OT-Security vs. IT-Security
Ein umfassender Leitfaden für Industrieunternehmen
OT-Security vs. IT-Security
Ein umfassender Leitfaden für Industrieunternehmen
OT-Security vs. IT-Security
Ein umfassender Leitfaden für Industrieunternehmen
IT vs. OT-Sicherheit
Die entscheidenden Unterschiede zwischen der Sicherheit in der Informationstechnik und der Operational Technology verstehen
Die Konvergenz von digitalen und industriellen Systemen hat die Risikobewertung im Bereich der Cybersicherheit für alle Betreiber kritischer Infrastrukturen (KRITIS), von Produktionsanlagen, Energienetzen, Versorgungsunternehmen und industrielles Automatisierungstechnik nachhaltig verändert. Über Jahrzehnte hinweg existierten Informationstechnik (IT) und Operational Technology (OT) als parallele, jedoch voneinander getrennte Welten, die jeweils durch unterschiedliche Prioritäten, Architekturen und Risikotoleranzen geprägt waren.
Diese Trennung existiert nicht mehr. Die heutige Integration von IT- und OT-Umgebungen – angetrieben durch das Industrial IoT (IIoT), Cloud-Einführungen, Anforderungen an den Fernzugriff und Initiativen zur digitalen Transformation – hat eine vergrößerte Angriffsfläche geschaffen, für deren Schutz herkömmliche Sicherheitsmodelle nie konzipiert wurden. Die Konsequenzen dieser Lücke sind längst nicht mehr nur theoretischer Natur. Vom Stuxnet-Angriff auf iranische Urananreicherungszentrifugen bis hin zum Ransomware-Angriff auf die Colonial Pipeline, der die Kraftstoffversorgung an der US-Ostküste lahmlegte, haben Angreifer sowohl die Fähigkeit als auch die Absicht demonstriert, OT-Umgebungen als Waffe zu nutzen.
Die grundlegenden Unterschiede zwischen IT-Sicherheit und OT-Sicherheit zu verstehen, ist keine rein akademische Übung, sondern eine betriebliche Notwendigkeit. Organisationen, die IT-zentrierte Sicherheitsansätze unreflektiert auf OT-Umgebungen übertragen, müssen immer wieder – oft unter immensen Kosten – feststellen, dass für Unternehmensnetzwerke entwickelte Werkzeuge, Prozesse und Prioritäten bei industriellen Systemen grundlegend versagen. In diesen Umgebungen kann ein fehlerhaft konfiguriertes Patch, eine ausgelöste Sicherheitsverriegelung oder ein unterbrochener Regelkreis zu physischen Schäden, Umweltschäden oder zum Verlust von Menschenleben führen.
Dieser Leitfaden, der von den Experten für industrielle Cybersicherheit bei Shieldworkz entwickelt wurde, bietet eine fundierte, forschungsbasierte Gegenüberstellung von IT- und OT-Sicherheit. Er umfasst Architekturen, Bedrohungslagen, Compliance-Frameworks, Incident Response, Konvergenzrisiken sowie die betriebliche Realität, die jeder Sicherheitsverantwortliche verstehen muss, bevor eine Schutzstrategie für die Industrie implementiert wird.
OT-Sicherheit oder Sicherheit von Betriebstechnologien ist die Praxis, kritische Infrastrukturen und industrielle Systeme vor Cyberbedrohungen zu schützen. Zu diesen Systemen gehören alles von Stromnetzen und Wasseraufbereitungsanlagen bis hin zu Produktionsstätten und Verkehrsinfrastrukturen, die das Rückgrat der modernen Gesellschaft bilden. Im Gegensatz zu traditionellen IT-Systemen sind OT-Systeme darauf ausgelegt, physische Prozesse zu steuern, und operieren oft in Echtzeit, was sie sowohl einzigartig als auch äußerst anfällig für Cyberangriffe macht.
Was ist Informationstechnik (IT)?
Die Informationstechnik (IT) umfasst das gesamte Spektrum digitaler Systeme, die zur Erfassung, Verarbeitung, Speicherung, Übertragung und zum Schutz von Daten in Unternehmensumgebungen eingesetzt werden. IT-Systeme bilden das betriebliche Rückgrat moderner Unternehmen und ermöglichen ERP-Plattformen, E-Mail-Infrastrukturen, Finanzsysteme, Kundendatenbanken, HR-Plattformen und cloudbasierte Anwendungen.
Aus Sicht der Informationssicherheit agiert die IT-Sicherheit im Rahmen des etablierten CIA-Triade-Modells (Vertraulichkeit, Integrität und Verfügbarkeit), wobei der Vertraulichkeit historisch das größte Gewicht beigemessen wird. Die zugrunde liegende Prämisse besagt, dass der Schutz von Daten vor unbefugtem Zugriff und Datenabfluss (Exfiltration) das kritischste Sicherheitsziel darstellt.
Kernkomponenten von IT-Umgebungen
• Server, Workstations, Laptops und Mobilgeräte
• Enterprise-Netzwerke, LAN/WAN, SD-WAN und Cloud-Infrastruktur
• Unternehmensanwendungen (ERP, CRM, SaaS-Plattformen)
• Identity and Access Management (IAM)-Systeme
• Firewalls, SIEM-Plattformen, Endpoint Detection and Response (EDR)
• Datenspeichersysteme, Backup-Infrastruktur und Datenbanken
• Standard-Betriebssysteme: Windows, Linux, macOS
• Internetanbindung und Cloud-Service-Integration
IT-Umgebungen zeichnen sich durch vergleichsweise kurze Technologie-Lebenszyklen (typischerweise 3-7 Jahre), häufige Patch-Zyklen und standardisierte Sicherheitswerkzeuge aus, die in mehr als drei Jahrzehnten des Unternehmensbetriebs gereift sind. Der globale IT-Sicherheitsmarkt hat ein breit gefächertes Ökosystem an Lösungen hervorgebracht u2013 von Next-Generation Firewalls und XDR-Plattformen bis hin zu Zero-Trust-Architekturen u2013, die präzise auf die Anforderungen der geschäftlichen Datenverarbeitung abgestimmt sind.
