Operational Technology (OT) umfasst die Kombination aus Hard- und Software, die zum Überwachen und Steuern physischer Geräte, Prozesse und Infrastrukturen dient. OT findet in vielen Industrien Verwendung, darunter die Fertigungsindustrie, Öl- und Gasförderung, Energieversorgung, Verkehr sowie in kritischen Infrastrukturen wie der Wasserversorgung und Abfallentsorgung. Typische OT-Systeme sind industrielle Kontrollsysteme (ICS) wie SCADA (Supervisory Control and Data Acquisition) und verteilte Steuerungen (DCS), die vor allem zum Monitoring und zur Kontrolle von Prozessen in Echtzeit zum Einsatz kommen.

Im Gegensatz zu IT-Systemen waren OT-Netzwerke ursprünglich nicht für den Anschluss an das Internet vorgesehen und damit von externen Bedrohungen abgeschirmt. Mit der zunehmenden Integration der Systeme und der Konvergenz von IT- und OT-Netzwerken hat sich das Bedrohungsrisiko jedoch drastisch erhöht. OT-Sicherheit bezieht sich auf den Schutz physischer Systeme, Prozesse und der darauf beruhenden Infrastrukturen. Dabei geht es nicht nur um den Schutz von Daten, sondern auch um die Verhinderung von physischen Schäden, die Cyberangriffe verursachen. Die Angriffsziele umfassen dabei nicht nur Daten, sondern auch die Manipulation von Produktionsanlagen, was im schlimmsten Fall zu Betriebsstörungen oder sogar zu physischen Schäden führen kann. Der Bedarf an spezifischen Sicherheitswerkzeugen ist daher gestiegen.

Im Gegensatz zu IT-Umgebungen stehen bei OT-Landschaften nicht nur die Integrität und Vertraulichkeit von Daten im Vordergrund, sondern vor allem die Sicherheit und Verfügbarkeit physischer Prozesse. Diese Unterschiede führen zu einer Reihe von spezifischen Risiken und Anfälligkeiten. So basieren viele OT-Systeme auf veralteter Hard- und Software, die nicht mehr regelmäßig Sicherheitsupdates erhalten. Diese Legacy-Systeme sind oft Jahrzehnte alt und entstammen einer Zeit, die sich nicht um Cyberbedrohungen sorgen musste, da solche Netze ursprünglich abgeschottet waren. Die fehlende Möglichkeit, regelmäßig Patches zu installieren, erhöht die Anfälligkeit für bekannte Sicherheitslücken erheblich.

Daneben zeigt sich das spezielle Risiko, dass Produktionssysteme häufig in Echtzeit arbeiten müssen, da sie kritische Infrastrukturen steuern. Dies bedeutet, dass jeder Ausfall oder jede Verzögerung schwerwiegende Folgen haben kann. Angriffe, die die Verfügbarkeit der Systeme beeinträchtigen, könnten zur Unterbrechung von Produktionsprozessen, Stromausfällen oder sogar zur Gefährdung von Menschenleben führen, wie es in der Energieversorgung oder der Wasserversorgung der Fall ist. Die Anforderung an eine konstante Betriebsbereitschaft schränkt zudem die Möglichkeiten weiter ein, Sicherheitstests oder Upgrades durchzuführen.

Auch die verbreitete Kombination von proprietären und standardisierten Protokollen kann zu Problemen führen. OT-Systeme verwenden häufig proprietäre Kommunikationsprotokolle, die speziell auf die jeweilige Steuerungshardware zugeschnitten ist. Diese Protokolle sind oft wenig dokumentiert und nicht standardisiert, was es schwierig macht, Sicherheitsprodukte zu entwickeln, die die gesamte Netzwerkinfrastruktur abdecken. Zusätzlich kommen in modernen OT-Umgebungen zunehmend auch standardisierte Internetprotokolle zum Einsatz, was sie für typische IT-Bedrohungen anfällig macht.

