Zones, Conduits und Security Level: Schutzbedarfslogik für die OT
Kernaussage
Zones & Conduits und die Security Level (SL) der IEC-62443-Reihe sind kein Netzwerkthema, sondern ein Steuerungsmodell für OT-Risiken. Der Kern ist eine Schutzbedarfslogik: Eine Anlage wird in Zonen mit gleichartigem Schutzbedarf aufgeteilt, die Verbindungen zwischen Zonen werden als Conduits bewusst definiert, und jede Zone erhält ein risikobasiertes Schutzziel auf der SL-Skala 1 bis 4.
Für den CISO entsteht damit eine gemeinsame Sprache mit Engineering, Integratoren und Herstellern und eine Grundlage, um Investitionen zu begründen statt pauschal "mehr Firewalls" zu fordern.
Problem in der Praxis
In vielen Werken ist die OT historisch flach gewachsen: Steuerungen, Bedienstationen und Feldgeräte hängen in wenigen großen Segmenten, die Verbindungen zur IT und nach außen sind entstanden, nicht entworfen. Wird ein Segmentierungsprojekt gestartet, orientiert es sich oft an der vorhandenen Netzwerktopologie statt am Schadenspotenzial.
Beim Security Level wird häufig falsch verhandelt. Entweder fordert jeder Bereich vorsorglich ein hohes SL, ohne die Kosten zu verantworten, oder ein Lieferant verspricht ein hohes SL für ein einzelnes Produkt und erweckt den Eindruck, die ganze Anlage sei abgesichert. Ohne saubere Zonen- und Conduit-Definition bleibt unklar, was geschützt werden soll; ohne risikobasiertes Ziel-SL bleibt unklar, wie gut.
CISO-Einordnung
Drei Begriffe tragen das Modell:
- Eine Zone ist eine Gruppe von Komponenten mit gemeinsamem Schutzbedarf. Maßgeblich ist die Konsequenz einer Kompromittierung, nicht die Netzgrenze. Sicherheitsgerichtete Funktionen, Steuerungskern und der Übergang zur IT gehören in unterschiedliche Zonen.
- Ein Conduit ist der bewusst definierte Kommunikationskanal zwischen Zonen mit eigenen Sicherheitsanforderungen. Was nicht über einen definierten Conduit läuft, soll nicht laufen.
- Das Security Level beschreibt das Schutzziel einer Zone abgestuft nach Angreiferfähigkeit: von zufälligem oder fahrlässigem Fehlverhalten (SL1) bis zu Angreifern mit erheblichen Ressourcen und Spezialwissen (SL4). Die Stufen dazwischen steigen mit der Angreiferfähigkeit.
Zu unterscheiden sind gefordertes Schutzziel (Target-SL), technische Fähigkeit einer Komponente (Capability-SL) und tatsächlich erreichter Schutz im Betrieb (Achieved-SL). Die Lücke zwischen Soll und Ist ist die eigentliche Steuerungsgröße: Sie zeigt, wo investiert, kompensiert oder bewusst Risiko akzeptiert werden muss. Das Ganze folgt dem Prinzip Defense-in-Depth: gestaffelte Schutzschichten statt einer einzigen Außengrenze. In der 62443-Reihe ist die risikobasierte Aufteilung konzeptionell dem Risk-Assessment-Teil (62443-3-2) zugeordnet, die SL-Systematik auf Systemebene 62443-3-3.
Umsetzungsperspektive
Sinnvoll ist eine Reihenfolge, die mit dem Risiko beginnt, nicht mit der Technik:
- Anlagenkontext: Welche Prozesse sind kritisch, welche Konsequenz hätte Ausfall oder Manipulation für Verfügbarkeit, Safety, Qualität und Umsatz?
- Zonen ableiten: Komponenten mit gleichem Schutzbedarf zusammenfassen, sicherheitsgerichtete Funktionen abgrenzen, einen kontrollierten OT/IT-Übergang vorsehen.
- Conduits benennen: nur betrieblich notwendige Verbindungen zulassen; alles andere wird begründungspflichtige Ausnahme.
- Target-SL je Zone aus der Risikobewertung ableiten, nicht aus dem Wunsch nach maximaler Sicherheit.
- Soll-Ist-Abgleich: Was leisten vorhandene Komponenten (Capability-SL), und wie schließt man die Lücke: durch Conduit-Maßnahmen, Kompensation oder Ersatzbeschaffung?
Das Rollenmodell der 62443 ordnet Verantwortung zu: Der Asset Owner (Betreiber) verantwortet Risiko und Ziel-SL, der System Integrator beziehungsweise Service Provider plant und wartet entlang dieser Vorgaben, der Product Supplier liefert Komponenten mit ausgewiesener Capability. Ohne klare Rollenzuordnung bleibt das Modell Papier.
Typische Fehler
- Zonen entlang vorhandener Netzsegmente und VLANs statt entlang von Schutzbedarf und Schadenspotenzial.