Was ist Informationstechnik (IT)?
Die Informationstechnik (IT) umfasst das gesamte Spektrum digitaler Systeme, die zur Erfassung, Verarbeitung, Speicherung, Übertragung und zum Schutz von Daten in Unternehmensumgebungen eingesetzt werden. IT-Systeme bilden das betriebliche Rückgrat moderner Unternehmen und ermöglichen ERP-Plattformen, E-Mail-Infrastrukturen, Finanzsysteme, Kundendatenbanken, HR-Plattformen und cloudbasierte Anwendungen.
Aus Sicht der Informationssicherheit agiert die IT-Sicherheit im Rahmen des etablierten CIA-Triade-Modells (Vertraulichkeit, Integrität und Verfügbarkeit), wobei der Vertraulichkeit historisch das größte Gewicht beigemessen wird. Die zugrunde liegende Prämisse besagt, dass der Schutz von Daten vor unbefugtem Zugriff und Datenabfluss (Exfiltration) das kritischste Sicherheitsziel darstellt.
Kernkomponenten von IT-Umgebungen
• Server, Workstations, Laptops und Mobilgeräte
• Enterprise-Netzwerke, LAN/WAN, SD-WAN und Cloud-Infrastruktur
• Unternehmensanwendungen (ERP, CRM, SaaS-Plattformen)
• Identity and Access Management (IAM)-Systeme
• Firewalls, SIEM-Plattformen, Endpoint Detection and Response (EDR)
• Datenspeichersysteme, Backup-Infrastruktur und Datenbanken
• Standard-Betriebssysteme: Windows, Linux, macOS
• Internetanbindung und Cloud-Service-Integration
IT-Umgebungen zeichnen sich durch vergleichsweise kurze Technologie-Lebenszyklen (typischerweise 3-7 Jahre), häufige Patch-Zyklen und standardisierte Sicherheitswerkzeuge aus, die in mehr als drei Jahrzehnten des Unternehmensbetriebs gereift sind. Der globale IT-Sicherheitsmarkt hat ein breit gefächertes Ökosystem an Lösungen hervorgebracht u2013 von Next-Generation Firewalls und XDR-Plattformen bis hin zu Zero-Trust-Architekturen u2013, die präzise auf die Anforderungen der geschäftlichen Datenverarbeitung abgestimmt sind.
Was ist Operational Technology (OT)?
Operational Technology (OT) bezeichnet die Hardware- und Softwaresysteme, die physische Prozesse, industrielle Anlagen und kritische Infrastrukturen direkt überwachen, steuern und automatisieren. OT ist das unsichtbare Rückgrat der modernen Zivilisation und steuert die Systeme zur Stromerzeugung, Trinkwasseraufbereitung, industriellen Fertigung, chemischen Verarbeitung sowie zum Energietransport über Pipelines.
Während die IT Daten verwaltet, steuert die OT die physische Welt. Eine Fehlkonfiguration in einer IT-Umgebung kann sensible Daten offenlegen. Eine Fehlkonfiguration in einer OT-Umgebung hingegen kann ein Stromnetz lahmlegen, eine Chemiepipeline beschädigen oder Industrieanlagen im Wert von zweistelligen Millionenbeträgen zerstören.
Kernkomponenten von OT-Umgebungen
• Industrial Control Systems (ICS)
• Supervisory Control and Data Acquisition (SCADA)-Systeme
• Programmable Logic Controllers (PLCs)
• Remote Terminal Units (RTUs)
• Distributed Control Systems (DCS)
• Human-Machine Interfaces (HMIs)
• Industrielle Sensoren, Aktoren und Feldgeräte
• Prozessdatenarchive (Historian-Server) und Datenaggregationssysteme
• Safety Instrumented Systems (SIS)
• Industrielle Kommunikationsnetzwerke (PROFIBUS, Modbus, DNP3, EtherNet/IP)
Im Gegensatz zu IT-Systemen sind OT-Geräte häufig für einen kontinuierlichen Betrieb von 10 bis über 25 Jahren ausgelegt. Viele der heute im aktiven Produktionsbetrieb befindlichen PLCs und SCADA-Systeme wurden vor der Etablierung moderner Cybersicherheitskonzepte installiert. Sie wurden weder für die Netzwerkanbindung konzipiert, noch unter dem Aspekt der Cyber-Resilienz entwickelt.
Was ist Operational Technology (OT)?
Operational Technology (OT) bezeichnet die Hardware- und Softwaresysteme, die physische Prozesse, industrielle Anlagen und kritische Infrastrukturen direkt überwachen, steuern und automatisieren. OT ist das unsichtbare Rückgrat der modernen Zivilisation und steuert die Systeme zur Stromerzeugung, Trinkwasseraufbereitung, industriellen Fertigung, chemischen Verarbeitung sowie zum Energietransport über Pipelines.
Während die IT Daten verwaltet, steuert die OT die physische Welt. Eine Fehlkonfiguration in einer IT-Umgebung kann sensible Daten offenlegen. Eine Fehlkonfiguration in einer OT-Umgebung hingegen kann ein Stromnetz lahmlegen, eine Chemiepipeline beschädigen oder Industrieanlagen im Wert von zweistelligen Millionenbeträgen zerstören.
Kernkomponenten von OT-Umgebungen
• Industrial Control Systems (ICS)
• Supervisory Control and Data Acquisition (SCADA)-Systeme
• Programmable Logic Controllers (PLCs)
• Remote Terminal Units (RTUs)
• Distributed Control Systems (DCS)
• Human-Machine Interfaces (HMIs)
• Industrielle Sensoren, Aktoren und Feldgeräte
• Prozessdatenarchive (Historian-Server) und Datenaggregationssysteme
• Safety Instrumented Systems (SIS)
• Industrielle Kommunikationsnetzwerke (PROFIBUS, Modbus, DNP3, EtherNet/IP)
Im Gegensatz zu IT-Systemen sind OT-Geräte häufig für einen kontinuierlichen Betrieb von 10 bis über 25 Jahren ausgelegt. Viele der heute im aktiven Produktionsbetrieb befindlichen PLCs und SCADA-Systeme wurden vor der Etablierung moderner Cybersicherheitskonzepte installiert. Sie wurden weder für die Netzwerkanbindung konzipiert, noch unter dem Aspekt der Cyber-Resilienz entwickelt.
