[datensicherheit.de, 12.09.2025] Daniel Sukowski, „Global Business Developer“ bei der Paessler GmbH, beschreibt in seiner aktuellen Stellungnahme ein typisches Szenario: „Ein normaler Tag in der Fertigung eines Industrieunternehmens – alle Maschinen und Anlagen laufen auf Hochtouren. Plötzlich kommen die Maschinen jedoch zum Erliegen. Es kommt zu einem Produktionsstopp, weil ein unbekannter Sensor in der OT-Anlage unerwartet ausfällt…“ Damit dieses Szenario eben nicht zur Realität wird, ist laut Sukowski ein „ganzheitliches Monitoring für OT-Umgebungen“ wichtig. So ließen sich potenzielle Probleme im Netzwerk proaktiv und in Echtzeit erkennen und beheben – „bevor es zu Ausfällen kommt!“ Er erläutert in diesem Kontext die fünf größten Probleme und Herausforderungen beim OT-Monitoring und diesbezügliche Lösungsansätze:

Foto: Paessler GmbH

Daniel Sukowski erörtert die fünf größten Probleme und Herausforderungen beim OT-Monitoring und mögliche Lösungsansätze

OT-Sicherheit von gestern: SPS-Geräte von 1995 steuern mitunter noch immer wichtige Vorgänge

Veraltete Geräte mit Speicherprogrammierbarer Steuerung (SPS) aus dem Jahr 1995 steuerten mitunter noch immer wichtige Vorgänge und seien nach wie vor eine wichtige Infrastruktur in industriellen Betrieben – „obwohl sie in Protokollen kommunizieren, die moderne Monitoring-,Tools’ nicht verstehen können“.

• Eine Lösung dieses Problems sei nun die Nutzung von „Modbus TCP“ als primäres Kommunikationsprotokoll der Monitoring-Lösung für industrielle Steuerungssysteme. Mit diesem Protokoll könnten veraltete SPS und Steuerungen im Auge behalten werden, ohne in kostspielige Erneuerungen von Systemen investieren zu müssen.

Sukowski führt aus: „Verschiedene Metriken von jedem ,Modbus’-kompatiblen Gerät separat zu erfassen, ermöglicht einen Einblick in Geräte, die ansonsten außerhalb des Monitorings liegen. So lassen sich beispielsweise auch Temperatursensoren, Ventilpositionen, Motordrehzahlen, Fehlerzustände von Geräten und ganze Produktionslinien verfolgen, die bereits vor dem zunehmenden Wandel hin zur ,Cloud’ existierten.“

Inkompatibilität: Im OT-Bereich kommen zahlreiche Protokolle zum Einsatz

Im OT-Bereich kämen zahlreiche Protokolle zum Einsatz – von „Modbus TPC“ über „OPC UA“ bis hin zu „MQTT“. Jedes dieser Formate spreche gewissermaßen seine eigene „Sprache“. „In vielen Architekturen werden Daten zwischen diesen Protokollen ausgetauscht, etwa wenn ,Modbus’-Informationen über ,OPC UA’ bereitgestellt und anschließend via ,MQTT’ übertragen werden.“

• In anderen Fällen erfolge der Austausch direkt über Gateways oder Schnittstellenmodule. Auch eine Anbindung an auf dem „Simple Network Management Protocol“ (SNMP) basierende IT-Überwachungssysteme sei möglich – meist mithilfe spezieller Protokollkonverter.

„Diese Vielfalt lässt sich mit einem internationalen Meeting vergleichen: Jeder Teilnehmer spricht eine andere Sprache, und Übersetzer sorgen dafür, dass alle sich verstehen.“ Monitoring-Lösungen also, welche mehrere OT- und IoT-Protokolle nativ unterstützten, könnten hierbei den Übersetzungsaufwand deutlich reduzieren.

Ganzheitliches OT-Monitoring empfohlen

Einheitliche „Tools“ für ganzheitliches OT-Monitoring böten integrierte Funktionen für „Modbus TCP“, „OPC UA“ und „MQTT“, so dass Datenpunkte, Zustände und sicherheitsrelevante Informationen zentral erfasst würden.

• „OPC UA“-Sensoren ermöglichten es beispielsweise, neben Messwerten auch Zertifikatslaufzeiten zu überwachen – „eine entscheidende Komponente für sichere Kommunikation“.

