität; darunter drei kleine kastenförmige Module auf einem Fließband

Sicherer und robuster Betrieb auch bei Änderung, Wartung und Datenanfragen

Betriebsprozesse wie Fernwartung, Konfigurations­änderungen und Datenbereitstellung sind durch geeignete Sicherheits­maßnahmen (z. B. Zugriffs­kontrollen, Freigabeprozesse, Sitzungs­überwachung) abzusichern und dürfen den kontinuierlichen Anlagenbetrieb nicht beeinträchtigen. Kritische OT-Funktionen sind so auszulegen, dass sie auch bei Störungen externer Netze (IT / WAN) aufrechterhalten werden können (Resilienz, Teilautarkie).

Ziel ist ein möglichst unterbrechungsfreier Betrieb, der dem gesetzlichen Schutzbedarf gerecht wird.

Infografik „LANCOM Netzwerk-Referenzarchitektur für KRITIS- und OT-Netzwerke“ zur sicheren, zonenbasierten IT-/OT-Architektur nach dem Defense-in-Depth-Prinzip. Rechts zeigt ein Schaubild die Ebenen von oben nach unten: WAN, IT-DMZ, IT, OT-DMZ, Leitstand, Steuerungen/Zellen, Feldgeräte und physischer Prozess. Dargestellt sind unter anderem VPN-Gateways, Perimeter-Firewalls, Switches, Proxy- und Update-Server, Active Directory, ERP, SCADA-, HMI- und Engineering-Systeme, SPS-/PLC-Netze, Safety-Steuerungen, Sensoren, Aktoren sowie Maschinen und physische Prozesse. Externe Dienstleister, Hersteller, Cloud-Dienste und Service-Provider greifen ausschließlich kontrolliert über definierte Übergabepunkte und DMZ-Zonen zu. Die Grafik beschreibt eine strikt segmentierte Sicherheitsarchitektur mit klarer Trennung von Internet-, IT- und OT-Netzen. Kommunikation zwischen Zonen ist standardmäßig verboten und nur über Firewalls, DMZs und Allow-Lists erlaubt. Externe Zugriffe erfolgen verschlüsselt, rollenbasiert, zeitlich begrenzt und vollständig protokolliert. Fernwartung ist nur über Jump-Hosts möglich. Die OT-Umgebung bleibt unabhängig von der IT funktionsfähig und verhindert direkte Zugriffe oder laterale Bewegungen bis in Steuerungs- und Feldebene. Die unteren Ebenen umfassen PLC-/Safety-Steuerungen, Sensor-/Aktor-Netze, Remote-I/O sowie physische Anlagen und Prozesse mit hohen Anforderungen an Safety und Betriebssicherheit.
LANCOM IT-Referenzarchitektur als Aufbauempfehlung für KRITIS- und OT-Netzwerke: Übersicht über die zonenbasierten Sicherheitslevel, Übergangszonen (DMZ), typischerweise eingesetzten Netzwerkkomponenten und industriellen OT-Komponenten, inkl. generellen Aufbauprinzipien und Anforderungen pro Level

LANCOM IT-Referenzarchitektur für KRITIS- und OT-Netzwerke als Aufbauvorlage

Die LANCOM IT-Referenzarchitektur für KRITIS- und OT-Netzwerke stellt bildlich dar, in welche Zonen ein KRITIS-Netzwerk unterteilt werden sollte, wie die Übergabepunkte und Kommunikationspfade gestaltet sein sollten und worauf beim Aufbau des IT- und OT-Netzwerks geachtet werden sollte.

Klicken Sie gerne auf das Bild, um die vergrößerte PDF-Version einzusehen und bei Bedarf herunterzuladen.

Kritische Betriebspfade in KRITIS-/OT-Netzen passend absichern

In der Praxis entscheidet sich OT-Security immer wieder an drei wiederkehrenden Betriebspfaden: Zugriffe, Datenflüsse und Änderungen. Genau diese drei Pfade sollten daher als wiederkehrende Betriebsrealität von Beginn an mit eingeplant werden.

Welche Betriebspfade müssen in KRITIS-/OT-Netzwerken besonders geschützt werden?