- Conduits nicht explizit definiert; faktisch bleibt Any-to-any-Kommunikation bestehen.
- Target-SL pauschal hoch ("SL3 für alles") ohne Risikobegründung und Kostenverantwortung.
- Begrenzte Capability-SL von Legacy-Komponenten ignoriert statt kompensiert.
- Ein zertifiziertes Einzelprodukt mit der Sicherheit der gesamten Zone verwechselt.
- Modell einmal erstellt, nie gepflegt; mit jeder Anlagenänderung verliert es Realitätsbezug.
Risiken und Trade-offs
Segmentierung in der OT steht in einem Spannungsfeld, das die IT so nicht kennt. Der Verfügbarkeits- und Echtzeitprimat erlaubt nur begrenzte Eingriffe, viele Legacy-Protokolle können sich nicht authentisieren, Patches sind nur in engen Wartungsfenstern möglich, und Schutzmaßnahmen dürfen die funktionale Sicherheit (Safety) nicht beeinträchtigen. Jede Conduit-Maßnahme ist gegen diese Randbedingungen abzuwägen.
Auch das Zielniveau ist ein Trade-off: Ein zu hohes Target-SL erzeugt Kosten ohne Risikonutzen, ein zu niedriges lässt kritische Zonen ungeschützt. Ebenso ist zwischen Über- und Untersegmentierung zu balancieren: zu viele kleine Zonen werden unbeherrschbar, zu wenige verfehlen die Schutzwirkung.
Entscheidungspunkte
- Welche Konsequenzschwere rechtfertigt eine eigene Zone, und wo verlaufen die Vertrauensgrenzen?
- Welches Target-SL ist je Zone angesichts Risikoappetit und Budget angemessen?
- Wie wird mit der Lücke zwischen Capability-SL und Target-SL umgegangen: aufrüsten, kompensieren oder Risiko akzeptieren?
- Wer ist je Zone und je Conduit verantwortlich, und wie verteilt sich die Verantwortung zwischen Betreiber, Integrator und Hersteller?
- Wie wird das Modell bei Anlagenänderungen aktuell gehalten?
Praktische Empfehlungen
- Mit einer konsequenzbasierten Risikobewertung beginnen, nicht mit dem Netzplan.
- Den kontrollierten OT/IT-Übergang und die Abgrenzung sicherheitsgerichteter Funktionen als ersten, besonders wirksamen Schritt behandeln.
- Je Zone das Target-SL samt Begründung dokumentieren und Achieved gegen Target als lebendes Lücken-Register führen.
- Bei Legacy-Komponenten die Lücke über Conduit- und Kompensationsmaßnahmen schließen.
- SL-Anforderungen in Beschaffung und Änderungsmanagement verankern; Lieferanten nach der Capability-SL fragen.
- Das frei verfügbare BSI ICS-Security-Kompendium als gemeinsame Begriffsbasis und Brücke zum IT-Grundschutz nutzen.
Relevante Normreferenzen
- IEC 62443-3-3 (System security requirements and security levels): SL-Systematik auf Systemebene; Edition 1.0 (2013-08). Kostenpflichtig, nur Konzeptbezug.
- IEC 62443-3-2 (Risk assessment für Zones & Conduits): risikobasierte Segmentierungslogik. Kostenpflichtig, nur Konzeptbezug.
- BSI ICS-Security-Kompendium, Version 2.0.0 (Stand 23.04.2024): frei zugängliche deutschsprachige Grundlage und Brücke zum IT-Grundschutz.
- ISO/IEC 27001: ISMS-Dach; deckt OT-Spezifika nicht vollständig ab und wird durch 62443 ergänzt.
- NIST SP 800-82 (Guide to OT Security): komplementäre OT-Leitlinie.
Häufige Fragen
Was ist der Unterschied zwischen einer Zone und einem Conduit?+
Eine Zone gruppiert Komponenten mit gemeinsamem Schutzbedarf. Ein Conduit ist der bewusst definierte Kommunikationskanal zwischen Zonen und trägt eigene Sicherheitsanforderungen.
Wonach richtet sich das Security Level?+
Nach der Fähigkeit des Angreifers, gegen den geschützt werden soll: von zufälligem Fehlverhalten (SL1) bis zu Angreifern mit erheblichen Ressourcen und Spezialwissen (SL4), abgeleitet aus der Risikobewertung der Zone.
Heißt ein hohes Capability-SL eines Produkts, dass die Anlage sicher ist?+
Nein. Capability-SL beschreibt nur, was eine Komponente leisten kann. Maßgeblich sind das risikobasierte Target-SL der Zone und das im Betrieb erreichte Achieved-SL.
Sollte man Zonen entlang des Netzwerks schneiden?+
Nein. Zonen folgen dem Schutzbedarf und Schadenspotenzial, nicht der vorhandenen Netzwerktopologie.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen OT / ICS (IEC 62443) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: ot-002.
