OT-Security (Operational Technology Security)
Schutz von Operational Technology - Steuerungssysteme, SPS, SCADA und industrielle Protokolle in Produktion, Energie, Wasser und Transport. OT-Sicherheit unterscheidet sich grundlegend von klassischer IT-Security: Verfügbarkeit hat Vorrang vor Vertraulichkeit.
Operational Technology (OT) bezeichnet Hard- und Software zur Überwachung und Steuerung physischer Prozesse: Fertigungsanlagen, Stromerzeugung, Wasserversorgung, Öl- und Gasleitungen, Transportinfrastruktur. OT umfasst SCADA-Systeme, Distributed Control Systems (DCS) und Speicherprogrammierbare Steuerungen (SPS/PLC).
Der Unterschied IT vs. OT Security
| Aspekt | IT-Security | OT-Security |
|---|---|---|
| Priorität | CIA-Triade: Vertraulichkeit first | Verfügbarkeit first - Ausfall kann Menschen gefährden |
| Systeme | Standardhardware, aktuelle OS | Proprietäre Hardware, oft Windows XP, kein Patching |
| Lebenszyklen | 3-5 Jahre | 15-30 Jahre |
| Patches | Sofort einspielen | Patch = Produktionsstopp (ungeplant unmöglich) |
| Standards | ISO 27001, NIST | IEC 62443, NERC CIP |
| Konsequenzen eines Ausfalls | Datenverlust, Betriebsunterbrechung | Physischer Schaden, Umweltkatastrophe, Menschenleben |
OT-Angriffsszenarien
Industroyer/Crashoverride (Ukraine 2016)
Erste Malware die gezielt Energieversorgungsinfrastruktur sabotierte. Ausfall der Stromversorgung in Kiew für ~1 Stunde. Demonstrierte: OT-Angriffe können physische Konsequenzen haben.
Triton/TRISIS (Saudi-Arabien 2017)
Gezielte Malware gegen Safety Instrumented Systems (SIS) in einer Petrochemieanlage. SIS sind die letzte Sicherheitslinie um katastrophale Ausfälle zu verhindern. Ziel war vermutlich physische Zerstörung oder Menschenleben.
Colonial Pipeline (USA 2021)
Ransomware-Angriff auf das IT-System eines Pipeline-Betreibers. Aus Sicherheitsgründen wurde auch die OT-Pipeline abgeschaltet → Kraftstoffmangel im Osten der USA, Notstand.
Wichtig: Colonial Pipeline war ein IT-Angriff der OT indirekt betraf. Echter OT-Angriff hätte direkter auf SCADA-Systeme gezielt.
Typische OT-Schwachstellen
Veraltete Systeme ohne Updates
Häufig anzutreffen: Windows XP / Windows 7 (Support Ende 2014/2020) ohne Sicherheitsupdates mit bekannten Exploits (EternalBlue, BlueKeep). Die typische Reaktion von OT-Betreibern: “Wir können nicht patchen - dann steht die Produktion” - Systeme laufen so jahrelang mit ungepatchten Schwachstellen.
Keine Netzwerksegmentierung
Viele OT-Umgebungen sind direkt mit IT-Netzwerken verbunden - historisch gewachsen:
Internet → Büronetz → ERP → SCADA → SPS/PLC (kein Firewall, keine Segmentierung)
Unsichere Protokolle
OT-Protokolle wurden für Zuverlässigkeit, nicht Sicherheit entwickelt:
- Modbus: Kein Authentifizierung, kein Encryption
- DNP3: Geringer Sicherheitsmechanismus
- BACnet: Gebäudeautomation, oft im Netz erreichbar
- OPC-UA: Moderner, hat Sicherheitsfunktionen - aber oft deaktiviert
Remote Access ohne ausreichende Absicherung
Wartungszugang für Maschinenhersteller: oft VPN-Zugänge mit schwachen Passwörtern, kein MFA, dauerhafte Verbindung.
IEC 62443: Der OT-Sicherheitsstandard
IEC 62443 ist das internationale Rahmenwerk für industrielle Cybersecurity:
- IEC 62443-1: General Concepts
- IEC 62443-2: Policies & Procedures (für Betreiber)
- IEC 62443-3: System Requirements
- IEC 62443-4: Component Requirements
Security Levels (SL):
- SL 1: Schutz gegen unbeabsichtigte oder zufällige Verstöße
- SL 2: Schutz gegen absichtliche Verletzung mit einfachen Mitteln
- SL 3: Schutz gegen sophistizierte Angriffe
- SL 4: Schutz gegen staatliche Akteure
Für kritische Infrastruktur (KRITIS) in Deutschland ist IEC 62443 der Referenzstandard.
OT-Sicherheitsmaßnahmen
Purdue Model / ISA-95 Zonen-Architektur
| Level | Bezeichnung | Trennmechanismus |
|---|---|---|
| Level 5 | Enterprise/Internet (extern) | ↕ Firewall |
| Level 4 | Business Network (ERP, HR) | ↕ DMZ |
| Level 3 | Manufacturing Operations (MES, SCADA) | ↕ Firewall |
| Level 2 | Process Control (DCS, HMI) | ↕ Strikte Trennung |
| Level 1 | Process Field (SPS, PLC, Sensoren) | - |
| Level 0 | Physical Process (Maschinen) | - |
Jede Ebene ist durch Firewall/Datadode vom nächsthöheren Level getrennt.
Air Gap und Datendioden
Air Gap: Vollständige physische Trennung - keine Netzwerkverbindung zwischen IT und OT. Datentransfer nur via USB (mit starker Kontrolle) oder Datendiode.
Datendiode (Unidirektionaler Gateway): Daten können nur in eine Richtung fließen (z.B. von OT nach IT für Monitoring, nie zurück). Hardware-implementiert - physisch unmöglich für Rückkommunikation.
OT-Hardening
Bekannte SPS-Härtungsmaßnahmen:
- Nicht-genutzte Ports deaktivieren
- Standard-Passwörter ändern
- Firmware-Update (wenn vom Hersteller bereitgestellt)
- Kommunikation auf notwendige Hosts beschränken (Whitelist)
- Audit Logging aktivieren (wenn möglich)
- Physischer Zugang absichern (Schloss, Kameraüberwachung)
Compliance: KRITIS und NIS2
KRITIS-Verordnung (Deutschland): Betreiber kritischer Infrastruktur (Energie, Wasser, IT, Transport) müssen IT-Sicherheitsmaßnahmen nach “Stand der Technik” umsetzen und Sicherheitsvorfälle beim BSI melden.
NIS2-Richtlinie Art. 21: Explizite Anforderungen an ICS/SCADA-Sicherheit in KRITIS-Sektoren und wichtigen Einrichtungen.
BSI Empfehlungen: IEC 62443 als Umsetzungsrahmen, BSI ICS-Security Kompendium als Leitfaden.