„MQTT“-Sensoren lieferten wiederum Informationen über IoT-Geräte, Broker-Statistiken und Messaging-Integrität. Das Ergebnis laut Sukowski: „Eine zentrale Plattform, die Protokollgrenzen überwindet, den Einsatz vieler separater Tools vermeidet und sowohl OT- als auch IT-Umgebungen in einer einheitlichen Sicht zusammenführt – effizient, sicher und zukunftssicher.“

OT-Netzwerke strikt von IT-Netzwerken getrennt: Netzwerksegmentierung und „Air Gaps“

Aus betrieblichen und sicherheitstechnischen Gründen seien viele OT-Netzwerke strikt von IT-Netzwerken getrennt – häufig durch Netzwerksegmentierung oder in besonders sensiblen Bereichen durch nahezu vollständige „Air Gap“-Konzepte. Diese Trennung erhöhe die Sicherheit erheblich, bringe jedoch komplexe Herausforderungen für das Monitoring mit sich.

• Die zentrale Frage laute: „Wie lässt sich eine isolierte Umgebung überwachen, ohne die vorgesehenen Schutzmechanismen zu umgehen?“

Eine bewährte Lösung sei der Einsatz einer verteilten Architektur mit sogenannten Remote-Probes. Diese Sonden würden innerhalb der abgesicherten OT-Segmente platziert, erfassten dort lokal die relevanten Daten und übertrügen sie über klar definierte, abgesicherte Kommunikationskanäle – etwa über eine „Demilitarisierte Zone“ (DMZ) – an den zentralen Monitoring-Server. In vollständigen „Air Gap“-Umgebungen könne die Datenübertragung auch manuell, beispielsweise über gesicherte Wechseldatenträger, erfolgen.

OT-Lösung sollte flexibel sein und alle relevanten Messwerte nebst Statusinformationen erfassen

Idealerweise liefen solche Monitoring-Komponenten auf unterschiedlichen Betriebssystemen – einschließlich ressourcenschonender „Linux“-Varianten, „wie sie in vielen industriellen Anwendungen und sicherheitskritischen Zonen üblich sind“.

• Die Lösung sollte so flexibel sein, „dass sie trotz strenger Netzwerk- und Sicherheitsvorgaben alle relevanten Messwerte und Statusinformationen erfassen kann“.

Fortschrittliche Mechanismen für Protokollierung, Alarmierung und detaillierte Berichterstattung unterstützten dabei die Einhaltung gängiger Normen und Standards in sensiblen Branchen – von der Industrieproduktion über Energieversorgung bis hin zur Kritischen Infrastruktur (KRITIS).

OT-Umgebungen mehrerer Anbieter hinterlassen Spuren

Viele OT-Umgebungen wiesen technologische Schichten auf, welche historische Fortschritte aus verschiedenen Industrieperioden widerspiegelten. „OT-Umgebungen könnten etwa SPS, HMI, RTU oder weitere kundenspezifische Lösungen von Herstellern enthalten, die nicht mehr auf dem Markt existieren.“

• Da zu jeder dieser Komponente unterschiedliche Verwaltungstools gehörten, könne beim Monitoring ein Netz aus unterschiedlichen Systemen entstehen, „das nicht mehr vereinheitlicht werden kann“.

Die Lösung dieser Herausforderung lieg in einem herstellerunabhängigen Ansatz für das Monitoring: „Indem ein ,Tool’ sehr viele unterschiedliche native Sensortypen mit umfangreichen Anpassungsfunktionen integriert, lässt sich die Systemvielfalt vereinen.“ Dann könnten auch spezialisierte Hardware für die Industrie und kundenspezifische Lösungen „gemonitort“ werden.

