„Alles, was einen Netzwerkstecker hat, ist IT.“
Mit diesem Satz wurden früher in vielen Unternehmen Verantwortlichkeiten verteilt. Die IT-Abteilung betreute alle Computer, Drucker und Server, während die Betriebstechniker oder Fachabteilungen sich um Maschinen, Anlagen und andere Hardware kümmerten. Doch diese Aufteilung wird immer schwieriger. Denn heute hat so gut wie jedes Gerät eine Netzwerkverbindung – vom Kaffeeautomaten bis zum Handscanner in der Produktion. Wie grenzt man also IT (Information Technology) und OT (Operational Technology) noch sinnvoll voneinander ab?
Wenn alles plötzlich „IT“ zu sein scheint
In der Theorie ist die Sache klar: IT kümmert sich um digitale Informationen, also um die Verwaltung von Daten und Systemen wie Server, Datenbanken oder Office-Arbeitsplätze. OT konzentriert sich auf physische Prozesse, auf Produktions- und Fertigungsanlagen, Automatisierungssysteme, Steuerungen und Sensoren.
Doch die Realität sieht anders aus. Denn inzwischen laufen selbst klassische Produktionsanlagen oft mit einem speziellen Betriebssystem, erhalten Software-Updates und sind mit dem Unternehmensnetzwerk verbunden. Auf den ersten Blick wirken solche Computerterminals in der Fertigung wie „normale“ Windows-Rechner – nur dass ein falsch durchgeführtes Update in diesem Fall eine ganze Produktionslinie stilllegen kann.
Warum die klare Trennung immer schwieriger wird
Die fortschreitende Digitalisierung und das „Internet of Things“ (IoT) haben dazu geführt, dass fast jedes Gerät online ist. Wo früher einzelne Maschinen in abgetrennten Netzen arbeiteten, sind heute verschiedenste Systeme miteinander verknüpft. Sie tauschen Daten in Echtzeit aus, melden Wartungsbedarfe oder unterstützen die Logistik durch automatisierte Abläufe.
Gleichzeitig gibt es auch Geräte in der Produktion, die gar keinen Netzwerkanschluss besitzen, etwa Handscanner oder Transporthilfen. Sie gelten oft als „OT“. Aber wer kümmert sich darum, wenn sie Probleme verursachen oder gewartet werden müssen? Und wie sieht es mit Sicherheits- und Compliance-Regeln aus, wenn diese Geräte zwar nicht direkt vernetzt sind, aber dennoch eine kritische Rolle in den Betriebsabläufen spielen?
Was bedeutet das für IT- und OT-Abteilungen?
Die klassische Vorstellung, dass IT nur für Office-PCs und E-Mail-Server zuständig ist, während OT ausschließlich die Fertigungsanlagen im Blick hat, greift nicht mehr. Inzwischen muss ein Unternehmen definieren, wer wofür verantwortlich ist:
- Windows-Terminals in der Produktion: Werden sie genauso behandelt wie die Rechner in der Personalabteilung? Erhalten sie zur selben Zeit Updates, Antivirus-Scans und Patch-Management?
- Spezialisierte Maschinen mit proprietären Systemen: Wie werden diese gewartet, wer spielt Firmware-Updates ein und unter welchen Bedingungen?
- Netzwerksegmentierung: Welche Sicherheitsmaßnahmen sind notwendig, um Angriffe auf OT-Systeme zu verhindern oder zu erschweren?
Dasselbe gilt für Fragen des Betriebs: Welche Prozesse gelten für das Einspielen von Sicherheitsupdates? Wer übernimmt die Verantwortung, wenn eine Maschine ausfällt? Oft wird diese Problematik erst erkannt, wenn ein missglücktes Update die Fertigungsabläufe lahmlegt und die IT-Abteilung sich fragt, warum man nicht einfach wie bei „allen anderen PCs“ updaten konnte.
Technische vs. organisatorische Unterschiede
Man könnte meinen, IT und OT unterscheiden sich bloß in verwendeten Technologien – das stimmt nur zum Teil. Denn es geht auch um Prozesse, Governance und Richtlinien. OT-Anlagen haben häufig eine sehr lange Lebensdauer. Während man in der Büro-IT nach drei bis fünf Jahren ein neues System anschafft, laufen manche Maschinen in der Produktion zwei Jahrzehnte oder noch länger. Software- und Firmware-Updates sind in solchen Umgebungen schwieriger: Nicht immer lässt sich eine alte Anlage einfach modernisieren oder gar ersetzen.
