16. SEPTEMBER 2025

4 MIN.

In diesem Beitrag


Legacy by Design: Veraltete Betriebssysteme auf hochmodernen Shopfloors


Viele Windows-Nutzende sind in Aufruhr: ab 14. Oktober 2025 erhalten Geräte mit Windows 10 keinen Support und keine Sicherheitsupdates mehr. In der digitalisierten Industrie können Produktionsverantwortliche darüber nur müde lächeln. Hier laufen selbst neu ausgelieferte Maschinen noch mit weitaus älteren Betriebssystemen wie Windows XP, Windows CE oder sogar MS-DOS. Diese Kombination aus modernster Hardware und überholter Software ist kein Randphänomen – sondern oft systemisch bedingt. Für viele Unternehmen stellt sie ein schwer kalkulierbares Risiko dar.

Denn wo moderne Produktionsprozesse auf veraltete Steuerungsarchitekturen treffen, entstehen ernstzunehmende Schwachstellen, die sowohl das Sicherheitsniveau als auch Effizienzpotenziale massiv beeinflussen. In diesem Beitrag zeige ich, wie es zu solchen Konstellationen kommt, warum herkömmliche Schutzmaßnahmen nicht ausreichen – und mit welchen Lösungen sich Konnektivität und Sicherheit dennoch vereinen lassen.


Wie veraltete Systeme zum festen Bestandteil des Shopfloors werden

In der industriellen Fertigung sind Betriebssysteme kein Softwareprodukt, das im Zwei-Jahres-Zyklus ersetzt wird – sondern oft der technische Unterbau von Maschinen mit jahrzehntelanger Lebensdauer. Viele Produktionsanlagen, die heute ausgeliefert werden, enthalten Komponenten, deren Steuerungslogik auf Architekturen aus den 90er- oder frühen 2000er-Jahren basiert.

Die Ursachen liegen in den strukturellen Anforderungen des Maschinenbaus:

  • Maschinenhersteller setzen gerne auf bewährte Systeme, die langjährig in der Praxis getestet wurden, auch wenn diese aus IT-Sicht veraltet sind
  • Steuerungsarchitekturen sind meist einmalig für eine Maschinenserie validiert und zertifiziert – jede Änderung würde aufwändige Rezertifizierungen bedeuten, insbesondere in hoch regulierten Branchen wie Pharma oder Lebensmittel
  • Neue Hardware muss mit alten Plattformen kompatibel gehalten werden, um die Integration in den Anlagenbestand zu gewährleisten

Veraltete Softwarekomponenten entstehen also nicht aus technischer Not, sondern aus wirtschaftlichen und regulatorischen Logiken heraus – man könnte es als “Legacy by Design” bezeichnen.


Warum bleiben solche Systeme dann oft jahrzehntelang im Einsatz?

Selbst wenn eine Maschine bereits mit einem veralteten Betriebssystem ausgeliefert wurde, verbleibt sie häufig über Jahrzehnte im produktiven Einsatz. Auch hier gibt es strukturelle Gründe:

Lange Investitionszyklen: Maschinenlaufzeiten betragen oft 20-30 Jahre oder länger und die Investition ist entsprechend kalkuliert – ein Austausch nur wegen veralteter Software ist nicht wirtschaftlich

Kein Support mehr verfügbar: Hersteller liefern keine Updates, teils existieren sie gar nicht mehr

Hardwarebindung: Neuere Betriebssysteme sind inkompatibel mit bestehenden Komponenten und Steuerungslogik

Proprietäre Systeme ohne Upgradepfade: Ein hardwareseitiger Retrofit wäre mit massiven Umbauten und Stillstandsrisiken verbunden


“Legacy by Design”: ein zentrales Sicherheitsrisiko

Solche Maschinen arbeiten oft mit veralteten Protokollen wie SMBv1, Telnet oder OPC DA – allesamt ohne Verschlüsselung, ohne Authentifizierung, ohne zentrale Kontrollmechanismen. Sobald diese Systeme ins Netzwerk eingebunden werden, entsteht eine große Angriffsfläche – für unautorisierte Zugriffe und Malware, die sich im gesamten Unternehmensnetzwerk ausbreiten kann.

In Summe entsteht daraus ein dauerhaftes Sicherheitsrisiko, das sich durch herkömmliche Maßnahmen wie Netzwerksegmentierung nicht ausreichend mitigieren lässt.