Zuverlässige Verbindung zwischen OT-Überwachung und Prozesssteuerung: SCADA-Integration ohne Betriebsunterbrechung

SCADA-Systeme steuerten zentrale Betriebsprozesse und reagierten sensibel auf Änderungen. Daher sei beim Datenaustausch mit Monitoring-Lösungen besondere Sorgfalt erforderlich. „Ein kontinuierlicher Informationsfluss zwischen SCADA-Systemen und Monitoring-,Tools’ trägt entscheidend dazu bei, die Stabilität und Verfügbarkeit der Anlagen zu sichern.“

• Durch den Einsatz von „OPC UA“-Servern innerhalb der Monitoring-Software ließen sich Daten sicher und standardkonform mit SCADA-, HMI- und DCS-Systemen austauschen. „Über geeignete Zugriffs- und Authentifizierungsmechanismen kann jeder berechtigte ,OPC UA’-Client – ob SCADA, HMI oder ,OPC UA’-fähige Steuerung – auf die Monitoring-Daten zugreifen.“

Eine bidirektionale, kontrollierte Kommunikation ermögliche es, dass SCADA-Systeme Monitoring-Daten wie Netzwerk- und Systemmetriken empfingen, während umgekehrt Monitoring-Tools ausgewählte Betriebsdaten aus den SCADA-Systemen in ihre Alarmierungs- und Reporting-Workflows integrieren könnten. „So entsteht eine zuverlässige Verbindung zwischen Überwachung und Prozesssteuerung – ohne den laufenden Betrieb zu beeinträchtigen“, betont Sukowski abschließend.

Weitere Informationen zum Thema:

PAESSLER
Wir sind Paessler. Wir übernehmen Verantwortung. / Wir entwickeln leistungsstarke und zuverlässige Monitoring-Lösungen, die Unternehmen dabei unterstützen, ihren Betrieb zu optimieren und Ausfallzeiten in IT-, OT- und IoT-Infrastrukturen zu vermeiden.

PAESSLER
Compatible Computer Solutions und Paessler / Viele Erfolgsfaktoren bedingen ein zukunftsorientiertes Gebäudemanagement – Projektplanung mit Kompetenz und Weitsicht für ein professionelles Condition-Monitoring

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 12.07.2022
Weiterhin lückenhafte Cyber-Sicherheit: Jedes 2. Fertigungsunternehmen rechnet mit Zunahme von -angriffen / Fast jeder zweite Hersteller gibt zu, dass Cyber-Sicherheit nicht im Fokus der höchsten Managementebene steht

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung / Palo Alto Networks veröffentlicht branchenspezifischen Leitfaden

[datensicherheit.de, 28.04.2020] tribe29, Anbieter der IT-Monitoring-Lösung Checkmk, eröffnet heute seine sechste Jahreskonferenz. Aufgrund der Ausbreitung des Coronavirus entschied man sich in diesem Jahr für ein rein virtuelles Event und ging nicht wie geplant in den Paulaner Nockherberg. In den nächsten zwei Tagen wohnen etwa 200 registrierte Teilnehmer der Veranstaltung bei. Alle Sprecher und Checkmk-Mitarbeiter schalten sich ebenfalls aus unterschiedlichen Orten hinzu.

Weiterentwicklung des Monitorings im Fokus

Im Fokus der Veranstaltung steht vor allem die Weiterentwicklung des Monitorings, die Zusammenarbeit mit Technologie-Partnern, und die Interaktion mit der Checkmk-Community. Seit der letzten Checkmk-Konferenz im Vorjahr hat das Entwicklerteam an gleich mehreren Integrationen und Erweiterungen gearbeitet. Die Ergebnisse präsentiert tribe29 nun im Rahmen der Veranstaltung.

1024Bild: tribe29

Jan Justus, CEO von tribe29

„Es freut uns, dass trotz der Umstände so viele Nutzer unserem Event beiwohnen. Der Input unserer User war und ist ein Fundament unserer Produktentwicklung“, sagt Jan Justus, CEO von tribe29, zu Beginn des Events. „Seit der letzten Konferenz haben wir dank der Rückmeldung wichtige Verbesserungen umsetzen können, die wir heute präsentieren. Als einheitliche IT-Monitoring-Plattform soll Checkmk für unterschiedlichste Einsatzgebiete nutzbar sein, deshalb ist es wichtig, dass jede Stimme gehört wird.“

Bild: tribe29

Mathias Kettner, Gründer von tribe29

Nach der Eröffnung durch Firmengründer Mathias Kettner und Geschäftsführer Jan Justus starten die Fachvorträge. Eine zentrale Session ist die Demonstration der ntop-Integration. Alexander Wilms (tribe29) und Simone Mainardi (ntop) zeigen in ihrer Live-Demo, wie die beiden Lösungen zusammenarbeiten und dabei helfen, genauere Einblicke in Netzwerke zu bekommen. Die native Integration in Checkmk erlaubt die Übertragung von Daten und Dashboards aus ntop in das Monitoring. Dies erleichtert den Einstieg in die Netzwerküberwachung mit ntop und ermöglicht eine bessere Koordination, falls Unternehmen bereits beide Tools im Einsatz haben.

