OT-Cybersicherheits-FAQs

OT-Security schützt jene Systeme, die industrielle Prozesse steuern, einschließlich PLCs, SCADA, HMIs und Sensoren sowie die sie verbindenden Netzwerke. Ihr primäres Ziel ist es, die Betriebssicherheit, Zuverlässigkeit und Verfügbarkeit zu gewährleisten, wobei physische Sicherheit (Safety) und Systemlaufzeiten höchste Priorität vor der Vertraulichkeit haben. Moderne OT-Infrastrukturen sind durch Legacy-Geräte, zunehmende Vernetzung und externe Wartungszugriffe von Drittanbietern erhöhten Risiken ausgesetzt. Eine effektive OT-Security setzt auf lückenlose Asset-Inventarisierung, Netzwerksegmentierung, spezialisiertes Monitoring, sichere Fernzugriffe, ein OT-spezifisches Patch- und Änderungsmanagement, vordefinierte Incident-Response-Playbooks sowie eine an der IEC 62443 ausgerichtete Governance. Beginnen Sie mit einer anlagenbasierten Risikoanalyse und priorisieren Sie Maßnahmen zur Behebung jener Schwachstellen, die die Betriebssicherheit gefährden oder zu ungeplanten Stillstandszeiten führen können.

OT-Sicherheitsbewertungen in Live-Umgebungen müssen mit passiven Verfahren durchgeführt werden, wobei Network Taps oder SPAN-Ports eingesetzt werden, um den Datenverkehr zu erfassen und zu analysieren, ohne Pakete in das OT-Netzwerk einzuspeisen. Die Asset-Erkennung erfolgt durch passive Traffic-Analyse statt durch aktives Scanning, da dieses PLCs und RTUs zum Absturz bringen oder ein unvorhersehbares Verhalten verursachen kann. Physische Begehungen, Konfigurationsprüfungen, die Analyse von Dokumentationen sowie Mitarbeiterinterviews ergänzen die technische Datenerhebung. Architekturprüfungen bewerten Netzwerksegmentierung, Zugriffskontrollen und Konfigurationen des Remote-Zugriffs. Schwachstellenbewertungen konzentrieren sich auf bekannte CVEs, die für die identifizierten OT-Assets relevant sind. Alle Bewertungsaktivitäten werden mit den Betriebsteams abgestimmt; während der Vor-Ort-Arbeiten gilt in der Regel eine Änderungssperre oder ein Sicherheitsbeobachter-Protokoll.

Ransomware-Angriffe auf Industrieunternehmen zielen selten direkt auf OT-Systeme ab; typischerweise beginnen sie in der IT und gelangen aufgrund unzureichender Netzsegmentierung in die OT. Zu den häufigsten Einstiegspunkten zählen Phishing-E-Mails, die IT-Endpunkte kompromittieren, gefolgt von lateraler Bewegung in Richtung Engineering-Workstations, Historian-Server oder Fernzugriffsinfrastruktur. Auch die Ausnutzung ungepatchter Schwachstellen in VPN-Appliances, RDP-Diensten und internetseitig exponierten Anwendungen wird häufig beobachtet. Sobald Angreifer in der IT Fuß gefasst haben, bewegen sie sich über flache oder unzureichend segmentierte Netzwerke, gemeinsam genutzte Anmeldedaten zwischen IT und OT sowie Legacy-Windows-basierte HMI-Systeme ohne Endpoint-Schutz in Richtung OT. Der Angriff auf Colonial Pipeline im Jahr 2021, der die Kraftstoffversorgung der US-Ostküste zum Erliegen brachte, folgte genau diesem IT-zu-OT-Vorgehen.

Die am weitesten verbreiteten Frameworks für OT-Sicherheit sind IEC 62443 (für industrielle Automatisierungs- und Steuerungssysteme), NIST SP 800-82 (Leitfaden für ICS-Sicherheit) und das NIST Cybersecurity Framework. Die Normenreihe IEC 62443 ist besonders umfassend; sie adressiert die Sicherheit auf System-, Komponenten- und organisatorischer Ebene und definiert Security Levels (SL 1–4), die Organisationen dabei unterstützen, Sicherheitsinvestitionen risikogerecht auszurichten. Für Unternehmen im Energiesektor (insbesondere im Kontext von KRITIS) ist zudem NERC CIP ein verbindliches Compliance-Framework. Die meisten ausgereiften OT-Sicherheitsprogramme nutzen eine Kombination aus IEC 62443 für die technische Architektur sowie das Lebenszyklusmanagement und dem NIST CSF für Governance und Programmbewertung. Die Wahl des passenden Frameworks hängt vom jeweiligen Industriesektor, den regulatorischen Verpflichtungen (wie dem IT-Sicherheitsgesetz) und dem organisatorischen Reifegrad ab.