Infografik: Darstellung einer Fernwartungskette mit Session Break über mehrere IT- und OT-Sicherheitszonen hinweg. Links sind die Ebenen „LEVEL 5: WAN“, „LEVEL 4.5: IT-DMZ“, „LEVEL 4: IT“, „LEVEL 3.5: OT-DMZ“ und „LEVEL 3: Leitstand“ dargestellt. Die Grafik zeigt ein WAN-VPN-Gateway auf Level 5, eine WAN-/LAN-Perimeter-Firewall auf Level 4.5, eine IT-/OT-Perimeter-Firewall auf Level 3.5, Switches (auf diversen Levels) und einen Jump-Host auf Level 3.5. Ein externer Dienstleister verbindet sich per „VPN-Remote-Zugriff, zeitlich begrenzt, stark authentisiert“. Der Zugriff läuft über beide Firewalls, einen „Session Break“ und einen „User-Wechsel (Authentifizierung gegen OT-AD)“ in Level 3.5. Im OT-Bereich sind SCADA, Engineering sowie „Lokale OT-Dienste (AD, DNS, NTP)“ dargestellt. Pfeile visualisieren den kontrollierten Daten- und Zugriffsfluss zwischen IT- und OT-Netzwerk.
Sichere Fernwartungskette mit Session Break zwischen IT- und OT-Netzwerken in kritischen Infrastrukturen durch VPN-Zugriff, Firewalls, Jump-Host, Authentifizierung und kontrollierte Verbindungen zu SCADA- und Engineering-Systemen.
Fernwartung ohne Kontrollverlust

Ein VPN allein ist in KRITIS kein ausreichendes Schutzprinzip. Fernwartung muss als kontrollierter Prozess gestaltet werden, u.a. durch die folgenden Maßnahmen:

  • Starker Identitätsnachweis,
  • Terminierung in ein dediziertes Remote-/DMZ-Segment (Demilitarized Zone, Übergangszone),
  • Session Break über einen Jump-Host,
  • zeitliche Begrenzung im Wartungsfenster und
  • vollständiges Logging.

Externe oder privilegierte Zugriffe sollten niemals direkt in produktive OT-Zonen führen.

Daten bereitstellen, ohne produktive OT zu öffnen

Reporting, Analytics und Nachweise erfordern Daten aus der KRITIS-OT – aber nicht jede IT-Anwendung benötigt dafür direkten Zugriff auf produktive OT-Systeme.

Das empfohlene Muster ist eine sichere Datenentkopplung:

Die OT schreibt die erforderlichen Daten kontrolliert in eine Historian-/Replica-Instanz in oder nahe der OT-DMZ, die IT liest daraus mit „Read-only“-Zugriff.

So bleiben produktive OT-Datenbanken und SCADA-Systeme von IT-Queries isoliert.

Infografik mit dem Titel „Datenentkopplung über Historian / Replica“ mit einer segmentierten IT-/OT-Architektur mit den Ebenen „LEVEL 4 IT“, „LEVEL 3.5 OT-DMZ“, „LEVEL 3 Leitstand“ und „LEVEL 2 Steuerungen / Zellen“. Im oberen IT-Bereich befindet sich links eine „LANCOM WAN-/LAN-Perimeter-Firewall“, verbunden mit „LANCOM Switches“. Rechts ist ein „BI-/Controlling-Team“ dargestellt. Daneben steht der Hinweis „fordert Daten an“. In der Ebene „LEVEL 3.5 OT-DMZ“ befindet sich eine „LANCOM IT/OT-Perimeter-Firewall“ mit angeschlossenen „LANCOM Switches“. Rechts davon ist ein Datenbank-Symbol mit der Beschriftung „Historian / Replica“ dargestellt. Pfeile zeigen die Datenrichtung: „OT schreibt“; „IT liest“. Daneben steht: „Read-only-Berechtigung für IT“; „Strikt kontrollierte Replikation von Daten“. Im OT-Bereich „LEVEL 3 Leitstand“ ist ein „SCADA“System dargestellt, verbunden über „LANCOM Switches“. Im unteren Bereich „LEVEL 2 Steuerungen / Zellen“ befinden sich: „SPS/PLC-Netze“, „Safety-Steuerungen“. Die Grafik visualisiert die kontrollierte Datenreplikation aus der OT in Richtung IT über einen Historian-/Replica-Ansatz, wobei die OT Daten schreibt und die IT ausschließlich lesenden Zugriff erhält. Die Kommunikation erfolgt segmentiert über Firewalls und Switches zwischen IT- und OT-Zonen.
Sichere Datenentkopplung zwischen IT- und OT-Netzwerken über Historian-/Replica-Systeme mit kontrollierter Daten-Replikation, Read-only-Zugriff für die IT und segmentierter Netzwerkarchitektur.
Infografik mit dem Titel „Kontrollierte Updatestrecke in KRITIS-/OT-Netzwerken“: Segmentierte IT-/OT-Architektur mit den Ebenen „LEVEL 5 Internet, Externe“, „LEVEL 4.5 IT-DMZ“, „LEVEL 4 IT“, „LEVEL 3.5 OT-DMZ“ und „LEVEL 3 Leitstand“. Im oberen Bereich „LEVEL 5“ sind ein „LANCOM WAN-VPN-Gateway“ sowie ein „OEM / Hersteller“ dargestellt. Darüber steht: „Sicherheitsrelevantes Update für OT-System“. In der Ebene „LEVEL 4.5 IT-DMZ“ befinden sich: „LANCOM WAN-/LAN-Perimeter-Firewall“, „LANCOM Switches“, „Proxy“. Daneben steht: „Updateabgleich“. Im Bereich „LEVEL 3.5 OT-DMZ“ sind dargestellt: „LANCOM IT-/OT-Perimeter-Firewall“, „LANCOM Switches“, „Update- und Patchserver“. Rechts daneben steht: „Update-Integrität prüfen (Signaturen / Prüfsummen)“. Im unteren Bereich „LEVEL 3 Leitstand“ befinden sich: „SCADA“, „Engineering“, Daneben steht: „Authentifizierte und dokumentierte Updates / Patches“. Pfeile zeigen die kontrollierte Weitergabe von Updates aus dem Internet beziehungsweise vom Hersteller über VPN-Gateway, Proxy, Firewalls und Update-/Patchserver bis in die OT-Systeme. Die Grafik visualisiert einen abgesicherten Updateprozess mit Integritätsprüfung, Dokumentation und segmentierter Kommunikation zwischen IT- und OT-Zonen.
Kontrollierte Updatestrecke für OT-Systeme mit VPN-Gateway, Proxy, Firewalls, Update-/Patchserver und Integritätsprüfung innerhalb segmentierter IT-/OT-Netzwerke.
Änderungen und Updates kontrolliert organisieren

