Risiken, Strategien und Lösungen: Herausforderungen und Maßnahmen zur Sicherung von OT-Systemen

Hinweis: Dieser Artikel stammt aus der Ausgabe 2/2025 der Zeitschrift IT-SICHERHEIT. Das komplette Heft können Sie hier herunterladen. (Registrierung erforderlich)

Die Zahlen sprechen für sich: 2024 meldeten fast 70 Prozent der Industrieunternehmen einen Cyberangriff auf ihre OT-Systeme.[1] Die zunehmende Komplexität der OT-Sicherheit wurde dabei als Hauptsorge genannt, und ein Viertel der betroffenen Unternehmen sah sich gezwungen, den Betrieb aufgrund eines Cyberangriffs einzustellen.

OT-Systeme galten lange Zeit als isoliert, doch mit der steigenden Nutzung von Cloud-Diensten, Fernzugriffslösungen und industriellen IoT-Anwendungen steigt das Risiko exponentiell. Der „State of the Internet Report 2024“ von Censys hebt hervor, dass veraltete Industrial-Control-Systems-(ICS)-Protokolle, die für industrielle Prozesse unerlässlich sind, aufgrund ihres Designs und fehlender moderner Sicherheitsfunktionen sehr anfällig für Angriffe sind.[2] Die zunehmende Vernetzung dieser Systeme erhöht die Angriffsfläche erheblich.

Besonders problematisch ist, dass viele dieser Systeme für eine Lebensdauer von Jahrzehnten konzipiert wurden und nicht für die heutigen Bedrohungen ausgelegt sind. Bekannte Angriffe wie der Colonial-Pipeline-Hack[3] oder der Maersk-Vorfall[4] vor einigen Jahren verdeutlichen die erheblichen wirtschaftlichen und gesellschaftlichen Auswirkungen von Cyberangriffen auf kritische Infrastrukturen.

Ein entscheidender Faktor dabei ist die steigende Zahl von Ransomware-Angriffen, die häufig über Phishing-Kampagnen oder kompromittierte Fernzugänge erfolgen. Cyberkriminalität ist ein Geschäftsmodell, das heute auch technisch weniger versierten Angreifern Zugang zu leistungsfähigen Angriffswerkzeugen ermöglicht.

Gleichzeitig erschweren veraltete Software- und Hardwarebestände die Umsetzung wirksamer Sicherheitsmaßnahmen, da viele Systeme keine regelmäßigen Updates unterstützen.

Ein weiteres Problem ist die exponentielle Zunahme von Sicherheitslücken. Berichte zeigen, dass ICS-spezifische Schwachstellen in den vergangenen Jahren drastisch zugenommen haben.

Besonders kritisch sind Systeme, die ursprünglich ohne Sicherheitsmechanismen entwickelt wurden und daher inhärente Sicherheitslücken aufweisen. Ein Bericht von Cyble von Januar 2025 hebt bereits jetzt 27 neu entdeckte Schwachstellen in kritischen Systemen hervor, darunter Produkte von ABB und Nedap Librix. Von diesen Sicherheitslücken verfügen 12 über öffentlich zugängliche Proof-of-Concept-Exploits, was das Risiko für betroffene Organisationen erhöht.[5]

Zentrale Herausforderungen der IT/OT-Sicherheit

Die Sicherheit von OT-Umgebungen erfordert einen strategischen Ansatz, der mehrere zentrale Herausforderungen adressiert. Sichtbarkeit spielt eine entscheidende Rolle, da Unternehmen nur das schützen können, was sie sehen. Ohne vollständige Transparenz können keine zielgerichteten Sicherheitsmaßnahmen implementiert werden. Unternehmen benötigen eine automatisierte Erkennung und Überwachung aller Geräte, einschließlich des Modells, der Firmware-Version und potenzieller Schwachstellen.

Dies ist besonders in komplexen industriellen Umgebungen mit Greenfield-Projekten (Neuentwicklung ohne bestehende Systeme) und Brownfield-Projekten (Integration oder Modernisierung bestehender Systeme) eine Herausforderung, da ältere Systeme oft schlecht dokumentiert und schwer zu integrieren sind. Gerade auch in solchen Szenarien ist eine durchdachte Netzsegmentierung entscheidend. Sie ist unerlässlich, um unautorisierte Kommunikationswege zu unterbinden und das Prinzip der minimalen Rechtevergabe durchzusetzen.