Die Sicherheit von SCADA (Supervisory Control and Data Acquisition) umfasst die Richtlinien, Technologien und Prozesse, die zum Schutz von Leit- und Überwachungssystemen eingesetzt werden, welche kritische industrielle Prozesse überwachen und steuern – von der Verteilung im Stromnetz und der Wasseraufbereitung bis hin zu Ölpipelines und Fertigungslinien. Ein erfolgreicher Cyberangriff auf SCADA-Infrastrukturen kann zu physischen Schäden, Produktionsstillständen, Sicherheitsvorfällen und sogar zum Verlust von Menschenleben führen. Anders als IT-Systeme, bei denen die Vertraulichkeit im Vordergrund steht, priorisieren SCADA-Umgebungen die Verfügbarkeit und die Betriebssicherheit; daher sind herkömmliche IT-Sicherheitsansätze nicht ausreichend. Unternehmen müssen zweckgerichtete OT-Sicherheitsstrategien implementieren, die Altsysteme, Echtzeit-Anforderungen im Betrieb sowie die möglichen physischen Folgen eines Sicherheitsvorfalls berücksichtigen.

Moderne SCADA-Umgebungen sind einem breiten Spektrum an Bedrohungen ausgesetzt. Ransomware-Gruppen wie ALPHV und LockBit haben aktives Interesse an OT-Umgebungen gezeigt und verschlüsseln häufig Engineering-Workstations, um die Produktion lahmzulegen. Staatlich gelenkte Akteure (Nation-State Actors), darunter Volt Typhoon und Sandworm, nehmen SCADA-Systeme gezielt für Spionage und die strategische Vorpositionierung ins Visier. Innentäter-Bedrohungen (Insider Threats), die Ausnutzung von Fernzugriffen (VPN-Schwachstellen, exponiertes RDP), die Kompromittierung der Lieferkette durch Software-Updates von Drittanbietern sowie Phishing-Kampagnen gegen Personal mit SCADA-Zugriffsberechtigungen gehören zu den gängigsten Angriffsvektoren. Zudem bleibt die Ausnutzung von Legacy-Protokollen wie Modbus, DNP3 und OPC-DA in Umgebungen, die ihre Kommunikationsarchitektur noch nicht modernisiert haben, ein hochrelevantes Sicherheitsrisiko gemäß aktuellen KRITIS-Standards.

Der grundlegende Unterschied liegt in den Prioritäten und den daraus resultierenden Konsequenzen. In der klassischen IT wird das CIA-Triaden-Modell – Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability) – genau in dieser Reihenfolge angewendet. In SCADA/OT-Umgebungen haben Verfügbarkeit und Integrität jedoch Vorrang vor der Vertraulichkeit, da Systemausfälle zu Produktionsausfällen, Sicherheitsrisiken oder Verstößen gegen gesetzliche Auflagen (z. B. gemäß dem IT-Sicherheitsgesetz/KRITIS-Vorgaben) führen können. OT-Systeme nutzen häufig proprietäre Protokolle (Modbus, DNP3, EtherNet/IP), laufen auf Legacy-Hardware, die nicht ohne Auswirkungen auf den Betrieb gepatcht oder neu gestartet werden kann, und weisen Lebenszyklen von mehreren Jahrzehnten auf. Da OT-Umgebungen über direkte cyber-physische Schnittstellen verfügen, kann eine kompromittierte PLC ein Ventil öffnen, ein Sicherheitssystem auslösen oder physische Maschinen zerstören. Dies bedingt eine fundamental andere Risikotoleranz und Sicherheitsarchitektur im Vergleich zur herkömmlichen IT-Sicherheit.