Außerdem gibt das Unternehmen einen Ausblick auf die zukünftige Nutzeroberfläche von Checkmk. Dazu gehört die Vorstellung neuer Bedienkonzepte für zentrale Funktionen, welche die Handhabung von Checkmk erleichtern.

IT-Operations und Entwicklung vereinen

Um das Thema DevOps geht es im Vortrag zur neuen Prometheus-Integration, die hier eine Reihe von Use Cases eröffnet. Die Koexistenz von Prometheus und Checkmk ist in vielen Unternehmen gegeben: Prometheus ist bei Entwicklern aufgrund seiner Flexibilität beliebt, gilt aber unter IT-Administratoren als komplex und anspruchsvoll. Die neue Integration vereinfacht die Nutzung von Prometheus und ermöglicht die verschiedenen Welten von IT-Operations und Entwicklung unter einen zu Hut bringen. Checkmk bietet nun Integrationen für die am häufigsten genutzten Prometheus-Exporter und kann deren Informationen direkt in das Monitoring übertragen. Zusätzlich lassen sich aus Checkmk heraus PromQL-Queries senden.

Interaktion von Bedeutung

Für tribe29 ist es nach eigenen Angaben wichtig, dass die Besucher ihr Feedback direkt mitteilen können. Daher ist die Interaktionsfähigkeit für die Konferenz besonders bedeutsam. Während der gesamten Veranstaltung können die Teilnehmer ihre Rückmeldung in Echtzeit mitteilen und sich auch untereinander austauschen. Außerdem erlauben virtuelle Meeting-Räume persönliche Sessions, während moderierte Diskussionsforen Austauschmöglichkeiten zu spezifischen Themenbereichen eröffnen. Zusätzlich gibt es ein Abendprogramm mit Ask-Me-Anything-Sessions und Networking-Möglichkeiten.

„Die Konferenz zeigt unseren Nutzern, woran wir arbeiten und erlaubt ihnen auf die Entwicklungen aktiv Einfluss zu nehmen. Deswegen ist es uns wichtig, dass die Teilnehmer die neuen Features, die wir gerade entwickeln, live miterleben können“, sagt Mathias Kettner, Gründer von tribe29. „Für uns sind die konkreten Anforderungen aus der Praxis das Maß der Dinge. Gleichzeitig wollen wir unser allumfassendes Monitoring weiter und weiter ausbauen. Gerade in diesem Jahr arbeiten wir an vielen wichtigen Neuheiten und sind froh, dass wir durch unser neues Onlineformat an unserer Jahreskonferenz festhalten können.“

Wie in den Jahren zuvor auch stehen Kunden und Partnern wieder auf der Bühne. Ein Beispiel ist die Session mit Daniel Röttgermann von der Swisscom. Er spricht über Oracle Application Monitoring. Außerdem hält Andreas Döhler von Bechtle einen Praxisvortrag zur Überwachung von Microsoft Azure. Dabei erläutert er, welche Regeln es im Vergleich zum On-Premises-Monitoring zu beachten gilt.

Weitere Informationen zum Thema:

Checkmk-Konferenz #6
Details zur Agenda der Konferenz

datensicherheit.de, 21.07.2019
Studie: Unternehmen sollten keine digitale Kluft riskieren

datensicherheit.de, 28.11.2011
Monitoring-Tools können Missbrauch verhindern: Auch Systemverwalter neigen zur Ausnutzung ihrer Position

Statewatch is a non-profit-making voluntary group founded in 1991. It is comprised of lawyers, academics, journalists, researchers and community activists. Its European network of contributors is drawn from 17 countries. Statewatch encourages the publication of investigative journalism and critical research in Europe the fields of the state, justice and home affairs, civil liberties, accountability and openness. Brochure on Statewatch’s work
One of Statewatch’s primary purposes is to provide a service for civil society to encourage informed discussion and debate – through the provision of news, features and analyses backed up by full-text documentation so that people can access for themselves primary sources and come to their own conclusions.