Gerade in OT-nahen Umgebungen sind Änderungen kein spontaner IT-Standardprozess.

Updates und Patches werden über definierte DMZ-Strecken mit einem Repository/Patch-Server geführt, ihre Integrität und Authentizität werden geprüft, Freigaben werden dokumentiert und Rollouts an Wartungsfenster gekoppelt.

Die OT bezieht Updates nicht direkt aus dem Internet. Genau das macht Änderungen auditierbar und reduziert Supply-Chain-Risiken im Betrieb.

Von der Referenzarchitektur in die Projektrealität: Wie LANCOM im KRITIS-/OT-Bereich unterstützt

LANCOM Systems steht für digitale Souveränität, Lieferkettentransparenz und Compliance (z. B. KRITIS-Dachgesetz, BSI) mit einer hohen Fertigungstiefe in Deutschland.

Wir unterstützen mit unserer IT-Referenzarchitektur beim richtlinienkonformen Aufbau einer resilienten und sicheren IT-Infrastruktur für KRITIS- und OT-Umgebungen. Zusätzlich dazu liefern wir mit unseren Produkten und Vernetzungslösungen den notwendigen Grad an Cybersicherheit, Betriebskontinuität und Datensouveränität in kritischen Infrastrukturen:

IT-Security

Icon: LANCOM R&S®Unified Firewalls

So sichern beispielsweise LANCOM R&S®Unified Firewalls als WAN-/LAN-Perimeter-Firewalls und IT-/OT-Perimeter-Firewalls die Segmentgrenzen ab, setzen Default-Deny und explizite Freigaben durch und machen Übergänge zwischen IT, IT-Demilitarized Zone (IT-DMZ), OT-Demilitarized Zone (OT-DMZ) und produktiver OT kontrollierbar.

WAN & VPN

Icon: SD-WAN Gateway

LANCOM VPN-Gateways terminieren Fernzugriffe sauber außerhalb der produktiven OT und schaffen die Basis für starke Authentisierung, geregelte Wartungsfenster und nachvollziehbare Remote-Prozesse.

LAN & Switching

Icon: Netzwerkgerät Switch

LANCOM Switches sorgen in allen Zonen für sichere Segmentierung, Portdisziplin und belastbare Kommuni­kations­beziehungen bis in Leitstand, Zellen und Feldebene hinein.

WLAN

Icon: LANCOM Wi-Fi 7 Access Point

Wo drahtlose Anbindung sinnvoll und architektonisch vertretbar ist, ergänzen Access Points das Zielbild als klar segmentierter Teil der Infrastruktur.

In der OT-DMZ werden diese Netzwerkbausteine mit Jump-Host, Update-/Patch-Server und Historian/Replica zu einem praxistauglichen Gesamtmodell ergänzt, das Fernwartung, Datenbereitstellung und Änderungen kontrolliert abwickelt, ohne die produktive OT unnötig zu öffnen.

