OT-Cybersicherheit (Operational Technology)

Industrielle Steuerungssysteme absichern — SPS, DCS, SCADA, RTU, IIoT. IEC 62443, NIS2, Cyber Resilience Act. Purdue-Modell, Segmentierung, ICS-Intrusion-Detection, OT-Incident-Response — Grundlagen für den Schutz einer Anlage gegen Stuxnet, Triton und Industroyer.

IT vs OT: 2 Welten, 2 Logiken

Eine Fabrik wird nicht wie ein Rechenzentrum gesichert. OT-Cybersicherheit hat eigene Regeln: Kontinuität, physische Sicherheit, nicht-patchbare Legacy-Geräte.

Dimension	IT	OT
Priorität	Vertraulichkeit > Integrität > Verfügbarkeit	Verfügbarkeit > Integrität > Vertraulichkeit
Lebensdauer	3–5 Jahre	15–30 Jahre
Patching	Monatlich, automatisiert	Jährlich, geplante Stillstandsfenster
Verfügbarkeit	99 %	99,9–99,999 %
Auswirkung	Datenverlust, Diebstahl	Produktionsstillstand, physischer Unfall, Verletzung
Protokolle	HTTPS, SMTP, SSH	Modbus, PROFIBUS, EtherNet/IP, OPC UA
Authentifizierung	Stark (MFA, SSO, IAM)	Bei Legacy-Protokollen oft nicht vorhanden

Purdue-Modell — Referenzkarte

6-stufige Hierarchie für jedes Industrienetz. Basis der Cybersicherheitsarchitektur: jede Ebene mit eigenen Anforderungen, Übergänge über Pflicht-Kontrollpunkte.

Unternehmensnetzwerk

ERP, mail, internet

Standort-Geschäftsnetz

MES, historian, asset management

3.5

Industrielle DMZ

Sprungserver, Patch-Server, Proxy

Standort-Operations

Visualisierung, Historian, Engineering

Bereichs-/Zellensteuerung

SCADA, HMI

Basissteuerung

PLC, DCS, RTU

Physischer Prozess

Sensoren, Aktoren, Motoren

Wichtige Vorfälle — lehrreiche Geschichte

Diese 5 Angriffe haben die Wahrnehmung des OT-Risikos jeweils neu definiert. Jeder hat eine bis heute aktuelle technische Lehre.

2010

Stuxnet

Natanz-Zentrifugen (Iran)

Erste Malware gegen Siemens-S7-SPS. Zerstörte ~1 000 Anreicherungszentrifugen durch Drehzahländerung.

2015

BlackEnergy / Industroyer

Ukrainisches Stromnetz

230 000 Menschen 6 h ohne Strom. Staatsangriff auf Umspannwerke via SCADA.

2017

Triton / Trisis

Petrochemie Saudi-Arabien

Erster Angriff auf ein SIS (Schneider Triconex). Versuch, die Notabschaltung zu deaktivieren — Explosionsgefahr.

2021

Colonial Pipeline

US-Ölpipeline

DarkSide-Ransomware. 5-tägiger Stillstand einer 8 800 km Pipeline. Engpässe Ostküste. CEO trat zurück.

2022

Industroyer2

Ukrainische Umspannwerke

Nachfolger des Industroyer 2015. Vor Aufprall erkannt und neutralisiert. Zielt direkt auf IEC 60870-5-104.

Verteidigungsebenen — Defense in Depth

Keine Einzelmaßnahme reicht. OT-Cyber staffelt Barrieren — Umgehung einer Schicht gewährt keinen Prozesszugriff.

Asset-Inventar und Sichtbarkeit

Erste Ebene: was nicht bekannt ist, kann nicht geschützt werden. Passive Tools (Dragos, Nozomi, Claroty, OTORIO) lauschen industrielle Protokolle und bauen Asset-Inventar, Firmware, CVE.

Segmentierung und DMZ

Das Purdue-Modell verlangt eine industrielle DMZ (Ebene 3.5) zwischen IT und OT. Keine direkten Flüsse mehr von Ebene 4 zu 3. Optische Dioden für einseitige Flüsse. Industrielle Firewalls.

Intrusion Detection (IDS) für ICS

Passive Sensoren analysieren OT-Verkehr und alarmieren bei Anomalien: ungewöhnlicher Modbus-Befehl, unerwarteter Sollwert, Scan, fehlerhaftes Paket. Unverzichtbar — kein EDR-Agent auf einer SPS.

Zugriffsverwaltung

Pflicht-Sprungserver aus IT, MFA, zeitgestempelte Badges, aufgezeichnete Sitzungen. Standard-Konten deaktivieren. Keine Passwortteilung.

