Foto: Zwei Personen sitzen vor mehreren Monitoren mit Kamera-Livebildern und überwachen eine Sicherheits- und Videoüberwachungsanlage.

Sicherheitstechnik sicher vernetzen

Resiliente IT-Netzwerke für KRITIS Sicherheitstechnik
Gebäude- und Anlagenüberwachung sicher realisieren.

Zuverlässige IT-Netzwerke für Sicherheitstechnik

Der Aufbau eines dedizierten IT-Netzwerks für Sicherheitstechnik ermöglicht den sicheren und unabhängigen Betrieb kritischer Sicherheitskomponenten – getrennt von produktiven Unternehmensnetzwerken. Sicherheitskameras, Überwachungs- und Alarmsysteme sowie elektronische Schließ- und Zutrittskontrollsysteme werden in einem unabhängigen, resilienten IT-Netzwerk zusammengeführt und zentral verwaltet. Dadurch lassen sich Manipulationsrisiken, Abhängigkeiten und die Auswirkungen von Ausfällen reduzieren.

In der Praxis kann dies durch moderne IT-Netzwerkarchitekturen umgesetzt werden, die speziell für kritische Infrastrukturen und OT-Umgebungen entwickelt wurden, beispielsweise in Form von mehrschichtigen OT-Netzwerken mit definierten Ebenen (z. B. Perimeter-, OT-, Edge- und Geräteebene), klar zugewiesenen Funktionen sowie strukturierten Verbindungen und Übergabepunkten.

Vereinbaren Sie einen kostenlosen Beratungstermin

Wie wirkt sich die Integration der Sicherheitstechnik auf die IT-Netzwerkarchitektur aus?

Sicherheitstechnische Systeme sind im KRITIS- und OT-Umfeld als integraler Bestandteil der kritischen Infrastruktur zu behandeln. Systeme wie Videoüberwachung, Zutrittskontrolle, Schließsysteme sowie Alarm- und Meldetechnik unterliegen damit den Anforderungen des KRITIS-Dachgesetzes, des BSI-Gesetzes sowie einschlägiger Normen (u. a. BSI IT-Grundschutz, IEC 62443).

Die Vernetzung dieser Systeme hat nach einem verbindlichen Sicherheits- und Zonenkonzept zu erfolgen. Insbesondere sind Kommunikationsbeziehungen zwischen sicherheitstechnischen Anlagen, Leitständen, Managementsystemen und angrenzenden IT-Netzen strikt zu reglementieren. Unkontrollierte oder historisch gewachsene Verbindungen widersprechen diesen Anforderungen und sind auch aus Sicht der Nachweisbarkeit und Auditfähigkeit hochproblematisch. Fehlende Segmentierung und nicht definierte Übergänge führen zu unzulässigen Abhängigkeiten und stellen ein Risiko für Verfügbarkeit, Integrität und Vertraulichkeit dar.

Die Umsetzung hat sich an folgenden verpflichtenden Sicherheitsprinzipien zu orientieren:

Least Privilege (Minimalprinzip): Zugriffsrechte sind strikt auf das erforderliche Minimum zu begrenzen und regelmäßig zu überprüfen.
Zero Trust: Jeder Zugriff ist unabhängig vom Standort oder Netzkontext zu authentisieren, zu autorisieren und zu protokollieren. Vertrauensannahmen sind unzulässig.
Defence in Depth: Sicherheitsmaßnahmen sind mehrstufig und redundant umzusetzen, sodass der Ausfall einzelner Kontrollen nicht zu einer Kompromittierung des gesamten Systems führt.

Foto: Mitarbeiterin im Gesundheitswesen öffnet mit einer Zutrittskarte eine gesicherte Tür und steht beispielhaft für digitale Zugriffsrechte und moderne Zugangskontrolle in sensiblen KRITIS-Bereichen.

Die Einhaltung dieser Prinzipien ist konzeptionell nachzuweisen, technisch umzusetzen und im Betrieb kontinuierlich zu überwachen. Abweichungen sind zu dokumentieren, zu bewerten und zu beheben.

