OT/ICS-Sicherheit: Industrieanlagen gegen Cyberangriffe schützen

Stuxnet 2010 - die erste bekannte digitale Waffe, die physische Systeme zerstörte. Industroyer 2016 - legte Teile des ukrainischen Stromnetzes lahm. TRITON 2017 - griff Safety Instrumented Systems in einer petrochemischen Anlage an. Die Bedrohungslage für Operational Technology (OT) ist real und eskaliert. Gleichzeitig sind OT-Umgebungen oft mit Windows XP, ungepatchten PLCs und der Annahme “isoliert = sicher” konfiguriert.

OT vs. IT - Fundamentale Unterschiede

OT und IT verfolgen grundlegend unterschiedliche Prioritäten, was direkte Auswirkungen auf die Sicherheitsstrategie hat:

Dimension	IT-Welt	OT-Welt
Verfügbarkeit	99,9 % (8h Downtime/Jahr)	99,999 % (5 Min/Jahr)
Integrität	Wichtig	Kritisch (falsche Werte = Unfall)
Vertraulichkeit	Höchste Priorität	Niedrigere Priorität
Patch-Zyklen	Wöchentlich bis monatlich	Monate bis Jahre
Lebensdauer	3-5 Jahre	15-30 Jahre
Betriebssysteme	Aktuelle Windows/Linux	Windows XP, VxWorks, QNX
Netzwerk	TCP/IP Standard	Proprietär: Modbus, Profinet, DNP3
Sicherheitsziel	CIA-Triad (C zuerst)	AIC-Triad (A zuerst)

Ein Sicherheits-Update, das 30 Minuten Downtime erfordert, ist in der IT akzeptabel. In der OT bedeutet es Millionenverluste durch Produktionsausfall - und möglicherweise ein eigenständiges Sicherheitsrisiko für die physische Anlage.

Das Purdue-Modell (ICS Reference Architecture)

Das Purdue Enterprise Reference Architecture (PERA) definiert eine hierarchische Struktur für industrielle Netzwerke:

Level 5 - Enterprise Network (IT): ERP-Systeme, E-Mail, Internet-Anbindung. Eine Firewall/DMZ trennt diesen Bereich zwingend von Level 4.

Level 4 - Site Business Planning & Logistics: Produktionsplanung, MES-Systeme (Manufacturing Execution System), Historiker-Server (OSIsoft PI, AVEVA). Dieser Level bildet die Schnittstelle IT ↔ OT.

IT/OT-Grenze (Demilitarisierte Zone)

Level 3 - Site Operations (DMZ): Produktionsleitebene mit SCADA-Servern, Historian, Batch Management und Engineering Workstations. Hier erfolgt auch das Patch Management für OT-Systeme.

Level 2 - Area Supervisory Control: HMI-Systeme (Human Machine Interface), SCADA-Clients und DCS (Distributed Control Systems) für Prozessvisualisierung und -steuerung.

Level 1 - Basic Control: PLCs (Programmable Logic Controllers), RTUs (Remote Terminal Units), Drives und Aktuatoren-Controller.

Level 0 - Process: Physische Prozesse - Sensoren, Aktuatoren, Motoren, Temperatur, Druck, Durchfluss und Ventile. Keine TCP/IP-Digitalkommunikation auf dieser Ebene.

Goldene Regel: Kommunikation darf NUR zwischen benachbarten Ebenen stattfinden. Ein Level-5-System spricht NIEMALS direkt mit Level 1 oder 0.

Bekannte OT-Angriffe und ihre Lektionen

Stuxnet (2010)

Ziel: Iranisches Urananreicherungsprogramm (Natanz). Methode: USB-Übertragung → Windows → Siemens S7-315 PLC. Effekt: Rund 1.000 Zentrifugen wurden durch subtile Drehzahlveränderungen zerstört. Lektion: Air Gap schützt nicht vor USB-Angriffen; PLCs müssen aktiv auf Manipulation geprüft werden.

Industroyer/Crashoverride (2016)

Ziel: Ukrainisches Stromnetz (Ukrenergo). Methode: Spear-Phishing → IT-Netz → Pivot zu OT-Netz → SCADA. Die Malware enthielt protokollspezifische Module für IEC 104, IEC 61850, GOOSE und Modbus. Effekt: Stromausfall in Kiew, 225.000 Kunden betroffen. Lektion: OT-Protokolle sind angreifbar; ein Pivot von IT in OT ist möglich und muss durch Segmentierung verhindert werden.

