OT – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Sun, 24 May 2026 15:37:17 +0000 de hourly 1 Einst nur Perimeterschutz – heute identitätsbasierter Datenverkehr für OT-Sicherheit https://www.datensicherheit.de/ot-sicherheit-perimeterschutz-identitaetsbasiert-datenverkehr Sun, 24 May 2026 22:17:00 +0000 https://www.datensicherheit.de/?p=54627 Für „Operational Technology“ (OT) entsteht Bedarf für eine neue Sicherheitsarchitektur – basierend auf Krypto-Identitäten

[datensicherheit.de, 25.05.2026] In der Welt der „Operational Technology“ (OT) entsteht der Bedarf für eine neue Sicherheitsarchitektur. War es noch vor 20 Jahren vergleichsweise einfach, eine Produktionsanlage zu schützen, stellt sich die Herausforderung heute ganz anders dar. Die damalige Situation: Das Gelände umgaben üblicherweise Zäune und gesicherte Tore. Physisch isolierte Netzwerke und statische Hardware an festen Standorten machten Cyberangriffe von außen ebenso unmöglich wie das Fehlen von Remote-Zugriff und „Cloud“-Umgebungen. „Wer Zugriff auf das Netzwerk hatte, wurde als vertrauenswürdig eingestuft“, erläutert Létitia Combes, BxC Security. Dieses Konzept kam im Lauf der Zeit aber ganz offensichtlich an seine Grenzen. Mittels virtualisierten Steuerungen, „Cloud“-Anbindungen, containerisierten Services und dynamisch bereitgestellten „Assets“ hat sich die industrielle Infrastruktur grundlegend verändert.

OT-Sicherheitsarchitektur auf Basis von Krypto-Identitäten

Combes führt warnend aus: „Zugriffsmöglichkeiten lassen sich nicht länger an einen physischen Ort koppeln. In der ,Operational Technology’ (OT) entsteht deshalb der Bedarf für eine neue Sicherheitsarchitektur – auf Krypto-Identitäten basierte Sicherheit.“

  • Warum nun die Verwaltung kryptographischer Identitäten über eine Public-Key-Infrastruktur (PKI) in modernen Produktionsumgebungen sinnvoll ist, lässt sich laut Combes am besten nachvollziehen, wenn man die Entwicklungsschritte betrachtet, die Sicherheitskonzepte in der Industrie über die Jahre durchlaufen haben.

Diese drei nachfolgend skizzierten Phasen dienten dabei der Veranschaulichung. „Je nach Art der Industrie oder Produktion beispielsweise lassen sich die Phasen nicht trennscharf unterscheiden und können zum Teil nebeneinander bestehen.“

1. Die Ära des netzwerkbasierten Vertrauens

„Die erste Generation industrieller Sicherheitskonzepte beruhte auf netzwerkbasiertem Zugriff.“ Neben einer physischen Segmentierung durch Air-Gaps und dedizierter Verkabelung bestanden die Sicherheitsmaßnahmen demnach im Einsatz virtueller Netzwerke (VLANs) und statischer „Access Control Lists“ (ACLs).

  • „Die Logik war simpel: Wer sich innerhalb des Netzwerksegments auf dem richtigen Port befand, galt als vertrauenswürdig“, so Combes. Dieses Konzept habe funktionieren können, solange Produktionsumgebungen statisch blieben. Doch die Grenzen dieses Ansatzes seien mit zunehmender Vernetzung offensichtlich geworden.

„Innerhalb einer Zone existiert häufig pauschales Vertrauen: Wer sich innerhalb des Segments befindet, dem wird vertraut.“ Geräteidentitäten und kryptographische Nachweise spielten damals noch keine Rolle. Skalierbarkeit für „Cloud“- oder Remote-Szenarien sei praktisch nicht vorgesehen gewesen.

2. Die Phase protokollbasierter Umsetzung

Später rückten dann „Deep Packet Inspection“ inklusive „Payload“-Analyse und Protokollvalidierungen (Modbus, OPC UA, DNP3) in den Fokus des Sicherheitskonzepts.

  • Außerdem seien Firewalls auf der Anwendungsebene zum Einsatz gekommen, welche nicht mehr nur IP-Adressen und Ports analysiert hätten, „sondern ungültige Methodenaufrufe innerhalb des OSI-7-Schichtenmodells blockieren konnten“. Doch auch dieser Ansatz sei letztlich netzwerkzentriert geblieben.

„Die physische oder logische Position eines Geräts bestimmte weiterhin die Zugriffsmöglichkeiten. Identität war noch immer kein zentrales Sicherheitsprinzip.“ Zudem seien klassische physische Inspektionspunkte in verteilten oder „cloud“-basierten Architekturen schnell an technische und organisatorische Grenzen gestoßen.

3. Das Zeitalter identitätsbasierter Kommunikation

„Heute hat sich ein grundlegender Paradigmenwechsel vollzogen. Produktionsanlagen sind über mehrere Standorte hinweg vernetzt.“ Moderne OT-Umgebungen setzten auf virtualisierte Controller, containerisierte Dienste, mit der „Cloud“ verbundene Geräte und dynamisch bereitgestellte Ressourcen.

  • Netzwerkbasiertes Vertrauen reiche in so einem Szenario nicht mehr aus. Vielmehr sei es notwendig, auf identitätsbasierte Kommunikation zu setzen. „Dabei können die folgenden Fragen bestimmen helfen, ob eine vertrauenswürdige Kommunikation vorliegt.“
  1. „Handelt es sich um ein aktuell gültiges Zertifikat?“
  2. „Handelt es sich um den autorisierten Client?“
  3. „Ist die Identität kryptographisch nachgewiesen?“
  4. „Ist die gegenseitige Authentifizierung abgeschlossen?“

Sicherheit nicht länger nur Schutzmechanismus, sondern Voraussetzung für moderne OT-Betriebsmodelle

Zu den Vorteilen identitätsbasierter Kommunikation gehöre eine bessere Granularität bei der Zugriffskontrolle, welche beispielsweise auch die zentrale Steuerung einer Produktionsanlage von einem Remote-Standort aus ermögliche.

  • „Damit Unternehmen davon in vollem Umfang profitieren können, benötigt jede Speicherprogrammierbare Steuereinheit (SPS) eine vertrauenswürdige Identität, Telemetrieverbindungen müssen authentifiziert werden, Software-Updates signiert, Verbindungen gegenseitig verifiziert und Zertifikate kontinuierlich erneuert werden.“

Diese Entwicklung verändere auch die Wahrnehmung von Sicherheitsfragen in der Industrie. Combes gibt abschließend zu bedenken: „Jahrzehntelang galt Security als notwendiges Übel. Bei der identitätsbasierten Kommunikation wird die Public-Key-Infrastruktur (PKI) dagegen zum ,Enabler’. Sie schafft die Vertrauensbasis für verteilte Steuerung, sichere Fernwartung und skalierbare Digitalisierung. Sicherheit ist nicht mehr nur Schutzmechanismus, sondern Voraussetzung für moderne Betriebsmodelle!“

Weitere Informationen zum Thema:

BxC Security
OT Security als Geschäftswert / Bereitstellung maßgeschneiderter Cyber­sicherheits­lösungen für Ihre Geschäftsanforderungen

TOP CONSULTANT
Unternehmensporträt: BxC GmbH & Co. KG of BxC Security

BxC Security
IDIAL – Pro­duk­tions­aus­fälle zu­ver­lässig vermeiden / Industrial Digital Identity for Automated Lifecycle. Sichern Sie den kontinuierlichen Produktions­betrieb durch automati­siertes Zertifikats­manage­ment in OT- und ICS-Umgebungen.

datensicherheit.de, 24.04.2026
Getrenntes IT- und OT-Monitoring größter operativer Blinder Fleck / IT- und OT-Umgebungen sind technisch längst miteinander vernetzt – bleiben im Monitoring aber häufig noch strikt voneinander getrennt

datensicherheit.de, 24.03.2026
OT/ICS Cybervorfälle in industriellen Netzwerken einen neuen Höchststand / IT-Schwachstellen als primäres Einfallstor für OT-Angriffe / 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen

]]>
Getrenntes IT- und OT-Monitoring größter operativer Blinder Fleck https://www.datensicherheit.de/trennung-it-ot-monitoring-groesster-operativer-blinder-fleck Thu, 23 Apr 2026 22:17:00 +0000 https://www.datensicherheit.de/?p=54070 IT- und OT-Umgebungen sind technisch längst miteinander vernetzt – bleiben im Monitoring aber häufig noch strikt voneinander getrennt

[datensicherheit.de, 24.04.2026] Daniel Sukowski, „Global Business Development Industry & OT“ bei Paessler, beschreibt in seiner aktuellen Stellungnahme die Problematik der Wechselwirkung zwischen IT und OT: „Die Anlagen in der Produktionshalle zeigen Störungen, doch im IT-Monitoring ist alles im Grünen Bereich. Netzwerk, Server, Bandbreite – alles in Ordnung und keine Auffälligkeiten, und trotzdem stockt die Produktion. Was auf den ersten Blick nicht zusammenpasst, ist ein strukturelles Defizit. Denn zu oft endet das Monitoring noch immer an der Grenze zwischen IT und OT, ein zentrales Problem moderner Industrie-Umgebungen.“ IT- und OT-Umgebungen seien indes technisch längst miteinander vernetzt – blieben im Monitoring aber häufig noch strikt voneinander getrennt. Dies führe zu gefährlichen Blinden Flecken: „Störungen, Sicherheitsrisiken oder Ineffizienzen entstehen oft genau an den Schnittstellen zwischen IT und OT. Und wer diese Zusammenhänge nicht sichtbar machen kann, reagiert zu spät oder gar nicht.“

paessler-daniel-sukowski

Foto: Paessler GmbH

Daniel Sukowski: Eine erfolgreiche Konvergenz erfordert jedoch auch organisatorische Veränderungen!

Industrie 4.0, smarte Fertigung und Verbreitung von IoT haben IT und OT untrennbar miteinander vernetzt

Sukowski führt aus: „Lange Zeit war die Trennung zwischen IT und OT sinnvoll, als es noch zwei vollständig unterschiedliche Infrastrukturen waren. Doch durch Industrie 4.0, smarte Fertigung und die Verbreitung von IoT sind IT und OT untrennbar miteinander vernetzt.“

  • Die Konvergenz von IT und OT biete große Vorteile – viele Unternehmen seien auf die Vernetzung der beiden Welten allerdings noch gar nicht richtig vorbereitet.

Dabei seien die Herausforderungen oft nicht nur technisch: „IT-Teams sind auf Veränderung, Updates und Sicherheit ausgerichtet, während OT-Teams auf Stabilität und Verlässlichkeit setzen.“

Anders als bei der IT basieren OT-Systeme oftmals auf älteren Anlagen

Dies geschehe oft mit seit Jahrzehnten im Einsatz befindlichen Systemen, welche solche Prozesse steuerten, bei denen ein Fehler Abstürze, Sicherheitsvorfälle, Produktionsstörungen und sogar Umweltschäden bedeuten könne.

  • Diese gegensätzlichen Denkweisen führten oft dazu, dass Zusammenarbeit ausbleibe und kritische Zusammenhänge unsichtbar blieben.