Geschichte und Evolution von IT und OT
Um die tiefgreifenden Unterschiede zwischen IT- und OT-Sicherheit vollständig zu verstehen, ist ein Blick auf die historische Entwicklung beider Bereiche unerlässlich. Ihre technologischen Ursprünge divergierten vor über 50 Jahren und haben erst kürzlich begonnen, sich zu überschneiden. Dies stellt beide Domänen vor völlig neue Sicherheitsherausforderungen, auf die sie ursprünglich nicht ausgelegt waren.
Die Evolution der IT: Die Informationstechnik entstand aus der Ära der Mainframe-Systeme der 1960er und 70er Jahre, entwickelte sich durch die Revolution der Personal Computer in den 1980er Jahren weiter und erreichte ihre heutige Enterprise-Form durch den Internet-Boom der 1990er Jahre sowie die Cloud-Transformation der 2000er Jahre. Im Zuge dieser Evolution entwickelte sich die IT-Sicherheit organisch – durch Antiviren-Tools, Firewalls, IDS/IPS-Systeme, Verschlüsselungsstandards und schließlich SIEM-, EDR- und Zero-Trust-Architekturen.
Das Innovationstempo in der IT war rasant, iterativ und getrieben von wettbewerbsintensiven kommerziellen Märkten. Die Sicherheit rückte nach spektakulären Datenpannefällen in den 2000er und 2010er Jahren in den Fokus, was zu regulatorischen Rahmenbedingungen wie PCI-DSS, HIPAA, DSGVO und SOC 2 führte, die die Erwartungen an die IT-Sicherheit für Unternehmen weltweit kodifizierten.
Die Evolution der OT: Die operative Technologie (OT) hat ihre Wurzeln in den analogen industriellen Steuerungssystemen des frühen 20. Jahrhunderts. Die ersten speicherprogrammierbaren Steuerungen (SPS) wurden 1969 von Dick Morley eingeführt, um die relaisbasierte Automatisierung in der Automobilherstellung zu ersetzen. SCADA-Systeme entstanden in den 1970er und 80er Jahren als Mittel zur Fernüberwachung und -steuerung geografisch verteilter kritischer Infrastrukturen, wie Umspannwerken, Pipeline-Messstationen und Wasseraufbereitungsanlagen (KRITIS).
Entscheidend ist, dass diese frühen OT-Systeme als isolierte, herstellerspezifische Systeme konzipiert waren, ohne dass eine externe Netzwerkverbindung vorgesehen war. Informationssicherheit wurde durch physische Trennung (Air Gap), verschlossene Kontrollräume und die proprietäre Natur von Protokollen wie Modbus (1979), PROFIBUS und DNP3 realisiert. Das Konzept der Cybersicherheit als OT-relevantes Thema existierte schlichtweg nicht.
Das Aufkommen von Ethernet-basierten industriellen Netzwerken, Windows-basierten HMIs und Fernzugriffsmöglichkeiten in den 1990er und 2000er Jahren begann, diese Isolation aufzuheben – oft ohne entsprechende Investitionen in die IT/OT-Sicherheit. Heute schließen Industrie 4.0 und IIoT-Vorgaben diese Konvergenz ab und verbinden Systeme miteinander, die nie für eine vernetzte, bedrohungsintensive Umgebung ausgelegt waren.
Geschichte und Evolution von IT und OT
Um die tiefgreifenden Unterschiede zwischen IT- und OT-Sicherheit vollständig zu verstehen, ist ein Blick auf die historische Entwicklung beider Bereiche unerlässlich. Ihre technologischen Ursprünge divergierten vor über 50 Jahren und haben erst kürzlich begonnen, sich zu überschneiden. Dies stellt beide Domänen vor völlig neue Sicherheitsherausforderungen, auf die sie ursprünglich nicht ausgelegt waren.
Die Evolution der IT: Die Informationstechnik entstand aus der Ära der Mainframe-Systeme der 1960er und 70er Jahre, entwickelte sich durch die Revolution der Personal Computer in den 1980er Jahren weiter und erreichte ihre heutige Enterprise-Form durch den Internet-Boom der 1990er Jahre sowie die Cloud-Transformation der 2000er Jahre. Im Zuge dieser Evolution entwickelte sich die IT-Sicherheit organisch – durch Antiviren-Tools, Firewalls, IDS/IPS-Systeme, Verschlüsselungsstandards und schließlich SIEM-, EDR- und Zero-Trust-Architekturen.
Das Innovationstempo in der IT war rasant, iterativ und getrieben von wettbewerbsintensiven kommerziellen Märkten. Die Sicherheit rückte nach spektakulären Datenpannefällen in den 2000er und 2010er Jahren in den Fokus, was zu regulatorischen Rahmenbedingungen wie PCI-DSS, HIPAA, DSGVO und SOC 2 führte, die die Erwartungen an die IT-Sicherheit für Unternehmen weltweit kodifizierten.
Die Evolution der OT: Die operative Technologie (OT) hat ihre Wurzeln in den analogen industriellen Steuerungssystemen des frühen 20. Jahrhunderts. Die ersten speicherprogrammierbaren Steuerungen (SPS) wurden 1969 von Dick Morley eingeführt, um die relaisbasierte Automatisierung in der Automobilherstellung zu ersetzen. SCADA-Systeme entstanden in den 1970er und 80er Jahren als Mittel zur Fernüberwachung und -steuerung geografisch verteilter kritischer Infrastrukturen, wie Umspannwerken, Pipeline-Messstationen und Wasseraufbereitungsanlagen (KRITIS).