Partnerschaftlich integrierte Lösung für zuverlässige Sicherheit

Die Kombination aus Netzwerk-, Video- und physischer Sicherheitstechnik durch die Kooperation von LANCOM Systems, MOBOTIX und Kentix ermöglicht die Umsetzung eines ganzheitlichen, normkonformen Sicherheitsansatzes für KRITIS- und OT-Umgebungen. Die gemeinsame Betrachtung von Kommunikationsinfrastruktur, sensorgestützter Gefahrenfrüherkennung und intelligenter Videoanalyse erfüllt die Anforderungen des KRITIS-Dachgesetzes, des BSI-Gesetzes, des BSI IT-Grundschutzes sowie der IEC 62443 und gilt heute als Stand der Technik.

MOBOTIX stellt mit seinen dezentralen, KI-gestützten Kamerasystemen eine cybersichere Videoüberwachung bereit, bei der Analyse und Verarbeitung direkt in der Kamera erfolgen. Dadurch werden Datenflüsse minimiert, zentrale Abhängigkeiten reduziert und Anforderungen an Datenschutz, Integrität und Systemverfügbarkeit erfüllt.

Kentix ergänzt diesen Ansatz durch eine integrierte Physical-Security-Plattform, die Zutrittskontrolle, Umweltmonitoring, Alarmierung und weitere sicherheitsrelevante Funktionen in einem konsolidierten System vereint und damit eine durchgängige Überwachung kritischer Infrastrukturen sowie die Unterstützung regulatorischer Anforderungen (z. B. NIS-2, KRITIS) ermöglicht.

In Verbindung mit der netzwerkseitigen Segmentierung, sicheren Kommunikation und zentralen Steuerung durch LANCOM Systems entsteht eine durchgängige Sicherheitsarchitektur, in der alle Komponenten entlang definierter Zonen- und Übergangskonzepte integriert sind.

Ihre Vorteile durch den ganzheitlichen Sicherheitsansatz

Ein derart professionelles und ganzheitliches Sicherheitstechnik-Netzwerk ermöglicht:

reduzierte Angriffsvektoren durch dezentrale Verarbeitung und minimierte Kommunikationsbeziehungen
eine durchgängige Nachvollziehbarkeit sicherheitsrelevanter Ereignisse über Systemgrenzen hinweg
einen resilienten Betrieb, da kritische Funktionen auch bei Ausfall zentraler Systeme oder WAN-Verbindungen aufrechterhalten werden können

Die gemeinsame Lösung erfüllt damit die wesentlichen Anforderungen an „Security by Design“, „Defence in Depth“ und ermöglicht Betreibern kritischer Infrastrukturen eine nachweisbare, auditierbare und skalierbare Sicherheitsarchitektur über alle Ebenen – von der physischen Objektsicherung bis zur Netzwerkkommunikation.

Foto: Sicherheitsmitarbeiter in blauer Arbeitskleidung nutzt ein Tablet zur mobilen Steuerung und Überwachung integrierter Sicherheits- und Partnerlösungen in einer modernen KRITIS-Umgebung.