„Genau hier entstehen Risiken – von ineffizienten Prozessen bis hin zu Sicherheitslücken mit potenziell erheblichen Folgen. Hinzu kommen unterschiedliche Protokolle und Technologien, die eine gemeinsame Sicht zusätzlich erschweren.“

Getrennte Monitoring-Infrastrukturen für IT und OT lassen systematische Schwachstellen entstehen

Sukowski warnt: „Durch getrennte Monitoring-Infrastrukturen für IT und OT entstehen systematische Schwachstellen, die oft erst sichtbar werden, wenn es bereits zu spät ist!“

  • Er erläutert: „Nehmen Sie das anfangs geschilderte Beispiel: Das IT-Team kann nichts Auffälliges erkennen, weil das Monitoring-Tool für das IT-Netzwerk keine industriellen Protokolle abdeckt. Das OT-Team dagegen sieht Maschinenfehler und untersucht physische Probleme.“

Die Folge seien isolierte Fehlersuchen, verzögerte Reaktionen und eine fehlende ganzheitliche Transparenz. Gleichzeitig steige das Sicherheitsrisiko: „Angriffe beginnen häufig in der IT – etwa durch Phishing oder gestohlene Zugangsdaten – und bewegen sich zunehmend von der IT in die OT.“

Integrierter Monitoring-Ansatz zur gemeinsamen IT- und OT-Betrachtung

Ohne einheitliches Monitoring blieben solche Angriffe aber lange unentdeckt und würden zum geschäftskritischen Risiko mit direkten Auswirkungen auf Betrieb, Sicherheit und Kosten.

  • Die Lösung liege in einem integrierten Monitoring-Ansatz, welcher IT und OT gemeinsam betrachtet. „Dafür braucht es Tools, die sowohl klassische IT-Protokolle wie SNMP, WMI oder HTTP als auch industrielle Protokolle unterstützt, etwa OPC UA, MQTT oder Modbus.“

Außerdem sollte die IT/OT-Konvergenz nicht als reines Technikprojekt angesehen werden. Ein Fehler wäre es, lediglich eine Plattform auszuwählen und einige Sensoren zu installieren. „Stattdessen sollten auch die Arbeitsweise der Teams, die Entscheidungsfindung und das Risikomanagement verändert werden!“, rät Sukowski.

Empfehlung: „Best Practices“ für gelungene IT/OT-Konvergenz beim Monitoring

Eine erfolgreiche IT/OT-Konvergenz beginne damit, kritische Abhängigkeiten zu identifizieren: „Wo wirkt sich die IT-Infrastruktur direkt auf den OT-Betrieb aus? Wo verursachen OT-Probleme Schwierigkeiten, die von IT-Teams gelöst werden müssen?“

  • Sukowski legt nahe: „Erfassen Sie diese Zusammenhänge zunächst und richten Sie dann ein Monitoring ein, das diese Abhängigkeiten für alle sichtbar macht, die sie sehen müssen!“

Auch rollenbasierte Dashboards nähmen dabei eine wichtige Rolle ein und seien relevanter, als vielen Unternehmen bewusst sei. OT-Techniker müssten nicht jeden Netzwerk-Switch sehen, und IT-Administratoren benötigten keine SPS-Leistungsdaten in Echtzeit.

Ganzheitliches Monitoring für IT und OT überwindet systematische Risiken

„Aber beide Teams müssen die Schnittstellen sehen, an denen ihre Bereiche interagieren und an denen Probleme in einem Bereich Kettenreaktionen im anderen auslösen!“ Der entscheidende Punkt laut Sukowski: „Sie müssen nicht alles auf einmal lösen: Beginnen Sie Schritt für Schritt mit einer Produktionslinie, einem kritischen System oder einem Bereich mit hoher Relevanz!“

  • Anhand dieses Beispiels gelte es dann, den Wert von ganzheitlicher Transparenz zu beweisen und die Verbesserungen der Reaktionszeit bei Vorfällen zu messen. „Zeigen Sie, was sich ändert, wenn IT- und OT-Teams das Gesamtbild sehen können, und erweitern Sie dann das System!“

Unternehmen mit getrennter Infrastruktur für das Monitoring von IT- und OT-Umgebungen seien mit systematischen Risiken konfrontiert – von Sicherheitslücken über lange Reaktionszeiten bis zu verpassten Optimierungsmöglichkeiten. Moderne Monitoring-Tools könnten beide Welten miteinander verbinden und unterstützen sowohl IT- als auch industrielle Protokolle. „Eine erfolgreiche Konvergenz erfordert jedoch auch organisatorische Veränderungen!“, gibt Sukowski abschließend zu bedenken.

Weitere Informationen zum Thema:

PAESSLER PRTG
Wir sind Paessler. Wir bauen Monitoring-Lösungen für Systeme, die nicht ausfallen dürfen. / Paessler definiert die Art und Weise, wie moderne Unternehmen ihre IT-, OT- und Cloud-Umgebungen überwachen und verwalten, neu und hilft Teams, klar zu sehen, schneller zu handeln und ihre kritischsten Systeme am Laufen zu halten – ohne Komplexität.

LinkedIn
Daniel Sukowski – Global Business Development Industry & OT at Paessler GmbH

datensicherheit.de, 24.03.2026
OT/ICS Cybervorfälle in industriellen Netzwerken einen neuen Höchststand / IT-Schwachstellen als primäres Einfallstor für OT-Angriffe / 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen

datensicherheit.de, 12.03.2026
Zero Trust: Absicherung mobiler IoT- und OT-Systeme / Gerade in diesen Bereichen ist der Datenverkehr bislang nur schwer oder nur mit großem Aufwand zu kontrollieren. Zudem spielt die Mobilität in vielen Einsatzbereichen eine Rolle

datensicherheit.de, 12.09.2025
OT-Monitoring: Die fünf größten Herausforderungen und Lösungsansätze / Daniel Sukowski rät zu ganzheitlichem Monitoring für OT-Umgebungen, um potenzielle Probleme im Netzwerk proaktiv und in Echtzeit zu erkennen und beheben – bevor es zu Ausfällen kommt

]]>
OT/ICS Cybervorfälle in industriellen Netzwerken einen neuen Höchststand https://www.datensicherheit.de/ot-ics-cybervorfalle-industrie-netzwerke https://www.datensicherheit.de/ot-ics-cybervorfalle-industrie-netzwerke#respond Tue, 24 Mar 2026 17:03:18 +0000 https://www.datensicherheit.de/?p=53477 IT-Schwachstellen als primäres Einfallstor für OT-Angriffe / 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen

[datensicherheit.de, 24.03.2026] TXOne Networks hat seinen Annual OT/ICS Cybersecurity Report 2026 veröffentlicht. Daraus wird ersichtlich, dass Angreifer nicht mehr nur auf Datenabfluss, sondern gezielt auf die Stabilität ganzer Produktionslinien abzielen. Innerhalb von zwölf Monaten registrierten 60 Prozent der befragten Firmen mindestens einen Cybervorfall in ihrer OT-Umgebung (Operational Technology), wobei knapp die Hälfte sogar mehrfachen Attacken ausgesetzt war. Die Ergebnisse zeigen deutlich, wie wichtig es ist, die eigene Betriebskontinuität präventiv zu schützten, um existenzgefährdende Produktionsausfälle zu vermeiden.

IT-Schwachstellen als primäres Einfallstor für OT-Angriffe

Obwohl im vergangenen Jahr keine neuartige, speziell auf industrielle Steuerungssysteme zugeschnittene Malware beobachtet wurde, stieg die Zahl der Sicherheitsvorfälle branchenübergreifend an. Bemerkenswert ist dabei der Ursprung der Angriffe: 96 Prozent der OT-Sicherheitsvorfälle sind auf Kompromittierungen in der klassischen IT zurückzuführen. Diese verteilen sich auf direkte Penetrationen (56 Prozent) und Kollateralschäden (40 Prozent). Ransomware dominiert weiterhin das Bedrohungsfeld und betraf 52 Prozent der Unternehmen. Professionelle Tätergruppen wie Qilin und Akira agieren zunehmend raffinierter, indem sie legitime Tools – wie etwa vertrauenswürdige Windows-Treiber – missbrauchen, um etablierte Schutzmechanismen lautlos zu unterlaufen. Darüber hinaus geraten komplexe Lieferkettenplattformen verstärkt in den Fokus, um über deren Schwachstellen tief in kritische Betriebssysteme vorzudringen.

Herausforderungen beim Schutz von OT-Umgebungen vor Malware

Herausforderungen beim Schutz von OT-Umgebungen vor Malware, Bild: TXOne

OT – Technologische Altlasten und überlastete Sicherheitsteams

Die zügige Umsetzung notwendiger Sicherheitsmaßnahmen scheitert in der betrieblichen Praxis oft an strukturellen und personellen Hürden. Für 15 Prozent der Betriebe stellen veraltete Legacy-Systeme nach wie vor die größte Schwachstelle dar. Dennoch behalten 88 Prozent diese Altanlagen bei und versuchen, sie lediglich durch kompensatorische Maßnahmen abzusichern, anstatt in einen vollständigen Hardware-Austausch zu investieren. Auch beim Patch-Management zeigen sich gefährliche Lücken: Zwar führen 90 Prozent der Firmen regelmäßig Updates durch, aber lediglich 24 Prozent erreichen dabei eine Abdeckung von mehr als 90 Prozent ihrer Anlagen. Kompatibilitätsprobleme und eine mangelnde Sichtbarkeit in die vernetzten Anlagen gelten als die größten technischen Hindernisse. Gleichzeitig stehen die Fachkräfte massiv unter Druck: Zwar verfügen 55 Prozent der großen Organisationen inzwischen über mehr als 100 Mitarbeitende im OT-Sicherheitsbereich, doch die Verwaltung der komplexen, heterogenen Infrastrukturen bleibt eine enorme Belastung.

Häufigkeit von Cybervorfällen im OT-Bereich nach Branchen

Häufigkeit von Cybervorfällen im OT-Bereich nach Branchen, Bild: TXOne

Unternehmen erhöhen ihre Ausgaben für Cybersicherheit

Um dieser wachsenden Bedrohungslage zu begegnen, haben 89 Prozent der Unternehmen im Jahr 2025 ihre Budgets für die OT-Sicherheit um mindestens zehn Prozent erhöht (28 Prozent sogar um mehr als 20 Prozent). Die Industrie vollzieht dabei einen klaren Wandel hin zu einem durchsetzbaren Schutz, der die Aufrechterhaltung der Produktion über alles stellt. Für 94 Prozent der IT-Sicherheitsverantwortlichen (CISOs) ist die Sicherheitslage inzwischen als positiv zu bewerten, solange der Betriebsablauf nicht spürbar gestört wird. Ergänzend setzen die Organisationen verstärkt auf Managed Security Service Provider (MSSPs) und externe Experten, um akute Qualifikationslücken zu schließen und den steigenden regulatorischen Vorgaben gerecht zu werden.

Fazit: „Operations-First“ als neues strategisches Fundament

Der Report dokumentiert einen entscheidenden Wendepunkt für die Cybersicherheit im industriellen Sektor. Die bloße Identifikation von Systemressourcen und Schwachstellen im Netzwerk reicht heutzutage nicht mehr aus, um moderne Bedrohungen abzuwehren. Industrieunternehmen müssen die OT-Sicherheit als zentrale strategische Säule ihrer industriellen Governance begreifen und von reaktiven Erkennungsstrategien zu einem präventiven „Operations-First“-Ansatz wechseln. Nur wenn Bedrohungen proaktiv gestoppt werden, bevor sie den eigentlichen Betrieb erreichen, lassen sich kostspielige Ausfallzeiten vermeiden und eine echte Geschäftsresilienz in einer zunehmend konvergenten IT/OT-Welt gewährleisten.