Die Normenreihe IEC 62443 ist ein von der ISA entwickeltes und von der IEC übernommenes internationales Standardwerk, das einen umfassenden Rahmen für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS) bietet. Sie ist auf drei Akteursrollen ausgerichtet – Anlagenbetreiber (Asset Owner), Systemintegratoren und Produkthersteller – und adressiert die Cybersicherheit auf vier Ebenen: Richtlinien und Verfahren, Systemanforderungen, Komponentenanforderungen sowie Systemintegration. Die Norm definiert Sicherheitsstufen (Security Levels, SL 1–4), die einer zunehmenden Komplexität von Bedrohungen entsprechen, sodass Unternehmen ihre Sicherheitsinvestitionen präzise auf das tatsächliche Risiko abstimmen können. Die IEC 62443 hat sich als maßgebliche globale Referenz etabliert, da sie speziell für OT-Umgebungen entwickelt wurde, technologieneutral ist, mit den regulatorischen Anforderungen verschiedener Sektoren – insbesondere im Bereich der Kritischen Infrastrukturen (KRITIS) gemäß BSI-Vorgaben – übereinstimmt und einen Lebenszyklus-Ansatz für die Sicherheit von der Entwicklung bis zur Außerbetriebnahme bietet.

Die Sicherheitsstufen (Security Levels) nach IEC 62443 definieren das erforderliche Schutzniveau gegenüber fortschreitend versierten Angreifern. SL 1 bietet Schutz vor zufälligen oder unbeabsichtigten Bedrohungen. SL 2 adressiert vorsätzliche Angriffe durch Akteure mit geringer technischer Expertise, die öffentlich verfügbare Werkzeuge nutzen. SL 3 richtet sich gegen hochentwickelte Angreifer mit spezifischen ICS-Ressourcen und -Kenntnissen. Das selten erforderliche SL 4 schützt vor Bedrohungen auf staatlicher Ebene (Nation-State) mit nahezu unbegrenzten Ressourcen. Betreiber (Asset Owner) nutzen Soll-Sicherheitsstufen (Security Level targets, SL-T), um den auf Basis einer Risikoanalyse notwendigen Schutzbedarf zu definieren, und messen die erreichten Ist-Sicherheitsstufen (Security Levels achieved, SL-A) an diesen Vorgaben. Dieses Framework verhindert Über- oder Unterinvestitionen in die IT-Sicherheit, indem es Sicherheitsmaßnahmen (Controls) direkt mit den Bedrohungsszenarien verknüpft, die für die jeweilige Zone und den jeweiligen Verbindungskanal (Conduit) innerhalb der industriellen Umgebung relevant sind.

Das Zone-and-Conduit-Modell (Zonen- und Leitungsmodell) ist ein zentrales Architekturkonzept der IEC 62443. Es bietet eine Methodik zur Segmentierung von OT-Systemen, um die Ausbreitung von Cyber-Bedrohungen zu begrenzen. Eine Zone ist eine Gruppierung von Assets mit ähnlichen Sicherheitsanforderungen und betrieblichen Funktionen – beispielsweise eine PLC-Zone, eine HMI-Zone, eine Historian-Zone und eine Zone für Sicherheitssteuerungen (SIS). Ein Conduit ist ein definierter Kommunikationspfad zwischen diesen Zonen, der spezifischen Sicherheitskontrollen unterliegt. Die Implementierung des Modells beginnt mit der Erstellung eines Netzwerktopologie-Diagramms und der Identifikation aller Assets sowie deren Kommunikationsbeziehungen. Die Assets werden basierend auf ihren Sicherheitsanforderungen in Zonen gruppiert. Anschließend werden die Conduits mit entsprechenden Sicherheitsmaßnahmen definiert – wie Firewalls, Access Control Lists (ACLs) oder datenrichtungsbezogenen Kopplern (Unidirectional Gateways) –, abgestimmt auf die Sicherheitsstufen (Security Levels) der Zonen, die sie miteinander verbinden.

Eine IEC 62443-Zertifizierung ist gesetzlich nicht allgemein vorgeschrieben, wird jedoch zunehmend von Industriekunden, Betreibern Kritischer Infrastrukturen und Regulierungsbehörden als Voraussetzung für Geschäftsabschlüsse oder für den Erhalt von Betriebsgenehmigungen verlangt. In der Europäischen Union verweisen die NIS2-Richtlinie und der bevorstehende Cyber Resilience Act auf IEC 62443 als empfohlene Norm für die Sicherheit von OT- und Embedded-Systemen. In Branchen wie Öl und Gas, der Chemie- und der Pharmaindustrie verlangen große Betreiber im Rahmen der Lieferantenqualifizierung routinemäßig eine IEC 62443-Zertifizierung von Systemintegratoren und Ausrüstungslieferanten. Auch wenn sie rechtlich nicht vorgeschrieben ist, bietet die Zertifizierung erhebliche kommerzielle Vorteile sowie Vorteile im Risikomanagement.

