Morris Becker:  Die Vernetzung der Produktionsumgebungen vergrößert die Angriffsflächen oder schafft sogar neue. Viele Altsysteme wurden für eine isolierte Betriebsumgebung gebaut und es mangelt ihnen an modernen Sicherheitvorkehrungen. Derweil verschärft sich die Bedrohungslage in der OT immer mehr, wie auch unser Mid Year Report 2025 belegt. Cyberangriffe zielen nicht mehr nur auf IT-Systeme, sondern ebenso auf Maschinenparks direkt – mit schlimmen Folgen: Produktionsausfälle, Qualitätsmängel und physische Schäden an Anlagen oder Mitarbeitern sind möglich.

Viele Sicherheitsentscheider unterliegen leider dem Trugschluss, dass sie IT und OT mit denselben Produkten schützen könnten. Doch sind diese unzureichend auf die Besonderheiten der OT-Umgebungen ausgelegt: Sie verstehen zu wenige Industrieprotokolle der Steuerungsmodule, hängen von Clouds ab oder laufen nur auf modernen Umgebungen wie Windows 10 oder 11. Jedoch gibt es in der OT viele Maschinen mit veralteten Betriebssystemen, da diese für einige Jahre im Betrieb sind. Nun aber kommen Fernwartung und Internetanbindung ins Spiel, um zwei Beispiele zu nennen. Somit werden plötzlich Patches und Updates aus Sicherheitsgründen notwendig, die aber für diese alten Betriebssysteme nicht mehr erhältlich sind. Zwar haben manche der IT-Hersteller ihre Signaturen mittlerweile angepasst, um die Industrieprotokolle zu verstehen. Aber diese dann angemessen schützen zu können, also mit ihnen umgehen – mit ihnen überhaupt etwas anfangen zu können – das steht auf einem anderen Blatt.

IT-Zero-Trust stellt den Anwender in den Mittelpunkt, OT-Zero-Trust dagegen die Maschine, wobei der Besuch des Wartungstechnikers eine Konvergenz ist. Zudem landet in der IT oft der angegriffene Sektor in Quarantäne. Mit Maschinen lässt sich das nicht bewerkstelligen, sonst bliebe die Produktion liegen. Darum betrachten wir den Prozess an und für sich. Um einen Angriff abzufangen, isolieren wir den Prozess – die Maschine jedoch arbeitet weiter. Bei OT-Zero-Trust geht es immer um den laufenden Betrieb und um Anomalien. Kommt die Maschine vom Hersteller zum Kunden, beginnt die OT-Sicherheit. Hier klären wir bereits die zugehörigen Asset-Daten wie Betriebssystem, Patchlevel, Hardware, Software oder Peripherie. Sobald die Maschine die Produktion aufnimmt, geht es um einen kontinuierlichen Schutz. Bei uns läuft das über eine Software mit Agenten. Die Herausforderung lautet dabei, dass die Fertigungsumgebung oftmals historisch gewachsen ist – wir reden wieder von den Altsystemen – denn manche Maschinen sind mehr als 20 Jahre alt und nutzen noch Windows 2000. Dazu kommen einige Dutzend verschiedene OT-Netzwerkprotokolle, die die Software beherrschen muss. Der Dreiklang dahinter: Daten auslesen, Anomalien erkennen, reagieren.

Eine OT-native Sicherheitsarchitektur ermöglicht den umfassenden Schutz der vernetzten Produktionsumgebung und kann mit den Besonderheiten umgehen. Gute OT-native Sicherheitsprodukte zeichnen sich durch ein tiefes Verständnis industrieller Prozesse aus sowie eine große Anzahl von unterstützten Industrie-Kommunikationsprotokollen der Steuerungssysteme. Während IT-Produkte im OT-Gewand häufig mit beispielsweise um die 50 Protokollen werben, muss eine echte OT-Security über 500 verstehen. Auch das Intrusion-Prevention-System, um Patches virtuell einzuspielen, gibt es als OT-Variante, statt als bloße Übertragung der IT-Version.