Zur Methodik der Studie

Die Ergebnisse des „OT Cybersecurity Annual Report 2026“ basieren auf einer global angelegten Untersuchung, die TXOne Networks in Zusammenarbeit mit dem Analystenhaus Frost & Sullivan im November 2025 durchgeführt hat. Im Rahmen der Studie wurden weltweit 200 C-Level-Entscheidungsträger aus dem Bereich der OT-Sicherheit befragt. Die Teilnehmer stammen aus den USA, Japan, Deutschland, Taiwan und Südkorea sowie Frankreich, Saudi-Arabien, den Vereinigten Arabischen Emiraten und Brasilien. Die Umfrage konzentrierte sich auf große Unternehmen mit komplexen Betriebs- und Produktionsumgebungen (zwischen 2.000 und 5.000+ Mitarbeiter) aus den Bereichen Halbleiterfertigung, Lebensmittelindustrie, Automobilbranche, Arzneimittelproduktion, Öl und Gas sowie dem Transportsektor.

Weitere Informationen zum Thema:

TXOne
OT Cybersecurity Annual Report 2026

datensicherheit.de, 23.03.2026
CPS im Visier: Cyberkriminelle Attacken zunehmend auf KRITIS

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention

]]>
https://www.datensicherheit.de/ot-ics-cybervorfalle-industrie-netzwerke/feed 0
Datenrettung bei Maschinen und Anlagen: Wiederherstellung von Maschinensteuerungen immer einen Versuch wert https://www.datensicherheit.de/datenrettung-maschinen-anlagen-wiederherstellung-maschinensteuerungen Sat, 14 Mar 2026 23:56:00 +0000 https://www.datensicherheit.de/?p=53200 In Abwägung der Kosten durch Ausfallzeiten in der Produktion und der Lieferzeiten für neue Maschinen ist Datenrettung immer ein lohnender Versuch, bestehende Einrichtungen wieder betriebsbereit zu machen

[datensicherheit.de, 15.03.2026] CBL Datenrettung geht in einer aktuellen Stellungnahme auf den Umstand ein, dass IT-Nutzern wohl bekannt sein dürfte, dass Daten von defekten Festplatten, RAIDs, SSDs, Speicherkarten oder Smartphones von spezialisierten Dienstleistern wiederhergestellt werden können. Doch abseits der Hilfe bei „IT-Katastrophen“ gebe es eine eher noch wenig beachteten Nische: Defekte Steuerungssysteme von alten Werkzeugmaschinen oder Anlagen ohne Herstellersupport könnten in vielen Fällen rekonstruiert werden, „wenn die Ursache im Schaden an einem Datenträger liegt“. CBL Datenrettung gibt zu bedenken: „Wenn man die Kosten durch Ausfallzeiten in der Produktion und die Lieferzeiten für Maschinen bedenkt, ist Datenrettung immer ein lohnender Versuch, die Maschine wieder betriebsbereit zu machen!“

cbl-datenrettung-conrad-heinicke

Foto: CBL Datenrettung

Conrad Heinicke: Unsere Erfolgsrate im Bereich der Maschinendatenrettung liegt bei 85 bis 90 Prozent

Erfolgsrate im Bereich der Maschinendatenrettung bei 85 bis 90%

Produktlebenszyklen industrieller Maschinen sind um ein Vielfaches länger als bei IT-Systemen und Datenträgern. Somit hat es die Datenrettung bei alten Maschinensteuerungen, „Embedded Systemen“ oder Industrie-PCs nicht nur mit alter Hardware bis zurück zur Diskette sowie proprietären Programmen und Formaten zu tun, zu denen den Anwendern die Dokumentation fehlt:

  • Eine weitere Herausforderung ist demnach, dass häufig zudem Betriebssysteme bootfähig mitgerettet werden müssten – in der Datenrettung eigentlich unüblich.

„Unsere Erfolgsrate im Bereich der Maschinendatenrettung liegt bei 85 bis 90 Prozent. Doch selbst wenn man das Pech hat, zu den wenigen zu gehören, bei denen es nicht klappt: Da ein Datenrettungsauftrag bei CBL ohne finanzielles Risiko ist, lohnt es sich auf jeden Fall – selbst, wenn schon eine Ersatzmaschine bestellt wurde“, so Conrad Heinicke, Geschäftsführer bei CBL Datenrettung GmbH.

Mittels Datenrettung Ausfallzeiten verkürzen

Wenn eine Maschine für die Arbeitsfähigkeit eines Betriebes zentral ist, man auf die Lieferung einer Ersatzmaschine aber beispielsweise mindestens sechs Wochen warten muss, rechneten sich die Kosten einer Datenrettung auf jeden Fall, zumal man die Ausfallzeit mit wiederhergestellten Daten auf rund sieben Tage verkürzen könne.

  • Daten zu eventuell bereits erstellte Vorlagen und entworfene Produkte ebenfalls zu retten, sei ein zusätzlicher Vorteil. Auch die Einarbeitung in die neue Maschine könne dann entspannter angegangen werden. Die durch Datenrettung wiederbelebte Altmaschine könne schließlich als Ersatz behalten oder gar verkauft werden.

Heinicke berichtet aus der Praxis: „Wir haben in diesem Bereich ungewöhnliche Fälle, wie die Steuerung einer Seilbahn, deren Hersteller nicht mehr existiert oder besonders kritische, bei denen die Existenz von Handwerks- oder kleinen Industriebetrieben gefährdet wird. Wir konnten zum Beispiel die CNC-Säge eines Steinmetzes wieder nutzbar machen. Da er nur noch zehn Jahre bis zur Rente hatte, kam für ihn die Anschaffung einer neuen Maschine wirtschaftlich nicht mehr in Frage.“

Diagnose und Kostenvoranschlag der Datenrettung kostenlos

Bereits bei Datenverlusten im IT-Bereich sei jeder Fall individuell zu betrachten, bei Datenträgern als Teil einer industriellen Steuerung umso mehr. Diagnose und Kostenvoranschlag seien deshalb bei CBL Datenrettung kostenlos.

  • „Auch wenn der Kunde die Datenrettung beauftragt, hat er kein finanzielles Risiko. Dank der ,keine Daten – keine Kosten’-Garantie stellt ihm CBL nur dann eine Rechnung, wenn die benötigten Zieldaten funktionsfähig rekonstruiert wurden.“

Um diese Möglichkeit zur Rettung von Bestandsmaschinen bekannter zu machen, gewährt CBL Datenrettung nach eigenen Angaben bis Ende April 2026 zehn Prozent Rabatt auf die Kosten einer Datenrettung von Maschinendaten. Die Diagnose sei „wie immer bei CBL“ kostenlos und eine Rechnung werde nur im Erfolgsfall gestellt.

Weitere Informationen zum Thema:

CBL Datenrettung
Datenrettung und Datenwiederherstellung / CBL ist der Datenretter für professionelle Wiederherstellung von defekten Festplatten, RAID oder SSD mit eigenem Reinraum Labor in Deutschland

DIE RHEINPFALZ, Martin Kling, 12.02.2026
Die Kaiserslauterer Profis von der Firma CBL können (fast) alle Daten retten / Conrad Heinicke zeigt das Labor der CBL-Datenretter in Kaiserslautern

STORAGE INSIDER, Barbara Gribl, 24.11.2025
Licht auf der Schattenseite der IT 25 Jahre CBL Datenrettung in Deutschland

IHK Pfalz
CBL Datenrettung GmbH

datensicherheit.de, 22.05.2024
Drohender Datenverlust nach Überschwemmung – was zur Datenrettung wichtig ist / CBL benennt drei Fehler bei potenziellem Datenverlust, die nach einer Flut vermieden werden müssen

]]>
Zero Trust: Absicherung mobiler IoT- und OT-Systeme https://www.datensicherheit.de/zero-trust-absicherung-mobil-iot-ot-systeme https://www.datensicherheit.de/zero-trust-absicherung-mobil-iot-ot-systeme#respond Thu, 12 Mar 2026 07:03:02 +0000 https://www.datensicherheit.de/?p=53226 Gerade in diesen Bereichen ist der Datenverkehr bislang nur schwer oder nur mit großem Aufwand zu kontrollieren. Zudem spielt die Mobilität in vielen Einsatzbereichen eine Rolle.

Von unserem Gastautor Christoph Schuhwerk, CISO in Residence bei Zscaler

[datensicherheit.de, 12.03.2026] Zero Trust hat sich als Prinzip einer Sicherheitsarchitektur in vielen Unternehmen etabliert: Vertrauen wird nicht vorausgesetzt, sondern fortlaufend überprüft mit dem Ziel, Zugriffe und Datenflüsse konsequent nach dem „Least-Privilege“-Prinzip abzusichern. In klassischen IT-Umgebungen ist dieser Sicherheitsansatz angekommen, aber in Produktionsumgebungen oder Systemen mit mobilem IoT-Datenverkehr besteht noch Nachholbedarf.

In diesen Bereichen ist der Datenverkehr bislang nur schwer oder mit großem Aufwand zu kontrollieren. Dazu zählen insbesondere OT- und IoT-Systeme, bei denen Mobilität in vielen Einsatzbereichen eine Rolle spielt. Gerade hier wächst die Anzahl der Anwendungsfälle rasant und mit ihr die Notwendigkeit, Zero Trust so zu erweitern, dass auch diese Umgebungen zuverlässig und praktikabel abgedeckt werden.

Christoph Schuhwerk, CISO in Residence bei Zscaler

Christoph Schuhwerk, CISO in Residence bei Zscaler, Foto: Zscaler

Achillesferse der Datensicherheit

Im Zuge der Digitalisierung von großen Teilen der Industrie wird Flexibilität für Systeme und Mitarbeiter zunehmend zur Grundanforderung. Ein Beispiel sind Scanner im Warehouse-Management: Oft laufen diese Geräte nicht mit einem vollständigen Android-System, sondern mit einem stark reduzierten, geschlossenen System. Häufig kommen SIM-Karten zum Einsatz, über die das Gerät mit einem Gateway kommuniziert.

In der Praxis entstehen dadurch komplexe Kommunikationswege: Der Datenverkehr läuft beispielsweise beim Drucken von Labels über das Mobilfunknetz zu den Gateways der Mobilfunkbetreiber, von dort weiter zum Firmennetzwerk, dann zu einem Druckserver an einem anderen Standort und anschließend zum Drucker. Genau die Kommunikationskette kann zur Angriffsfläche werden. Nicht unbedingt weil einzelne Komponenten per se unsicher sind, sondern weil die Kette nur so stark ist wie ihr schwächstes Glied.

Ein weiteres typisches Szenario betrifft Maschinen, die nach der Inbetriebnahme weiterhin vom Hersteller überwacht und gewartet werden. Dafür werden beispielsweise Telemetriedaten oder Firmware-Updates übertragen. In der Vergangenheit wurden Zugriffsanforderungen oft mit eher improvisierten Methoden gelöst wie beispielsweise mit separaten Wartungs-Ports, die physisch verplombt wurden, oder über Fernwartungs-Zugänge, die zwar nur temporär geöffnet wurden, aber nicht durchgehend Ende-zu-Ende abgesichert waren. Denn irgendwo muss es immer eine Instanz geben, die den Traffic passieren lässt. Und genau dort ist die Achillesferse: eine kleine, aber entscheidende Schwachstelle, die immer wieder aufs Neue gefunden und geschlossen werden muss, wenn sichere Kommunikation gewährleistet sein soll.