Eine sichere industrielle Netzwerkarchitektur basiert auf mehreren grundlegenden Komponenten. Die Netzwerksegmentierung gemäß dem Purdue-Modell oder der Zonen- und Leitungs-Methodik (Zones and Conduits) nach IEC 62443 trennt die OT-Bereiche strikt von der Unternehmens-IT und dem Internet. Speziell für OT-Protokolle (Modbus, DNP3, EtherNet/IP, PROFINET) entwickelte Industrial Firewalls steuern den Datenverkehr zwischen den Zonen mittels Deep Packet Inspection, welche die Semantik von ICS-Protokollen präzise versteht. Eine industrielle DMZ hostet Datenaustauschdienste, die als Brücke zwischen IT und OT dienen, ohne direkte Verbindungen zuzulassen. Unidirektionale Sicherheitsgateways (Datendioden) erzwingen bei Bedarf einen einseitigen Datenfluss. OT-sensitive Netzwerksicherheits-Monitoring-Lösungen bieten passive Transparenz über den gesamten Datenverkehr, erkennen Anomalien und identifizieren unbefugte Kommunikationsversuche gemäß den gängigen KRITIS-Vorgaben.

Die IT/OT-Netzwerksegmentierung sollte als Defense-in-Depth-Architektur (Tiefenverteidigung) implementiert werden und nicht nur als einzelne Firewall-Grenze. Das Standarddesign sieht einen mehrschichtigen Ansatz vor: Eine industrielle DMZ trennt das OT-Netzwerk vom Corporate-IT-Netzwerk, wobei separate Firewalls sowohl auf der IT- als auch auf der OT-zugewandten Seite der DMZ eingesetzt werden. Innerhalb des OT-Netzwerks trennt eine weitere Segmentierung funktionale Zonen wie Steuerungssysteme (SPS/SCADA), Feldgeräte, Sicherheitssysteme (SIS) und Engineering-Workstations, um laterale Bewegungen im Falle einer Kompromittierung einer Zone zu begrenzen. Die Kommunikation zwischen den Zonen ist auf das betrieblich Notwendigste zu beschränken, wobei die Regeln in einer Netzwerk-Zugriffskontrollmatrix zu dokumentieren sind. Bidirektionale Firewall-Regeln sollten regelmäßig überprüft und auf Basis von Ist-Verkehrsdaten (Traffic Baseline) restriktiv angepasst werden.

Die OT-Protokoll-sensitive Deep Packet Inspection (DPI) ist eine Firewall- und Überwachungsfunktion, die in der Lage ist, die Inhalte industrieller Kommunikationsprotokolle wie Modbus, DNP3, EtherNet/IP, OPC UA und PROFINET auf der Anwendungsschicht (Application Layer) zu parsen und zu prüfen. Reine IT-Firewalls können den industriellen Datenverkehr lediglich auf IP-/Port-Ebene analysieren. Dies ist jedoch unzureichend, da viele OT-Angriffe legitime Protokollbefehle nutzen, um Geräte zu manipulieren. Ein Modbus-Schreibbefehl auf ein nicht autorisiertes Speicherregister wird von einer herkömmlichen Firewall als legitimer Datenverkehr eingestuft. Eine OT-Protokoll-sensitive DPI hingegen kann spezifische Funktionscodes, Adressbereiche und Datenwerte erkennen und blockieren, die basierend auf einer gelernten Baseline des Normalbetriebs anomal oder unautorisiert sind. Dies ist eine essenzielle Maßnahme zum Schutz der PLC-Kommunikation und zur Verhinderung von Command-Injection-Angriffen gemäß den KRITIS-Sicherheitsstandards.