Technisches Architekturdiagramm mit dem Titel „IT-Architektur: KRITIS Sicherheitstechnik (Kamera-, Sensor-, Alarm- und Schließsysteme)“. Die Grafik zeigt eine segmentierte Netzwerk- und Sicherheitsarchitektur über die Ebenen „Cloud Layer“, „IT Layer DMZ“, „OT Layer“, „Edge Layer“ und „Device Layer“. Im Bereich „Cloud Layer WAN“ sind folgende Cloud-Dienste dargestellt: „LANCOM Management Cloud“, „KentixONE App“, „MOBOTIX Live-App“. Daneben befinden sich: „WAN LANCOM Router", „Public IP / FQDN“, „VPN Connection Client-to-Site“. Im Bereich „IT Layer DMZ“ sind dargestellt: „Zentrale IT-Services“, „IT-DMZ Interface“, „NAT / DMZ“, „LANCOM R&S UF-760 Unified Firewall“, „VPN Site-to-Site“, Zusätzlich sind an jeder Firewall Symbole abgebildet für: „Common Criteria“, „Certificate Authority“, „Deep Packet Inspection“, „Intrusion Detection and Prevention System“, „Reverse Proxy“. Im Bereich „OT Layer“ befinden sich: „OT-Services“, „MOBOTIX MXmanagementCenter“, „KENTIX ONE Appliance“, „LANCOM XS-5116QF L3 Switch“, mehrere „LANCOM R&S UF-260 / UF-60 Unified Firewall“Systeme. Die Kommunikation erfolgt über: „OT-Core LAN“, „OT-DMZ Interface“, „NAT / DMZ“. Im Bereich „Edge Layer“ befinden sich: „Edge Layer Container“, „KENTIXONE“, „OT-Edge Interface“, VLAN-Strukturen und Switches („LANCOM GS-3628XUP L3 Lite Switch“, „LANCOM IGS-3510XUP L3 Lite Switch“, „LANCOM XS-3550YUP L3 Lite Switch“). Im Bereich „Device Layer“ sind zwei Standorte dargestellt: „Standort A“ mit VLANs für:„Außengelände [Perimeter Zone]“, „Lager / Hochregallager [Operational Zone]“ und „Fertigungshalle [Operational Zone]“ mit diversen MOBOTIX-Kameras und KENTIX-Sensoren, -Schließsystemen, und -Alarmsystemen und „Standort B“ mit VLANs und Restricted Zones für „Serverraum [Restricted Zone]“ und „Energieverwaltung / Trafostation [Restricted Zone]“ mit FaceID-Terminal und diversen MOBOTIX-Kameras und KENTIX-Sensoren, -Schließsystemen, und -Alarmsystemen. Die Grafik visualisiert eine segmentierte KRITIS-IT-Architektur mit Firewalls, VLANs, OT-Core-Netzwerk, Sicherheitszonen sowie Video, Alarm-, Zutritts- und Sensorsystemen für industrielle und gebäudetechnische Sicherheitslösungen. — Empfohlen werden die Aufteilung in Sicherheitsschichten (WAN-, IT-DMZ-, OT-, Edge und Device-Layer), der Einsatz belastungsfähiger Gateways, VPN-Verbindungen, Firewalls und Switches sowie VLAN-Segmentierung und zentrale Sicherheitsfunktionen wie Common Criteria, Certificate Authority, Deep Packet Inspection, Intrusion Detection and Prevention und Reverse Proxy.

IT-Referenzarchitektur für die Sicherheitstechnik

Auf der Basis der geforderten Grundlagen des BSI OT-Security Kompendiums im Bereich der IT-Netze sowie der Möglichkeiten von moderner Kamera-, Melde-/Alarm- sowie Schließanlagen, empfehlen wir eine leistungsfähige, flexible und skalierbare IT-Architektur.

Hier sehen Sie, wie Sie verschiedene Sicherheitstechnikkomponenten passend in einer betriebssicheren und normkonformen IT-Architektur miteinander vernetzen:

Integrative IT-Netzwerkarchitekturen für Sicherheitstechnik im OT-/KRITIS-Bereich

5 Regeln für die Umsetzung

IT-Netzwerke, die Sicherheitstechnik sauber integrieren, müssen Sicherheitsgewerke gemeinsam betreibbar machen und dürfen deren Schutzbedarf nicht negativ beeinflussen oder gar auflösen. Das Ziel ist eine IT-Netzwerkarchitektur, die Verfügbarkeit, Kontrolle und Erweiterbarkeit zusammenbringt und sicherstellt.

Eindeutige Zonen für Sicherheitsgewerke

IP-Kameras, Sensoren, Zutrittskomponenten und Managementfunktionen können in einer gemeinsamen Architektur betrieben werden, sollten aber nicht unstrukturiert vermischt werden. Sinnvoll sind logisch oder physisch getrennte Segmente mit nachvollziehbaren Kommunikationsbeziehungen.

In der Praxis bedeutet das häufig dedizierte Zonen, etwa für Kamerasysteme, in denen Endgeräte ausschließlich mit zugeordneten Systemen wie NVR- (Network Video Recorder) oder VMS(Video Management System)-Plattformen kommunizieren dürfen. Übergänge zwischen Zonen werden über Firewalls oder Segment-Gateways kontrolliert und technisch erzwungen.