Die SIM-Karte als Ausgangspunkt für Sicherheit

Viele der beschriebenen Use Cases entstehen dort, wo Geräte oder Dinge beweglich eingesetzt werden und über Mobilfunk kommunizieren müssen. In solchen Szenarien rückt die SIM-Karte als technischer Ankerpunkt in den Fokus: Genau hier findet der relevante und potenziell angreifbare Datenverkehr statt, den Angreifer als Einfallstor in weitere Netzbereiche nutzen könnten. Der Ansatz von Zero Trust Everywhere setzt deshalb möglichst nah am Gerät an und verschiebt den Beginn der Absicherung bis an den Kommunikationsursprung.

Konkret bedeutet das: Die SIM-Karte wird Bestandteil des Sicherheitskonzepts und der Datenverkehr wird direkt dort zu einem Microtunnel gebündelt und anschließend verschlüsselt Ende-zu-Ende übertragen. Auch der Mobilfunkanbieter kann den Traffic in diesem Modell nur verschlüsselt sehen, nicht jedoch die Inhalte. Geht ein Gerät verloren oder wird ein Gerät entwendet, kann es einzeln gesperrt werden. Dank Überprüfung des Gerätekontexts wird auch der Zugriff durch unautorisierte Parteien unterbunden. Umgekehrt fällt auch der Versuch der Manipulation der SIM-Karte auf und kann zur Sperrung des Geräts führen. Über einen Zero Trust-Ansatz z.B. mit Zscaler Cellular wird die Absicherung der Identität und des Datenflusses auch für mobile Endgeräte oder mobile und fahrbare Gegenstände einfach möglich.

Policies bleiben zentral, Netze werden austauschbar

Ein zentrales Ziel moderner Produktion ist eine weitgehend automatisierte Fertigung (Stichwort: „Dark Factory“). Teil- oder voll-autonome Roboter, Komponenten und Geräte müssen dabei kontinuierlich überwacht und kontrolliert werden, ohne die betriebliche Flexibilität zu verlieren. Genau hier stoßen klassische Netzwerkmodelle häufig an ihre Grenzen: Wenn ein Gerät den Standort wechselt, ist es oft zu aufwändig, Netzwerk-Policies immer wieder neu anzupassen und am alten Ort sauber zurück zu bauen.

Das Zero Trust Everywhere-Prinzip eliminiert diesen Aufwand, indem es die Security vom darunterliegenden Transportnetz entkoppelt: Die Policy wird Cloud-basiert vorgehalten und überwacht, während das Netzwerk selbst nur als Transportmedium fungiert. Damit spielt es für die Durchsetzung der Sicherheitsregeln keine entscheidende Rolle, ob ein Gerät über WLAN, 5G oder eine andere Technologie kommuniziert, wo es sich befindet oder wie schnell die Anbindung ist – solange eine Internetverbindung besteht.

Entscheidend dabei ist es, die starke Sicherheitskette möglichst früh zu beginnen und möglichst spät – also so nah wie möglich am anfragenden Gerät und am Datensatz – zu beenden und zwischen den Punkten eine durchgehende Verschlüsselung aufrechtzuerhalten. Auf diese Weise wird Zero Trust auf Teile des Ökosystems ausgedehnt, die bisher nur eingeschränkt erreichbar waren.

In solchen Anwendungsbereichen erkennen Unternehmen, dass Cybersicherheit nicht bei klassischen IT-Endpunkten enden darf. Eine stärker automatisierte und mobilere Industrie muss den Schutz konsequent auf Geräte ausweiten, die in OT-/IoT-Umgebungen betrieben werden und über SIM-Karten kommunizieren. Wird die SIM-Karte als Beginn der Verschlüsselung und Policy-Durchsetzung verstanden, lassen sich auch bislang schwer greifbare Datenflüsse kontrolliert gestalten. Ein solches Umdenken geht mit einem weiteren Schritt in Richtung allumfassender Cyber-Resilienz einher.

Zero Trust – Executive Overview

  • Zero Trust muss über klassische IT hinaus gedacht werden, weil mobile OT- und IoT-Systeme zunehmend kritische Datenflüsse erzeugen.
  • In verteilten Kommunikationsketten entsteht ein Risiko dort, wo Datenverkehr durchgelassen oder nur teilweise abgesichert wird.
  • Zero Trust Everywhere setzt möglichst nahe am Gerät an und nutzt die SIM-Karte als technischen Anker, damit Verschlüsselung frühestmöglich beginnt.
  • Der gesamte Traffic wird über einen Microtunnel Ende-zu-Ende verschlüsselt übertragen, sodass auch Netzbetreiber nur verschlüsselte Daten sehen.
  • Cloud-basiert werden Policies über einen Sicherheitsbroker umgesetzt, während das Transportnetz austauschbar wird.

Weitere Informationen zum Thema:

datensicherheit.de, 27.01.2026
Post-Quantum-Readiness: Akuter Anspruch für die Datensicherheit der Zukunft

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion

]]>
https://www.datensicherheit.de/zero-trust-absicherung-mobil-iot-ot-systeme/feed 0
Hybride Kriegsführung im Digitalzeitalter: KI-Systeme und Lieferketten als Teil der strategischen Angriffsfläche https://www.datensicherheit.de/hybrid-kriegsfuhrung-digitalzeitalter-ki-systeme-lieferketten-strategische-angriffsflaeche Thu, 05 Mar 2026 23:35:00 +0000 https://www.datensicherheit.de/?p=52993 Ismael Valenzuela kommentiert die zunehmende Bedeutung hybrider Kriegsführung, KI-gestützter Systeme und Lieferketten im Kontext geopolitischer Eskalationen

[datensicherheit.de, 06.03.2026] Aktuelle Entwicklungen rund um den Iran zeigen aktuell offensichtlich auf, wie eng geopolitische Spannungen und Cyberoperationen inzwischen miteinander verwoben sind. Ismael Valenzuela, „VP of Threat Intelligence Research“ bei Arctic Wolf, geht in seiner aktuellen Stellungnahme auf die zunehmende Bedeutung hybrider Kriegsführung, KI-gestützter Systeme und Lieferketten im Kontext geopolitischer Eskalationen ein.

arctic-wolf-ismael-valenzuela

Foto: Arctic Wolf

Ismael Valenzuela warnt: Bereits subtile Manipulationen von Eingaben oder „Workflows“ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben!

OT, Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil des umkämpften Raums

„Was wir derzeit beobachten, ist hybride Kriegsführung in großem Maßstab – koordinierte kinetische Operationen gegen den Iran, vorbereitende Cyberaktivitäten sowie eine zu erwartende Welle iranischer und durch Stellvertreter geführter Einflusskampagnen, die die Grenzen zwischen militärischem Konflikt und zivilem Umfeld zunehmend verschwimmen lassen“, kommentiert Valenzuela.

  • Organisationen weltweit müssten also davon ausgehen, dass ihre „Operational Technology“ (OT), Rechenzentren, KI-Integrationsschichten und Informations-„Ökosysteme“ Teil dieses umkämpften Raumes seien – „unabhängig davon, ob sie sich selbst als ,Ziel‘ betrachten oder nicht“.

Der Einsatz Künstlicher Intelligenz (KI) in der Kriegsführung sei längst keine theoretische Annahme mehr. „Wenn geopolitische Spannungen zunehmen, werden digitale Steuerungsebenen – insbesondere jene, die mit Automatisierung und Entscheidungsunterstützung verknüpft sind – zu strategischem Terrain!“, betont Valenzuela. Die Integrationsschichten, welche KI-Agenten mit internen Systemen, APIs und externen Datenquellen verbinden, zählten inzwischen zur Kritischen Infrastruktur (KRITIS).

KI-Framework bzw. -Anbieter per se weniger entscheidend als deren konsequente Kontrolle

Da Automatisierungsschichten über persistente Kontextinformationen verfügten und direkten Zugriff auf operative Systeme erhielten, entstünden faktisch neue angreifbare Steuerungsebenen. „Bereits subtile Manipulationen von Eingaben oder ,Workflows’ können erhebliche Auswirkungen auf Beschaffung, Logistik und Reaktionsfähigkeit haben.“

  • Das eigentliche Risiko liege daher nicht darin, welches KI-Framework oder welchen Anbieter ein Unternehmen bevorzugt, sondern darin, „ob diese integrierten Entscheidungsunterstützungs-Systeme mit derselben Strenge erfasst, überwacht und auf Belastbarkeit getestet werden wie die Netzwerke und Umgebungen, die sie beeinflussen“.

Valenzuela gibt zu bedenken: „Wenn Organisationen auf staatliche Systeme, globale Zulieferer oder automatisierungsgetriebene Entscheidungsprozesse angewiesen sind, müssen diese Abhängigkeiten dokumentiert, kontinuierlich neu bewertet und ausdrücklich in Krisensimulationen einbezogen werden!“

KI-basierte Kompromittierung der Lieferkette als Teil der Risikobewertung

Denn diese Operationen zur Einflussnahme würden zunehmend nicht nur Menschen direkt ins Visier nehmen, sondern vor allem jene Systeme, die Menschen informieren und ihre Entscheidungen prägen.

  • Am stärksten werde sich dieser Wandel in den Lieferketten bemerkbar machen: „Exportkontrollen werden verschärft, Beschränkungen für Seltene Erden ausgeweitet, und Lieferkettenstrukturen werden immer kleinteiliger.“ Damit erweitere sich nun auch die Angriffsfläche: „Sie umfasst nicht mehr nur Code und Hardware, sondern auch Daten und KI-gestützte Prozesse, die darüber entscheiden, welche Komponenten von wem und unter welchen Rahmenbedingungen beschafft werden.“

In diesem Kontext könne eine Kompromittierung der Lieferkette zu manipulierten Firmware- oder Software-Updates, verfälschten Lieferanteninformationen oder durch KI verzerrte Risikobewertungen führen, welche kritische Abhängigkeiten unbemerkt in Einflussbereiche gegnerischer Akteure zu verschieben drohten.

Weitere Informationen zum Thema:

ARCTIC WOLF
Wir sorgen dafür, dass die Sicherheit funktioniert.