Drahtlose Kommunikation in industriellen Umgebungen birgt erhebliche Sicherheitsrisiken, wenn sie nicht ordnungsgemäß konzipiert und verwaltet wird. Nicht autorisierte WLAN-Zugangspunkte (Rogue Access Points), die von Wartungspersonal oder externen Dienstleistern aus Bequemlichkeit installiert werden, schaffen unüberwachte Einfallstore in OT-Netzwerke, die sämtliche Perimeter-Sicherheitskontrollen umgehen können. Industrielle Funksysteme sind verschiedenen Bedrohungen ausgesetzt, darunter Angriffe über unbefugte Access Points, Denial-of-Service-Angriffe auf drahtlose Verbindungen zur Steuerung kritischer Prozesse, schwache Authentifizierungsverfahren sowie Man-in-the-Middle-Angriffe auf unverschlüsselte industrielle Funkprotokolle. Zur Absicherung gemäß dem Stand der Technik sollten Betreiber regelmäßige Ausleuchtungen und Scans (Wireless Site Surveys) zur Erkennung unbefugter Zugangspunkte durchführen, WPA3 in Verbindung mit zertifikatsbasierter Authentifizierung erzwingen, drahtlose OT-Segmente strikt von kabelgebundenen OT-Netzwerken isolieren und industrielle Funkkomponenten lückenlos in die kontinuierliche Sicherheitsüberwachung (Continuous Monitoring) einbeziehen.

Das Management von Netzwerkänderungen in produktiven OT-Umgebungen erfordert einen formalen, risikobasierten Prozess, der die betriebliche Sensitivität industrieller Systeme berücksichtigt. Alle Änderungen – einschließlich Modifikationen von Firewall-Regeln, Switch-Konfigurationen, VLAN-Änderungen und der Integration neuer Geräte – müssen durch ein Change Advisory Board bewertet und freigegeben werden, dem sowohl Personal aus der OT-Sicherheit als auch aus dem Betrieb angehört. Änderungen sollten vor der Implementierung in der Produktionsumgebung in einer Testumgebung validiert und ausschließlich während geplanter Wartungsfenster umgesetzt werden. Die Validierung nach der Änderung muss sicherstellen, dass die gesamte betriebliche Kommunikation wiederhergestellt wurde und keine unerwünschten Datenströme entstanden sind. Sämtliche Änderungen müssen in einer Configuration Management Database (CMDB) dokumentiert und in aktualisierten Netzwerkdiagrammen erfasst werden. Gemäß den KRITIS-relevanten Vorgaben (in Anlehnung an internationale Standards wie NERC CIP-010) ist ein formales Change-Management für kritische cyber-physische Systeme zwingend erforderlich.

Die Vorfallreaktion (Incident Response) im Bereich der operationalen Technologie (OT) unterscheidet sich in mehreren kritischen Dimensionen grundlegend von der im IT-Bereich. Das übergeordnete Ziel in OT-Umgebungen ist die physische Sicherheit: Jede Eindämmungsmaßnahme, die die Prozessstabilität, den Betrieb von Sicherheitsleitsystemen (SIS) oder die Sicherheit des Personals beeinträchtigen könnte, muss vor der Umsetzung zwingend durch die zuständigen Prozessingenieure bewertet werden. Eindämmungsmaßnahmen, die in der IT routinemäßig durchgeführt werden – wie das Isolieren eines kompromittierten Systems, das Blockieren des Netzwerkverkehrs oder das Herunterfahren eines Hosts –, können in der OT zu Produktionsausfällen, Anlagenschäden oder危gen Betriebszuständen führen. Die in OT-Umgebungen verfügbaren forensischen Nachweise sind oft stark begrenzt, da viele PLCs und RTUs keine detaillierten Protokolle (Logs) führen. Die Wiederherstellung (Recovery) in der OT erfordert nicht nur die Restitution von Software und Daten, sondern die Einspielung verifizierter, geprüfter Steuerungskonfigurationen auf die physische Hardware. KRITIS-Betreiber und Industrieunternehmen müssen daher spezifische OT-Incident-Response-Pläne vorhalten, die klar definierte Rollen sowohl für das Cybersecurity- als auch für das Betriebspersonal (Operations) festlegen.

Ein wirksamer OT-Incident-Response-Plan folgt einem strukturierten Lebenszyklus: Vorbereiten, Erkennen, Analysieren, Eindämmen, Beseitigen, Wiederherstellen und Nachbereitung nach dem Vorfall. Die Vorbereitung umfasst die Erstellung OT-spezifischer Runbooks, den Aufbau eines Kontaktverzeichnisses für OT-Lieferanten und Systemintegratoren, die Festlegung von Kommunikationsprotokollen mit der Betriebsleitung sowie das Vorhalten forensischer Fähigkeiten. Die Erkennung stützt sich auf OT-Netzwerküberwachungslösungen, Anomalieerkennung und die Meldung von abnormalem Prozessverhalten durch das Betriebspersonal. Die Analyse erfordert Einsatzkräfte mit OT-Know-how, die industrielle Protokolle, Steuerungslogik und Prozessverhalten verstehen. Eindämmungsentscheidungen müssen gemeinsam mit dem Betrieb getroffen werden, um nicht mehr Schaden zu verursachen als der Angriff selbst. Die Wiederherstellung erfordert die Validierung von Prozessstabilität und Sicherheit, bevor Systeme wieder in den Betrieb zurückgeführt werden.