Anders als übliche IT-Sicherheitsprodukte berücksichtigen die OT-nativen Produkte somit die spezifischen Anforderungen von Produktionsumgebungen: Echtzeitüberwachung und -reaktion, ständige Verfügbarkeit, Offline-Fähigkeit ohne Cloudanbindung und die Notwendigkeit, bestehende Systeme nicht zu beeinträchtigen. Intelligente Anomalieerkennung und industriespezifische Protokollanalysen ergänzen ein solches Schutzkonzept. Im Zentrum steht hier stets die Ausfallsicherheit. Ein Beispiel ist hier auch die Segmentierung. In der IT ist dies ein aufwendiger Prozess, bei dem IP-Adressbereiche neu zu planen und in mühevoller Arbeit umzusetzen sind. OT-native Angebote reduzieren Aufwand und Zeit auf einen Bruchteil, weil sie keine Anpassung von IP-Adressen erfordern.

Es gibt eine Best Practice: Durch die logische Trennung von IT und OT sowie eine Mikrosegmentierung innerhalb der OT lassen sich Kommunikationsbeziehungen präzise steuern und Angriffe auf isolierte Bereiche begrenzen. Einerseits werden die Hauptbereiche getrennt, andererseits lässt sich die Produktionsumgebung in sich unterteilen, um das Springen von Angriffen einzudämmen. Jedoch gilt auch hier: Nur OT-native Sicherheitsprodukte sind auf die hier herrschenden besonderen Anforderungen vorbereitet: Sie funktionieren offline, passen in bestehende Schaltschränke oder auf Hutschienen und verfügen über einen Hardware-Bypass, der bei Updates der Sicherheitssoftware den laufenden Betrieb der Maschine nicht unterbricht.

Alte Steuerungssysteme lassen sich nicht ohne Weiteres an zentrale Monitoringsysteme anbinden. Virtual Patching, Segmentierung oder Endpunktschutz setzen spezialisiertes Fachwissen und angepasste Infrastrukturen voraus. OT-native Systeme erfassen daher den Zustand aller Geräte automatisch und erkennen Anomalien frühzeitig. Auch der Schutz der phy-sischen Schnittstellen spielt eine Rolle: USB-Geräte sollten automatisch geprüft werden, bevor sie Zugriff erhalten. So lässt sich die versehentliche Einschleusung von Malware, etwa bei einer Wartung, verhindern. Daneben kann biometrische Authentifizierung die Passwörter ersetzen, um das Risiko unbefugten Zugriffs zu mindern. All diese Maßnahmen müssen aber Teil eines strukturierten Risikomanagements sein. Regelmäßige Schwachstellen-Analysen, Audits und definierte Zuständigkeiten bilden die Grundlage, um Altsysteme auch unter aktuellen Sicherheitsanforderungen betreiben zu können. Dazu gehört ebenso eine aktive Förderung der Zusammenarbeit zwischen IT- und OT-Teams durch gemeinsame Projekte und Schulungen.

Nehmen wir den Hardware-Bypass als Beispiel: Dieser schaltet die Maschine passiv, wodurch sie in der Produktion mitlaufen kann, während ihr Sicherheitssystem herunterfährt, um eine Prüfung durchzuführen oder ein Update einzuspielen. Der Schutz ist in diesem kurzen Zeitraum tatsächlich nicht verfügbar – dies ist ein kalkuliertes Risiko. Aber die Maschine sitzt noch hinter den übergeordneten Securitymaßnahmen des gesamten OT-Netzwerkes – und sie arbeitet weiter. Somit ist bei einem Update kein Neustart der gesamten Maschine notwendig und die Produktion nicht gefährdet.

Schauen wir auf die Firewall: Diese nutzt den OSI-Layer 3 mit IP-Adressen. Die Administratoren müssen zur Konfiguration diese Adressen sowie das Netzwerk, dessen Architektur und sämtliche Datenströme kennen – das kann Monate oder Jahre dauern. OT-native Produkte dagegen lassen sich auf dem OSI-Layer 2 integrieren. Sie können einfach über ein Kabel zwischen Switch und Maschine gesteckt werden. IP-Adressen benötigen sie nicht; es reicht, die Module umzustecken, und das Tool ist im Kern eingebunden.

Ransomware blieb 2025 die größte Gefahr für industrielle OT-Umgebungen. Besonders betroffen sind Fertigung, Gesundheitswesen und kritische Infrastrukturen. Außerdem spielt auch in der OT-Sicherheit die künstliche Intelligenz eine zunehmend tragendere Rolle. Darüber hinaus ist deutlich, dass die Zukunft einem Motto gehört: Security by Design, das heißt, es sind Systeme gefragt, die Schutzmechanismen nativ, also ab Werk, integriert haben.