ARCTIC WOLF
Ismael Valenzuela

datensicherheit.de, 23.10.2025
Wenn die Software-Lieferkette ins Visier gerät: Effektives Schwachstellen-Management vorhalten / Cyberangriffe gehören längst zur Normalität – besonders kritisch wird es indes, wenn Täter einzelne Komponenten der Software-Lieferkette attackieren

datensicherheit.de, 31.07.2025
DORA – Europäische Union präzisiert Umgang mit Lieferketten-Risiken / Die Europäische Kommission hat Anfang Juli eine Ergänzung zur Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA) in Form finaler technischer Regulierungsstandards (RTS) veröffentlicht. Damit konkretisiert sie Anforderungen an das Risikomanagement oftmals komplexer IKT-Lieferketten im durch DORA regulierten Bereich. Im Fokus stehen dabei Untervergaben. Der TÜV SÜD fasst die wichtigsten Punkte praxisorientiert zusammen.

datensicherheit.de, 02.06.2025
Die Angst vor dem schwächsten Glied: Cybersicherheit in der Lieferkette / Laut einer aktuellen Umfrage von Sophos haben die meisten der leitenden Manager Bedenken, dass die Integrität ihres Unternehmens durch Cybergefahren entlang der Lieferkette beeinträchtigt werden kann

]]>
Dragos’ Cybersecurity Report 2026 zur OT-Bedrohung: Ransomware-Angreifer erhöhen operativen Druck auf industrielle Infrastrukturen und KRITIS https://www.datensicherheit.de/dragos-cybersecurity-report-2026-ot-bedrohung-ransomware-angreifer-erhoehung-operativer-druck-industrielle-infrastrukturen-kritis Wed, 18 Feb 2026 13:27:17 +0000 https://www.datensicherheit.de/?p=52658 Drei neue Ransomware-Angreifergruppen mit OT-Fokus identifiziert – Zahl der Ransomware-Gruppen mit OT-Reichweite um 49 Prozent zugenommen

[datensicherheit.de, 18.02.2026] Die Dragos Inc. hat am 18. Februar 2026 den „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ veröffentlicht. Dieser – nunmehr bereits zum neunten Mal erscheinende – Bericht soll eine umfassendste Analyse aktueller Cyberbedrohungen für industrielle und Kritische Infrastrukturen (KRITIS) bieten. Identifiziert wurden laut Dragos drei neue Angreifergruppen, welche weltweit KRITIS ins Visier nehmen – zudem gehen Angreifer demnach zunehmend von reiner Aufklärung zu gezielten operativen Störungen über. „Insgesamt belegen die Ergebnisse eine zunehmende Professionalisierung der Angreifer: Die Gruppen agieren als arbeitsteilig und entwickeln sich von gezielten Angriffen auf einzelne Geräte hin zu einer systematischen Erfassung ganzer industrieller Steuerungssysteme.“ Der „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ soll einen aktuellen Überblick und eine Analyse der globalen Bedrohungslage mit Schwerpunkt auf OT, relevanten Schwachstellen sowie wichtigen Entwicklungen und Trends in der Branche bieten.

dragos-ransomware-by-sector-2026

Abbildung: Dragos

Nach aktuellen DRAGOS-Erkenntnissen agieren arbeitsteilige Gruppen und fokussieren zunehmend auf eine systematische Erfassung ganzer industrieller Steuerungssysteme

Weltweit 3.300 Organisationen von Angriffen auf ihre OT betroffen

Im Jahr 2025 habe „KAMACITE“ systematisch Regelkreise innerhalb US-amerikanischer Infrastrukturen erfasst, während gleichzeitig „ELECTRUM“ dezentrale Energiesysteme in Polen ins Visier genommen und gezielt versucht habe, operative Anlagen zu stören.

  • „Dragos identifizierte außerdem drei neue Angreifergruppen, darunter ,SYLVANITE’, die bestehende Zugänge an ,VOLTZITE’ weitergibt, um tiefere OT-Angriffe zu ermöglichen. ,PYROXENE’ richtet sich gegen Ziele in den USA, Westeuropa und dem Nahen Osten und setzte im Juni im Kontext eines regionalen Konfliktes zerstörerische ,Wiper’-Malware gegen Kritische Infrastrukturen ein. ,AZURITE’ weist technische Überschneidungen mit ,Flax Typhoon’ auf und führte anhaltende Operationen in den USA, Europa und im asiatisch-pazifischen Raum durch.“

Die Zahl der Industrieunternehmen angreifenden Ransomware-Gruppen, sei im Vergleich zum Vorjahr um 49 Prozent gestiegen und habe weltweit 3.300 Organisationen getroffen, deren Betrieb teils erheblich gestört worden sei.

OT-Bedrohungslage erreichte 2025 neue Qualität

„Die Bedrohungslage hat 2025 eine neue Qualität erreicht“, kommentiert Robert M. Lee, CEO und Co-Founder von Dragos. Er führt weiter aus: „Angreifer analysieren genau, wie industrielle Steuerungssysteme funktionieren, verstehen, woher Befehle stammen, wie sie sich verbreiten und an welchen Stellen physische Auswirkungen ausgelöst werden können.“

  • Dabei entstünden zunehmend arbeitsteilige Strukturen: Spezialisierte Gruppen schafften systematisch Zugriffswege, welche noch spezialisiertere Akteure für weitergehende Angriffe auf OT-Umgebungen nutzen könnten.

Gleichzeitig verursachten Ransomware-Gruppen zunehmend Betriebsstörungen und mehrtägige Ausfälle, welche eine OT-spezifische Wiederherstellung erforderten. „Dennoch unterschätzen viele Industrieunternehmen weiterhin, wie stark Ransomware in OT-Umgebungen wirkt, da sie die Bedrohung fälschlicherweise als ein reines IT-Problem einordnen“, warnt Lee.

OT-Ransomware-Vorfälle konnten im Durchschnitt innerhalb von fünf Tagen erkannt und eindämmt werden

„Auch auf Verteidigungsseite gab es 2025 spürbare Fortschritte“, berichtet Lee. Unternehmen mit umfassender Transparenz in ihren OT-Umgebungen hätten OT-Ransomware-Vorfälle im Durchschnitt innerhalb von fünf Tagen erkennen und eindämmen können, während der branchenweite Durchschnitt bei 42 Tagen gelegen habe.

  • Dies zeige, wie eng die Reife der Erkennungsmechanismen mit dem Erfolg der Reaktion zusammenhänge.

Lee betont indes: „Dennoch bestehen weiterhin erhebliche Lücken! Umfassende Transparenz in OT-Umgebungen ist entscheidend. Ohne kontinuierliche Überwachung werden die Einführung von Technologien wie KI, Batteriespeichersystemen oder dezentralen Energiequellen zu exponentiell größeren Blinden Flecken führen.“

3 neue OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“

Dragos hat folgende drei neuen OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“ – damit verfolgten Dragos-Analysten weltweit insgesamt 26 Gruppen, von denen elf im Jahr 2025 aktiv gewesen seien.

  1. „SYLVANITE“ fungiert als „Initial Access Broker“
    Dieser nutze Schwachstellen rasch aus und gebe erlangte Zugänge an „VOLTZITE“ weiter, um weitergehende OT-Angriffe zu ermöglichen. Dragos habe „SYLVANITE“ im Rahmen von Incident-Response-Einsätzen bei US-amerikanischen Energie- und Wasserversorgern beobachtet. Diese Gruppe habe Schwachstellen in „Ivanti“ ausgenutzt und Active-Directory-Anmeldedaten extrahiert. Technische Überschneidungen bestünden mit „UNC5221“, „UNC5174“ und „UNC5291“.
  2. „AZURITE“ zielt auf langfristigen Zugriff und den Diebstahl von OT-Daten ab
    Diese Gruppe greife OT-Engineering-Workstations an und exfiltriere Betriebsdaten wie Netzwerkdiagramme, Alarmdaten und Prozessinformationen, um ihre eigenen Fähigkeiten weiterzuentwickeln. Betroffen seien Unternehmen aus den Bereichen Fertigung, Verteidigung, Automobilindustrie, Energie, Öl und Gas sowie staatliche Einrichtungen in den USA, Australien, Europa und im asiatisch-pazifischen Raum. Technische Überschneidungen bestünden mit „Flax Typhoon“.
  3. „PYROXENE“ kompromittiere Lieferketten und führe Social-Engineering-Kampagnen durch
    Diese Gruppe nutze häufig einen durch „PARISITE“ erlangten Erstzugang, um von IT- in OT-Netzwerke vorzudringen. Zu ihren Zielen gehörten Unternehmen aus Luft- und Raumfahrt, Verteidigung und Schifffahrt in den USA, Westeuropa, Israel und den Vereinigten Arabischen Emiraten. „PYROXENE“ weise erhebliche technische Überschneidungen mit Aktivitäten auf, welche nach Ansicht der US-Regierung dem „Cyber Electronic Command“ der „Islamischen Revolutionsgarde“ zuzuschreiben seien.

Entwicklung cyberkrimineller Gruppen von OT-Aufklärern zu gezielten operativen OT-Angreifern

„ELECTRUM“ habe 2025 mehrere destruktive Operationen durchgeführt, darunter einen koordinierten Angriff auf acht ukrainische Internetdienstanbieter im Mai sowie den Einsatz neuer Varianten von „Wiper“-Malware.

  • Im Dezember 2025 habe „ELECTRUM“ in Polen Kraft-Wärme-Kopplungsanlagen und Steuerungssysteme für erneuerbare Energien angegriffen, um den Betrieb der Anlagen gezielt zu stören. Damit habe diese Gruppe ihre Aktivitäten von der Übertragungsinfrastruktur auf das dezentrale Stromnetz ausgedehnt. Technische Überschneidungen bestünden mit „Sandworm“. Unterstützt werde „ELECTRUM“ von „KAMACITE“. Diese Gruppe habe ihren Schwerpunkt von der Ukraine auf eine europäische Lieferkettenkampagne verlagert und zwischen März und Juli 2025 eine weitreichende Erkundung von US-Industrieanlagen durchgeführt. Dabei habe „KAMACITE“ systematisch vollständige Regelkreise, darunter HMIs (Human Machine Interfaces), Frequenzumrichter, Messmodule und Mobilfunk-Gateways analysiert.

„VOLTZITE“ habe Stufe 2 der ICS-Cyber-Kill-Chain erreicht: „Dragos beobachtete, wie die Gruppe Software auf Engineering-Workstations manipulierte, um Konfigurations- und Alarmdaten zu extrahieren.“ Dabei habe sie gezielt untersucht, unter welchen Bedingungen Prozessabschaltungen ausgelöst würden. „VOLTZITE“ habe zudem „Sierra Wireless AirLink“-Mobilfunkgateways kompromittiert, um Zugang zu Midstream-Pipeline-Betrieben in den USA zu erhalten, und sich anschließend weiter zu Engineering-Workstations bewegt. Technische Überschneidungen bestünden mit „Volt Typhoon“.

„Hacktivisten“: Wandlung von eher symbolischen Aktionen hin zu operativ wirksamen OT-Angriffskampagnen

„BAUXITE“ habe während des Iran-Israel-Konflikts im Juni 2025 zwei speziell entwickelte „Wiper“-Malware-Varianten gegen israelische Ziele eingesetzt und damit frühere Zugriffs- und Störungsaktivitäten zu eindeutig destruktiven Operationen eskaliert.

  • Hacktivistische Gruppen verknüpfen zunehmend ideologische Botschaften mit staatlich unterstützten Aktivitäten und greifen öffentlich zugängliche HMIs, fehlkonfigurierte Engineering-Workstations sowie offen zugängliche Feldprotokolle wie ,Modbus’/TCP und DNP3 an.“

„BAUXITE“ weise technische Überschneidungen mit Aktivitäten auf, welche die US-Regierung „CyberAv3ngers“ und dem „IRGC-CEC“ zuschreibe.

Ransomware bleibt größte OT-Bedrohung der Industrieunternehmen

Dragos habe im Jahr 2025 insgesamt 119 Ransomware-Gruppen – mit Fokus auf Industrieunternehmen – verfolgt, gegenüber 80 im Jahr 2024.

  • Weltweit seien 3.300 Organisationen betroffen gewesen – mehr als zwei Drittel davon aus der Fertigungsindustrie. Branchenweit habe die durchschnittliche Verweildauer von Ransomware in OT-Umgebungen bei 42 Tagen gelegen.

Dragos stellte zudem fest, „dass OT-Vorfälle oftmals noch immer fälschlicherweise als reine IT-Vorfälle eingestuft werden, da OT-Systeme wie Engineering-Workstations und HMIs aufgrund ihres ,Windows‘-Betriebssystems der IT zugerechnet werden“.

