OT Network Segmentation Design & Implementation

Professionelles Zonenkonzept, Firewall-Design und Industrial DMZ nach IEC 62443-3-2 – für sichere und performante OT-Netzwerke.

Angebot anfragen

Warum OT Network Segmentation?

Die meisten OT-Umgebungen sind nicht ausreichend segmentiert. Flat Networks erlauben laterale Bewegung von Angreifern – ein einziger kompromittierter Endpoint kann zur Kompromittierung der gesamten Produktion führen (siehe Colonial Pipeline, Norsk Hydro).

Professionelle Network Segmentation nach IEC 62443-3-2 schafft sichere Zonen mit kontrollierten Conduits, reduziert die Angriffsfläche und ermöglicht Defence-in-Depth.

Was Sie erhalten:

  • ? Zonenkonzept nach IEC 62443-3-2 (Level 2-4 Zonen)
  • ? Conduit-Design mit Firewall-Ruleset-Empfehlungen
  • ? Industrial DMZ-Architektur für IT/OT-Integration
  • ? Netzwerkpläne (Visio/Draw.io) mit IP-Schema
  • ? Implementation-Unterstützung (On-Site + Remote)

Purdue Enterprise Reference Architecture (PERA)

Das Fundament für OT-Segmentierung

Level 4-5

Enterprise Zone

  • ERP (SAP, Oracle)
  • Business Intelligence
  • Corporate IT-Systeme

Firewall: DMZ mit strict rules

DMZ

Industrial DMZ

  • MES (Manufacturing Execution)
  • Historian (OSIsoft PI)
  • Asset Management

Kritisch: IT/OT-Integration-Point

Level 3

SCADA/Control Zone

  • SCADA Server
  • HMI Workstations
  • Engineering Stations

Firewall: Zone Level 2 – Level 3

Level 0-2

Process Control Zone

  • PLC/DCS (Siemens, Rockwell)
  • Safety Systems (SIS)
  • Field Devices (Sensoren, Aktoren)

Kritisch: Safety-Anforderungen beachten

Best Practice: Jede Zone hat eigenes IP-Subnetz, eigene VLANs und separate Firewall-Regelwerke. Minimum: 3 Zonen (Enterprise, DMZ, Control).

Unser Vorgehen

8-12 Wochen (Design + Implementation)

Phase 1: Discovery (Woche 1-2)

  • Netzwerk-Discovery & Asset-Inventory
  • VLAN-Analyse & IP-Schema-Review
  • Traffic-Flow-Analyse (Wireshark, Nozomi)
  • Interview mit OT-Engineers

Deliverable: Network-Inventory (Excel)

Phase 2: Design (Woche 3-5)

  • Zonen-Definition (nach IEC 62443-3-2)
  • Conduit-Design & Traffic-Matrix
  • Firewall-Ruleset (Fortinet/Palo Alto)
  • Industrial DMZ-Architektur

Deliverable: Zonenplan (Visio) + Ruleset

Phase 3: Implementation (Woche 6-10)

  • Firewall-Installation & Konfiguration
  • VLAN-Umstellung (schrittweise)
  • Testing & Validation (je Zone)
  • Rollback-Planung

Deliverable: As-Built-Dokumentation

Phase 4: Testing & übergabe (Woche 11-12)

  • End-to-End Testing (Produktion)
  • Performance-Monitoring
  • Knowledge Transfer (Workshop)
  • Runbook & Support-Übergabe

Deliverable: Final Documentation + Runbook

Für wen ist Segmentation-Design?

Ideal für:

  • Flat Networks: Keine oder unzureichende Segmentierung
  • IT/OT-Konvergenz-Projekte: Integration MES, ERP, Cloud
  • NIS2/KRITIS-Compliance: Segmentierung ist Pflicht-Anforderung
  • Post-Incident: Lessons Learned nach Cyberangriff

Wichtig:

Segmentierung ist ein Produktions-relevantes Projekt. Wir planen mit Maintenance Windows, Rollback-Szenarien und stufenweiser Einführung – ohne Produktionsstillstand.

Investition & Pakete

Preise verstehen sich zzgl. Hardware (Firewalls, Switches)

Design Only

?60.000

1 Standort, 3-4 Zonen, 6 Wochen

  • ? Discovery & Asset-Inventory
  • ? Zonenkonzept (Visio)
  • ? Firewall-Ruleset-Empfehlungen
  • ? DMZ-Architektur
  • ? Keine Implementation

Empfohlen

Design + Implementation

?120.000

1 Standort, 3-4 Zonen, 10 Wochen

  • ? Alles aus "Design Only"
  • ? Hands-on Implementation-Support
  • ? Firewall-Konfiguration & Testing
  • ? VLAN-Migration (On-Site Support)
  • ? 3 Monate Post-Implementation Support

Turnkey Solution

?180.000+

Multi-Site, inkl. Hardware-Beschaffung

  • ? Alles aus "Design + Implementation"
  • ? Hardware-Beschaffung (Firewalls, Switches)
  • ? Multi-Site Rollout (2+ Standorte)
  • ? Industrial DMZ mit HA-Setup
  • ? 12 Monate Managed Firewall Service

Hardware-Empfehlungen: Fortinet FortiGate (OT-optimiert), Palo Alto PA-Series, Cisco Industrial Firewalls. Wir sind vendor-agnostic.

Kostenloses Beratungsgespräch buchen

Warum SecureKern für Network Segmentation?

Produktions-Know-how

15 Jahre Automotive: Wir kennen die Realität von 24/7-Produktion, Maintenance Windows und Zero-Downtime-Requirements. Keine akademischen Konzepte.

IEC 62443-3-2 Expertise

Zertifiziert in IEC 62443 Network Segmentation. Praktische Erfahrung mit Zonenkonzepten in Automotive, Chemie, Energie-Umgebungen.

Hands-on Implementation

Kein theoretisches Consulting. Wir rollen die ?rmel hoch, konfigurieren Firewalls, migrieren VLANs und testen End-to-End – bis es funktioniert.

Sichern Sie Ihre OT-Umgebung ab

Buchen Sie ein kostenloses 30-minütiges Erstgespräch. Wir besprechen Ihre Netzwerk-Architektur und erstellen ein maßgeschneidertes Angebot.

Jetzt Termin buchen

Verwandte Leistungen

IEC 62443 Gap Assessment

Maturity-Bewertung & Implementierungs-Roadmap

Details

OT Security Monitoring (OT-MDR)

24/7 Threat Detection für segmentierte Netzwerke

Details

OT Risk Assessment (TARA)

Threat & Risk Assessment für Zonenkonzept

Details