Auch beim Thema Sicherheit und Compliance ist Vorsicht geboten. In vielen OT-Umgebungen ist ein Virenscanner problematischer als in der klassischen IT, weil er die Performance oder Zuverlässigkeit einer Anlage gefährden kann. Ein fehlerhaftes Update kann hier zu hohen Kosten führen, sei es durch Produktionsausfälle oder Schäden an Maschinen.
Ein Thema, das das ganze Unternehmen betrifft
Die Trennung von IT und OT darf sich nicht nur auf eine simple Excel-Liste beschränken, in der jedes Gerät als „IT“ oder „OT“ markiert wird. Dieser Prozess ist viel komplexer und sollte das gesamte Unternehmen einbeziehen:
- Beschaffung und Inbetriebnahme: Bereits beim Einkauf neuer Geräte sollte klar sein, wer welche Verantwortung übernimmt.
- Betrieb und Wartung: Wie werden Updates verteilt, wer testet die Kompatibilität, wer kümmert sich um Sicherheitslücken?
- Lebenszyklus-Management: Wie lange darf oder muss ein Gerät laufen, was passiert, wenn es technisch nicht mehr unterstützt wird? Wie plant man Ablösung oder Migration?
- Backup und Recovery: In der klassischen IT ist ein regelmäßiges Backup selbstverständlich. Was aber, wenn eine OT-Anlage nicht einfach ausgeschaltet oder neu gestartet werden kann?
Oft werden solche Fragen erst gestellt, wenn es schon zu spät ist – wenn zum Beispiel ein Sicherheitsvorfall Produktionsprozesse lahmlegt, die IT „bluten“ muss und das Business unter dem wirtschaftlichen Schaden leidet.
Warum ein gemeinsames Verständnis so wichtig ist
Erst wenn das ganze Unternehmen versteht, dass IT und OT zwar unterschiedliche Ziele, aber immer häufiger gemeinsame Schnittstellen haben, lassen sich sinnvolle Konzepte entwickeln. Nur so entsteht Klarheit darüber, wer welche Verantwortung trägt. Die Zeiten, in denen alles mit einem Stecker automatisch zur IT gehörte, sind vorbei.
Wenn Verantwortlichkeiten eindeutig geregelt sind und alle Beteiligten – vom Produktionsleiter bis zur IT-Security – dieselbe Sprache sprechen, können Risiken minimiert und effiziente Prozesse etabliert werden. Das bedeutet aber auch, dass man sich regelmäßig zusammensetzt, Vereinbarungen trifft, Standardprozesse dokumentiert und diese auch lebt.
Fazit: Ein fließender Übergang, der gut gesteuert sein will
Was früher eine klare Trennung war, verschwimmt heutzutage zunehmend. Ob IT oder OT – nahezu jedes Gerät hat eine Online-Verbindung und ist potenziell sicherheitskritisch. Gleichzeitig bedeutet das nicht, dass man alles gleich behandeln sollte. Produktionsanlagen haben andere Anforderungen als Schreibtisch-PCs, etwa in puncto Downtime, Update-Zyklen oder Sicherheitsstandards.
Nur durch eine saubere Kategorisierung, definierte Verantwortlichkeiten und abgestimmte Prozesse können Unternehmen verhindern, dass „alles irgendwie nur IT“ ist und wichtige Compliance- und Sicherheitsaspekte unter den Tisch fallen. Wichtig ist dabei das gemeinsame Verständnis über Abteilungsgrenzen hinaus: Jede Maschine, jeder Scanner und jeder Computer in der Produktion sind Teil eines größeren Ganzen – und brauchen ein eigenes, durchdachtes Konzept für Betrieb und Wartung.
So schafft man es, dass weder ein automatisches Windows-Update die Produktionskette lahmlegt, noch ein veraltetes OT-System eine Scheunentor-Lücke für Angreifer darstellt. Am Ende geht es darum, IT und OT als zwei Seiten einer Medaille zu betrachten, die sich gegenseitig ergänzen – und im Idealfall das Unternehmen gemeinsam nach vorne bringen.