Häufige Unzuverlässigkeit der Bewertung von OT-Schwachstellen für ICS-Priorisierung

Dragos stellte fest, „dass 25 Prozent der von ICS-CERT und im NVD erfassten Schwachstellen im Jahr 2025 fehlerhafte CVSS-Werte aufwiesen“. Darüber hinaus hätten 26 Prozent der Sicherheitshinweise weder Patches noch konkrete Abhilfemaßnahmen der Hersteller enthalten.

  • „Lediglich zwei Prozent der für ICS relevanten Schwachstellen fielen in Dragos‘ risikobasiertem ,Now, Next, Never’-Modell in die Kategorie ,Now’ und erforderten sofortige Maßnahmen.“

Die Untersuchungen von Dragos zu Batterie-Energiespeichersystemen hätten Schwachstellen zur Umgehung der Authentifizierung und zur Befehlsinjektion identifiziert. Mehr als 100 Geräte seien frei über das Internet erreichbar gewesen – darunter zur Einspeisung von Strom in Versorgungsnetze eingesetzte Wechselrichter mit einer Leistung von rund einem Megawatt.

Weitere Informationen zum Thema:

DRAGOS
About Dragos: The Leader in OT Cybersecurity / Our Mission: To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day

DRAGOS
2026 OT Cybersecurity Year in Review: Explore the data from Dragos’s 2026 OT Cybersecurity Report, our 9th Annual Year in Review – the go-to report for industrial control systems (ICS) and operational technology (OT) vulnerabilities, threats targeting industrial environments, and lessons learned from customer engagements worldwide

DRAGOS
Robert M. Lee – CEO & Co-Founder

DRAGOS
Threat Group BAUXITE – Ability to comprimise PLCs, modify ladder logic, and deploy custom backdoors on OT Devices

DRAGOS
Threat Group ELECTRUM – Electric grid disruption and long-term persistence using LOTL tactics and custom ICS Malware

DRAGOS
Threat Group KAMACITE – Spearphishing, exploiting SOHO routers, and leveraging custom capabilities to enable ELECTRUM operations

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen / Je weiter sich KI-Anwendungen entwickeln, desto stärker entscheidet der verantwortungsvolle Umgang mit Transparenz und Vertrauen über nachhaltige Akzeptanz

]]>
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine https://www.datensicherheit.de/modern-ot-resilienz-digital-zwilling-baustein Wed, 04 Feb 2026 23:56:00 +0000 https://www.datensicherheit.de/?p=52263 Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

[datensicherheit.de, 05.02.2026] Carlos Buenano, CTO für OT bei Armis, betont in seiner aktuellen Stellungnahme: „Neben kontinuierlichem ,Exposure Management’ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für ,Legacy’-Systeme!“ Gleichzeitig rücke die Lieferkette als Angriffs- und „Compliance“-Faktor in den Mittelpunkt.

armis-carlos-buenano

Foto: Armis

Carlos Buenano: Unternehmen müssen schneller automatisieren als Angreifer, Risiken in der Sprache der Wirtschaft messen und jedes Gerät, jeden Lieferanten und jeden Prozess als Teil einer einheitlichen Risikolandschaft behandeln!

Durchsetzung des Zugriffs mit minimalen Privilegien zur Stärkung der OT-Resilienz

Eine zentrale Säule moderner OT-Resilienz im Jahr 2026 ist demnach die Durchsetzung des Zugriffs mit minimalen Privilegien: „Da wir Lieferketten und Betriebsnetzwerke absichern, muss die Verwaltung der Zugriffe dynamisch, überprüfbar und kontextsensitiv gestaltet sein!“

  • Jeder Mensch, jede Maschine, jedes Anbieter-„Tool“ und jedes Firmware-Update sollte als Identität behandelt werden, welche nur die erforderlichen Rechte erhält – und zwar nur für die erforderliche Zeit und nur auf den erforderlichen Systemen.

„Das bedeutet, dass rollen- und attributbasierte Zugriffskontrollen (RBAC und ABAC) innerhalb der Kontrollumgebungen durchgesetzt werden müssten, wobei Just-in-Time-Erweiterungen (JIT) für Wartungsaufgaben, kurzlebige Anmeldedaten für Anbieter-Sitzungen und hardwarebasierte Identitäten für Geräte verwendet werden“.

Identität wird zur aktiven Risikovariable

Firmware-Updates sollten vor der Bereitstellung immer digital signiert und überprüft werden – und der Zugriff von Anbietern müsse über vermittelte, überwachte „Jump-Hosts“ mit Sitzungsaufzeichnung und automatischer Sperrung der Anmeldedaten nach Abschluss der Arbeiten erfolgen.

  • Wenn diese Zugriffsvalidierung in CTEM („Continuous Threat Exposure Management“) einfließt, wird die Risikobewertung laut Buenano wesentlich präziser, da das Risiko nicht nur mit den Schwachstellen der „Assets“ verknüpft wird, sondern auch damit, wer oder was tatsächlich mit diesen „Assets“ interagieren kann.

Mit anderen Worten: „Die Identität wird zu einer aktiven Risikovariable. Diese Verlagerung hilft Unternehmen, übermäßig bereitgestellte Konten, ungeschützte Anmeldedaten von Anbietern und unsichere Wartungsprozesse zu erkennen, bevor Angreifer sie ausnutzen können.“

In der OT Vertrauen erwerben und kontinuierlich validieren

Auch die Lieferkette profitiere davon: Lieferantenverträge verlangten zunehmend Zugangstransparenz, Sitzungsprotokollierung und Bestätigungen der geringsten Privilegien. In der OT werde Vertrauen erworben und kontinuierlich validiert.

  • Eine der spannendsten Entwicklungen im Jahr 2026 sei die weit verbreitete Einführung Digitaler Zwillinge bzw. virtueller Nachbildungen industrieller Umgebungen, um für Tests, Simulationen und Resilienz Trainings verwendet zu werden.

Diese „Zwillinge“ seien nicht mehr auf Forschung und Entwicklung beschränkt, sondern würden nun auch verwendet, um reale Cybervorfälle in sicheren „Sandbox“-Umgebungen zu proben.

Digitale Zwillinge zum Testen von Zugriffsrichtlinien und Berechtigungsmodellen

Digitale Zwillinge erwiesen sich auch als unschätzbar wertvoll für das Testen von Zugriffsrichtlinien und Berechtigungsmodellen: „Bevor eine neue Zugriffsrichtlinie oder Segmentierungsregel für Lieferanten eingeführt wird, können Unternehmen diese in ihrem Digitalen Zwilling validieren, um die Betriebsstabilität sicherzustellen.“

  • Solche Simulationen könnten Sicherheits- und Engineering-Teams dabei helfen, Prinzipien der geringsten Berechtigungen sicher anzuwenden, ohne die Produktion zu unterbrechen.

Mit Digitalen Zwillingen könnten Teams Ransomware-Ausbrüche, laterale Bewegungen oder Fehlkonfigurationen simulieren, ohne die Live-Produktion zu gefährden. „Sie bieten auch eine ideale Umgebung, um Firmware-Updates zu validieren, Segmentierungsrichtlinien zu testen und Szenarien mit gegnerischen Angriffen durchzuspielen.“

Gemeinsame Tabletop-Übungen der IT- und OT-Incident-Responder

„Ich habe gesehen, wie Unternehmen durch ihre ,Zwillinge’ entdeckt haben, dass ein scheinbar geringfügiges Firmware-Update einen kritischen Regelkreis destabilisiert hätte“, berichtet Buenano. Aber über die Sicherheitsvalidierung hinaus veränderten Digitale Zwillinge auch die Art und Weise der Schulung für Menschen:

  • „In vielen Einrichtungen führen IT- und OT-Incident-Responder nun gemeinsame Tabletop-Übungen durch, bei denen simulierte Angriffe nachgeahmt werden, die realen Angreifern nachempfunden sind.“

Die Ergebnisse seien messbar„schnellere Entscheidungsfindung, bessere Kommunikation und weniger Überraschungen, wenn ein echter Vorfall eintritt“.

OT-Umgebungen nach wie vor voller problematischer „Legacy“-Systeme

Trotz der Fortschritte habe sich eines nicht geändert: „OT-Umgebungen sind nach wie vor voller ,Legacy’-Systeme, die nicht gepatcht, nicht ersetzt und oft nicht einmal sicher überwacht werden können. Viele laufen mit Firmware, die älter ist als moderne kryptographische Standards oder vom Hersteller nicht mehr unterstützt wird.“

  • Im Jahr 2026 bleibe es dabei und die vorherrschende Verteidigungsstrategie sei Schutz statt Ersatz. „Virtuelles Patching, ,Deep Device Fingerprinting’ und anwendungsorientierte Mikrosegmentierung sind mittlerweile Standard. Mit Exposure-Management-Tools lassen sich endlich ,nicht patchbare Assets’ sicher inventarisieren, verfolgen und quantifizieren, wobei automatisch Business-Impact-Scores zugewiesen und kompensierende Kontrollen empfohlen werden.“

Anstatt einer unrealistischen Modernisierung nachzujagen, würden Unternehmen anwendungsorientierte Firewalls implementieren und gegebenenfalls sichere aktive Abfragen vollständig einführen und OT als eine Umgebung behandeln, „die ein Hacking-Ziel ist, unabhängig davon, ob sie ,air gapped’ ist oder nicht“.

Absicherung der Lieferkette – in der OT riskieren Unternehmen nicht nur Daten, sondern auch kinetische Auswirkungen

„Wenn 2024 und 2025 die Jahre der KI-gesteuerten Angriffe waren, dann ist 2026 das Jahr der Absicherung der Lieferkette.“ Man habe schmerzhafte Lektionen aus Vorfällen gelernt, bei denen kompromittierte Firmware-Updates oder manipulierte Anbieter-„Tools“ ihren Weg in Produktionsumgebungen gefunden hätten. In der OT riskierten Unternehmen nicht nur Daten, sondern auch kinetische Auswirkungen.

  • „In diesem Jahr ist mit strengeren Beschaffungs- und ,Compliance’-Anforderungen für Kritische Infrastrukturen zu rechnen. Secure-by-Design-Vorgaben, SBOM-Transparenz, signierte Firmware und Herstellerbescheinigungen werden schnell zur Selbstverständlichkeit.“

Armis unterstütze Unternehmen dabei, diese Kontrollen in ihre CTEM-Workflows zu integrieren, beispielsweise durch die Überprüfung von Firmware-Signaturen, die Pflege von Registern mit Herstellerzertifikaten und die automatische Kennzeichnung von Geräten, die aus risikoreichen Lieferketten stammen.

Kein Unternehmen kann eigene OT-Umgebung vollständig sichern, ohne auch Lieferanten zu sichern

„Dieselben Workflows erstrecken sich nun auch auf die Zugriffsvalidierung, indem sichergestellt wird, dass Anbieter im Rahmen ihres Zertifizierungsprozesses Kontrollen mit minimalen Berechtigungen, die Überprüfbarkeit von Sitzungen und Zeitpläne für die Sperrung von Berechtigungen einhalten.“

  • Die harte Wahrheit sei, dass kein Unternehmen seine OT-Umgebung vollständig sichern könne, ohne seine Lieferanten zu sichern. Transparenz, Herkunftsnachweis und schnelle Reaktionszeiten müssten Teil jedes Lieferantenvertrags werden.