In vielen OT-Netzwerken gibt es keine klare Trennung der Netzwerksegmente, was bedeutet, dass ein Angriff auf ein System leicht auf andere Bereiche des Netzwerks übergreifen kann. Zudem fehlt es häufig an umfassender Sichtbarkeit der Infrastruktur. Dies liegt unter anderem daran, dass OT-Systeme oftmals nicht für eine zentrale Überwachung ausgelegt sind.

Wäre das alles nicht schon besorgniserregend genug, beobachten Experte zunehmend zielgerichtete Angriffe auf kritische Infrastrukturen. Während sich Hacker in der Vergangenheit vor allem auf den Diebstahl von Daten konzentrierten, haben Angriffe auf OT-Systeme ein erhebliches destruktives Potenzial. Attacken auf kritische Infrastrukturen, wie Energieversorger oder Produktionsanlagen, können nicht nur wirtschaftlichen Schaden verursachen, sondern auch die öffentliche Sicherheit gefährden. Beispiele wie der Angriff auf die ukrainische Stromversorgung 2016 zeigen, wie anfällig solche Infrastrukturen für gezielte Cyberattacken sind.

Systeme für Endpoint Detection and Response (EDR) bewachten ursprünglich IT-Umgebungen, in denen der Schutz von Daten und Systemen vor Malware und anderen Cyberbedrohungen im Vordergrund steht. Doch mit der zunehmenden Konvergenz von IT- und OT-Netzen ist es notwendig geworden, EDR an die besonderen Anforderungen von OT anzupassen, um deren besondere Eigenschaften zu berücksichtigen.

Die Implementierung von EDR in OT unterscheidet sich grundlegend von klassischen IT-Umgebungen. OT-EDR-Anwendungen müssen eine wesentlich breitere Palette an Bedrohungen abdecken und dabei den Betrieb kritischer Systeme gewährleisten. Daneben dürfen Securitytools in Produktionsumgebungen keine Betriebsunterbrechungen verursachen. Das bedeutet, dass EDR-Systeme für OT so angepasst werden müssen, dass sie Bedrohungen erkennen und darauf reagieren, ohne den Echtzeitbetrieb zu stören. Ein unerwarteter Shutdown oder eine Verzögerung kann in Produktionsumgebungen zu erheblichen Schäden führen.

OT-Systeme sind häufig über Jahrzehnte im Einsatz, was bedeutet, dass sie mit älteren, vielfach unsicheren Betriebssystemen wie etwa Windows 3.1 als Steuerrechner arbeiten. Viele dieser Umgebungen unterstützen keine modernen Sicherheitsprotokolle und das regelmäßige Patchen ist oft nicht möglich. Daher muss OT-EDR in der Lage sein, auch ältere Systeme zu schützen, ohne direkte Eingriffe in die bestehende Infrastruktur zu erfordern.

Dann ist zu beachten, dass es in OT-Umgebungen eine Vielzahl von Geräten gibt – von Sensoren über Steuerungssysteme bis hin zu Robotern. Diese Vielfalt stellt eine Herausforderung für EDR dar, das sich oft auf standardisierte IT-Protokolle konzentriert. OT-EDR muss daher in der Lage sein, proprietäre Protokolle zu überwachen und auf Bedrohungen zu reagieren, die spezifisch für diese Systeme sind.

Anders als in IT-Netzwerken, wo umfassende Überwachungs- und Protokollierungssysteme vorhanden sind, fehlt es in OT-Infrastrukturen häufig an Transparenz. Viele der eingesetzten Geräte haben keine integrierten Sicherheitsfunktionen oder ermöglichen keine einfache Überwachung. EDR-Produkte müssen daher zusätzliche Funktionen bieten, um diese Lücken zu schließen und eine umfassende Sicht auf die OT-Landschaft zu ermöglichen.