Die Erkennung von Bedrohungen im OT-Bereich (Operational Technology) stützt sich primär auf netzwerkbasierte Überwachung anstelle von Endpunkt-Agenten, da die Installation von Software-Agenten auf SPS (Sicherheitsgerichteten Steuerungen/PLC), RTUs und vielen eingebetteten OT-Systemen technisch nicht realisierbar und betrieblich hochriskant ist. Eine netzwerkbasierte Angriffserkennung erfasst den gesamten Datenverkehr in den OT-Netzwerksegmenten durch passive Monitoring-Sensoren – angebunden über Netzwerk-TAPs oder SPAN-Ports – und analysiert den Datenverkehr mithilfe von OT-spezifischen Deep Packet Inspection Engines, die industrielle Protokolle auf der Anwendungsschicht (Application Layer) interpretieren können. Die Erkennungsmethoden umfassen die signaturbasierte Erkennung (Abgleich mit bekannten Schadmustern und Indicators of Compromise), die verhaltensbasierte Anomalieerkennung (Identifizierung von Abweichungen von einer definierten Baseline des normalen Kommunikationsverhaltens) sowie die richtlinienbasierte Erkennung (Alarmierung bei Verstößen gegen vordefinierte Sicherheitsrichtlinien). Wo Endpunkt-Agenten auf Engineering-Workstations, Prozessdatenarchiv-Servern (Historian) und Windows-basierten HMIs eingesetzt werden können, bieten sie eine zusätzliche Transparenz, die die netzwerkbasierte Erkennung im Sinne eines ganzheitlichen Sicherheitsansatzes gemäß BSI-Standards effektiv ergänzt.

OT-Threat-Hunting ist eine proaktive Sicherheitsmaßnahme, bei der erfahrene Analysten gezielt nach Hinweisen auf Aktivitäten von Bedrohungsakteuren suchen, die von automatisierten Erkennungssystemen nicht erfasst wurden. Im Gegensatz zur reaktiven Alarm-Triage beginnt das Threat Hunting mit einer Hypothese – basierend auf Cyber-Bedrohungslagen (Threat Intelligence), bekannten TTPs von Angreifern oder beobachteten Anomalien, die keine automatischen Alarme ausgelöst haben. Diese Hypothese wird anschließend systematisch überprüft, um sie zu bestätigen oder zu widerlegen. In OT-Umgebungen nutzt das Threat Hunting Netzwerkverkehrsdaten, Protokolle von Engineering-Software, OT-Historian-Daten sowie Remote-Access-Logs gemäß den gängigen KRITIS-Standards. Typische Hunting-Hypothesen für den OT-Bereich lauten beispielsweise: „Gibt es Hinweise auf Scanning-Aktivitäten gegen PLC-Adressen im Steuerungsnetzwerk?“; „Existieren Verbindungen von Engineering-Workstations zu externen IP-Adressen, die in vorherigen Zeiträumen nicht vorhanden waren?“; „Gibt es Ladder-Logic-Downloads auf PLCs, die nicht mit freigegebenen Change-Records übereinstimmen?“ Ein effektives OT-Threat-Hunting setzt Analysten voraus, die sowohl über tiefgehendes Cybersecurity-Expertenwissen als auch über präzises Verständnis industrieller Prozesse verfügen.

OT NDR ist eine Sicherheitsfunktion zur kontinuierlichen Erfassung und Analyse des Netzwerkverkehrs in industriellen Umgebungen (KRITIS), um Anomalien, bekannte Angriffsmuster und Richtlinienverstöße in Echtzeit zu erkennen. Im Gegensatz zu IT NDR versteht OT NDR spezifische Industrieprotokolle (Modbus, DNP3, EtherNet/IP, OPC-UA) und unterscheidet normales Betriebsverhalten präzise von bösartigen Aktivitäten, ohne die laufenden Prozesse (wie SCADA/SPS) zu beeinträchtigen.