Trennung zu Office-IT und externen Netzen

Sicherheitstechnik sollte nicht in der normalen IT mitlaufen. Übergänge zu anderen Netzen müssen bewusst gestaltet und technisch abgesichert werden. Das reduziert Seitwärtsbewegungen, vereinfacht die Betriebsführung und schützt produktive Sicherheitszonen.

Übergänge zur Unternehmens-IT erfolgen typischerweise über klar definierte Übergabepunkte wie DMZ- oder NAT-Zonen, über die ausgewählte Dienste (z. B. Active Directory, DNS oder PKI) kontrolliert genutzt werden können, ohne die Isolation der Sicherheitssegmente aufzuheben.

Autarker und resilienter Betrieb

Ein OT-Sicherheitsnetzwerk sollte im Grundsatz eigenständig funktionieren. Auch bei Störungen angrenzender IT, Wide Area Network (WAN)-Ausfällen oder externen Angriffen müssen Überwachung, Alarmierung und zentrale Sicherheitsfunktionen weiter funktionieren und in Betrieb bleiben.

Ergänzend können automatisierte Mechanismen wie Netzwerk-Probes, Kamera-Watchdogs oder PoE-basierte Neustarts eingesetzt werden, um typische Ausfälle ohne manuelles Eingreifen zu beheben und die Verfügbarkeit weiter zu sichern.

Verschlüsselte und kontrollierte Kommunikationspfade

Video-, Alarm- und Steuerdaten müssen durchgängig geschützt, zielgerichtet und nachvollziehbar übertragen werden. Gerade in sicherheitsrelevanten Szenarien ist verschlüsselte Kommunikation eine Grundvoraussetzung.

In der Praxis werden hierfür häufig gut beherrschte Konzepte miteinander verbunden: VPNs (Client-to-Site-Verbindungen oder Site-to-Site Verbindungen) für Wartungszugriffe sowie für die sichere Anbindung verteilter Standorte als auch Reverse Proxys und durchgehend TLS-verschlüsselte Verbindungen zwischen den einzelnen Sicherheitskomponenten, um Man-in-the-Middle-Angriffe oder andere Manipulationen zu erschweren bzw. auszuschließen.

Modulare Erweiterbarkeit

Neue IP-Kameras, weitere Sicherheitskomponenten und zusätzliche Zutrittspunkte müssen sich in die bestehende Struktur integrieren lassen, ohne dass die bisherige IT-Netzwerkarchitektur grundlegend grundlegend angepasst werden muss. Durch zonenbasierte Architekturen lassen sich neue Bereiche oder Standorte flexibel ergänzen, ohne bestehende Segmente strukturell zu verändern. Neue Kameras oder Teilbereiche werden dabei als eigene Segmente integriert.

Damit entsteht ein autarkes, segmentiertes und zentral steuerbares IT-Netzwerk, das sowohl Betriebssicherheit als auch digitale Souveränität unterstützt.

Was ist bei Sicherheitssystemen bezüglich der Fernwartung zu beachten?

Fernwartung ist in vielen sicherheitstechnischen Szenarien notwendig und sollte von Anfang an in das Konzept der IT-Architektur eingebunden, statt im Betrieb improvisiert zu werden. Für Managementsysteme, Videoplattformen, Zutrittsserver, Controller, Gateways und Netzwerkkomponenten gilt daher:

Keine direkten Zugriffe aus dem Internet
Vermeidung von direkten Pfaden in produktive Sicherheitszonen
Servicezugriffe nur über definierte, abgesicherte und protokollierbare Einstiegspunkte (z.B. VPN-Gateway) und Übergänge (Perimeter-Firewalls, segmentierte Zonen, Reverse Proxys)
Klar strukturierte Rollen, Freigaben, Zeitfenster und Zugriffsziele
Alle Änderungen, Updates und laufende Serviceprozesse folgen diesen Prinzipien.

Foto: Moderne Leitstelle mit zahlreichen Monitoren zur Videoüberwachung und Fernwartung technischer Anlagen und Sicherheitsbereiche.