„Im Jahr 2026 werden die Grenzen zwischen IT, OT und cyber-physischen Systemen praktisch verschwunden sein. Die Umgebungen, die Sicherheitsteams verteidigen, sind lebendige, miteinander verbundene Ökosysteme, die unser Leben bestimmen und ständig Angriffen ausgesetzt sind.“

Transparenz, Kontext und kontinuierliches „Cyber Exposure Management“ operative Grundlage moderner OT-Sicherheit

Die Konvergenz KI-gesteuerter Angriffe, zunehmendem regulatorischen Drucks und steigender Sicherheitserwartungen bedeute, dass Transparenz, Kontext und kontinuierliches „Cyber Exposure Management“ die operative Grundlage der modernen OT-Sicherheit bildeten.

  • „Aber Transparenz allein reicht nicht aus!“ Minimaler Zugriff, dynamische Autorisierung und Verantwortlichkeit in der Lieferkette entschieden heute darüber, „ob ein Unternehmen den KI-gestützten Bedrohungen der nächsten Generation standhalten kann“.

Die gemeinsame Mission, Betriebszeit, Menschen und Vertrauen zu schützen, habe sich nicht verändert, aber die Art und Weise, dies zu erreichen, habe sich weiterentwickelt. Buenano unterstreicht abschließend: „Unternehmen müssen schneller automatisieren als Angreifer, Risiken in der Sprache der Wirtschaft messen und jedes Gerät, jeden Lieferanten und jeden Prozess als Teil einer einheitlichen Risikolandschaft behandeln!“

Weitere Informationen zum Thema:

ARMIS
About Armis: Armis, the cyber exposure management & security company, protects the entire attack surface and manages an organization’s cyber risk exposure in real time

illumio, Raghu Nandakumara, 28.05.2024
How Armis CTO Carlos Buenano’s OT Security Journey Led to Zero Trust

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen / Je weiter sich KI-Anwendungen entwickeln, desto stärker entscheidet der verantwortungsvolle Umgang mit Transparenz und Vertrauen über nachhaltige Akzeptanz

]]>
Aufrüttelndes Jubiläum: 15 Jahre Stuxnet und die Lehren für die OT-Cybersicherheit https://www.datensicherheit.de/jubilaeum-15-jahre-stuxnet-lehren-ot-cybersicherheit https://www.datensicherheit.de/jubilaeum-15-jahre-stuxnet-lehren-ot-cybersicherheit#respond Mon, 20 Oct 2025 22:14:25 +0000 https://www.datensicherheit.de/?p=50610 Vor 15 Jahren im Sommer 2010 machte „Stuxnet“ erstmals der Öffentlichkeit bewusst, dass Cyberangriffe nicht nur digitale Systeme treffen – sondern auch reale, physische Schäden anrichten können

[datensicherheit.de, 21.10.2025] Kai Thomsen, „Director of Global Incident Response Services“ bei Dragos, greift in seiner aktuellen Stellungnahme ein für Experten der OT-Sicherheit signifikantes „Jubiläum“ auf: „Vor 15 Jahren im Sommer 2010 machte ,Stuxnet’ erstmals der Öffentlichkeit bewusst, dass Cyberangriffe nicht nur digitale Systeme treffen, sondern auch reale, physische Schäden anrichten können.“ Diese Schadsoftware griff Steuerungs- und Automatisierungssysteme an – und legte damit offen, wie verwundbar physische Prozesse in Kritischen Infrastrukturen (KRITIS) sind. Seitdem hätten sich Angriffe auf OT-Systeme deutlich weiterentwickelt.

dragos-kai-thomsen-farbig

Foto: Dragos

Kai Thomsen: „Stuxnet“ blieb kein Einzelfall – inzwischen sind mindestens neun Schadprogramme bekannt, die gezielt auf industrielle Steuerungs- und Automatisierungssysteme ausgelegt sind

Dragos-Warnung vor neuen Schadprogrammen und immer engeren Verbindungen zwischen staatlichen Akteuren und kriminellen Gruppen

Thomsen führt aus: „Am 22. Juli 2025 sprach Robert M. Lee, CEO und Mitgründer des OT-Sicherheitsunternehmens Dragos, vor dem US-Kongress:

  • Er warnte vor einer wachsenden Zahl von Angreifern, neuen Schadprogrammen und immer engeren Verbindungen zwischen staatlichen Akteuren und kriminellen Gruppen.“

Gleichzeitig habe er aufgezeigt, dass viele Angriffe nicht erfolgreich verliefen, weil Fachwissen und Abwehrmechanismen inzwischen deutlich besser entwickelt seien. Die größte Lücke liege laut Lee nicht in der Technik, sondern in der Umsetzung.

„Stuxnet“ – Dragos fasst zentrale Erkenntnisse zusammen

„Die folgenden sechs Punkte fassen die Lehren zusammen, die sich seit ,Stuxnet’ herausgebildet haben und die heute wichtiger für die OT sind als je zuvor:“

  1. OT als Rückgrat Kritischer Infrastrukturen
    „Stuxnet“ habe deutlich gemacht, dass Angriffe auf industrielle Steuerungs- und Automatisierungssysteme (ICS/OT) direkte Auswirkungen auf physische Prozesse haben könnten.
    „Während IT-Systeme vor allem die Integrität und Verfügbarkeit von Daten schützen sollen, steht in der OT die sichere und zuverlässige Steuerung industrieller Abläufe im Mittelpunkt.“
    Ein erfolgreicher Angriff könne Maschinen beschädigen, Anlagen stilllegen und im schlimmsten Fall Menschenleben gefährden. Trotzdem fließe der Großteil der Cybersicherheitsbudgets noch immer in IT-Systeme. „Dieses Ungleichgewicht besteht bis heute.“
  2. Reale, vielschichtige und weiter zunehmende Bedrohung
    „,Stuxnet’ blieb kein Einzelfall. Inzwischen sind mindestens neun Schadprogramme bekannt, die gezielt auf industrielle Steuerungs- und Automatisierungssysteme ausgelegt sind.“
    Über 25 staatliche und nichtstaatliche Gruppen hätten ihren Fokus auf OT-Umgebungen ausgerichtet. Einige sammelten Informationen, andere störten bereits aktiv die Stromversorgung, Wassersysteme oder die Rüstungsproduktion. Besonders gefährlich sei „PIPEDREAM“. Dieses modulare Angriffstool lasse sich flexibel in verschiedenen Branchen einsetzen und skalieren.
    Auch nichtstaatliche Akteure erlangten inzwischen bislang nur staatlich geförderten Akteuren vorbehaltene Fähigkeiten. Durch weltweite Vernetzung und zunehmende Professionalisierung von Ransomware- und „Hacktivisten“-Gruppen steige das Risiko groß angelegter, koordinierter Angriffe deutlich.
  3. Machbare Verteidigung auf Basis stimmiger Grundlagen
    Trotz der komplexen Bedrohungslage zeige sich eine klare Erkenntnis: „Angriffe auf OT-Systeme lassen sich abwehren.“ Analysen belegten, dass bereits fünf grundlegende Schutzmaßnahmen einen Großteil aller Vorfälle verhindern könnten.
    Besonders wichtig sei Sichtbarkeit im Netzwerk. Ohne ein klares Bild von den „Assets“ und Bedrohungen im eigenen System blieben selbst professionelle Angriffe oft über lange Zeit unentdeckt.
    Aus der Praxis gebe es zahlreiche Beispiele. „Selbst kleinere Versorger haben sich erfolgreich gegen hochentwickelte Angriffe behauptet, wenn ihre Sicherheitsstrategien klar definiert und konsequent umgesetzt waren.“
  4. Kooperation des öffentlichen und privaten Sektors ein Muss
    Staatliche Stellen, Nachrichtendienste, CERTs und Unternehmen müssten eng zusammenarbeiten, um OT-Systeme wirksam zu schützen.
    „Damit solche Kooperationen Erfolg haben, braucht es klare Zuständigkeiten, abgestimmte Abläufe und ein gemeinsames Verständnis der Bedrohungslage.“ Einzelne Initiativen wie das „Electricity Information Sharing and Analysis Center“ (E-ISAC) gälten als gute Beispiele.
    Viele Partnerschaften blieben jedoch zu unkonkret, schlecht koordiniert oder zu breit angelegt, um Wirkung zu entfalten. Ohne klare Schwerpunkte und gegenseitige Verpflichtung bleibe das Potenzial ungenutzt.
  5. Regulierung verständlich und praxisnah
    Die größte Hürde beim Schutz kritischer OT-Infrastrukturen sei nicht der Mangel an Know-how oder technischen Lösungen. „Viel schwerer wiegen unklare, widersprüchliche oder überfrachtete Vorgaben.“
    Betreiber sähen sich häufig mit einer Vielzahl an Regelwerken verschiedener Stellen konfrontiert. Diese seien oft doppelt, unkoordiniert oder nicht auf OT-Systeme zugeschnitten. „Was fehlt, ist eine abgestimmte Regulierung, die von der Industrie mitgestaltet wird, sich an realen Bedrohungen orientiert, klare Ziele vorgibt und dabei genug Spielraum für konkrete, unternehmensspezifische Umsetzungen lässt.“
    Kritische Infrastrukturen ließen sich nur dann wirksam absichern, „wenn auch die vorgelagerten Bereiche zuverlässig geschützt sind“. Die Risiken entstehen laut Thomsen oft nicht erst beim Betreiber, sondern bereits bei den Zulieferern. Ungeprüfte Technik oder unsichere Hersteller könnten ganze Systeme gefährden.
  6. Bekannte Maßnahmen harren der Umsetzung
    15 Jahre nach „Stuxnet“ sei klar, dass die Bedrohungslage weiter zunehme. Gleichzeitig stehe heute mehr Wissen über wirksame Schutzmaßnahmen zur Verfügung als je zuvor.
    Der nächste Schritt bestehe darin, dieses Wissen flächendeckend anzuwenden. „Dafür braucht es klare Zuständigkeiten, entschlossenes Handeln und eine Zusammenarbeit, die nicht an Abteilungsgrenzen endet!“, betont Thomsen.
    Dragos bietet nach eigenen Angaben effektive OT-Cybersicherheitstechnologie für industrielle und Kritische Infrastrukturen, um seine globale Mission zu verwirklichen: „Die Zivilisation zu schützen.“ Dragos habe fast zehn Jahre praktische Erfahrung im Umgang mit schwerwiegenden Angriffen auf OT-Netzwerke und kenne die Komplexität und Risiken industrieller Umgebungen. Diese verfügten häufig über ein enormes Ausmaß, stützen sich auf einzigartigen Systemen, unterlägen hohen Anforderungen an die Verfügbarkeit und ließen sich nicht durch Lösungen zur IT- Cybersicherheit schützen.