Herkömmliche IDS/IPS-Systeme stützen sich auf signaturbasierte Erkennung und stoßen beim Verständnis OT-spezifischer Protokolle oft an ihre Grenzen. OT NDR nutzt eine Kombination aus Deep Packet Inspection, Verhaltens-Baselining und Machine Learning, um neuartige Bedrohungen, anomale Befehle sowie subtile Protokollabweichungen zu erkennen. Dies sorgt für weitaus geringere Fehlalarmraten und eine umfassendere Abdeckung, ohne dass ein Inline-Deployment erforderlich ist.

Eine umfassende OT-NDR-Plattform sollte gängige Industrieprotokolle unterstützen, darunter Modbus TCP/RTU, DNP3, EtherNet/IP (CIP), Profinet, IEC 61850 (MMS/GOOSE), OPC-UA/DA, BACnet, HART-IP, ICCP sowie herstellerspezifische Protokolle von Siemens, Rockwell, GE, Schneider Electric, ABB und weiteren.

NERC CIP steht für "Critical Infrastructure Protection" (Schutz kritischer Infrastrukturen) und bezeichnet die verbindlichen Zuverlässigkeitsstandards zum Schutz von Cyber-Assets und damit verbundenen Prozessen im Stromübertragungsnetz (Bulk Electric System). Die NERC-Standards sind integraler Bestandteil des regulatorisch verpflichtenden und durchsetzbaren Programms für Zuverlässigkeitsstandards.

Es entspricht der guten Praxis (Good Practice), Compliance als kontinuierliche betriebliche Disziplin und nicht als einmaliges Auditprojekt zu behandeln: Halten Sie Ihre Asset-Inventare stets aktuell, dokumentieren Sie jeden erforderlichen Prozess, erfassen Sie Nachweise kontinuierlich, überprüfen Sie Zugriffsrechte regelmäßig und testen Sie Störfall- und Wiederherstellungsszenarien nach einem festen Zeitplan. Auch die CIP-Roadmap 2026 der NERC weist darauf hin, dass sich die Standards stetig weiterentwickeln, weshalb Compliance-Programme anpassungsfähig bleiben müssen.

CIP-015-1 ist der Standard für die interne Netzwerksicherheitsüberwachung (Internal Network Security Monitoring). Er erfordert dokumentierte Prozesse zur Überwachung von Netzwerken innerhalb des elektronischen Sicherheitsperimeters, zur Erkennung anomaler Aktivitäten, zur Bewertung von Anomalien, zur Aufbewahrung relevanter Überwachungsdaten sowie zum Schutz dieser Daten vor unbefugter Löschung oder Modifikation.

Führen Sie ein stets aktuelles Compliance-Register bzw. ein führendes System (System of Record) für Geltungsbereich, Richtlinien, Prozesse, Schulungen, Zugriffskontrollen, Vorfallsberichte, Änderungsnachweise und technische Nachweise. Die Audit-Bereitschaft ist erheblich einfacher sicherzustellen, wenn Nachweise kontinuierlich während des Kontrollbetriebs erfasst und nicht erst nachträglich mühsam rekonstruiert werden.

Der erste Schritt besteht darin, zu identifizieren, ob Ihre Organisation in den Anwendungsbereich der NIS-2-Richtlinie fällt, gefolgt von der Erfassung von Assets (Asset Discovery), einer Risikoanalyse, einer GAP-Analyse sowie der Implementierung von Cybersecurity Governance und Kontrollmaßnahmen zur Überwachung.

Die Richtlinie NIS-2 gilt für Organisationen, die als Fundamentale Einrichtungen (Essential Entities) und Wichtige Einrichtungen (Important Entities) eingestuft sind und in Sektoren wie Energie, Transport, Gesundheit, Produktion, digitale Infrastruktur, öffentliche Verwaltung, Wasserversorgung und Telekommunikation agieren.

NIS2 erweitert den Kreis der betroffenen Sektoren, verschärft die Rechenschaftspflicht der Geschäftsführung, stärkt die Anforderungen an das Meldewesen von Vorfällen und führt im Vergleich zur ursprünglichen NIS-Richtlinie strengere Sanktionen sowie höhere Governance-Erwartungen ein - im Einklang mit den BSI- und KRITIS-Standards.