Industrial Firewall / DMZ Design.
Industrielle Firewalls unterscheiden sich von klassischen IT-Firewalls durch die Fähigkeit, OT-spezifische Protokolle wie Modbus, PROFINET oder OPC UA auf Anwendungsebene zu inspizieren (Deep Packet Inspection) und dabei protokollkonforme, aber potenziell gefährliche Befehle zu erkennen, etwa Schreibzugriffe auf sicherheitsrelevante Register.
Ein bewährtes Architekturmuster ist die dreistufige DMZ zwischen Unternehmens-IT und Prozessleitebene: In der DMZ liegende Server spiegeln benötigte Daten (etwa Historian-Auszüge oder Patch-Repositories), sodass weder IT- noch OT-Systeme direkt miteinander kommunizieren müssen.
Beim Design solcher DMZs gilt das Prinzip minimaler Rechte: Jede Verbindung wird explizit erlaubt, alles andere ist per Default blockiert. Redundante Firewall-Paare und getrenntes Monitoring für IT- und OT-Segmente gehören zu den empfohlenen Maßnahmen für hochverfügbare Umgebungen.