Industrielles Monitoring in Air-Gap-Umgebungen

Die Air-Gap-Herausforderung

Viele industrielle Einrichtungen — Raffinerien, Kraftwerke, Verteidigungsanlagen und kritische Infrastrukturen — arbeiten in Air-Gap-Umgebungen ohne Internetverbindung. Dies ist eine bewusste Sicherheitsmaßnahme, keine Einschränkung, die es zu umgehen gilt.

Dennoch benötigen diese Anlagen Monitoring genauso wie vernetzte. Die Herausforderung besteht darin, eine Monitoring-Plattform zu implementieren und zu betreiben, die vollständig offline funktioniert.

Warum Air-Gapping wichtig ist

Air-Gapping ist die stärkste Form der Netzwerkisolierung. Es stellt sicher, dass:

Keine Daten die Anlage ohne expliziten physischen Transfer verlassen

Keine externen Bedrohungen das OT-Netzwerk über das Internet erreichen können

Regulatorische Compliance-Anforderungen (IEC 62443, NIS2) auf höchstem Niveau erfüllt werden

Die Monitoring-Plattform nicht zum Vektor für laterale Bewegung werden kann

On-Premise-Deployment-Architektur

Ein effektives Air-Gap-Monitoring-Deployment besteht aus:

1. Lokale Datenerfassung

Die Monitoring-Plattform läuft vollständig innerhalb des Anlagennetzwerks und verbindet sich über Standard-Industrieprotokolle (OPC UA, S7, Modbus) mit SPSen und Steuerungen. Alle Datenerfassung, -speicherung und -verarbeitung erfolgt lokal.

2. Lokale Speicherung und Historian

Alle Monitoring-Daten, Trends und Alarmverläufe werden in einer lokalen Datenbank gespeichert. Aufbewahrungsrichtlinien sind basierend auf dem verfügbaren Speicher konfigurierbar — von Tagen bis zu Jahren historischer Daten.

3. Lokale Dashboards und Alerting

Webbasierte Dashboards werden von der lokalen Installation bereitgestellt. Alarme werden über anlageinterne Kanäle zugestellt: E-Mail-Server innerhalb des Anlagennetzwerks, lokale SMS-Gateways oder Integration mit bestehenden PLS-Alarmsystemen.

Update-Mechanismen

Software-Updates in Air-Gap-Umgebungen erfordern einen physischen Transferprozess:

**USB-Transfer** — Updates werden auf einem verbundenen System heruntergeladen, per USB übertragen und lokal angewendet

**Sichere Transferstationen** — dedizierte Maschinen, die den Air-Gap für kontrollierte Datentransfers überbrücken

**Versionierte Releases** — jedes Update ist ein vollständiges, eigenständiges Paket, das vor der Installation verifiziert werden kann

Der Update-Prozess muss eine Integritätsprüfung (Prüfsummen, Signaturen) beinhalten, um sicherzustellen, dass während des physischen Transfers keine Manipulation stattgefunden hat.

Sicherheitsaspekte

Auch innerhalb einer Air-Gap-Umgebung ist Sicherheit wichtig:

**Nur lesende Verbindungen** — die Monitoring-Plattform sollte niemals auf SPSen oder Steuerungen schreiben

**Kein aktives Scannen** — nur passives Monitoring unter Beachtung der bestehenden Netzwerksegmentierung

**Rollenbasierter Zugriff** — nicht jeder benötigt vollen Zugriff auf alle Monitoring-Daten

**Audit-Logging** — Nachverfolgung, wer wann auf welche Daten zugegriffen hat

**Netzwerksegmentierung** — die Monitoring-Plattform sollte auf der entsprechenden Purdue-Model-Ebene betrieben werden

Der Hybrid-Pfad

Manche Organisationen starten mit Air-Gap und möchten später Cloud-Funktionen hinzufügen — Management-Dashboards, mobile Alarme oder standortübergreifende Analysen. Eine gut konzipierte Monitoring-Plattform unterstützt diesen Migrationspfad, ohne eine vollständige Neuinstallation zu erfordern.

Der Schlüssel ist eine Architektur, bei der Cloud-Konnektivität additiv und nicht erforderlich ist. Die On-Premise-Installation funktioniert identisch weiter, unabhängig davon, ob Cloud-Funktionen aktiviert sind oder nicht.

Fazit

Air-Gap-Monitoring ist kein Kompromiss — es ist die angemessene Sicherheitshaltung für viele kritische industrielle Umgebungen. Die gewählte Monitoring-Plattform sollte diese Anforderung nativ respektieren und nicht als Sonderfall behandeln.