Entscheidend ist, dass diese frühen OT-Systeme als isolierte, herstellerspezifische Systeme konzipiert waren, ohne dass eine externe Netzwerkverbindung vorgesehen war. Informationssicherheit wurde durch physische Trennung (Air Gap), verschlossene Kontrollräume und die proprietäre Natur von Protokollen wie Modbus (1979), PROFIBUS und DNP3 realisiert. Das Konzept der Cybersicherheit als OT-relevantes Thema existierte schlichtweg nicht.
Das Aufkommen von Ethernet-basierten industriellen Netzwerken, Windows-basierten HMIs und Fernzugriffsmöglichkeiten in den 1990er und 2000er Jahren begann, diese Isolation aufzuheben – oft ohne entsprechende Investitionen in die IT/OT-Sicherheit. Heute schließen Industrie 4.0 und IIoT-Vorgaben diese Konvergenz ab und verbinden Systeme miteinander, die nie für eine vernetzte, bedrohungsintensive Umgebung ausgelegt waren.
Warum IT und OT konvergieren – und warum dies Sicherheitsrisiken birgt
Die Konvergenz von IT und OT ist kein Ergebnis leichtfertiger Entscheidungen. Sie wird von legitimen und zwingenden geschäftlichen Anforderungen angetrieben: der Notwendigkeit von betrieblicher Transparenz, vorausschauender Wartungsanalyse (Predictive Maintenance), Lieferkettenintegration, Fernsteuerung des Betriebs und wettbewerbsfähiger Effizienz. Die digitale Transformation in der Fertigung, Energiewirtschaft und bei den EVU ist real, messbar und bietet einen klaren wirtschaftlichen Mehrwert.
Haupttreiber der IT/OT-Konvergenz
Industrial IoT (IIoT)-Implementierungen, die OT-Sensoren mit Unternehmensnetzwerken und Cloud-Analyseplattformen verbinden
Anforderungen an den Fernzugriff, die durch COVID-19 und die Normalisierung der industriellen Fernüberwachung (Remote Industrial Monitoring) beschleunigt wurden
ERP- und MES-Integration zur direkten Anbindung von Geschäftsplanungssystemen an Daten der Fertigungsebene
Prädiktive Instandhaltung (Predictive Maintenance) und Digitale Zwillinge, die Echtzeit-Datenflüsse aus OT-Umgebungen erfordern
Cloud-basierte SCADA- und Historian-Plattformen als Ersatz für On-Premises-Infrastrukturen
Sicherer Fernzugriff für Drittanbieter zur Wartung, Aktualisierung und Diagnose von OT-Anlagen
Jeder dieser Treiber führt Netzwerkpfade zwischen zuvor isolierten OT-Systemen und der breiteren Unternehmens- oder internetverbundenen Umgebung ein. Das Purdue-Referenzmodell, das lange Zeit das maßgebliche Architektur-Framework für die industrielle Netzwerksegmentierung war, wird durch flache Netzwerkimplementierungen, Cloud-Konnektivität und IoT-Bereitstellungen herausgefordert, welche traditionelle Demilitarized Zone (DMZ)-Strukturen umgehen.
Vereinbaren Sie noch heute ein kostenloses Beratungsgespräch mit unseren Experten!
Wesentliche Unterschiede zwischen IT-Sicherheit und OT-Sicherheit
Die Unterscheidung zwischen IT- und OT-Sicherheit ist nicht einfach eine Frage unterschiedlicher Werkzeuge, die auf verschiedene Geräte angewendet werden. Sie spiegelt grundlegend andere Risikophilosophien, betriebliche Rahmenbedingungen und Konsequenzmodelle wider. Das Verständnis dieser Unterschiede ist eine zwingende Voraussetzung für den Aufbau jedes effektiven industriellen Sicherheitsprogramms gemäß den gängigen KRITIS-Standards.
1. Priorisierungsmodell der Informationssicherheit: CIA vs. AIC: Die klassische IT-Sicherheit priorisiert die CIA-Triade in der etablierten Reihenfolge: Vertraulichkeit (Confidentiality) an erster Stelle, Integrität (Integrity) an zweiter Stelle und Verfügbarkeit (Availability) an dritter Stelle. Die zugrunde liegende Logik besagt, dass der Schutz sensibler Daten vor unbefugtem Zugriff aus geschäftlichen und Compliance-Gründen das kritischste Ziel darstellt.
Die OT-Sicherheit kehrt diese Hierarchie vollständig um. In industriellen Umgebungen lautet die Priorisierungsreihenfolge Verfügbarkeit, Integrität und Vertraulichkeit, wobei die Funktionale Sicherheit (Safety) als übergeordnetes Gebot alle drei Aspekte dominiert. Eine Produktionslinie muss laufen. Ein Stromnetz muss Elektrizität liefern. Eine Wasseraufbereitungsanlage muss kontinuierlich Wasser aufbereiten. Verfügbarkeit ist in OT-Umgebungen kein Luxus, sondern der zentrale operative Auftrag im Sinne des Schutzes Kritischer Infrastrukturen (KRITIS).
2. Patch-Management und Update-Zyklen: In IT-Umgebungen ist das Patch-Management ein etablierter Routineprozess. Monatliche „Patch Tuesday“-Zyklen, automatisierte Update-Mechanismen und standardisierte Tools für das Schwachstellenmanagement ermöglichen es Organisationen, aktuelle Software-Baselines in der gesamten Unternehmenslandschaft mit kalkulierbarem betrieblichen Aufwand aufrechtzuerhalten.
OT-Umgebungen unterliegen völlig anderen Rahmenbedingungen. Patches müssen vor der Implementierung häufig erst durch die Anlagenhersteller validiert werden u2013 ein Prozess, der Monate dauern kann. Das Einspielen von Patches auf PLCs, SCADA-Servern oder DCS-Komponenten erfordert in der Regel Systemausfallzeiten, was direkt zu Produktionsausfällen führt.
3. System-Lebenszyklen: Die IT-Infrastruktur in Unternehmen durchläuft typischerweise alle 3–7 Jahre Hardware- und Software-Austauschzyklen, getrieben durch Support-Lebenszyklen des Herstellers, Leistungsanforderungen und Funktionsentwicklungen. Dies bietet regelmäßig die Gelegenheit, moderne Sicherheitsfunktionen zu implementieren.
