Kein VPN, kein Agent, kein Problem: IXT bringt Zero Trust direkt in die SIM-Karte

VPNs stoßen in IoT- und OT-Umgebungen strukturell an ihre Grenzen. Der norwegische IoT-Spezialist IXT zeigt gemeinsam mit Zscaler, Illumio und Shift Security, wie Zero-Trust-Sicherheit direkt auf SIM-Ebene aussehen kann.

Das VPN-Problem: Vertrauen als Schwachstelle

Ein Gerät verbindet sich, liefert die richtigen Zugangsdaten, und ist drin. Was danach passiert, kontrolliert ein klassisches VPN kaum noch. Genau darin liegt das strukturelle Problem für industrielle Umgebungen: Ein kompromittiertes Gerät, ein Wartungstechniker mit zu breitem Zugang, ein Auftragnehmer mit einem veralteten Laptop – sie alle landen im selben Netzwerksegment und können sich dort bewegen.

Henning Solberg, CTO und Mitgründer von IXT, bringt es auf den Punkt: „VPNs wurden gebaut, um Laptops mit Unternehmensnetzwerken zu verbinden. Nicht für tausende Geräte in Energienetzen, Wasserwerken oder auf Fabrikböden.“

Der Unterschied ist nicht trivial. Ein Laptop hat ein Betriebssystem, auf dem sich ein VPN-Client installieren lässt. Eine Pumpensteuerung, ein Sensor in einer Rohrleitung oder ein Zähler in einem Stromnetz hat das nicht. Solche Geräte werden headless betrieben, also ohne Benutzeroberfläche und ohne die Möglichkeit, Software nachzurüsten. Klassische VPN-Architektur ist für diese Welt schlicht nicht ausgelegt.

Was Zero Trust konkret bedeutet

Zero Trust Network Access, kurz ZTNA, dreht das Vertrauensprinzip um. Statt einmaliger Authentifizierung an der Netzwerkgrenze wird jede Verbindung einzeln bewertet: Welches Gerät will mit welchem Ziel kommunizieren, zu welchem Zeitpunkt, und ist das nach geltender Policy zulässig? Vertrauen wird nicht vorausgesetzt, sondern kontinuierlich geprüft.

Bei der IXT-Lösung passiert das auf einer tiefen Ebene: direkt in der SIM-Karte. IXT betreibt als sogenannter Full-MVNO, also als virtueller Mobilfunknetzbetreiber mit eigenem Kernnetz, eine Infrastruktur über mehr als 600 Mobilfunknetze in über 190 Ländern. Der gesamte Datenverkehr cellular-verbundener Geräte soll dabei durch die Zscaler Zero Trust Exchange geleitet werden, wo er geprüft und policy-kontrolliert wird, bevor er sein Ziel erreicht. Keine offenen Ports auf der Gegenseite, keine VPN-Tunnel, kein Software-Agent auf dem Gerät.

Das ist der entscheidende Unterschied zu einem Private APN, einem privaten Zugangspunkt im Mobilfunknetz, der Traffic isoliert, aber kein aktives Urteil darüber fällt, was innerhalb des isolierten Bereichs passiert. Isolation ist nicht dasselbe wie Kontrolle. Oder wie IXT es formuliert: „Ein Private APN gibt dir Isolation. Zero Trust gibt dir Kontrolle und Sichtbarkeit on top.“

Vier Funktionen, ein konkretes Beispiel

Die Integration umfasst vier Kernfunktionen. ZTNA begrenzt den Netzwerkzugang jedes Geräts auf das für seinen Betrieb notwendige Minimum. Privileged Remote Access, zu Deutsch privilegierter Fernzugriff, ermöglicht Technikern und externen Dienstleistern browser-basierten Zugang zu genau einer bestimmten Maschine, zeitlich begrenzt und vollständig aufgezeichnet, ohne VPN-Client-Verteilung. Dynamic Firewall Inspection prüft den gesamten Traffic in Echtzeit am Netzwerkrand. Malware- und Sandboxing-Funktionen scannen Dateiübertragungen und isolieren verdächtige Inhalte vor der Weiterleitung.

