Legacy absichern ohne Stillstand: medi modernisiert OT-Security

In der industriellen Realität prallen zwei Welten aufeinander: hochmoderne digitale Prozesse und jahrzehntealte Maschinen. Auch beim Medizinproduktehersteller medi in Bayreuth ist dieses Spannungsfeld Alltag. Die Produktion ist hochgradig automatisiert, datengetrieben und zeitkritisch. Innerhalb von 24 Stunden entstehen individualisierte Produkte, gesteuert durch kontinuierliche IT/OT-Kommunikation.

Produktion trifft auf veraltete IT

Doch viele der eingesetzten Anlagen basieren auf veralteten Betriebssystemen und Protokollen. Technologien wie SMBv1 (Server Message Block Protokoll – regelt den Zugriff auf Dateien und Ressourcen in einem Netzwerk, insbesondere in Windows-Umgebungen) gelten längst als unsicher, sind jedoch tief in die Produktionsprozesse integriert. Ein Austausch der Maschinen ist wirtschaftlich kaum darstellbar, da Investitionen auf Jahrzehnte ausgelegt sind.

Diese Ausgangslage stellt Unternehmen vor ein Dilemma: Die Systeme sind produktionskritisch, aber aus Sicht der Cybersicherheit nicht mehr tragbar.

Sicherheitsrisiko Legacy: reale Bedrohungslage

Die Risiken sind nicht theoretisch. Ein Cyberangriff im Jahr 2022 zeigte auch bei medi, wie verwundbar gewachsene Infrastrukturen sein können. Gleichzeitig verschärfen Herstellerentscheidungen den Druck. So kündigte VMware an, die Unterstützung für veraltete Betriebssysteme einzustellen, die auf unsicheren Protokollen basieren.

Damit stand medi vor einer zentralen Frage: Wie lassen sich alte Systeme weiter betreiben, ohne die gesamte Sicherheitsarchitektur zu gefährden?

Isolation statt Austausch

Die Antwort fand medi in einer OT-Sicherheitslösung, die einen pragmatischen Ansatz verfolgt: nicht ersetzen, sondern isolieren. Mit edge.SHIELDOR von TRIOVEGA werden die Altmaschinen wie unter einer digitalen Schutzhaube betrieben.

Das Prinzip: Die Systeme werden vom restlichen Netzwerk abgeschottet, während gleichzeitig kontrollierte Kommunikationspfade bestehen bleiben. Besonders entscheidend ist dabei die Fähigkeit zur Protokollumwandlung. Unsichere Altprotokolle wie SMBv1 werden in moderne, abgesicherte Varianten übersetzt – hier also SMBv3, ohne dass Eingriffe in die Maschinen notwendig sind. Damit entsteht eine sichere Brücke zwischen IT und OT, die sowohl Performance als auch Schutz gewährleistet.

Engineering statt Standardlösung

Die Umsetzung zeigte, wie komplex reale Produktionsumgebungen sind. In einem Proof of Concept stellte sich heraus, dass die Maschinen mit proprietären Varianten des SMBv1-Protokolls arbeiten. Standardlösungen griffen hier zu kurz.

Durch detaillierte Analyse auf Paketebene konnte die Lösung angepasst werden. Das Ergebnis: ein spezieller Kompatibilitätsmodus, der auch ungewöhnliche Kommunikationsformen unterstützt. Diese enge Zusammenarbeit zwischen Hersteller und Anwender erwies sich als entscheidend für den Projekterfolg.

Betriebssicherheit ohne Eingriff

Nach der Implementierung läuft die Kommunikation stabil und performant. Für die Produktion änderte sich nichts. Die Maschinen arbeiten unverändert weiter, während die Sicherheitsarchitektur im Hintergrund greift.

Für medi bedeutet das vor allem Planungssicherheit. Kritische Anlagen können weiterhin genutzt werden, ohne dass teure Ersatzinvestitionen notwendig sind. Gleichzeitig behalten die IT-Verantwortlichen die Kontrolle über Zugriffe und Datenflüsse.

Zukunftssichere OT-Security

Die Lösung wirkt über den konkreten Anwendungsfall hinaus. medi stärkt damit seine gesamte Cyberresilienz und bereitet sich auf steigende regulatorische Anforderungen vor.

Zugleich zeigt das Projekt exemplarisch, wie Industrieunternehmen mit Legacy-Systemen umgehen können. Der Schlüssel liegt nicht im radikalen Austausch, sondern in intelligenter Integration und klarer Kontrolle.

So wird aus einem Sicherheitsrisiko ein beherrschbarer Bestandteil der digitalen Produktion.