Moderner OT-Resilienz: Digitale Zwillinge als wichtige Bausteine

Neben kontinuierlichem „Exposure Management“braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

[datensicherheit.de, 05.02.2026] Carlos Buenano, CTO für OT bei Armis, betont in seiner aktuellen Stellungnahme: „Neben kontinuierlichem ,Exposure Management’ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für ,Legacy’-Systeme!“ Gleichzeitig rücke die Lieferkette als Angriffs- und „Compliance“-Faktor in den Mittelpunkt.

Carlos Buenano: Unternehmen müssen schneller automatisieren als Angreifer, Risiken in der Sprache der Wirtschaft messen und jedes Gerät, jeden Lieferanten und jeden Prozess als Teil einer einheitlichen Risikolandschaft behandeln!

Durchsetzung des Zugriffs mit minimalen Privilegien zur Stärkung der OT-Resilienz

Eine zentrale Säule moderner OT-Resilienz im Jahr 2026 ist demnach die Durchsetzung des Zugriffs mit minimalen Privilegien: „Da wir Lieferketten und Betriebsnetzwerke absichern, muss die Verwaltung der Zugriffe dynamisch, überprüfbar und kontextsensitiv gestaltet sein!“

• Jeder Mensch, jede Maschine, jedes Anbieter-„Tool“ und jedes Firmware-Update sollte als Identität behandelt werden, welche nur die erforderlichen Rechte erhält – und zwar nur für die erforderliche Zeit und nur auf den erforderlichen Systemen.

„Das bedeutet, dass rollen- und attributbasierte Zugriffskontrollen (RBAC und ABAC) innerhalb der Kontrollumgebungen durchgesetzt werden müssten, wobei Just-in-Time-Erweiterungen (JIT) für Wartungsaufgaben, kurzlebige Anmeldedaten für Anbieter-Sitzungen und hardwarebasierte Identitäten für Geräte verwendet werden“.

Identität wird zur aktiven Risikovariable

Firmware-Updates sollten vor der Bereitstellung immer digital signiert und überprüft werden – und der Zugriff von Anbietern müsse über vermittelte, überwachte „Jump-Hosts“ mit Sitzungsaufzeichnung und automatischer Sperrung der Anmeldedaten nach Abschluss der Arbeiten erfolgen.

• Wenn diese Zugriffsvalidierung in CTEM („Continuous Threat Exposure Management“) einfließt, wird die Risikobewertung laut Buenano wesentlich präziser, da das Risiko nicht nur mit den Schwachstellen der „Assets“ verknüpft wird, sondern auch damit, wer oder was tatsächlich mit diesen „Assets“ interagieren kann.

Mit anderen Worten: „Die Identität wird zu einer aktiven Risikovariable. Diese Verlagerung hilft Unternehmen, übermäßig bereitgestellte Konten, ungeschützte Anmeldedaten von Anbietern und unsichere Wartungsprozesse zu erkennen, bevor Angreifer sie ausnutzen können.“

In der OT Vertrauen erwerben und kontinuierlich validieren

Auch die Lieferkette profitiere davon: Lieferantenverträge verlangten zunehmend Zugangstransparenz, Sitzungsprotokollierung und Bestätigungen der geringsten Privilegien. In der OT werde Vertrauen erworben und kontinuierlich validiert.

• Eine der spannendsten Entwicklungen im Jahr 2026 sei die weit verbreitete Einführung Digitaler Zwillinge bzw. virtueller Nachbildungen industrieller Umgebungen, um für Tests, Simulationen und Resilienz Trainings verwendet zu werden.

Diese „Zwillinge“ seien nicht mehr auf Forschung und Entwicklung beschränkt, sondern würden nun auch verwendet, um reale Cybervorfälle in sicheren „Sandbox“-Umgebungen zu proben.

Digitale Zwillinge zum Testen von Zugriffsrichtlinien und Berechtigungsmodellen

Digitale Zwillinge erwiesen sich auch als unschätzbar wertvoll für das Testen von Zugriffsrichtlinien und Berechtigungsmodellen: „Bevor eine neue Zugriffsrichtlinie oder Segmentierungsregel für Lieferanten eingeführt wird, können Unternehmen diese in ihrem Digitalen Zwilling validieren, um die Betriebsstabilität sicherzustellen.“

• Solche Simulationen könnten Sicherheits- und Engineering-Teams dabei helfen, Prinzipien der geringsten Berechtigungen sicher anzuwenden, ohne die Produktion zu unterbrechen.

Mit Digitalen Zwillingen könnten Teams Ransomware-Ausbrüche, laterale Bewegungen oder Fehlkonfigurationen simulieren, ohne die Live-Produktion zu gefährden. „Sie bieten auch eine ideale Umgebung, um Firmware-Updates zu validieren, Segmentierungsrichtlinien zu testen und Szenarien mit gegnerischen Angriffen durchzuspielen.“

Gemeinsame Tabletop-Übungen der IT- und OT-Incident-Responder

„Ich habe gesehen, wie Unternehmen durch ihre ,Zwillinge’ entdeckt haben, dass ein scheinbar geringfügiges Firmware-Update einen kritischen Regelkreis destabilisiert hätte“, berichtet Buenano. Aber über die Sicherheitsvalidierung hinaus veränderten Digitale Zwillinge auch die Art und Weise der Schulung für Menschen:

• „In vielen Einrichtungen führen IT- und OT-Incident-Responder nun gemeinsame Tabletop-Übungen durch, bei denen simulierte Angriffe nachgeahmt werden, die realen Angreifern nachempfunden sind.“

Die Ergebnisse seien messbar – „schnellere Entscheidungsfindung, bessere Kommunikation und weniger Überraschungen, wenn ein echter Vorfall eintritt“.