OT-Anlagen sind für eine Betriebsdauer von 15 bis über 25 Jahren ausgelegt und beschafft. Industrielle Steuerungssysteme und Leittechnik (OT) stellen erhebliche Investitionen in maßgeschneiderte, herstellerspezifische Hardware und Software dar. Eine im Jahr 2002 installierte Raffinerie-PLC steuert unter Umständen heute noch aktiv die Prozesschemie und läuft dabei auf Windows XP oder einem eingebetteten RTOS (Echtzeitbetriebssystem), für das seit über einem Jahrzehnt keine Sicherheits-Patches mehr herausgegeben wurden. Dies sind keine Einzelfälle. Sie sind der Standard in der Energie- und Wasserversorgung, der Produktion und im Transportwesen weltweit.
4. Echtzeit-Betriebsbedingungen (Operational Constraints): IT-Systeme sind darauf ausgelegt, variable Latenzen, temporäre Unterbrechungen und Verarbeitungsverzögerungen mit relativ geringen Beeinträchtigungen zu bewältigen. Ein Webserver, bei dem eine zusätzliche Latenz von 200 ms auftritt, arbeitet zwar suboptimal, dies ist jedoch selten kritisch oder gefährlich.
OT-Systeme erfordern häufig einen deterministischen Echtzeitbetrieb, bei dem mikrosekundengenaue Präzision bei der Zeitsteuerung sicherheitskritische Prozesse regelt. Ein Sicherheitsgerichtetes System (SIS), das einen Abschaltbefehl aufgrund von Netzwerkstörungen oder Verarbeitungslatenzen nicht innerhalb der spezifizierten Reaktionszeit ausführt, kann katastrophale physische Folgen nach sich ziehen. Sicherheitswerkzeuge, die Latenzen verursachen, die Kommunikationszeitsteuerung stören oder Systemneustarts erfordern, stellen in OT-Umgebungen reale betriebliche Gefahren dar.
Wesentliche Unterschiede zwischen IT-Sicherheit und OT-Sicherheit
Die Unterscheidung zwischen IT- und OT-Sicherheit ist nicht einfach eine Frage unterschiedlicher Werkzeuge, die auf verschiedene Geräte angewendet werden. Sie spiegelt grundlegend andere Risikophilosophien, betriebliche Rahmenbedingungen und Konsequenzmodelle wider. Das Verständnis dieser Unterschiede ist eine zwingende Voraussetzung für den Aufbau jedes effektiven industriellen Sicherheitsprogramms gemäß den gängigen KRITIS-Standards.
1. Priorisierungsmodell der Informationssicherheit: CIA vs. AIC: Die klassische IT-Sicherheit priorisiert die CIA-Triade in der etablierten Reihenfolge: Vertraulichkeit (Confidentiality) an erster Stelle, Integrität (Integrity) an zweiter Stelle und Verfügbarkeit (Availability) an dritter Stelle. Die zugrunde liegende Logik besagt, dass der Schutz sensibler Daten vor unbefugtem Zugriff aus geschäftlichen und Compliance-Gründen das kritischste Ziel darstellt.
Die OT-Sicherheit kehrt diese Hierarchie vollständig um. In industriellen Umgebungen lautet die Priorisierungsreihenfolge Verfügbarkeit, Integrität und Vertraulichkeit, wobei die Funktionale Sicherheit (Safety) als übergeordnetes Gebot alle drei Aspekte dominiert. Eine Produktionslinie muss laufen. Ein Stromnetz muss Elektrizität liefern. Eine Wasseraufbereitungsanlage muss kontinuierlich Wasser aufbereiten. Verfügbarkeit ist in OT-Umgebungen kein Luxus, sondern der zentrale operative Auftrag im Sinne des Schutzes Kritischer Infrastrukturen (KRITIS).
2. Patch-Management und Update-Zyklen: In IT-Umgebungen ist das Patch-Management ein etablierter Routineprozess. Monatliche „Patch Tuesday“-Zyklen, automatisierte Update-Mechanismen und standardisierte Tools für das Schwachstellenmanagement ermöglichen es Organisationen, aktuelle Software-Baselines in der gesamten Unternehmenslandschaft mit kalkulierbarem betrieblichen Aufwand aufrechtzuerhalten.
OT-Umgebungen unterliegen völlig anderen Rahmenbedingungen. Patches müssen vor der Implementierung häufig erst durch die Anlagenhersteller validiert werden u2013 ein Prozess, der Monate dauern kann. Das Einspielen von Patches auf PLCs, SCADA-Servern oder DCS-Komponenten erfordert in der Regel Systemausfallzeiten, was direkt zu Produktionsausfällen führt.
3. System-Lebenszyklen: Die IT-Infrastruktur in Unternehmen durchläuft typischerweise alle 3–7 Jahre Hardware- und Software-Austauschzyklen, getrieben durch Support-Lebenszyklen des Herstellers, Leistungsanforderungen und Funktionsentwicklungen. Dies bietet regelmäßig die Gelegenheit, moderne Sicherheitsfunktionen zu implementieren.
OT-Anlagen sind für eine Betriebsdauer von 15 bis über 25 Jahren ausgelegt und beschafft. Industrielle Steuerungssysteme und Leittechnik (OT) stellen erhebliche Investitionen in maßgeschneiderte, herstellerspezifische Hardware und Software dar. Eine im Jahr 2002 installierte Raffinerie-PLC steuert unter Umständen heute noch aktiv die Prozesschemie und läuft dabei auf Windows XP oder einem eingebetteten RTOS (Echtzeitbetriebssystem), für das seit über einem Jahrzehnt keine Sicherheits-Patches mehr herausgegeben wurden. Dies sind keine Einzelfälle. Sie sind der Standard in der Energie- und Wasserversorgung, der Produktion und im Transportwesen weltweit.