Das Praxisbeispiel macht den Unterschied greifbar: Ein Servicetechniker einer Wartungsfirma braucht Zugang zu einer spezifischen Steueranlage. Statt eines VPN-Clients, der ihm Zugang zu einem ganzen Netzwerksegment verschafft, authentifiziert er sich über ein Webportal und landet direkt vor der einen Maschine, für die er zuständig ist. Die Session läuft ab, die Verbindung schließt sich. Kein Zugang zu angrenzenden Systemen, keine dauerhaften Credentials, die irgendwo verwaltet werden müssen.

Das Sichtbarkeitsproblem in gewachsenen OT-Umgebungen

Zero Trust klingt nach einem klaren Konzept. Die Umsetzung in der Praxis ist komplizierter, besonders in industriellen Umgebungen, die über Jahrzehnte gewachsen sind. Dokumentationen sind veraltet, Abhängigkeiten zwischen Systemen ungeklärt, und niemand kann mit Sicherheit sagen, welches Gerät mit welchem anderen kommuniziert.

Genau hier setzt Illumio an, das dritte technische Element der Lösung neben IXT und Zscaler. Illumio ist spezialisiert auf Mikrosegmentierung, also die granulare Aufteilung von Netzwerken in kleine, kontrollierte Segmente, und Traffic-Mapping. Im sogenannten Lernmodus beobachtet das System über einen definierten Zeitraum alle realen Kommunikationsflüsse zwischen Geräten, Anwendungen und Systemen, ohne dabei Policies zu erzwingen. Das Ergebnis ist eine detaillierte Karte der tatsächlichen Verbindungen.

Auf dieser Grundlage lassen sich Zero-Trust-Policies entwickeln, die auf realen Betriebsmustern basieren statt auf Annahmen. Unnötige oder riskante Verbindungen werden identifiziert und schrittweise abgebaut. Der Ansatz soll Zero Trust in Umgebungen einführbar machen, in denen ein vollständiger Überblick zu Beginn schlicht nicht existiert. Hinzu kommt: Zero Trust erfordert keine vollständige Policy-Definition im Voraus. Die meisten Betreiber starten mit Sichtbarkeit – also dem Mapping tatsächlicher Kommunikationsflüsse – und definieren Regeln schrittweise.

NIS2 als regulatorischer Treiber – und ein wachsender Markt

Die EU-Richtlinie NIS2, die aktuell in nationales Recht der Mitgliedstaaten überführt wird, verschärft die Anforderungen an die Cybersicherheit kritischer Infrastrukturen erheblich. Neu ist unter anderem die persönliche Haftung von Vorständen und Management bei Verstößen. Betroffen sind Sektoren wie Energie, Wasserversorgung, Industrieproduktion und Transportinfrastruktur.

IXT ist dabei nicht der einzige Anbieter, der auf diesen Druck reagiert. Zscaler hat im Juli 2025 mit „Zscaler Cellular“ ein eigenständiges Produkt auf Basis derselben Plattform gelauncht und arbeitet dabei mit eigenen Telekommunikationspartnern zusammen. Netskope hat seine universelle ZTNA-Lösung ebenfalls auf agentlose IoT- und OT-Geräte ausgeweitet. Ericsson und OneLayer haben gemeinsam eine Zero-Touch-Zero-Trust-Lösung speziell für private Mobilfunknetze vorgestellt. Das Thema bewegt sich, und die Ansätze ähneln sich in den Grundprinzipien.

Was IXT einbringt, ist die Kombination aus eigenem MVNO-Kernnetz, Zscaler-Traffickontrolle, Illumio-Segmentierung und der Implementierungskompetenz von Shift Security, einem norwegischen Spezialisten für Zero-Trust-Architektur. Nach Angaben von IXT ist Zscaler GDPR-konform und personenbezogene Daten werden in der EU gespeichert.

Architektur statt Einzelprodukt

Was diese Lösung letztlich beschreibt, ist weniger ein fertiges Produkt als eine Architektur: Konnektivität, Traffickontrolle, Sichtbarkeit und Implementierung als aufeinander abgestimmte Schichten. Ob dieser gebündelte Ansatz gegenüber direkten Angeboten einzelner Anbieter einen Vorteil darstellt, hängt stark vom konkreten Umfeld ab.

Für Betreiber kritischer Infrastruktur, die unter NIS2-Druck stehen und weder die Ressourcen noch das interne Know-how haben, jede Komponente einzeln zu evaluieren, kann ein solches Gesamtpaket pragmatisch sein.