Ihre Anlagen laufen rund um die Uhr. Jede Minute Stillstand kostet Tausende von Euro. Eine Sicherheitsverletzung bedeutet nicht nur den Diebstahl von Daten – sie kann zu unsicheren Betriebsbedingungen, dem Ausfall von Sicherheitsverriegelungen und zu körperlichen Schäden für die Mitarbeiter führen.

Dies ist die Realität der industriellen Cybersicherheit, und sie unterscheidet sich grundlegend von den Aufgaben, die Ihre IT-Abteilung am Ende des Flurs betreut.

Wenn eine Sicherheitsverletzung ein traditionelles Unternehmensnetzwerk trifft, bestehen die Auswirkungen meist in der Eindämmung und Wiederherstellung. Wenn sie jedoch ein OT-Netzwerk (Operational Technology) trifft – also die Systeme, die Ihre Generatoren, Kompressoren, Pumpen und Sicherheitssysteme steuern –, sind die Auswirkungen sofort spürbar, greifbar und physisch.

Dennoch behandeln viele Organisationen die OT-Sicherheit wie eine kleinere Variante der IT-Sicherheit. Das ist sie nicht. Cyber-physische Systeme weisen andere Bedrohungsmodelle, andere Risikotoleranzen und andere Verteidigungsanforderungen auf. Ein Patch, der Ihren geschäftlichen E-Mail-Server für eine Stunde lahmlegt, könnte Ihre Produktionslinie für eine ganze Schicht stilllegen. Im industriellen Betrieb ist dies absolut inakzeptabel.

Dieser Blog-Beitrag führt Sie durch die wesentlichen Unterschiede zwischen OT- und IT-Sicherheit, die realen Bedrohungen für Ihre Infrastruktur und die praktischen Sicherheitsmaßnahmen, die Sie benötigen, um kritische Systeme zu schützen, ohne den laufenden Betrieb zu stören.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blog-Beitrag zum Thema „Threat Intelligence Briefing: The Gentlemen Ransomware“ und zwar hier zu lesen.

1. WAS SIND CYBER-PHYSISCHE SYSTEME – UND WARUM SIE NICHT EINFACH NUR „IT“ SIND

Cyber-physische Systeme (CPS) sind Netzwerke, in denen IT-Systeme physische Prozesse in der realen Welt direkt steuern. In der Fertigung, der Energiewirtschaft, der Versorgung, der Wasseraufbereitung, der Chemie und im Transportwesen bilden CPS das Rückgrat des Betriebs.

Beispiele für cyber-physische Systeme in Ihrer Infrastruktur:

• Fertigung: Speicherprogrammierbare Steuerungen (PLC), Prozessleitsysteme (DCS), Manufacturing Execution Systems (MES) und Roboterarme, die über vernetzte Befehle gesteuert werden

• Energie & Versorgung: SCADA-Systeme zur Steuerung der Stromverteilung, Spannungsregler, Leistungsschalter und Erzeugungseinheiten

• Wasserwirtschaft: Kreiselpumpen, Aufbereitungsprozesse und Tankfüllstandsüberwachungen, die von industriellen Steuerungen geregelt werden

• Transport & Schienenverkehr: Signalsysteme, Weichenlogik und Zugsteuerungssysteme, die über Streckenkorridore hinweg vernetzt sind

• Öl & Gas: Pipeline-Drucksensoren, Ventilstellglieder und Durchflussregler, die an zentrale Überwachungsstationen angebunden sind

Ein klassisches IT-Netzwerk priorisiert Vertraulichkeit, Integrität und Verfügbarkeit (die CIA-Triade) gleichermaßen. Ein OT-Netzwerk priorisiert stattdessen primär Sicherheit (Safety) und Verfügbarkeit – die Vertraulichkeit ist hierbei oft sekundär.

Betrachten Sie den Unterschied:

• IT: Eine Sicherheitsverletzung, bei der Kundendaten offengelegt werden, ist ein Compliance-Albtraum, führt jedoch nicht zur sofortigen Einstellung des Geschäftsbetriebs.

• OT: Eine Sicherheitsverletzung, die Sensorwerte verfälscht oder Sicherheitsverriegelungen deaktiviert, gefährdet unmittelbar Menschenleben und stoppt die Produktion auf der Stelle.

Dieser Unterschied prägt sämtliche Aspekte der Absicherung von OT-Netzwerken.

2. DIE ENTSCHEIDENDEN UNTERSCHIEDE IN DEN BEDROHUNGSMODELLEN

Verfügbarkeit vor Vertraulichkeit

In der IT schützt Verschlüsselung die Daten während der Übertragung. In der OT kann Verschlüsselung Latenzen verursachen, die Echtzeit-Regelkreise stören. Ein SCADA-System, das eine Pumpe alle 100 Millisekunden ansteuert, toleriert keine Verschlüsselungsverzögerung von 500 Millisekunden – das System wird dadurch instabil oder unsicher.

Prioritätenfolge in der OT:

1. Sicherheit (Safety)

2. Verfügbarkeit

3. Integrität

4. Vertraulichkeit

Prioritätenfolge in der IT:

1. Vertraulichkeit

2. Integrität

3. Verfügbarkeit

Dies bedeutet, dass Ihre Verteidigungsstrategie gänzlich anders aufgebaut sein muss.

Legacy-Systeme bleiben jahrzehntelang im Einsatz

Ihre Unternehmens-Laptops werden alle 3 bis 5 Jahre ausgetauscht. Ihre industriellen Steuerungen laufen oft 20, 30 oder 50 Jahre lang. Eine im Jahr 2000 installierte PLC kann heute immer noch kritisch für Ihren Betrieb sein. Sie verfügt wahrscheinlich über keinerlei Antiviren-Funktionalität, keine Patch-Möglichkeiten und keine Verschlüsselungsunterstützung. Sie können sie nicht einfach wie ein Windows-System „patchen“.