4. Echtzeit-Betriebsbedingungen (Operational Constraints): IT-Systeme sind darauf ausgelegt, variable Latenzen, temporäre Unterbrechungen und Verarbeitungsverzögerungen mit relativ geringen Beeinträchtigungen zu bewältigen. Ein Webserver, bei dem eine zusätzliche Latenz von 200 ms auftritt, arbeitet zwar suboptimal, dies ist jedoch selten kritisch oder gefährlich.
OT-Systeme erfordern häufig einen deterministischen Echtzeitbetrieb, bei dem mikrosekundengenaue Präzision bei der Zeitsteuerung sicherheitskritische Prozesse regelt. Ein Sicherheitsgerichtetes System (SIS), das einen Abschaltbefehl aufgrund von Netzwerkstörungen oder Verarbeitungslatenzen nicht innerhalb der spezifizierten Reaktionszeit ausführt, kann katastrophale physische Folgen nach sich ziehen. Sicherheitswerkzeuge, die Latenzen verursachen, die Kommunikationszeitsteuerung stören oder Systemneustarts erfordern, stellen in OT-Umgebungen reale betriebliche Gefahren dar.
Compliance- und regulatorische Anforderungen für die OT-Sicherheit
Die regulatorischen Vorgaben für die OT-Sicherheit haben sich im letzten Jahrzehnt erheblich weiterentwickelt. Dies wurde durch öffentlichkeitswirksame Vorfälle und die wachsende Erkenntnis der Bundesregierung vorangetrieben, dass die Cybersicherheit kritischer Infrastrukturen (KRITIS) eine wesentliche Säule der nationalen Sicherheit darstellt.
OT-Sicherheit oder Sicherheit von Betriebstechnologien ist die Praxis, kritische Infrastrukturen und industrielle Systeme vor Cyberbedrohungen zu schützen. Zu diesen Systemen gehören alles von Stromnetzen und Wasseraufbereitungsanlagen bis hin zu Produktionsstätten und Verkehrsinfrastrukturen, die das Rückgrat der modernen Gesellschaft bilden. Im Gegensatz zu traditionellen IT-Systemen sind OT-Systeme darauf ausgelegt, physische Prozesse zu steuern, und operieren oft in Echtzeit, was sie sowohl einzigartig als auch äußerst anfällig für Cyberangriffe macht.
IEC 62443 – Der Standard für industrielle Cyber-Sicherheit
IEC 62443 ist die international anerkannte Normenreihe fu00fcr die Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS). Entwickelt in enger Zusammenarbeit zwischen der Internationalen Elektrotechnischen Kommission, der ISA und globalen Branchenakteuren, bietet die IEC 62443 ein umfassendes Rahmenwerk. Dieses umfasst Sicherheitsmanagementsysteme, Sicherheitsstufen (Security Levels) fu00fcr Zonen und Leitungen (Conduits), Anforderungen an die Produktentwicklung sowie Sicherheit bei der Systemintegration.
NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection)
Die NERC CIP-Standards gelten für Betreiber von Übertragungsnetzen (Bulk Electric Systems) in Nordamerika und stellen weltweit einige der strengsten OT-Sicherheitsanforderungen dar. CIP-007 (Systems Security Management), CIP-010 (Configuration Change Management and Vulnerability) und CIP-013 (Supply Chain Risk Management) definieren spezifische technische und organisatorische Anforderungen für die Cybersecurity von EVU (Energieversorgungsunternehmen). Die Strafen bei Nichteinhaltung können bis zu 1 Million US-Dollar pro Tag und Verstoß betragen.
NIST SP 800-82, Leitfaden für Sicherheit in industriellen Steuerungssystemen (ICS)
Die NIST Special Publication 800-82 bietet eine umfassende Anleitung zur Absicherung industrieller Steuerungssysteme (ICS) und deckt die Netzwerkarchitektur, Sicherheitskontrollen sowie betriebliche Aspekte spezifisch für ICS-Umgebungen ab. Die Veröffentlichung ist am NIST Cybersecurity Framework ausgerichtet und bietet spezifische Implementierungshinweise für jede Funktion des Frameworks: Identify (Identifizieren), Protect (Schützen), Detect (Detektieren), Respond (Reagieren) und Recover (Wiederherstellen).
CISA ICS-Sicherheitsmeldungen
Die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht Sicherheitsmeldungen für industrielle Steuerungssysteme (ICS-CERT), die Schwachstellen in OT-Produkten führender Hersteller wie Siemens, Schneider Electric, Rockwell Automation und anderen dokumentieren. Die OT-Sicherheitsleitfäden der CISA, die branchenübergreifenden Cybersicherheits-Leistungsziele und die Ressourcen zur Vorfallreaktion (Incident Response) bieten unverzichtbare Referenzmaterialien für industrielle Sicherheitsprogramme gemäß BSI- und KRITIS-Standards.
Die regulatorischen Vorgaben für die OT-Sicherheit haben sich im letzten Jahrzehnt erheblich weiterentwickelt. Dies wurde durch öffentlichkeitswirksame Vorfälle und die wachsende Erkenntnis der Bundesregierung vorangetrieben, dass die Cybersicherheit kritischer Infrastrukturen (KRITIS) eine wesentliche Säule der nationalen Sicherheit darstellt.
IEC 62443 – Der Standard für industrielle Cyber-Sicherheit
IEC 62443 ist die international anerkannte Normenreihe fu00fcr die Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS). Entwickelt in enger Zusammenarbeit zwischen der Internationalen Elektrotechnischen Kommission, der ISA und globalen Branchenakteuren, bietet die IEC 62443 ein umfassendes Rahmenwerk. Dieses umfasst Sicherheitsmanagementsysteme, Sicherheitsstufen (Security Levels) fu00fcr Zonen und Leitungen (Conduits), Anforderungen an die Produktentwicklung sowie Sicherheit bei der Systemintegration.
NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection)
Die NERC CIP-Standards gelten für Betreiber von Übertragungsnetzen (Bulk Electric Systems) in Nordamerika und stellen weltweit einige der strengsten OT-Sicherheitsanforderungen dar. CIP-007 (Systems Security Management), CIP-010 (Configuration Change Management and Vulnerability) und CIP-013 (Supply Chain Risk Management) definieren spezifische technische und organisatorische Anforderungen für die Cybersecurity von EVU (Energieversorgungsunternehmen). Die Strafen bei Nichteinhaltung können bis zu 1 Million US-Dollar pro Tag und Verstoß betragen.
NIST SP 800-82, Leitfaden für Sicherheit in industriellen Steuerungssystemen (ICS)
Die NIST Special Publication 800-82 bietet eine umfassende Anleitung zur Absicherung industrieller Steuerungssysteme (ICS) und deckt die Netzwerkarchitektur, Sicherheitskontrollen sowie betriebliche Aspekte spezifisch für ICS-Umgebungen ab. Die Veröffentlichung ist am NIST Cybersecurity Framework ausgerichtet und bietet spezifische Implementierungshinweise für jede Funktion des Frameworks: Identify (Identifizieren), Protect (Schützen), Detect (Detektieren), Respond (Reagieren) und Recover (Wiederherstellen).
CISA ICS-Sicherheitsmeldungen
Die Cybersecurity and Infrastructure Security Agency (CISA) veröffentlicht Sicherheitsmeldungen für industrielle Steuerungssysteme (ICS-CERT), die Schwachstellen in OT-Produkten führender Hersteller wie Siemens, Schneider Electric, Rockwell Automation und anderen dokumentieren. Die OT-Sicherheitsleitfäden der CISA, die branchenübergreifenden Cybersicherheits-Leistungsziele und die Ressourcen zur Vorfallreaktion (Incident Response) bieten unverzichtbare Referenzmaterialien für industrielle Sicherheitsprogramme gemäß BSI- und KRITIS-Standards.
Reale Cyberangriffe auf OT-Umgebungen
Bei den folgenden Vorfällen handelt es sich nicht um hypothetische Szenarien. Sie repräsentieren dokumentierte Angriffe, die das weltweite Verständnis von OT-Cybersicherheitsrisiken grundlegend verändert haben, und liefern den eindeutigsten Beweis dafür, dass industrielle Systeme aktiv von hochentwickelten Akteuren angegriffen werden.
Stuxnet (2009–2010)
Stuxnet ist der zum Zeitpunkt seiner Entdeckung technisch anspruchsvollste Cyberangriff in der dokumentierten Geschichte. Stuxnet wurde als gemeinsame US-amerikanisch-israelische Geheimdienstoperation unter dem Codenamen „Operation Olympic Games“ entwickelt und zielte auf Siemens S7-315 und S7-417 PLCs ab, welche die Zentrifugen zur Urananreicherung in der iranischen Anlage in Natanz steuerten. Die Schadsoftware nahm subtile Änderungen an den Drehzahlparametern der Zentrifugen vor, während sie den Überwachungssystemen einen normalen Betrieb meldete. Dies führte zu physischer Zerstörung, während der Anschein eines normalen Betriebs gewahrt blieb. Stuxnet begründete das Paradigma von Cyberwaffen, die in der Lage sind, kinetische physische Effekte zu erzeugen, und hat die Bedrohungslage für OT-Umgebungen weltweit fundamental verändert. Diese Erkenntnisse haben auch die Definitionen der KRITIS-Standards maßgeblich geprägt.
Industroyer / CrashOverride (2016)
Industroyer wurde von der APT-Gruppe Sandworm (dem russischen GRU zugeschrieben) entwickelt. Die Schadsoftware zielte auf das ukrainische Stromnetz ab und verursachte im Dezember 2015 einen Stromausfall, von dem rund 230.000 Kunden betroffen waren. Die Variante von 2016, CrashOverride, war die erste Schadsoftware, die speziell zur Störung des Stromnetzbetriebs entwickelt wurde. Sie implementierte native Unterstützung für die Kommunikationsprotokolle IEC 104, IEC 61850, IEC 101 und GOOSE. Die Signifikanz: Angreifer passten nicht mehr nur IT-Schadsoftware für OT-Umgebungen an. Sie entwickelten gezielt OT-native Angriffskapazitäten.
Triton / TRISIS (2017)
Triton hatte es auf Schneider Electric Triconex Safety Instrumented System (SIS)-Steuerungen in einer petrochemischen Anlage in Saudi-Arabien abgesehen. SIS-Systeme sind die letzte Verteidigungslinie gegen katastrophale Industrieunfälle. Sie sind darauf ausgelegt, anormale Prozessbedingungen zu erkennen und Notabschaltungen einzuleiten, um Brände, Explosionen und die Freisetzung von Giftstoffen zu verhindern. Das Ziel von Triton war es, diese Sicherheitssysteme zu deaktivieren – mutmaßlich, um einen gleichzeitigen Prozessangriff zu ermöglichen, der einen katastrophalen physischen Vorfall verursacht hätte. Der Angriff wurde versehentlich aufgedeckt, als ein Kodierungsfehler die Sicherheitsvorkehrungen des Sicherheitssystems auslöste. Triton gilt aufgrund der gezielten Sabotage physischer Sicherheitssysteme als die gefährlichste ICS-Schadsoftware, die je entdeckt wurde.
Colonial Pipeline Ransomware (2021)
Der Ransomware-Angriff der DarkSide-Gruppe auf die Colonial Pipeline Company im Mai 2021 erzwang eine fünftägige Abschaltung der größten Kraftstoffpipeline in den Vereinigten Staaten. Dies unterbrach die Versorgung mit Benzin, Diesel und Kerosin an der US-Ostküste und führte zur Ausrufung des regionalen Notstands. Entscheidend ist hierbei: Der ursprüngliche Einbruch zielte auf die IT-Umgebung von Colonial ab, nicht direkt auf deren OT-Systeme. Das Unternehmen schaltete seine Pipeline-OT-Systeme vorsorglich ab, um eine mögliche Migration der Ransomware auf die operativen Systeme zu verhindern. Dies demonstriert eindrucksvoll, wie IT-Kompromittierungen auch ohne direkte Infektion von OT-Systemen betriebliche Auswirkungen im OT-Bereich haben können.