LANCOM Systems stellt eine robuste, auditierbare und souveräne Netzwerkbasis bereit, die es ermöglicht, KRITIS- und OT-Anforderungen strukturiert, compliant und langfristig betreibbar umzusetzen.

Typische Anwendungsfälle in KRITIS- und OT-Netzwerken

Foto: Zwei Personen sitzen vor mehreren Monitoren mit Kamera-Livebildern und überwachen eine Sicherheits- und Videoüberwachungsanlage.

Sicherheitstechnik

Der Aufbau eines autarken IT-Netzwerks für die Realisierung von Sicherheitstechnik ermöglicht den sicheren und unabhängigen Betrieb kritischer Sicherheitsfunktionen – losgelöst von produktiven Unternehmens- oder öffentlichen Netzen.

Beispielsweise Kameras, Melde- und Alarmsysteme sowie elektronische Schließ- und Zutrittssysteme werden in einem eigenständigen, abgeschotteten Netzwerk zusammengeführt und zentral gesteuert.

Mehr zu Sicherheitstechnik

Foto: Zwei Personen stehen vor einem modernen Gebäude und schauen gemeinsam auf Smartphone und Tablet.

Gebäudeautomation

Moderne Gebäude entwickeln sich zu hochvernetzten, digitalen Systemen.

Ein autarkes Building Management System (BMS) bündelt die Steuerung von Energie, Klima, Beleuchtung, Zutritt und Sicherheit und stellt gleichzeitig sicher, dass die operative Gebäudetechnik (OT) resilient, sicher und langfristig wirtschaftlich betrieben werden kann.

Dabei ist die sichere Automatisierung ein entscheidender Effizienzfaktor. 

Mehr zu Gebäudeautomation und Gebäudesteuerung

Foto: Zwei Personen mit Schutzhelmen laufen zwischen hohen Containerstapeln eines Containerterminals; im Hintergrund fährt ein Containerstapler, darüber fliegt ein Passagierflugzeug.

Leittechnik Verkehrswesen

Wenn Integrität, Rückwirkungsfreiheit und resiliente Betriebsführung so sehr im Vordergrund stehen wie in Leit- und Sicherungssystemen im Verkehrswesen, müssen IT und OT einiges leisten.

Hier braucht die IT-/OT-Zielnetzwerkarchitektur ganz klar getrennte Kommunikationsbeziehungen, eigene gesicherte Management-Zonen und kontrollierte Übergänge sowie integrierte Security-Maßnahmen, ohne dass sie Safety und Betriebsverhalten unzulässig beeinflusst.

Mehr zu Leit- und Sicherungstechnik im Verkehrswesen

IT-Netzwerke für KRITIS und OT mit LANCOM

LANCOM Systems bietet eine netzwerktechnische Infrastruktur, die die Anforderungen von KRITIS- und OT-Security gemäß BSI IT-Grundschutz und IEC 62443 unterstützt.

Die Lösungen ermöglichen eine konsequente Umsetzung von Segmentierungs- und Zonenkonzepten, einschließlich sicherer Übergänge und zentral gesteuerter Kommunikationsbeziehungen nach dem Prinzip „Least Privilege“ und „Default Deny“.

Durch den Einsatz von standardbasierten Technologien, integrierten VPN-Mechanismen sowie zentralem Management wird eine geschützte, nachvollziehbare und revisionssichere Kommunikation gewährleistet. Funktionen für Logging, Monitoring und die Anbindung an übergeordnete Sicherheitssysteme (z. B. NAC, SIEM) können über das LANCOM IT-Security Ecosystem angebunden werden. Mit einer LANCOM KRITIS-/OT-Netzwerklösung setzen Sie auf langfristige Verfügbarkeit, stabile Softwarepflege und einen zuverlässigen Betrieb auch in verteilten Infrastrukturen.

Kontaktieren Sie uns gerne direkt über das Kontaktformular und wir beraten Sie unverbindlich und individuell zu Ihrem Projekt!

Wir freuen uns darauf, mit Ihnen gemeinsam die digitale Souveränität und Resilienz in Europa zu stärken.

Foto: Person mit Schutzhelm und Warnweste bedient ein Tablet vor mehreren Windkraftanlagen in einer Hügellandschaft.

Ihre Fragen beantworten wir gerne!

Lassen Sie uns ins Gespräch kommen

Freundliche Sales-Mitarbeiter mit Headset nehmen Kundenanruf in Büro an

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122