Systeme und Geräte dürfen nur mit den absolut notwendigen Partnern kommunizieren. Automatisierte Richtlinien und Templates helfen, die Segmentierung effizient und präzise umzusetzen, besonders in heterogenen Umgebungen mit unterschiedlichen Protokollen wie Modbus, DNP3 oder Profinet. Darüber hinaus muss sich die Bedrohungserkennung konstant weiterentwickeln, da moderne Angriffe oft unbekannte Methoden verwenden und eine Kombination aus signaturbasierten sowie durch künstliche Intelligenz (KI) gestützten Erkennungstechnologien erfordern. Echtzeitüberwachung und Inline-Schutzmechanismen
sind erforderlich, um Bedrohungen schnell zu identifizieren und zu blockieren.

Ein weiteres zentrales Anliegen ist die Vereinfachung des Betriebs. Viele OT-Umgebungen basieren auf komplexen, oft veralteten Architekturen. Sicherheitslösungen müssen leicht zu implementieren und zu warten sein, um Betriebsunterbrechungen zu minimieren und Compliance-Anforderungen effizient zu erfüllen. Besonders in Brownfield-Projekten ist eine schrittweise Implementierung von Sicherheitsmaßnahmen erforderlich, um den laufenden Betrieb nicht zu gefährden.

Sicherheitsarchitektur für OT

Ein strukturierter Sicherheitsansatz für OT-Umgebungen beginnt mit einer mehrschichtigen Netzwerkarchitektur. Ein bewährtes Segmentierungsmodell ist das Purdue-Modell, das eine klare Trennung von IT- und OT-Systemen ermöglicht. Die Erweiterung dieses Modells basiert auf der Norm ISA/IEC 62443, die als international anerkannte Richtlinie für industrielle Cybersicherheit gilt.

Bewährte Sicherheitsmaßnahmen sind Firewalls als zentrale Kontrollpunkte zur Überwachung und Filterung des Datenverkehrs zwischen IT und OT, Intrusion-Detection-Systeme zur frühzeitigen Erkennung von Angriffen und Anomalien sowie sichere Remote-Access-Lösungen, die Multi-Faktor-Authentifizierung und strikte Zugriffsbeschränkungen implementieren.

Zero-Trust-Ansatz

Doch klassische Netzsegmentierung und Perimetersicherheit allein reichen nicht mehr aus, um moderne OT-Umgebungen gegen fortschrittliche Bedrohungen zu schützen. Angriffe wie Ransomware, Insider-Bedrohungen oder Zero-Day-Exploits können sich trotz Netzwerksegmentierung unbemerkt ausbreiten. Um dieser Herausforderung zu begegnen, setzen immer mehr Unternehmen auf den Zero-Trust-Ansatz.

Der Ansatz basiert auf dem Prinzip, dass kein Benutzer oder Gerät automatisch vertrauenswürdig ist. Dieser Ansatz erfordert eine kontinuierliche Überprüfung und strenge Zugriffskontrollen auf der Grundlage von Benutzeridentität, Gerätestatus und Kontext. Besonders in OT-Umgebungen mit physischen Steuerungssystemen wie PLCs, HMIs und SCADA-Systemen ist eine fein abgestufte Zugriffskontrolle von entscheidender Bedeutung.

Ein effektives Zero-Trust-Framework umfasst eine umfassende Inventarisierung aller Assets, strikte Zugriffskontrollen basierend auf dem Prinzip der minimalen Rechtevergabe sowie ein kontinuierliches Monitoring zur frühzeitigen Erkennung verdächtiger Aktivitäten. Ein zentraler Bestandteil dieses Ansatzes ist die gezielte Nutzung von Threat Intelligence.

Die Rolle von Threat Intelligence

OT-spezifische Threat Intelligence liefert wertvolle Einblicke in Bedrohungsakteure und Angriffsmethoden. Anbieter analysieren industrielle Bedrohungen und stellen Informationen über bekannte Gruppen wie Xenotime und Electrum bereit. So können Unternehmen Abwehrstrategien ausarbeiten und ihre Sicherheitslage proaktiv verbessern. Threat Intelligence unterstützt Unternehmen dabei, relevante Bedrohungen für spezifische Branchen zu identifizieren und Sicherheitsstrategien auf Basis aktueller Bedrohungslandschaften zu entwickeln.