Um in OT-Umgebungen effektiv zu sein, müssen EDR-Anwendungen speziell auf die einzigartigen Anforderungen dieser Systeme zugeschnitten sein. Zu den wesentlichen Funktionen von OT-EDR gehören zunächst Asset Discovery und Inventarisierung. Ein effektives OT-EDR- System muss in der Lage sein, alle Geräte und Systeme innerhalb eines OT-Netzwerks automatisch zu erkennen und zu inventarisieren. Diese Funktion ist entscheidend, da viele industrielle Umgebungen keine vollständige Übersicht über ihre angeschlossenen Geräte bieten, was zu Sicherheitslücken führen kann.

Eine weitere Anforderung ist die Netzwerksegmentierung und der Schutz kritischer Zonen. Die Netzsegmentierung ist eine der effektivsten Methoden, um OT-Umgebungen zu schützen. OT-EDR sollte in der Lage sein, den Datenverkehr in Echtzeit zu überwachen und zwischen kritischen und weniger kritischen Bereichen des Netzwerks zu unterscheiden. Dies ermöglicht es, Angriffe zu isolieren und zu verhindern, dass sie sich auf das gesamte Netzwerk ausbreiten. Hier schließt direkt unser nächster Punkt an, die Anomalieerkennung und die verhaltensbasierte Analyse. OT-EDR-Systeme müssen nicht nur bekannte Bedrohungen erkennen, sondern auch Anomalien im Systemverhalten identifizieren. Verhaltensbasierte Analysen sind besonders wichtig, da viele Angriffe in OT-Umgebungen spezifisch auf bestimmte Prozesse oder Geräte abzielen und daher die herkömmliche signaturbasierte Erkennung nicht greift.

Fast schon klassisch muss ein OT-EDR-System sowohl Intrusion Detection (IDS) als auch Intrusion Prevention (IPS) bieten, um Angriffe frühzeitig zu erkennen und zu stoppen, bevor sie Schaden anrichten. Diese Systeme müssen auf industrielle Protokolle spezialisiert sein und sowohl IT- als auch OT-spezifische Bedrohungen bewältigen. Und da Produktionssysteme zunehmend aus der Ferne gewartet werden, ist die Sicherung des Remotezugriffs Pflicht. OT-EDR muss Funktionen zur Identitäts- und Zugriffsverwaltung bieten, um sicherzustellen, dass nur autorisierte Personen Zugang zu kritischen Systemen haben und dieser sicher abläuft.

Mit der wachsenden Digitalisierung und der zunehmenden Vernetzung industrieller Systeme steht die Sicherheitslandschaft im OT-Bereich vor großen Veränderungen. Die Herausforderungen im Zusammenhang mit dem Schutz kritischer Infrastrukturen und industrieller Steuerungssysteme werden durch neue Technologien und Bedrohungen ständig erweitert. In diesem Abschnitt werfen wir einen Blick auf Technologie, die IT-Verantwortliche für den zukünftigen Schutz ihrer OT-Infrastruktur im Auge behalten sollten.

Die Integration von IT- und OT-Netzwerken wird weiter voranschreiten, was auch zu einer stärkeren Angleichung der Sicherheitswerkzeuge führt. Während die Netzwerke enger zusammenwachsen, müssen EDR-Produkte beide Welten abdecken, um umfassenden Schutz zu bieten. Dies bedeutet, dass EDR-Systeme in der Lage sein müssen, Bedrohungen sowohl in IT- als auch OT-Systemen zu erkennen und gemeinsam auf sie zu reagieren. Zukünftige EDR-Systeme stellen dich als integrierte Plattformen dar, die IT- und OT-Sicherheit in einer einheitlichen Architektur vereinen.

Künstliche Intelligenz und maschinelles Lernen ermöglichen es EDR-Systemen, aus den riesigen Datenmengen, die in OT-Umgebungen anfallen, Bedrohungen frühzeitig zu erkennen und automatisch auf sie zu reagieren. KI-gestützte Systeme können Anomalien im Verhalten von Geräten und Prozessen in Echtzeit identifizieren und so potenzielle Angriffe verhindern, bevor sie ernsthaften Schaden anrichten. Da viele OT-Bedrohungen gezielt auf bestimmte industrielle Prozesse abzielen, wird die Fähigkeit, normales von anomalem Verhalten zu unterscheiden, zentral für zukünftige EDR-Werkzeuge sein.