Sichere Überwachung von Überwachungssystemen: Monitoring, Logging und Auditierbarkeit

Im KRITIS-/OT-Umfeld sind Asset-Sichtbarkeit, Ereignisprotokollierung, Alarmketten, Incident Handling sowie sichere Update- und Änderungsprozesse relevant.

Umsetzen lässt sich das u.a. durch folgende Maßnahmen:

Zentrales Management mit einheitlicher Konfiguration, Zugriffssteuerung, Updates und Überwachung: Verbessert die Transparenz und verkürzt bei einem möglichen Vorfall Reaktionszeiten.
Angebundene Security Information and Event Management (SIEM)-Systeme und Network Access Control (NAC)-Funktionen: macht Zustände sichtbar, erkennt Anomalien und begrenzt Zugriffe im Zweifel technisch

In der Praxis wird die Protokollierung häufig mehrstufig umgesetzt: zentrale Managementsysteme erfassen Gerätezustände und Konfigurationsänderungen, lokale Logs dienen als Fallback bei Verbindungsunterbrechungen und SIEM-Plattformen korrelieren.

Foto: Sicherheitsmitarbeiterin in schwarzer Uniform mit Funkgerät überwacht aufmerksam einen Außenbereich und steht beispielhaft für sichere Überwachungs- und Schutzkonzepte in kritischen Infrastrukturen.

Compliance für Sicherheitsgewerke: Ein strukturiertes Sicherheitskonzept

Für Betreiber kritischer oder regulierter Umgebungen ist Sicherheitstechnik ein Governance-Thema. Kommunikationsbeziehungen, Rollen, Änderungen, Fernzugriffe und Ereignisse müssen nachvollziehbar bleiben und erfasst werden. Eine IT-Netzwerkarchitektur mit Zonen, kontrollierten Übergängen, belastbarer Protokollierung und dokumentierten Pfaden unterstützt genau diesen Anspruch.

Die LANCOM OT-/KRITIS-IT-Referenzarchitektur schafft die Voraussetzungen dafür, dass Anforderungen an Segmentierung, Logging, Incident Handling, Monitoring und sichere Betriebsprozesse überhaupt wirksam umgesetzt und geprüft werden können. Relevante Bezugspunkte sind je nach Umfeld unter anderem:

Bundesamt für Sicherheit in der Informationstechnik (BSI)-Gesetz
IT-Sicherheitsgesetz 2.0
Network and Information Security Directive 2 (NIS2)
ISO/IEC 27001
ISO/IEC 27019
und International Electrotechnical Commission (IEC) 62443.

Foto: Person nutzt ein Smartphone an einem elektronischen Zutrittsleser zur sicheren Zugangskontrolle in einem modernen Gebäude und veranschaulicht digitale Sicherheits- und Zutrittskonzepte für kritische Infrastrukturen.

Manuelle Zugriffsszenarien und automatisierte Abläufe in IT-Netzwerken

Welche Ereignisse können in OT-/KRITIS-Sicherheitsnetzen vorkommen und wie reagiert man richtig?

Manuell ausgelöste Zugriffsszenarien

Bei der Objektüberwachung und -absicherung kommt es immer wieder zu Szenarien, in denen manuelle Anpassungen oder Reaktionen und somit Netzwerkzugriffe erforderlich sind. Wir zeigen Ihnen drei typische Use Cases und wie der richtige Netzwerkaufbau Ihnen bei der Wahrung der Sicherheit hilft:

Fernwartung sicher durchführen

Zugriff durch autorisierte Techniker (intern oder extern)
Verbindung ausschließlich über gesicherte VPN-Zugänge
Zugriff gezielt auf definierte Systeme wie Kamera, Firewall oder NVR
Vollständig protokolliert und nachvollziehbar

Im Alarmfall schnell reagieren

Alarm durch Kamera oder Monitoring-System
Gezielter Zugriff auf Livebilder und Aufzeichnungen
Zugriff erfolgt kontrolliert über VPN
Ereignisse und Maßnahmen werden dokumentiert

Neue Kameras strukturiert integrieren

Neue Geräte werden kontrolliert in bestehende Zonen aufgenommen
Vorab-Konfiguration von Netzwerk- und Sicherheitsregeln
Geräte starten zunächst isoliert ohne direkten Zugriff
Automatische Erkennung und Dokumentation im System

