IndustryHub
LERNEN / CYBERSICHERHEIT

Tiefenverteidigung in der OT-Cybersicherheit

← Cybersicherheit
Praktiker Lektion 1/2 6 min

Tiefenverteidigung in der OT-Cybersicherheit

Keine Barriere ist perfekt. Die Tiefenverteidigung stapelt mehrere unabhängige Schutzschichten, sodass eine einzelne Schwachstelle nie ausreicht, um den Prozess zu erreichen.

Eine einzige Barriere reicht nie

In der industriellen Cybersicherheit ist kein Schutz unfehlbar: Eine Firewall lässt sich umgehen, ein Passwort leckt, ein Patch verspätet sich. Die Tiefenverteidigung antwortet auf diese Realität: Statt alles auf eine Barriere zu setzen, stapelt man mehrere, unabhängige. Um den Prozess zu erreichen, müsste ein Angreifer sie alle überwinden — was sehr schwierig wird.

Die Schichten

Von außen zum Prozess:

  • Netzsegmentierung: in Zonen aufteilen (Purdue-Modell), mit einer industriellen DMZ zwischen IT und OT. Nichts kreuzt direkt.
  • Zugriffskontrolle: wer sich verbinden darf, womit, wie. Namentliche Konten, starke Authentifizierung, kontrollierter Fernzugriff über einen Sprungserver.
  • Härtung: deaktivieren, was nicht gebraucht wird, unnötige Ports schließen, Standardkonten entfernen.
  • Patch-Management: Systeme aktuell halten — eine Herausforderung in der OT, wo man einen Prozess nicht für einen Patch neu startet.
  • Erkennung: eine industrielle Angriffserkennungssonde (IDS), die den normalen Verkehr lernt und bei Anomalien alarmiert.
  • Sicherungen & Wiederanlaufplan: eine Steuerung oder einen Arbeitsplatz nach einem Vorfall wiederherstellen können.

Das Leitprinzip

Der rote Faden ist die Unabhängigkeit der Schichten. Teilen sie alle denselben Schwachpunkt (dasselbe Passwort, dasselbe flache Netz), ist die Tiefe eine Illusion. Jede Schicht muss halten, selbst wenn die vorige gefallen ist. Es ist derselbe Geist wie die Tiefenverteidigung in der nuklearen oder funktionalen Sicherheit: nie von einer einzigen Barriere abhängen.

Zonen, Conduits und Sicherheitslevel

Die Norm IEC 62443 formalisiert diesen Ansatz mit zwei Begriffen: Zonen (Gruppen von Geräten gleicher Kritikalität und gleichen Vertrauens) und Conduits (die kontrollierten Kommunikationskanäle zwischen Zonen). Jeder Zone weist man ein Ziel-Sicherheitslevel (SL-T) je nach abzuwehrendem Angreiferprofil zu und prüft dann das erreichte SL (SL-A):

SLAbzuwehrender Angreifer
SL 1versehentlicher Fehler oder Verstoß
SL 2einfacher Angreifer, generische Mittel, geringe Ressourcen
SL 3versierter Angreifer, OT-spezifische Mittel, moderate Ressourcen
SL 4versierter Angreifer, erweiterte Ressourcen (staatliches Niveau)

Jeden Conduit schützt man auf dem Niveau der anspruchsvollsten Zone, die er verbindet. Diese Architektur baut direkt auf dem Purdue-Modell und der Unterscheidung OT / IT auf.

In der Praxis

Tiefenverteidigung ist kein Produkt, das man kauft, sondern eine Architektur, die man entwirft. Ein konkretes Umsetzungsbeispiel — Segmentierung, DMZ, Proxy, Erkennung — wird im Artikel Daten zwischen 2 OT-Steuerungen austauschen ausführlich beschrieben.

Weiterführend

Das Purdue-Modell: die geschichtete Architektur eines Industriesystems OT und IT: die zwei Welten der industriellen Informatik OT DMZ IDS ICS IACS IEC 62443