TRITON/TRISIS (2017)

Ziel: Petrochemische Anlage im Nahen Osten. Methode: IT-Kompromittierung → Engineering Workstation → Triconex Safety Instrumented Systems (SIS). Das Angriffsziel war, die Sicherheitssysteme auszuschalten oder zu manipulieren. Konsequenz: Die Anlage hätte explodieren können; die SIS-Eigensicherung verhinderte die Katastrophe. Lektion: Safety Systems sind kein separates Sicherheitsnetz mehr und müssen aktiv geschützt werden.

Oldsmar Water Plant (2021)

Methode: TeamViewer-Zugang → SCADA (schwaches Passwort). Angriff: Die Natriumhydroxid-Konzentration wurde auf das 111-fache erhöht. Effekt: Ein Bediener bemerkte die Manipulation und griff manuell ein. Lektion: Remote Access für OT ist hochriskant; HMI-Isolation ist kritisch.

Norsk Hydro (2019) - IT/OT-Kontext

Methode: LockerGoga-Ransomware über das IT-Netz. Effekt: Produktionsanlagen mussten auf manuellen Betrieb umgestellt werden - 75 Mio. USD Schaden. Lektion: IT-Ransomware gefährdet OT durch gemeinsame Netzwerkinfrastruktur.

IEC 62443 - Der OT-Sicherheitsstandard

IEC 62443 “Security for Industrial Automation and Control Systems” ist in vier Teile gegliedert:

• 62443-1 - General: Konzepte, Terminologie, Modelle
• 62443-2 - Policies & Procedures: Anforderungen für Asset Owner
• 62443-3 - System Requirements: Sicherheitsanforderungen auf Systemebene
• 62443-4 - Component Requirements: Anforderungen für Hersteller

Das Security Level (SL)-Konzept definiert vier Schutzgrade:

SL	Schutzbereich
SL 0	Keine spezifischen Sicherheitsanforderungen
SL 1	Schutz gegen unbeabsichtigte oder zufällige Vorfälle
SL 2	Schutz gegen intentionelle Angriffe mit einfachen Mitteln
SL 3	Schutz gegen sophistizierte Angreifer mit OT-Expertise
SL 4	Schutz gegen Nation-State-Level-Angreifer

Das Zones & Conduits-Konzept strukturiert die Anlage: Eine Zone ist eine Gruppe von Assets mit ähnlichem Sicherheitsbedarf, ein Conduit der Kommunikationspfad zwischen Zonen. Jede Zone hat ihr eigenes SL-Target.

Eine typische Zone-Struktur für eine Produktionsanlage:

• Zone A: Enterprise (SL 1)
• Zone B: SCADA/Historian (SL 2); Conduit A→B: Industrial DMZ mit Deep Packet Inspection
• Zone C: PLC-Netz Linie 1 (SL 2-3)
• Zone D: PLC-Netz Linie 2 (SL 2-3); Conduit B→C/D: Unidirektional (Data Diode) empfohlen
• Zone E: Safety Systems SIS (SL 3-4, physisch getrennt)

Netzwerksegmentierung in OT-Umgebungen

Option 1 - Data Diode (Hardware-Erzwingung, keine Kompromisse): Physikalisch nur in eine Richtung: OT → IT (Daten heraus, keine Befehle herein). Produkte: Waterfall Security, Owl Cyber Defense, Hirschmann EAGLE. Vorteil: Kein TCP/IP = kein Exploit-Pfad. Nachteil: Kein Remote Access, kein Management möglich. Einsatzgebiet: Historian-Replikation OT→IT und Read-Only-Monitoring.

Option 2 - Industrial Firewall/IDS mit OT-Protokoll-Awareness: Diese Systeme verstehen Modbus, DNP3, Profinet, IEC 61850, EtherNet/IP und BACnet. Sie können Modbus-Funktionscodes per Whitelist einschränken - beispielsweise nur FC 03/04 (Lesen) erlauben und FC 15/16 (Schreiben) blockieren. Produkte: Claroty, Dragos, Nozomi Networks, Fortinet FortiGate OT, Cisco IE-Firewalls.

Beispiel-Firewall-Regel für Modbus:

ALLOW: Quell-IP=SCADA-Server → Ziel=PLC-192.168.10.5 TCP:502 FC=03,04
DENY:  ANY → Ziel=PLC-192.168.10.5 TCP:502 FC=05,06,15,16

Option 3 - Demilitarisierte Zone (DMZ) zwischen IT und OT:

IT-Netz → [Firewall] → DMZ → [Firewall] → OT-Netz

Die DMZ enthält Jumphost, Patch-Server und Historian-Replika. IT-Systeme greifen nur auf DMZ-Systeme zu, niemals direkt auf OT.

