Was Sie bei einem NIDS für die OT beachten sollten

Advertorial

Im April 2025 öffneten bisher nicht identifizierte Akteure über Fernzugriff die Abflussventile des Damms am norwegischen Risevatnet-See. Zuvor hatten sie über das schwache Passwort einer OT-Komponente Zugriff zur Steuerungstechnik erlangt. Erst vier Stunden später fiel den Betreibern auf, dass pro Sekunde 497 Liter mehr Wasser in das darunterliegende Flussbett abgegeben wurden. Zwar kam es zu keinen Schäden, doch der Vorfall verdeutlicht drei Realitäten:

1. OT-Netzwerke werden mittlerweile gezielt angegriffen.
2. Firewalls allein sind machtlos in einer Angriffslandschaft, die immer stärker Techniken nutzt, welche die Perimetersicherung gezielt umgehen oder durch signaturbasierte Abwehr nicht erkennbar sind.
3. OT-Netzwerke kranken noch immer an ihrer Vergangenheit, in der Cybersicherheit keinerlei Rolle gespielt hat. Letzteres bestätigen auch Ergebnisse aus Schwachstellenbewertungen im Rahmen von Rhebo Industrial Security Assessments in OT-Umgebungen industrieller und kritischer Anlagen. In allen untersuchten Netzwerken fanden sich veraltete, unsichere Protokolle und Authentifizierungsmethoden.

In über der Hälfte aller Assessments wurden verwundbare Systeme und Verbindungsversuche ins Internet detektiert (siehe Abb. 1).

Weltweit nimmt zudem die Zahl der identifizierten Schwachstellen in IT- und OT-Systemen zu. In den ersten fünf Monaten des laufenden Jahres wurden rund 20.000 CVEs (Common Vulnerabilities and Exposures) veröffentlicht, ein Zuwachs von 16 Prozent gegenüber dem Vorjahreszeitraum.

Während das Bekanntwerden von Schwachstellen grundsätzlich positiv zu werten ist, stecken viele Anbieter und Nutzer in einem enormen Patch-Backlog. Vor allem in OT-Umgebungen birgt das Patching von Komponenten ein hohes Risiko längerer Stillstandzeiten. Zugleich überholen laut Googles M-Trends Report Schwachstellen (33 %) und gestohlene Zugangsdaten (16 %) klassische Phishing-Kampagnen (14 %) als initiale Angriffsvektoren. Auch Innentäter sind mit 5 Prozent nicht unerheblich. Ein Großteil der Angriffe läuft damit an Firewalls vorbei.

Ein NIDS stellt die innere Sicherheit her

Das BSI empfiehlt deshalb bereits seit mehreren Jahren den Einsatz eines Sicherheitsmonitorings mit Anomalieerkennung in industriellen Umgebungen – erstmals 2019 für Produktionsnetzwerke (BSI-CS 134) und zuletzt im März 2025 für Umspannwerke (BSI-CS 153). Bei diesen netzbasierten Intrusion-Detection-Systemen (NIDS) geht es nicht um einen Ersatz der bestehenden Sicherheitsinfrastruktur aus Firewalls, Authentifizierung und Rechtemanagement, die auf die Prävention von Vorfällen setzen. Vielmehr steht die Detektion von Vorgängen und sicherheitsrelevanten Ereignissen im Vordergrund, die durch die präventiven Maßnahmen zunehmend nicht abgedeckt werden können. Dazu gehören insbesondere die bereits erwähnten Angriffsvektoren über Schwachstellen und gestohlene Zugangsdaten, aber auch über die Lieferkette (Supply Chain Compromise) sowie verschleiernde Angriffstechniken wie Living-Off-The-Land (LOTL).

NIDS ergänzen damit die präventiven Maßnahmen in einer erweiterten, komplexeren Risikolandschaft. Diese Ergänzung erfolgt über zwei Prinzipien:

1. Das NIDS überwacht nicht den Perimeter (auch wenn es dort ebenfalls eingesetzt werden kann), sondern das gesamte innere Netzwerk – in industriellen Anlagen somit die gesamte OT (siehe Abb. 2)
2. Das NIDS nutzt Anomalieerkennung, um neuartige oder verschleierte Angriffstechniken zu erkennen, die durch die Signaturbibliotheken nicht abgedeckt sind

Das netzbasierte Angriffserkennungssystem Rhebo Industrial Protector beispielsweise spiegelt dafür den Netzwerkverkehr über einen Mirrorport oder Netzwerk-Tap und analysiert kontinuierlich die Pakete auf Abweichungen vom zu erwartenden Kommunikationsverhalten. Dabei werden sowohl OT- als auch IT-Protokolle berücksichtigt. Abweichungen werden nach ihrem Risiko bewertet und den Verantwortlichen inklusive der Metaund forensischen Daten gemeldet.

Neben sicherheitsrelevanten Ereignissen (SRE) detektiert Rhebo Industrial Protector auch technische Fehlerzustände, die in der OT zu unerwünschten Latenzen oder Übertragungsfehlern führen und die industriellen Echtzeitprozesse gefährden können.

Der Teufel steckt im Detail

Ein NIDS sollte insbesondere in der OT einigen Prämissen folgen, um die empfindlichen industriellen Prozesse nicht zu stören und nicht zum eigenen Sicherheitsrisiko zu werden:

• Das Monitoring erfolgt passiv, um die limitierten Datenkapazitäten der OT-Infrastruktur nicht zu belasten.
• Detektion und Meldung sind rückwirkungsfrei, es erfolgt kein automatisches Blockieren von Verkehr.
• Das für die OT entwickelte NIDS kann über Schnittstellen zu SIEM-Systemen in die übergeordnete Unternehmens-Cybersicherheit eingebunden werden. Damit schließt das NIDS die bestehende Sichtbarkeits- und Protokollierungslücke zur OT, die in vielen Unternehmen-SIEMs noch immer besteht.
• Das NIDS kann On-Premises eingesetzt werden, es besteht kein separater Fernzugang oder Cloud-Zwang. Insbesondere bei Lösungen aus nicht-europäischen Ländern und mit Cloud-Anbindung sollte genau nachgefragt werden, wie das Datenhandling erfolgt und zum Beispiel mit dem US CLOUD Act umgegangen wird. Aus Perspektive der digitalen Souveränität lohnt ein Blick auf europäische und deutsche Anbieter.
• Da OT-Sicherheit in vielen Unternehmen noch Neuland ist und oftmals mit einem NIDS erstmalig Sichtbarkeit in der OT geschaffen wird, sollte auf einen verlässlichen Service seitens des Anbieters geachtet werden. Das betrifft vor allem die Aspekte Baselining und Training-on-the-job.
• Auch die Lizenzstruktur sollte genau geprüft und mit der voraussichtlichen Entwicklung der eigenen OT abgeglichen werden. Eine Abrechnung nach der Anzahl der überwachten Assets oder dem Traffic-Volumen kann mittelfristig die Kosten für ein NIDS nach oben treiben. Weiterhin sollte vorab geklärt werden, welche Funktionen des NIDS als Add-on hinzugekauft werden müssen. Auch das kann die Total Cost of Ownership mitunter stark erhöhen. Rhebo setzt deshalb auf eine transparente, stabile Preispolitik – ohne dynamische Faktoren wie Anzahl der Assets oder Funktionen.

Ein dediziert für die OT entwickeltes NIDS schafft unter diesen Voraussetzungen Sichtbarkeit und Sicherheit in einer sich stark verändernden OT, in der Vernetzung, Fernwirkung und Flexibilität immer wichtiger werden.

Mehr dazu finden Sie hier.