Die Absicherung von OT-Umgebungen erfordert eine spezialisierte Bedrohungsdatenbank, die industrielle Steuerungssysteme und Produktionsnetzwerke berücksichtigt. Diese Datenbanken sammeln Bedrohungsinformationen, analysieren Angriffsmuster und korrelieren Daten aus verschiedenen Quellen. Klassische IT-Threat-Intelligence-Modelle lassen sich nicht direkt auf OT übertragen, da industrielle Systeme oft proprietäre Protokolle verwenden und in Echtzeit betrieben werden.

Eine leistungsfähige Bedrohungsdatenbank muss bekannte und neu entdeckte Schwachstellen kontinuierlich erfassen. Besonders wichtig sind Informationen über veraltete ICS-Protokolle und Steuerungssysteme, die keine regelmäßigen Sicherheitsupdates erhalten. Intrusion-Detection-Systeme und Anomaly Detection können helfen, verdächtige Aktivitäten frühzeitig zu erkennen.

Um Risiken gezielt bewerten zu können, müssen technische und betriebliche Faktoren berücksichtigt werden. Produktionsanlagen
können nicht einfach abgeschaltet werden, daher ist eine klare Priorisierung der Bedrohungen notwendig.

Die größte Herausforderung liegt in der Beschaffung verlässlicher Informationen. Viele Hersteller industrieller Steuerungssysteme geben Schwachstellen nur eingeschränkt bekannt oder melden sie nicht in standardisierten CVE-Datenbanken. Unternehmen sollten daher branchenspezifische Threat-Feeds nutzen, mit Computer Emergency Response Teams (CERTs) kooperieren und eigene Analysen durchführen. Verhaltensmodelle, die typische Angriffsketten auf OT-Systeme abbilden, ermöglichen eine frühzeitige Erkennung von Bedrohungen.

Threat-Intelligence-Datenbanken

Die Integration von Bedrohungsdatenbanken in ICS- und SCADA-Umgebungen ist besonders anspruchsvoll, da industrielle Steuerungssysteme ursprünglich nicht für moderne Cybersicherheitsmechanismen konzipiert wurden. Diese Systeme sind auf Echtzeitkommunikation angewiesen, wodurch Sicherheitsmaßnahmen wie umfassende Paketprüfungen oder signaturbasierte Angriffserkennung zu Verzögerungen führen können. Ein Fehlalarm oder eine Sicherheitsmaßnahme, die den Betrieb unterbricht,
können schwerwiegende wirtschaftliche oder sicherheitskritische Folgen haben.

Die zunehmende IT-/OT-Konvergenz erschwert zudem die Abgrenzung zwischen klassischen IT-Angriffen und gezielten Angriffen auf industrielle Systeme. Angriffe, die sich ursprünglich gegen IT-Infrastrukturen richten, können auf OT-Netzwerke übergreifen und dort massive Schäden verursachen. Eine gut gepflegte Bedrohungsdatenbank hilft, solche Szenarien frühzeitig zu erkennen, indem sie speziell auf industrielle Umgebungen zugeschnittene Indikatoren für Kompromittierungen bereitstellt.

Besonders kritisch sind Angriffe auf lebenswichtige Infrastrukturen wie Energieversorgung, Wasseraufbereitung oder Produktionssteuerung. Bedrohungsakteure versuchen gezielt, ICS- und SCADA-Systeme zu manipulieren, um kritische Prozesse zu stören oder sogar physischen Schaden anzurichten. Eine kontinuierlich aktualisierte Bedrohungsdatenbank kann helfen, gezielte Angriffsmuster zu erkennen und Abwehrstrategien frühzeitig zu optimieren. Ohne eine präzise Bedrohungsanalyse bleibt die ICS-Sicherheit reaktiv, was die Risiken deutlich erhöht.

Kooperation von IT- und OT-Teams

Weiterhin erfordert eine effektive OT-Sicherheitsstrategie eine enge Zusammenarbeit zwischen IT- und OT-Teams. Unterschiedliche
Prioritäten und betriebliche Anforderungen führen häufig zu Missverständnissen. Unternehmen sollten daher klare Prozesse für die Zusammenarbeit und ein gemeinsames Verständnis der Bedrohungslage etablieren. Der Einsatz moderner Sicherheitslösungen, die sowohl IT- als auch OT-spezifische Anforderungen berücksichtigen, hilft dabei, eine effektive Brücke zwischen beiden Welten zu schlagen.