Was unter keinen Umständen passieren darf (Flat Network):

• IT und OT im selben VLAN
• Domain Controller für IT und OT gemeinsam
• Internet-Zugang für OT-Systeme (auch kein Update-Download)
• USB-Zugang für Mitarbeiter an OT-Workstations

Asset Discovery in OT-Umgebungen

Aktive Scans gefährden OT-Systeme: Ein Nmap-SYN-Scan kann alte PLCs/RTUs zum Absturz bringen. OT-Assets reagieren anders auf Netzwerkpakete als IT-Systeme.

Methode 1 - Passive Netzwerkanalyse (Zero-Risk): Nozomi Networks Guardian, Dragos Platform und Claroty Platform setzen passive Sensoren am SPAN-Port ein. Sie erkennen Gerät, Hersteller, Protokoll, Firmware-Version und die Kommunikationsmatrix ohne einen einzigen aktiven Scan.

Methode 2 - Aktive Abfrage (selektiv, mit Hersteller-Freigabe): Siemens S7-Geräte erfordern eine proprietäre Siemens-Discovery statt Standard-SNMP. Für Rockwell steht FactoryTalk AssetCentre zur Verfügung, für GE Asset Performance Management. Niemals generisches Nmap oder Nessus im OT-Netz einsetzen.

Methode 3 - Manuelle Asset-Inventur: Netzwerk-Dokumentation aus Engineering-Projekten, Schaltschrankdokumentation und P&IDs (Piping and Instrumentation Diagrams) sowie Abgleich mit der SCADA-Konfiguration.

Das OT Asset Inventory muss mindestens folgende Informationen enthalten:

• Gerät: Hersteller, Modell, Firmware-Version
• Funktion: Was steuert dieses Gerät?
• Netzwerk: IP, MAC, VLAN, Zone
• Protokoll: Modbus/Profinet/etc.
• Patchstatus: Letztes Update, ausstehende Patches
• Owner: Wer ist verantwortlich?
• Kritikalität: Was passiert bei Ausfall?

Patch Management in OT

Die OT-Patch-Realität unterscheidet sich fundamental von IT: Windows XP auf HMIs kann nicht mehr gepatcht werden (EOL). PLC-Firmware-Updates erfordern Stillstand, Tests und Hersteller-Zertifizierung. Einige SPS-Updates können nur durch Hersteller-Techniker vor Ort eingespielt werden. Jedes Update an produktionskritischen Systemen erfordert ein geplantes Wartungsfenster.

Wenn Patching nicht möglich ist, müssen kompensatorische Maßnahmen greifen:

• Netzwerksegmentierung: Das ungepatchte System isolieren
• Application Whitelisting: McAfee ePolicy Orchestrator, Carbon Black (OT-Modus)
• Virtual Patching via IDS/IPS: Bekannte Exploits netzwerkseitig blocken
• Doppeltes Monitoring: Wenn Patching unmöglich ist, muss die Überwachung intensiviert werden
• Nicht genutzte Dienste abschalten: SMB v1, Telnet, FTP

Der OT-Patch-Rollout-Prozess folgt klaren Schritten:

1. Patch-Ankündigung vom Hersteller
2. Impact-Analyse: Betrifft der Patch unsere spezifische Firmware?
3. Test im Testsystem (wenn vorhanden)
4. Koordination mit der Produktion: nächstes Wartungsfenster (oft Monate entfernt)
5. Patch während geplanter Downtime einspielen
6. Funktionstest nach dem Update
7. Dokumentation (Nachweis für KRITIS-Audit)

Relevante Informationsquellen: Microsoft Security Update Guide (OT-relevante CVEs filtern), Hersteller-Sicherheits-Bulletins (Siemens ProductCERT, Schneider EVITA, ABB PSIRT) sowie der kostenlose ICS-CERT-Advisory-Service der CISA unter alerts.cisa.gov.

Remote Access in OT

Remote Access ist das größte OT-Sicherheitsrisiko, wie der Oldsmar-Angriff gezeigt hat.

Was keinesfalls getan werden darf:

• TeamViewer/AnyDesk direkt auf OT-Systeme (war genau der Oldsmar-Angriffsweg)
• RDP aus dem Internet direkt auf HMIs
• VPN direkt in das OT-Netz ohne Jump-Host
• Wartungs-Laptops ohne Härtung

Das sichere Remote-Access-Modell für OT folgt diesem Schema:

Internet → [VPN] → Jump-Host in DMZ → [privilegierter Zugang] → OT-System

Die notwendigen Komponenten:

1. Multi-Faktor-Authentifizierung auf dem VPN-Gateway
2. Jump-Host / Bastion Host in der Industrial DMZ: Nur erlaubte Tools (kein Browser, keine E-Mail, kein USB), Session Recording (vollständige Aufzeichnung als Nachweis), PAW-Standard (Privilege Access Workstation)
3. Just-in-Time-Zugang: Zugang nur wenn ein Ticket offen ist (CyberArk, BeyondTrust)
4. Vendor-Zugang explizit limitiert: Nur für vereinbarte Wartungsfenster, spezifischer Account nur für ein bestimmtes System, Live-Überwachung der Sitzung wenn möglich

Produkte für OT Remote Access: Claroty Secure Remote Access (SRA) mit Session-Recording, Bomgar/BeyondTrust for ICS, Cisco Secure Equipment Access sowie Tosibox für kleinere OT-Umgebungen.