Weitere Informationen zum Thema:

DRAGOS
Dragos Makes Defense Doable / Build your cybersecurity program with the platform, threat intelligence, and services designed for how OT works

DRAGOS
Kai Thomsen: Director, Global Incident Response Services

datensicherheit.de, 11.11.2014
Stuxnet: Kaspersky Lab identifiziert die ersten fünf Opfer / Neue Analyse: Infizierung über Lieferkette / Erste Attacke nicht via USB-Stick

datensicherheit.de, 28.11.2010
Stuxnet als ernstzunehmende Bedrohung: Infrastrukturbetreiber sollten Gefahr nicht unterschätzen / Norwegischer IT-Security-Spezialist Norman warnt vor künftiger Verbreitung über Laptops oder Mobilgeräte

datensicherheit.de, 18.10.2010
Abwehr von Stuxnet-Angriffen durch Sicherheitszone für die Produktionsabteilung / GeNUA Fernwartungs-Appliance „GeNUBox“ verhindert einseitige Zugriffe von außen

datensicherheit.de, 03.10.2010
ENISA-Chef Dr. Udo Helmbrecht: Stuxnet stellt Paradigmenwechsel dar / Jüngste Attacke sei als „first strike“ gegen kritische Informationsinfrastruktur zu werten

]]>
https://www.datensicherheit.de/jubilaeum-15-jahre-stuxnet-lehren-ot-cybersicherheit/feed 0
OT-Monitoring: Die fünf größten Herausforderungen und Lösungsansätze https://www.datensicherheit.de/ot-monitoring-5-groessten-herausforderungen-loesungsansaetze https://www.datensicherheit.de/ot-monitoring-5-groessten-herausforderungen-loesungsansaetze#respond Thu, 11 Sep 2025 22:49:37 +0000 https://www.datensicherheit.de/?p=50107 Daniel Sukowski rät zu ganzheitlichem Monitoring für OT-Umgebungen, um potenzielle Probleme im Netzwerk proaktiv und in Echtzeit zu erkennen und beheben – bevor es zu Ausfällen kommt

[datensicherheit.de, 12.09.2025] Daniel Sukowski, „Global Business Developer“ bei der Paessler GmbH, beschreibt in seiner aktuellen Stellungnahme ein typisches Szenario: „Ein normaler Tag in der Fertigung eines Industrieunternehmens – alle Maschinen und Anlagen laufen auf Hochtouren. Plötzlich kommen die Maschinen jedoch zum Erliegen. Es kommt zu einem Produktionsstopp, weil ein unbekannter Sensor in der OT-Anlage unerwartet ausfällt…“ Damit dieses Szenario eben nicht zur Realität wird, ist laut Sukowski ein „ganzheitliches Monitoring für OT-Umgebungen“ wichtig. So ließen sich potenzielle Probleme im Netzwerk proaktiv und in Echtzeit erkennen und beheben„bevor es zu Ausfällen kommt!“ Er erläutert in diesem Kontext die fünf größten Probleme und Herausforderungen beim OT-Monitoring und diesbezügliche Lösungsansätze:

paessler-daniel-sukowski

Foto: Paessler GmbH

Daniel Sukowski erörtert die fünf größten Probleme und Herausforderungen beim OT-Monitoring und mögliche Lösungsansätze

OT-Sicherheit von gestern: SPS-Geräte von 1995 steuern mitunter noch immer wichtige Vorgänge

Veraltete Geräte mit Speicherprogrammierbarer Steuerung (SPS) aus dem Jahr 1995 steuerten mitunter noch immer wichtige Vorgänge und seien nach wie vor eine wichtige Infrastruktur in industriellen Betrieben – „obwohl sie in Protokollen kommunizieren, die moderne Monitoring-,Tools’ nicht verstehen können“.

  • Eine Lösung dieses Problems sei nun die Nutzung von „Modbus TCP“ als primäres Kommunikationsprotokoll der Monitoring-Lösung für industrielle Steuerungssysteme. Mit diesem Protokoll könnten veraltete SPS und Steuerungen im Auge behalten werden, ohne in kostspielige Erneuerungen von Systemen investieren zu müssen.

Sukowski führt aus: „Verschiedene Metriken von jedem ,Modbus’-kompatiblen Gerät separat zu erfassen, ermöglicht einen Einblick in Geräte, die ansonsten außerhalb des Monitorings liegen. So lassen sich beispielsweise auch Temperatursensoren, Ventilpositionen, Motordrehzahlen, Fehlerzustände von Geräten und ganze Produktionslinien verfolgen, die bereits vor dem zunehmenden Wandel hin zur ,Cloud’ existierten.“

Inkompatibilität: Im OT-Bereich kommen zahlreiche Protokolle zum Einsatz

Im OT-Bereich kämen zahlreiche Protokolle zum Einsatz – von „Modbus TPC“ über „OPC UA“ bis hin zu „MQTT“. Jedes dieser Formate spreche gewissermaßen seine eigene „Sprache“. „In vielen Architekturen werden Daten zwischen diesen Protokollen ausgetauscht, etwa wenn ,Modbus’-Informationen über ,OPC UA’ bereitgestellt und anschließend via ,MQTT’ übertragen werden.“

  • In anderen Fällen erfolge der Austausch direkt über Gateways oder Schnittstellenmodule. Auch eine Anbindung an auf dem „Simple Network Management Protocol“ (SNMP) basierende IT-Überwachungssysteme sei möglich – meist mithilfe spezieller Protokollkonverter.

„Diese Vielfalt lässt sich mit einem internationalen Meeting vergleichen: Jeder Teilnehmer spricht eine andere Sprache, und Übersetzer sorgen dafür, dass alle sich verstehen.“ Monitoring-Lösungen also, welche mehrere OT- und IoT-Protokolle nativ unterstützten, könnten hierbei den Übersetzungsaufwand deutlich reduzieren.

Ganzheitliches OT-Monitoring empfohlen

Einheitliche „Tools“ für ganzheitliches OT-Monitoring böten integrierte Funktionen für „Modbus TCP“, „OPC UA“ und „MQTT“, so dass Datenpunkte, Zustände und sicherheitsrelevante Informationen zentral erfasst würden.

  • „OPC UA“-Sensoren ermöglichten es beispielsweise, neben Messwerten auch Zertifikatslaufzeiten zu überwachen – „eine entscheidende Komponente für sichere Kommunikation“.

„MQTT“-Sensoren lieferten wiederum Informationen über IoT-Geräte, Broker-Statistiken und Messaging-Integrität. Das Ergebnis laut Sukowski: „Eine zentrale Plattform, die Protokollgrenzen überwindet, den Einsatz vieler separater Tools vermeidet und sowohl OT- als auch IT-Umgebungen in einer einheitlichen Sicht zusammenführt – effizient, sicher und zukunftssicher.“

OT-Netzwerke strikt von IT-Netzwerken getrennt: Netzwerksegmentierung und „Air Gaps“

Aus betrieblichen und sicherheitstechnischen Gründen seien viele OT-Netzwerke strikt von IT-Netzwerken getrennt – häufig durch Netzwerksegmentierung oder in besonders sensiblen Bereichen durch nahezu vollständige „Air Gap“-Konzepte. Diese Trennung erhöhe die Sicherheit erheblich, bringe jedoch komplexe Herausforderungen für das Monitoring mit sich.

  • Die zentrale Frage laute: „Wie lässt sich eine isolierte Umgebung überwachen, ohne die vorgesehenen Schutzmechanismen zu umgehen?“

Eine bewährte Lösung sei der Einsatz einer verteilten Architektur mit sogenannten Remote-Probes. Diese Sonden würden innerhalb der abgesicherten OT-Segmente platziert, erfassten dort lokal die relevanten Daten und übertrügen sie über klar definierte, abgesicherte Kommunikationskanäle – etwa über eine „Demilitarisierte Zone“ (DMZ) – an den zentralen Monitoring-Server. In vollständigen „Air Gap“-Umgebungen könne die Datenübertragung auch manuell, beispielsweise über gesicherte Wechseldatenträger, erfolgen.

OT-Lösung sollte flexibel sein und alle relevanten Messwerte nebst Statusinformationen erfassen

Idealerweise liefen solche Monitoring-Komponenten auf unterschiedlichen Betriebssystemen – einschließlich ressourcenschonender „Linux“-Varianten, „wie sie in vielen industriellen Anwendungen und sicherheitskritischen Zonen üblich sind“.

  • Die Lösung sollte so flexibel sein, „dass sie trotz strenger Netzwerk- und Sicherheitsvorgaben alle relevanten Messwerte und Statusinformationen erfassen kann“.

Fortschrittliche Mechanismen für Protokollierung, Alarmierung und detaillierte Berichterstattung unterstützten dabei die Einhaltung gängiger Normen und Standards in sensiblen Branchen – von der Industrieproduktion über Energieversorgung bis hin zur Kritischen Infrastruktur (KRITIS).

OT-Umgebungen mehrerer Anbieter hinterlassen Spuren

Viele OT-Umgebungen wiesen technologische Schichten auf, welche historische Fortschritte aus verschiedenen Industrieperioden widerspiegelten. „OT-Umgebungen könnten etwa SPS, HMI, RTU oder weitere kundenspezifische Lösungen von Herstellern enthalten, die nicht mehr auf dem Markt existieren.“

  • Da zu jeder dieser Komponente unterschiedliche Verwaltungstools gehörten, könne beim Monitoring ein Netz aus unterschiedlichen Systemen entstehen, „das nicht mehr vereinheitlicht werden kann“.

Die Lösung dieser Herausforderung lieg in einem herstellerunabhängigen Ansatz für das Monitoring: „Indem ein ,Tool’ sehr viele unterschiedliche native Sensortypen mit umfangreichen Anpassungsfunktionen integriert, lässt sich die Systemvielfalt vereinen.“ Dann könnten auch spezialisierte Hardware für die Industrie und kundenspezifische Lösungen „gemonitort“ werden.

Zuverlässige Verbindung zwischen OT-Überwachung und Prozesssteuerung: SCADA-Integration ohne Betriebsunterbrechung

SCADA-Systeme steuerten zentrale Betriebsprozesse und reagierten sensibel auf Änderungen. Daher sei beim Datenaustausch mit Monitoring-Lösungen besondere Sorgfalt erforderlich. „Ein kontinuierlicher Informationsfluss zwischen SCADA-Systemen und Monitoring-,Tools’ trägt entscheidend dazu bei, die Stabilität und Verfügbarkeit der Anlagen zu sichern.“

  • Durch den Einsatz von „OPC UA“-Servern innerhalb der Monitoring-Software ließen sich Daten sicher und standardkonform mit SCADA-, HMI- und DCS-Systemen austauschen. „Über geeignete Zugriffs- und Authentifizierungsmechanismen kann jeder berechtigte ,OPC UA’-Client – ob SCADA, HMI oder ,OPC UA’-fähige Steuerung – auf die Monitoring-Daten zugreifen.“

Eine bidirektionale, kontrollierte Kommunikation ermögliche es, dass SCADA-Systeme Monitoring-Daten wie Netzwerk- und Systemmetriken empfingen, während umgekehrt Monitoring-Tools ausgewählte Betriebsdaten aus den SCADA-Systemen in ihre Alarmierungs- und Reporting-Workflows integrieren könnten. „So entsteht eine zuverlässige Verbindung zwischen Überwachung und Prozesssteuerung – ohne den laufenden Betrieb zu beeinträchtigen“, betont Sukowski abschließend.

Weitere Informationen zum Thema:

PAESSLER
Wir sind Paessler. Wir übernehmen Verantwortung. / Wir entwickeln leistungsstarke und zuverlässige Monitoring-Lösungen, die Unternehmen dabei unterstützen, ihren Betrieb zu optimieren und Ausfallzeiten in IT-, OT- und IoT-Infrastrukturen zu vermeiden.

PAESSLER
Compatible Computer Solutions und Paessler / Viele Erfolgsfaktoren bedingen ein zukunftsorientiertes Gebäudemanagement – Projektplanung mit Kompetenz und Weitsicht für ein professionelles Condition-Monitoring

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 12.07.2022
Weiterhin lückenhafte Cyber-Sicherheit: Jedes 2. Fertigungsunternehmen rechnet mit Zunahme von -angriffen / Fast jeder zweite Hersteller gibt zu, dass Cyber-Sicherheit nicht im Fokus der höchsten Managementebene steht

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung / Palo Alto Networks veröffentlicht branchenspezifischen Leitfaden

]]>
https://www.datensicherheit.de/ot-monitoring-5-groessten-herausforderungen-loesungsansaetze/feed 0