Moore beschreibt ein Grundproblem vieler OT-Installationen: Betreiber gingen oft davon aus, dass ein Gerät hinter einer Firewall automatisch innerhalb eines geschützten Perimeters liege. In der Praxis hätten viele Systeme aber zusätzliche Kommunikationswege. Als Beispiel nennt er Feldgeräte in der OT, die Fernzugriff über eine Mobilfunkverbindung erlauben. Solche Verbindungen könnten Angreifern zusätzliche Zugänge eröffnen, insbesondere wenn internetfähige Geräte verwundbare Komponenten enthalten.
Nach Moores Darstellung zerfällt Segmentierung in zwei Modelle: klassische Segmentierung und Mikrosegmentierung. Bei der klassischen Variante stehen physische Geräte hinter einer Firewall. Mikrosegmentierung setzt dagegen auf einen Agenten auf dem einzelnen System, sodass jede Maschine gewissermaßen eine eigene kleine Firewall erhält und nur mit freigegebenen Systemen, Anwendungen oder Geräten kommuniziert.
Beide Ansätze haben aus seiner Sicht in OT erhebliche Schwächen. Klassische Segmentierung verliere ihren Wert, wenn Geräte hinter der Firewall dennoch nach außen kommunizieren können. Als praktisches Beispiel nennt Moore einen Techniker, der ein WLAN-fähiges Notebook in die Produktionsumgebung mitbringt und direkt ans Netz anschließt. Ein unverwalteter Laptop könne Malware oder andere ernste Bedrohungen in die Umgebung tragen. Moore formuliert es drastisch: Klassische Segmentierung sei so häufig unterlaufen, dass sich fast immer ein Weg an der Firewall vorbei finden lasse.
Bei der Mikrosegmentierung sieht er ein anderes Hindernis. Viele Fabrikmaschinen und OT-Geräte ließen sich nicht mit zusätzlichem Schutz ausstatten, weil Betreiber die dafür nötigen Unterbrechungen nicht riskieren könnten. Gerade bei kritischen Patches oder Schutzkomponenten sei Ausfallzeit nicht akzeptabel. Damit bleibe am Ende oft doch nur eine große Firewall als Trennlinie.
Hinzu kommt laut Moore ein Spannungsfeld zwischen Herstellern und Anwendern. Firewall-Anbieter versprächen Schutz durch ihre Produkte, doch Nutzer empfänden die Einschränkungen im Alltag häufig als lästig und suchten Umgehungen. Solche Bequemlichkeitslösungen zerstörten die beabsichtigte Trennung. Selbst wenn die Firewall physisch noch vorhanden sei, verliere sie ihre Schutzwirkung, sobald der Datenverkehr um sie herumgeleitet werde.
Moore äußert zudem Zweifel an der Zuverlässigkeit vieler Segmentierungsprodukte selbst. Gerade die Firewalls, die häufig für Segmentierung eingesetzt würden, seien in den vergangenen drei Jahren auch besonders oft ausgenutzt worden. Er nennt Palo Alto und Fortinet als Beispiele, die wiederholt in den Nachrichten aufgetaucht seien. Das sei problematisch, weil Firewalls oft den ersten Einstiegspunkt in eine Organisation darstellten.
Trotz dieser Kritik hält auch Winebrenner Segmentierung für sinnvoll – allerdings nur als laufende Betriebsaufgabe. Ein einmal erstelltes Netzdiagramm reiche nicht aus, weil es schon kurz nach seiner Erstellung veraltet sein könne. Angreifer arbeiteten nicht gegen eine statische Skizze, sondern gegen das tatsächlich vorhandene Netz. Deshalb müsse Segmentierung fortlaufend überprüft, überwacht und verwaltet werden.
Diese Sicht deckt sich mit einer gemeinsamen CISA-Handreichung aus dem April mit dem Titel „Adapting Zero Trust Principles to Operational Technology“. Darin betont CISA, dass Netzsegmentierung eine der grundlegendsten und wirksamsten Sicherheitskontrollen in OT-Umgebungen sei und eng mit Zero-Trust-Prinzipien zusammenhänge. Gleichzeitig warnt die Behörde, dass sich Zero Trust aus der IT nicht einfach auf OT übertragen lasse, weil dort Altmaschinen, hohe Anforderungen an Verfügbarkeit und Softwareeinschränkungen den Rahmen vorgeben.
Moore verweist außerdem auf wirtschaftliche Grenzen. Unternehmen könnten es oft nicht bezahlen, jedes Fabrikgerät oder Lüftungssystem mit eigener Netzinfrastruktur auszustatten. Zudem müssten viele Geräte weiterhin miteinander kommunizieren. Gerade wegen zahlreicher Altanlagen in Fabriken und Kraftwerken, die weder Patches noch Hersteller-Updates erhalten, sei oft unklar, was sich überhaupt sinnvoll filtern oder abtrennen lasse.
Ein weiterer Punkt: Verbindungen in OT funktionieren laut Moore nicht nur in eine Richtung. Segmentierung schütze etwa nicht vor einem kompromittierten Kunden, der dasselbe VPN nutze wie die Organisation. Er rät deshalb dazu, Protokolle von Endpoint Detection and Response auszuwerten und nach Verbindungen zu unbekannten IP-Adressen zu suchen, um deren Ursache zu klären.
Sein Fazit: Segmentierung werde häufig überstrapaziert. Wenn schützenswerte Systeme zwar in ein segmentiertes Netz verschoben, dort aber alle gemeinsam untergebracht würden, genüge die Kompromittierung eines einzigen Systems, um den Schutzgedanken zu unterlaufen.