Automatisierte Abläufe (Machine-to-Machine)

Besonders praktisch: Einmal umsichtig aufgebaut unterstützt Sie Ihr IT-/OT-Netzwerk durch Automatismen optimal bei der Gebäude- und Anlagensicherung. Wie genau zeigen Ihnen folgende drei Anwendungsfälle:

Kontinuierliche Videoaufzeichnung sicher betreiben

Permanenter Videostream von Kamera zum Aufzeichnungssystem
Datenfluss bleibt vollständig innerhalb des Sicherheitssegments
Keine direkte Internetkommunikation der Kameras
Monitoring erkennt Auffälligkeiten im Datenverkehr

Automatische Alarmierung zuverlässig auslösen

Ereignisse wie Bewegung lösen automatisch Benachrichtigungen aus
Weiterleitung über definierte Übergänge (z. B. E-Mail oder SIP)
Kein direkter Internetzugriff erforderlich
Zentrale Protokollierung im Monitoring-System

Ausfälle automatisch erkennen und beheben

System erkennt Verbindungsabbrüche oder Kameraausfälle
Automatischer Neustart z. B. über PoE-Reset
Keine manuelle Intervention im Regelfall notwendig
Protokollierung und Eskalation bei anhaltenden Störungen

Sichere, moderne IT-Netzwerke für Sicherheitstechnik mit LANCOM

Die Umsetzung von Sicherheitsanforderungen im KRITIS- und OT-Umfeld beginnt im Netzwerk. LANCOM Systems bietet eine souveräne, normkonforme und auditierbare Netzwerkbasis, auf der sich sicherheitstechnische Systeme strukturiert und regelkonform betreiben lassen. Durch konsequente Segmentierung, kontrollierte Kommunikation und zentrale Steuerung werden Anforderungen aus BSI, KRITIS-Dachgesetz und IEC 62443 technisch umsetzbar und betrieblich beherrschbar.

Eine fundierte Netzwerk-Planung mit LANCOM stellt sicher, dass Sicherheitsarchitekturen von Beginn an richtig geplant und nicht nachträglich mit hohem Aufwand korrigiert werden müssen.

Werfen wir doch gemeinsam einen Blick auf Ihr anstehendes Projekt! Wir freuen uns auf Ihre Nachricht und beraten Sie gerne unverbindlich dazu.

Foto: Moderne Überwachungskamera überwacht eine industrielle Anlage bei Dämmerung und symbolisiert die professionelle Umsetzung von Sicherheits- und Überwachungslösungen für kritische Infrastrukturen.

Ihre Fragen beantworten wir gerne!

Vorname *

Nachname *

E-Mail *

PLZ *

Ort *

Telefon *

Unternehmen *

Betreff *

Ihre Nachricht *

Ich habe die Datenschutzerklärung gelesen und stimme der Speicherung und Verarbeitung meiner Daten durch die LANCOM Systems GmbH zu. LANCOM Systems nutzt diese Daten, um mich, auch durch automatisierte Verarbeitungsvorgänge (Anreicherung, Auswertungen und Messungen), selbst oder durch Dritte zu kontaktieren und mir Informationen über Produkte, Dienstleistungen und Veranstaltungen zukommen zu lassen. Ich kann meine Einwilligung jederzeit widerrufen, elektronisch an datenschutz@lancom.de oder per Brief an: LANCOM Systems GmbH, Adenauerstr. 20/B2, 52146 Würselen. *

Lassen Sie uns ins Gespräch kommen

Freundliche Sales-Mitarbeiter mit Headset nehmen Kundenanruf in Büro an

Haben Sie Fragen zu unseren Produkten oder Lösungen oder möchten Sie ein Projekt mit uns besprechen? Wir finden gemeinsam die passende Lösung.

Nutzen Sie bitte unser Kontaktformular, so erreicht Ihre Anfrage direkt die richtigen Expert:innen.

Vertrieb Deutschland: +49 (0)2405 49936 333
Vertrieb International: +49 (0)2405 49936 122