Echtzeitanforderungen für die Steuerung

IT-Systeme tolerieren kurze Verzögerungen. OT-Systeme nicht. Eine Millisekunde Latenz in einem Regelkreis kann zu Schwingungen, unsicheren Rampenraten oder Geräteschäden führen. Daher können Sie nicht dieselben Ansätze für Intrusion Detection, VPN oder Monitoring nutzen – diese würden genau die Latenz verursachen, die Sicherheitssysteme ausfallen lässt.

Physische Konsequenzen

Wenn Ihr Webserver ausfällt, ist das für Kunden unpraktisch. Wenn Ihr sicherheitsgerichtetes System (SIS) aufgrund eines Cyberangriffs versagt, sterben im schlimmsten Fall Menschen. Dies verändert die Risikotoleranz und die Compliance-Verpflichtungen vollständig.

3. WARUM KLASSISCHE IT-SICHERHEITSMASSNAHMEN IN OT-UMGEBUNGEN SCHEITERN

Das Patch-Problem

In der IT: Ein kritischer Windows-Patch wird innerhalb von Stunden eingespielt. Neustarts werden geplant, getestet und akzeptiert.

In der OT: Die Erprobung, Planung und Bereitstellung eines PLC-Firmware-Updates dauert Monate. Sie können eine Produktionslinie nicht ohne detaillierte Produktionsplanung neu starten. Viele Legacy-Steuerungen wurden noch nie in ihrer Lebensdauer gepatcht.

Was stattdessen zu tun ist:

• Implementieren Sie eine Netzwerksegmentierung, um ungepatchte OT-Systeme von weniger kritischen Systemen zu isolieren

• Nutzen Sie kompensierende Sicherheitsmaßnahmen (Firewall-Regeln, Intrusion Prevention, Monitoring), anstatt sich ausschließlich auf Patches zu verlassen

• Setzen Sie auf Air-Gaps oder DMZ-Architekturen, um kritische Steuerungssysteme vom Unternehmensnetzwerk zu isolieren

Endpoint-Security ist nicht für die OT geeignet

Die Installation von Endpoint Detection and Response (EDR) auf einer PLC ist oft unmöglich. Der Agent verbraucht Speicherplatz und CPU-Ressourcen, die die Steuerung für sicherheitskritische Abläufe benötigt. Sie müssten sich praktisch zwischen Sicherheitsüberwachung und Betriebssicherheit entscheiden.

Was stattdessen zu tun ist:

• Wechseln Sie zu einer netzwerkbasierten Sichtbarkeit durch OT-spezifisches Netzwerk-Monitoring und Verkehrsanalysen

• Setzen Sie Deep Packet Inspection für Industrieprotokolle (Modbus, Profibus, DNP3, OPC) ein, um Anomalien agentenlos zu erkennen

• Nutzen Sie Verhaltens-Baselines, um Abweichungen ohne agentenbasierte Scanner zu identifizieren

Verschlüsselung stört Steuerungssysteme

Standardmäßige TLS-Verschlüsselung, wie sie in der IT genutzt wird, verursacht Latenzen. Einige Industrieprotokolle unterstützen überhaupt keine Verschlüsselung (Modbus, DNP3). Diese in TLS-Tunnel zu packen funktioniert zwar, verdoppelt jedoch die Latenz und verletzt Echtzeit-Garantien.

Was stattdessen zu tun ist:

• Segmentieren Sie Netzwerke so, dass unverschlüsselte Legacy-Protokolle hinter Firewalls verbleiben und niemals mit externen Netzwerken in Berührung kommen

• Nutzen Sie eine industrietaugliche Netzwerkzugriffskontrolle (NAC), um sicherzustellen, dass sich nur bekannte Geräte verbinden können

• Setzen Sie auf Network Cloaking (minimierte Netzwerksichtbarkeit), anstatt sich nur auf Verschlüsselung zu verlassen

Default-Deny-Regeln führen zu Betriebsunterbrechungen

In der IT ist eine Zero-Trust-Firewall-Regel, die unerwarteten Datenverkehr blockiert, ein Erfolg. In der OT kann dieselbe Regel einen legitimen Sensorwert oder einen Steuerungsbefehl blockieren und so dazu führen, dass Anlagen unkontrolliert oder in einen unsicheren Zustand abschalten.

Was stattdessen zu tun ist:

• Erstellen Sie Whitelisting-Regeln auf Basis von Industrieprotokollanalysen und nicht nur auf Basis von IP-/Port-Paaren

• Testen Sie jede Regeländerung vorab in einer Staging-Umgebung; Änderungen in der produktiven OT erfordern ein strenges Change Management

• Implementieren Sie richtlinienbasierte Kontrollmechanismen, die den Kontext industrieller Befehle verstehen, anstatt nur Quelle und Ziel zu prüfen

4. SPEZIFISCHE OT-BEDROHUNGEN UND ANGRIFFSVEKTOREN

Bedrohung 1: Unbefugter Geräteanschluss

Ein Wartungstechniker schließt einen Laptop an, um Fehler an einer Steuerung zu beheben. Dieser Laptop ist mit Schadsoftware infiziert. Die Schadsoftware verbreitet sich im gesamten OT-Netzwerk, da keine Netzwerkzugriffskontrolle (NAC) vorhanden ist, um unbekannte Geräte zu blockieren.