BlackEnergy und Industroyer2 (2022)
Russische Bedrohungsakteure, die erneut Sandworm zugeordnet werden, setzten im April 2022 während des anhaltenden Konflikts eine aktualisierte, auf ICS ausgerichtete Angriffskapazität gegen die ukrainische Strominfrastruktur ein. Industroyer2 zielte auf Hochspannungsumspannwerke ab, unterstützt von einer Wiper-Schadsoftware, die darauf ausgelegt war, Industriecomputer nach dem Angriff zu zerstören. Dem ukrainischen CERT, ESET und internationalen Partnern gelang es, den Angriff erfolgreich abzuwehren, bevor ein großflächiger Schaden im Stromnetz entstehen konnte. Der Vorfall zeigte jedoch die kontinuierliche Weiterentwicklung von OT-spezifischen Angriffskapazitäten im Arsenal staatlicher Akteure.
OT-Sicherheit oder Sicherheit von Betriebstechnologien ist die Praxis, kritische Infrastrukturen und industrielle Systeme vor Cyberbedrohungen zu schützen. Zu diesen Systemen gehören alles von Stromnetzen und Wasseraufbereitungsanlagen bis hin zu Produktionsstätten und Verkehrsinfrastrukturen, die das Rückgrat der modernen Gesellschaft bilden. Im Gegensatz zu traditionellen IT-Systemen sind OT-Systeme darauf ausgelegt, physische Prozesse zu steuern, und operieren oft in Echtzeit, was sie sowohl einzigartig als auch äußerst anfällig für Cyberangriffe macht.
Fazit
Die Unterschiede zwischen IT- und OT-Sicherheit sind keine geringfu00fcgigen technischen Feinheiten. Sie repru00e4sentieren fundamental unterschiedliche Umgebungen, Risikomodelle, betriebliche Einschru00e4nkungen und Auswirkungsprofile, die spezialisierte Sicherheitsansu00e4tze erfordern. Organisationen, die diese Differenzierung erkennen und in OT-Sicherheitsprogramme investieren, die auf die industriellen Realitu00e4ten abgestimmt sind, bauen echte Resilienz auf. Diejenigen, die versuchen, die IT-Sicherheit von Unternehmen ohne Anpassung auf OT-Bereiche auszudehnen, setzen ihre kritischen Betriebsablauf weiterhin Risiken aus u2013 und werden die Lu00fccken im ungu00fcnstigsten Moment feststellen.
Die Bedrohungslage im Bereich der Operational Technology entwickelt sich schneller als die Sicherheitsprogramme der meisten Industrieunternehmen. Nationalstaatliche Akteure haben einsatzfu00e4hige OT-Angriffskapazitu00e4ten demonstriert. Ransomware-Akteure haben gelernt, dass Betriebsunterbrechungen in der Industrie den Erpressungsdruck drastisch erhu00f6hen. Zudem hebt die IT/OT-Konvergenz im Zuge von Industrie 4.0 die physische Trennung (Air Gap) auf, die einst als primu00e4re Verteidigungslinie fu00fcr industrielle Umgebungen diente.
Die Frage fu00fcr jeden CISO, Betriebsleiter und Verantwortlichen fu00fcr Operational Technology lautet nicht mehr, ob OT-Sicherheit Investitionen rechtfertigt. Die Frage ist, ob Ihr Sicherheitsprogramm auf die tatsu00e4chlichen Risiken, Einschru00e4nkungen und Anforderungen industrieller Umgebungen abgestimmt ist, oder ob es sich lediglich um ein IT-Sicherheitsprogramm handelt, das auf eine Welt angewendet wird, fu00fcr deren Schutz es nie konzipiert wurde.
Shieldworkz existiert, um genau diese Lu00fccke zu schlieu00dfen.
Eine Demo anfordern
Fazit
Die Unterschiede zwischen IT- und OT-Sicherheit sind keine geringfu00fcgigen technischen Feinheiten. Sie repru00e4sentieren fundamental unterschiedliche Umgebungen, Risikomodelle, betriebliche Einschru00e4nkungen und Auswirkungsprofile, die spezialisierte Sicherheitsansu00e4tze erfordern. Organisationen, die diese Differenzierung erkennen und in OT-Sicherheitsprogramme investieren, die auf die industriellen Realitu00e4ten abgestimmt sind, bauen echte Resilienz auf. Diejenigen, die versuchen, die IT-Sicherheit von Unternehmen ohne Anpassung auf OT-Bereiche auszudehnen, setzen ihre kritischen Betriebsablauf weiterhin Risiken aus u2013 und werden die Lu00fccken im ungu00fcnstigsten Moment feststellen.
Die Bedrohungslage im Bereich der Operational Technology entwickelt sich schneller als die Sicherheitsprogramme der meisten Industrieunternehmen. Nationalstaatliche Akteure haben einsatzfu00e4hige OT-Angriffskapazitu00e4ten demonstriert. Ransomware-Akteure haben gelernt, dass Betriebsunterbrechungen in der Industrie den Erpressungsdruck drastisch erhu00f6hen. Zudem hebt die IT/OT-Konvergenz im Zuge von Industrie 4.0 die physische Trennung (Air Gap) auf, die einst als primu00e4re Verteidigungslinie fu00fcr industrielle Umgebungen diente.
Die Frage fu00fcr jeden CISO, Betriebsleiter und Verantwortlichen fu00fcr Operational Technology lautet nicht mehr, ob OT-Sicherheit Investitionen rechtfertigt. Die Frage ist, ob Ihr Sicherheitsprogramm auf die tatsu00e4chlichen Risiken, Einschru00e4nkungen und Anforderungen industrieller Umgebungen abgestimmt ist, oder ob es sich lediglich um ein IT-Sicherheitsprogramm handelt, das auf eine Welt angewendet wird, fu00fcr deren Schutz es nie konzipiert wurde.
Shieldworkz existiert, um genau diese Lu00fccke zu schlieu00dfen.
Eine Demo anfordern