OT-Incident Response

OT-Incident Response unterscheidet sich grundlegend von IT-IR. Die Priorität lautet: Safety > Availability > IT-Security. Bei einem OT-Incident muss zuerst die physische Sicherheit gewährleistet werden. Das in der IT-IR übliche “Netz abschalten” ist in der OT bei laufender Produktion schlicht unmöglich.

OT-spezifische Besonderheiten:

• OT-Forensik-Tools unterscheiden sich von IT-Forensik; Nozomi/Dragos/Claroty haben eigene Forensik-Module
• PLC-Forensik: Ladder-Logic-Dumps und Änderungshistorie auswerten
• SCADA-Logs liegen oft in proprietären Formaten vor (OSIsoft PI, iFIX, InTouch)
• Chain of Custody ist bei physischen Systemen besonders komplex

Phase 1: Erkennung und Triage Safety-Status klären: Läuft die Anlage sicher? Nach Anomalien suchen: ungeplante Steuerungsbefehle, unbekannte Prozesse auf HMI? Eskalation erfolgt immer gemeinsam: OT-Security, Process Engineers und Safety Engineers.

Phase 2: Containment (Balance Safety/Production/Security) Option A: Netzwerksegment per Firewall-Regel isolieren. Option B: Betroffenes System auf manuelle Steuerung umschalten. Option C: Anlage geordnet herunterfahren (letztes Mittel). Niemals ein System einfach abschalten ohne Abstimmung mit Process Engineering.

Phase 3: Forensik Memory-Dumps von HMI-Systemen (wenn sicher möglich), PCAP-Aufzeichnungen über Nozomi oder Dragos auswerten, PLC-Diagnose (Scan-Cycle, Inputs/Outputs, Change Log), SCADA-Audit-Logs auswerten (welche Befehle wurden wann gesendet?).

Phase 4: Recovery und Lessons Learned PLC-Backup aus einem verifizierten, gehashten Backup wiederherstellen, HMI-Image von goldener Sicherungskopie aufsetzen, Netzwerkdokumentation aktualisieren und - für KRITIS-Betreiber verpflichtend - Meldung an die zuständige KRITIS-Behörde.

NIS2 und KRITIS für OT-Betreiber

OT-relevante Sektoren unter NIS2:

• Energie (Strom, Gas, Öl, Fernwärme): Essential Entity
• Wasser/Abwasser: Essential Entity
• Transport (Bahn, Luft, Schiff, Straße): Essential/Important Entity
• Lebensmittel: Important Entity
• Chemie: Important Entity
• Verarbeitendes Gewerbe (ab KRITIS-Schwellenwert): Important Entity

NIS2-spezifische OT-Anforderungen:

• Risikoanalyse auch für OT-Systeme (nicht nur IT)
• Netzwerksegmentierung nachweisbar dokumentiert
• Asset-Inventar für alle OT-Assets
• Patch-Management mit dokumentiertem Ausnahmeprozess für OT
• Incident Response Plan mit OT-spezifischen Szenarien
• Business Continuity: Notbetrieb und manuelle Fallbacks
• OT-spezifische Security Awareness Schulung für Schichtführer und Prozessleiter

Das BSI KRITIS-Dachgesetz (KritisG 2.0 in Vorbereitung) wird die Anforderungen an kritische Infrastrukturen weiter verschärfen und OT-Systeme noch stärker einbeziehen.

Empfohlene Referenzquellen: CISA ICS Security Alerts (kostenlos, direkt relevant), NIST SP 800-82 Rev. 3 “Guide to Industrial Control Systems Security” sowie ICS-CERT MIFR (Malware Analysis Reports zu OT-Malware).

---

OT-Sicherheit ist keine IT-Sicherheit mit anderen Namen - sie erfordert Prozess-Verständnis, Sicherheitsingenieurswesen und Kenntnis proprietärer Protokolle. AWARE7 führt OT-Sicherheitsassessments durch, die physische Prozessrisiken und IT-Angriffspfade gemeinsam bewerten.

OT-Sicherheitsassessment anfragen | Penetrationstest Netzwerk