Definition und Funktionsweise:
Eine Demilitarized Zone (DMZ) ist ein speziell abgesicherter Netzwerkbereich, der zwischen zwei Netzwerken mit unterschiedlichen Sicherheitsanforderungen liegt – typischerweise zwischen dem Unternehmensnetzwerk (IT/Büro) und dem Fertigungsnetzwerk (OT/Maschinenhalle). Die DMZ ist von beiden Seiten durch Firewalls getrennt. Direkter Netzwerkverkehr von der IT in die OT (und umgekehrt) ist strengstens verboten. Jeglicher Datenaustausch muss zwingend über Server stattfinden, die innerhalb der DMZ stehen.
Relevanz für SPS und Automatisierungstechnik:
- Verhinderung von direktem Durchgriff: Ein Erpressungstrojaner (Ransomware), der sich im Büronetz ausbreitet, kann die SPS-Steuerungen nicht direkt erreichen, da die Firewall den Weg blockiert.
- Sicherer Datenaustausch: Sollen Produktionsdaten (z. B. Stückzahlen aus der SPS) an ein ERP-System im Büro gesendet werden, schreibt die SPS die Daten auf einen Proxy-Server oder eine Datenbank in der DMZ. Das ERP-System holt sich die Daten anschließend von dort ab.
- Sicherer Fernzugriff: Wartungstechniker, die per Remote Access auf die Steuerung zugreifen wollen, müssen sich zunächst auf einem Jump-Server in der DMZ authentifizieren, bevor die Verbindung zur Maschine freigegeben wird.
→ Siehe auch: Netzwerksegmentierung, IT/OT-Konvergenz, Remote Access (Sicherer Fernzugriff)