Das Spannungsfeld zwischen Konnektivität und Sicherheit

Parallel zu diesen Risiken wächst in der Industrie 4.0 jedoch der Druck zur Digitalisierung und Vernetzung. Moderne Fertigungslinien erzeugen kontinuierlich Daten – über Sensoren, Steuerungen oder HMI-Systeme. Diese Informationen sind die Grundlage für zahlreiche datengetriebene Anwendungen: von Analyse und Optimierung der Overall Equipment Effectiveness (OEE) über Predictive Maintenance und Energiemanagement bis hin zu Qualitätsüberwachung und Rückverfolgbarkeit.

Doch damit diese Datenströme angezapft werden können, müssen alle relevanten Maschinen eingebunden sein – auch solche, die mit veralteten Betriebssystemen, Windows CE oder XP betrieben werden. Und hier beginnt das eigentliche Dilemma: Aus Sicherheitsgründen müssen die veralteten Systeme oftmals vom restlichen Netzwerk getrennt werden. Diese Isolation verhindert aber zugleich die Datenanbindung – und damit jedes Optimierungspotenzial.

Zwar setzen viele Unternehmen schon auf klassische Schutzmaßnahmen wie VLANs zur Netzwerksegmentierung – doch diese benötigen geöffnete Netzwerk-Ports zur Kommunikation, die wiederum eine Schwachstelle bedeuten.

Die Folge ist ein täglicher Zielkonflikt in vielen Betrieben: Die Notwendigkeit, Produktionsdaten umfassend zu erfassen und auszuwerten, steht der Pflicht zur Absicherung veralteter Systeme gegenüber. Was fehlt, ist ein Ansatz, der beides erlaubt – sichere Einbindung, ohne das Bestandssystem hardware- oder softwareseitig aktualisieren zu müssen.


Lösungsansatz: Homogenisierung bei gleichzeitiger Abschirmung

Die von TRIOVEGA entwickelte OT-Sicherheitslösung edge.SHIELDOR bietet einen Ansatz, der ohne Eingriffe in die Maschinen auskommt: Basierend auf einem abschirmenden Sicherheitslayer ähnlich des Air Gap-Prinzips werden die Altanlagen vom restlichen Netzwerk entkoppelt – bei gleichzeitiger Integration in die vernetzte Produktionslandschaft.

Eine zentrale Rolle spielt dabei die Protokollumwandlung: Veraltete Protokolle wie SMBv1 oder OPC DA, die aus heutiger Sicht als unsicher gelten, werden in kontrollierten Umgebungen in aktuelle Standards wie SMBv3 oder OPC UA übersetzt. So kann etwa eine Datei aus dem IT-Netzwerk, die in SMBv3 bereitgestellt wurde, in das von der Altmaschine geforderte SMBv1-Format überführt werden – ohne dass dabei eine direkte Verbindung mit unkontrolliertem Zugriff entsteht.

Bei der Übertragung erfolgt eine automatisierte Malware-Prüfung, um potenzielle Bedrohungen vor dem Eintritt ins OT-Netzwerk zu isolieren. Die Kommunikation wird dabei ausschließlich über definierte, überwachte Kanäle ermöglicht, die den direkten Zugriff auf das Bestandssystem unterbinden.

Sauber integriert in die bestehende Benutzerverwaltung entsteht so eine Sicherheitsarchitektur, die heterogene Maschinenparks sicher in die digitalisierte Produktionsumgebung einbindet und Daten über homogenisierte Schnittstellen verfügbar macht – und gleichzeitig die Cyberresilienz deutlich erhöht.


Wenn Sie wissen möchten, wie edge.SHIELDOR auch in Ihrer Produktionsumgebung OT-Netzwerke sichern und wertvolle Daten erschließen kann, buchen Sie einen kostenlosen Beratungstermin. Unsere Experten beantworten Ihnen gerne alle Fragen zu unseren innovativen Lösungen für eine sichere und optimierte Industrie 4.0.

Autor: Mareikke Redder

Mareike Redder ist seit 2018 als IT-Ingenieurin bei der TRIOVEGA GmbH tätig und seit 2022 für das Produktmanagement verantwortlich.

BUCHEN SIE IHR UNVERBINDLICHES BERATUNGSGESPRÄCH

Sie wollen mehr über unsere Produkte
und Lösungen erfahren?

edge.SHIELDOR

Ganzheitliche OT Sicherheit für Industrieanlagen, die Datenkonnektivität
ermöglicht und nachhaltig Kosten senkt

MEHR ERFAHREN

service.factoryINSIGHTS

Potenziale entdecken und Produktionsprozesse nachhaltig optimieren
mit unserer Data Science-Expertise

MEHR ERFAHREN

Das könnte Sie auch interessieren:

Bleiben Sie immer
informiert

Newsletter abonnieren

© 2025 TRIOVEGA GmbH.
All rights reserved.

Persönlichen Termin vereinbaren
Kontakt