Asset-Register als Sicherheitsbasis

Die Sicherheit in industriellen Steuerungs- und OT-Umgebungen hängt maßgeblich von einem vollständigen und aktuellen Überblick über alle im Netzwerk vorhandenen Geräte ab. Ein Asset-Register dient dabei als zentrales Element, um Schwachstellenmanagement und Incident-Response-Maßnahmen gezielt umsetzen zu können.

Ein vollständiges Asset-Register kann jedoch ein attraktives Ziel für Angreifer darstellen, da es detaillierte Informationen über die Infrastruktur liefert. Daher ist es wichtig, den Zugang zu diesem Register zu beschränken und es sicher zu speichern – vorzugsweise lokal und nicht in der Cloud. Regelmäßige Sicherheitsüberprüfungen und Zugriffskontrollen sind unerlässlich. Eine Verschlüsselung der Asset-Daten sowie eine strikte Zugriffskontrolle nach dem Prinzip der minimalen Berechtigungen sind empfehlenswert. Ebenso sollte das Asset-Register regelmäßig aktualisiert und durch Mechanismen zur Integritätsprüfung geschützt werden, um Manipulationen frühzeitig zu erkennen.

Viele OT-Umgebungen verfügen über unvollständige Asset-Register, was in der Vergangenheit zu schwerwiegenden Sicherheitsvorfällen geführt hat. Ein Beispiel ist eine Produktionsanlage, die durch ein versehentlich eingestecktes USB-Gerät kompromittiert wird, weil keine aktuelle Übersicht über autorisierte Geräte vorliegt.

Fazit

Unternehmen sollten jetzt gezielte Maßnahmen ergreifen, um ihre OT-Umgebungen wirksam zu schützen. Ein vollständiges und regelmäßig aktualisiertes Asset-Register ist die Basis, um Sicherheitslücken zu identifizieren und gezielt zu schließen. Eine konsequente Netzwerksegmentierung nach dem Purdue-Modell hilft, IT-und OT-Systeme zu trennen und unberechtigte
Zugriffe zu verhindern. Ein Zero-Trust-Ansatz mit strikten Zugriffskontrollen und Multi-Faktor-Authentifizierung reduziert das Risiko erheblich.

Gleichzeitig sind ein effizientes Schwachstellenmanagement und eine gute Threat Intelligence notwendig, um Bedrohungen frühzeitig zu erkennen und proaktiv zu handeln. Eine enge Zusammenarbeit zwischen IT- und OT-Teams sowie regelmäßige Schulungen sind entscheidend, um das Sicherheitsbewusstsein zu fördern und Angriffsflächen zu minimieren. Nur durch einen
ganzheitlichen und nachhaltigen Sicherheitsansatz können Ausfallzeiten und wirtschaftliche Schäden vermieden werden.

Literatur

[1] Palo Alto Networks, State of OT Security Report. Verfügbar unter: https://www.paloaltonetworks.com/resources/research/state-of-ot-security-report (Zugriff am 12. März 2025).
[2] Censys, Global ICS Exposures: What Our 2024 State of the Internet Report Reveals About Critical Infrastructure Security.
Verfügbar unter: https://censys.com/de/global-ics-exposures-what-our-2024-state-of-the-internet-report-reveals-about-critical-infrastructure-security/ (Zugriff am 12. März 2025).
[3] Cybersecurity and Infrastructure Security Agency (CISA), The Attack on Colonial Pipeline: What We’ve Learned and What
We’ve Done Over the Past Two Years. Verfügbar unter: https://www.cisa.gov/news-events/news/attack-colonial-pipeline-what-weve-learned-what-weve-done-over-past-two-years (Zugriff am 12. März 2025).
[4] Control Engineering, Throwback Attack: How NotPetya Accidentally Took Down Global Shipping Giant Maersk. Verfügbar unter: https://www.controleng.com/throwback-attack-how-notpetya-accidentally-took-down-global-shipping-giant-maersk (Zugriff am 12. März 2025).
[5] Cyble, New ICS Vulnerabilities Report. Verfügbar unter: https://cyble.com/blog/new-ics-vulnerabilities-report/ (Zugriff am 12. März 2025).