Und wie in vielen Bereichen der IT spielen Automatisierung und Orchestrierung eine wichtige Rolle. Die Automatisierung der Bedrohungserkennung und der Reaktion ist besonders wichtig in OT-Umgebungen, in denen menschliches Eingreifen oft zu langsam oder ineffektiv sein kann. Darüber hinaus werden EDR-Systeme künftig besser in der Lage sein, Bedrohungen über verschiedene Systeme hinweg zu koordinieren und automatisch geeignete Gegenmaßnahmen zu ergreifen. Dies schließt auch die Integration von Sicherheitsoperationen mit anderen Bereichen der Infrastruktur ein, um eine nahtlose Reaktion auf Vorfälle zu gewährleisten.

Mit der wachsenden Verbreitung von Edge-Computing in industriellen Umgebungen nimmt auch hier die Bedeutung von EDR zu. Edge-Computing ermöglicht das Verarbeiten von Daten direkt an der Quelle, was zu schnelleren Reaktionszeiten und einer besseren Kontrolle über OT-Systeme führt. Zukünftige EDR-Tools arbeiten vermehrt auf Edge-Geräten, um Bedrohungen direkt dort zu erkennen, wo sie entstehen, ohne dass Daten in zentrale Systeme fließen müssen. Diese Entwicklung ist besonders wichtig für kritische Infrastrukturen, bei denen Echtzeit- reaktionen erforderlich sind.

Auch der Zero-Trust-Ansatz, der bereits in IT-Netzen weit verbreitet ist, findet sich zunehmend in OT-Systemen wieder. Zero Trust bedeutet, dass keinem Gerät oder Benutzer im Netzwerk automatisch vertraut wird, sondern dass jeder Zugriff überprüft und autorisiert werden muss.

Auch wächst mit der zunehmenden Regulierung sowie der Etablierung internationaler Standards wie der IEC 62443 und der NIS-2-Richtlinie die Notwendigkeit, dass EDR-Tools diese Standards einhalten. Künftige Werkzeuge müssen in der Lage sein, die Anforderungen dieser Standards zu erfüllen und gleichzeitig flexible, maßgeschneiderte Sicherheit für spezifische Branchen bereitzustellen. Diese regulatorischen Entwicklungen beschleunigen nicht nur die Einführung von EDR in OT, sie sorgen für eine stärkere Vereinheitlichung der Sicherheitsansätze.

Neben der Prävention von Cyberangriffen ist die Fähigkeit wichtig, sich schnell von einem Angriff zu erholen. EDR muss demnach nicht nur Bedrohungen erkennen und bekämpfen, sondern auch über Funktionen zur schnellen Wiederherstellung verfügen. Die Automatisierung von Wiederherstellungsprozessen und die Sicherstellung der kontinuierlichen Verfügbarkeit kritischer Systeme sind zentrale Elemente zukünftiger EDR-Systeme.

IT-Verantwortliche, die Produktionsumgebungen schützen wollen, müssen im ersten Schritt eine vollständige Sichtbarkeit über digitale Assets, Netzwerke und Benutzer erlangen. Daneben gilt es, das Netzwerk in Zonen zu segmentieren und Sicherheitsgrenzen zu implementieren. All dies müssen aktuelle oder künftige EDR-Werkzeuge leisten und so die IT in die Lage versetzen, den Zugriff auf digitale Assets überwachen und kontrollieren zu können. Gleichzeitig helfen diese Systeme IT-Teams dabei, proaktive Maßnahmen zur Bedrohungserkennung und -prävention zu implementieren. Die aktuelle und künftig sogar noch steigende Integration von IT und OT erfordern passende Sicherheitstools und fordern IT-Verantwortliche dazu auf, grenzüberschreitend zu denken und zu handeln.