OT-Umgebungen nach wie vor voller problematischer „Legacy“-Systeme

Trotz der Fortschritte habe sich eines nicht geändert: „OT-Umgebungen sind nach wie vor voller ,Legacy’-Systeme, die nicht gepatcht, nicht ersetzt und oft nicht einmal sicher überwacht werden können. Viele laufen mit Firmware, die älter ist als moderne kryptographische Standards oder vom Hersteller nicht mehr unterstützt wird.“

• Im Jahr 2026 bleibe es dabei und die vorherrschende Verteidigungsstrategie sei Schutz statt Ersatz. „Virtuelles Patching, ,Deep Device Fingerprinting’ und anwendungsorientierte Mikrosegmentierung sind mittlerweile Standard. Mit Exposure-Management-Tools lassen sich endlich ,nicht patchbare Assets’ sicher inventarisieren, verfolgen und quantifizieren, wobei automatisch Business-Impact-Scores zugewiesen und kompensierende Kontrollen empfohlen werden.“

Anstatt einer unrealistischen Modernisierung nachzujagen, würden Unternehmen anwendungsorientierte Firewalls implementieren und gegebenenfalls sichere aktive Abfragen vollständig einführen und OT als eine Umgebung behandeln, „die ein Hacking-Ziel ist, unabhängig davon, ob sie ,air gapped’ ist oder nicht“.

Absicherung der Lieferkette – in der OT riskieren Unternehmen nicht nur Daten, sondern auch kinetische Auswirkungen

„Wenn 2024 und 2025 die Jahre der KI-gesteuerten Angriffe waren, dann ist 2026 das Jahr der Absicherung der Lieferkette.“ Man habe schmerzhafte Lektionen aus Vorfällen gelernt, bei denen kompromittierte Firmware-Updates oder manipulierte Anbieter-„Tools“ ihren Weg in Produktionsumgebungen gefunden hätten. In der OT riskierten Unternehmen nicht nur Daten, sondern auch kinetische Auswirkungen.

• „In diesem Jahr ist mit strengeren Beschaffungs- und ,Compliance’-Anforderungen für Kritische Infrastrukturen zu rechnen. Secure-by-Design-Vorgaben, SBOM-Transparenz, signierte Firmware und Herstellerbescheinigungen werden schnell zur Selbstverständlichkeit.“

Armis unterstütze Unternehmen dabei, diese Kontrollen in ihre CTEM-Workflows zu integrieren, beispielsweise durch die Überprüfung von Firmware-Signaturen, die Pflege von Registern mit Herstellerzertifikaten und die automatische Kennzeichnung von Geräten, die aus risikoreichen Lieferketten stammen.

Kein Unternehmen kann eigene OT-Umgebung vollständig sichern, ohne auch Lieferanten zu sichern

„Dieselben Workflows erstrecken sich nun auch auf die Zugriffsvalidierung, indem sichergestellt wird, dass Anbieter im Rahmen ihres Zertifizierungsprozesses Kontrollen mit minimalen Berechtigungen, die Überprüfbarkeit von Sitzungen und Zeitpläne für die Sperrung von Berechtigungen einhalten.“

• Die harte Wahrheit sei, dass kein Unternehmen seine OT-Umgebung vollständig sichern könne, ohne seine Lieferanten zu sichern. Transparenz, Herkunftsnachweis und schnelle Reaktionszeiten müssten Teil jedes Lieferantenvertrags werden.

„Im Jahr 2026 werden die Grenzen zwischen IT, OT und cyber-physischen Systemen praktisch verschwunden sein. Die Umgebungen, die Sicherheitsteams verteidigen, sind lebendige, miteinander verbundene Ökosysteme, die unser Leben bestimmen und ständig Angriffen ausgesetzt sind.“

Transparenz, Kontext und kontinuierliches „Cyber Exposure Management“ operative Grundlage moderner OT-Sicherheit

Die Konvergenz KI-gesteuerter Angriffe, zunehmendem regulatorischen Drucks und steigender Sicherheitserwartungen bedeute, dass Transparenz, Kontext und kontinuierliches „Cyber Exposure Management“ die operative Grundlage der modernen OT-Sicherheit bildeten.

• „Aber Transparenz allein reicht nicht aus!“ Minimaler Zugriff, dynamische Autorisierung und Verantwortlichkeit in der Lieferkette entschieden heute darüber, „ob ein Unternehmen den KI-gestützten Bedrohungen der nächsten Generation standhalten kann“.

Die gemeinsame Mission, Betriebszeit, Menschen und Vertrauen zu schützen, habe sich nicht verändert, aber die Art und Weise, dies zu erreichen, habe sich weiterentwickelt. Buenano unterstreicht abschließend: „Unternehmen müssen schneller automatisieren als Angreifer, Risiken in der Sprache der Wirtschaft messen und jedes Gerät, jeden Lieferanten und jeden Prozess als Teil einer einheitlichen Risikolandschaft behandeln!“

Weitere Informationen zum Thema:

ARMIS
About Armis: Armis, the cyber exposure management & security company, protects the entire attack surface and manages an organization’s cyber risk exposure in real time

illumio, Raghu Nandakumara, 28.05.2024
How Armis CTO Carlos Buenano’s OT Security Journey Led to Zero Trust

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen / Je weiter sich KI-Anwendungen entwickeln, desto stärker entscheidet der verantwortungsvolle Umgang mit Transparenz und Vertrauen über nachhaltige Akzeptanz