OT-Incident-Response

OT-spezifischer Plan — anders als IT. Keine SPS, die einen Hochofen steuert, wird einfach neugestartet. Notfall-Failover, SOC ↔ Verfahrensteam-Kommunikation. Jährliche Tabletop-Übungen unter NIS2.

Backup und Wiederherstellung

Offline-Backups (air-gapped) der SPS-Konfigurationen, Batch-Rezepte, SCADA-Images. Quartalsweise getestet. Ransomware darf Backups NIE erreichen.

Standortvernetzung — Werk A ↔ Werk B ↔ Zentrale ↔ Cloud

SPS-Systeme verschiedener Werke müssen oft kommunizieren — MES-Aggregation, Konzernüberwachung, Hersteller-Fernwartung, Cloud-Zwilling. Diese standortübergreifende Vernetzung ist die heikelste Cyber-Risikozone der modernen Industrie. Ein naives Site-to-Site-VPN macht aus einem lokalen Vorfall ein Konzernereignis (NotPetya → Maersk, Juni 2017: ~10 Mrd. € Schaden in 10 Tagen über AD und VPN).

1. Die 5 typischen Szenarien

Szenario	Datenfluss	Übliche Methode	Hauptrisiko
Werk A ↔ Werk B	Prozess-Sync, Batch-Rezept-Transfer, Produktrückverfolgung	Site-to-Site IPsec-VPN, MPLS, SD-WAN	Ransomware-Ausbreitung zwischen Werken — eine gemeinsame AD reicht
Standort ↔ Zentrale	MES-Reporting, KPI, Qualitätsdaten, ERP, Planung	MPLS über industrielle DMZ; Datendiode für Einweg-Datenflüsse	Kompromittierung Zentrale (IT) → alle OT-Standorte
Standort ↔ Hersteller	Fernwartung, Firmware-Updates, Hersteller-PdM	Dediziertes VPN + Hersteller-Sprungserver + Sitzungsaufzeichnung	Kompromittiertes Hersteller-Konto = permanente Backdoor
Standort ↔ IIoT-Cloud	Sensor-Telemetrie, ML-Modelle, Konzern-Dashboard	Edge-Gateway → MQTT-Broker (Sparkplug B) → Azure/AWS IoT Hub. Nur ausgehend.	Fehlkonfigurierte Cloud (öffentliche S3, freigelegte Secrets)
Standort ↔ Partner / Kunde	Custody Transfer, Rechnungsstellung, JIT-Lieferung	Gesichertes OPC UA mit gegenseitigen X.509-Zertifikaten über DMZ	Vertrauen zu breit gewährt

2. Referenzarchitektur — mehrstandortige Defense in Depth

In jedem Szenario folgt die Zielarchitektur demselben Prinzip: jeder Standort ist eine isolierte Festung, Brücken zwischen Festungen laufen über Kontrollpunkte mit Datenflussinspektion.

┌─────────────────────────────────────────────────────────────────────────────┐
│  Internet (publique, hostile)                                               │
│      ▲                                       ▲                              │
│      │  TLS 1.3 + cert mutuels               │  TLS 1.3 + cert mutuels      │
│  ┌───┴────────────────────┐              ┌───┴────────────────────┐         │
│  │  WERK A                │              │  WERK B                │         │
│  │  ┌──────────────────┐  │              │  ┌──────────────────┐  │         │
│  │  │ Niveau 5  ERP    │  │              │  │ Niveau 5  ERP    │  │         │
│  │  ├──────────────────┤  │              │  ├──────────────────┤  │         │
│  │  │ Niveau 4  MES    │  │              │  │ Niveau 4  MES    │  │         │
│  │  ├═══════════════ ══┤  │              │  ├═══════════════ ══┤  │         │
│  │  │ N 3.5 DMZ ind.   │  │              │  │ N 3.5 DMZ ind.   │  │         │
│  │  │ jump server, NDR │  │              │  │ jump server, NDR │  │         │
│  │  ├══════════════════┤  │              │  ├══════════════════┤  │         │
│  │  │ Niveau 3  SCADA  │  │              │  │ Niveau 3  SCADA  │  │         │
│  │  │ Niveau 2  HMI    │  │              │  │ Niveau 2  HMI    │  │         │
│  │  │ Niveau 1  PLC    │  │              │  │ Niveau 1  PLC    │  │         │
│  │  │ Niveau 0  procé. │  │              │  │ Niveau 0  procé. │  │         │
│  │  └──────────────────┘  │              │  └──────────────────┘  │         │
│  └────────────────────────┘              └────────────────────────┘         │
│                                                                             │
│  ❶ Pas de pont OT direct entre Werke. Toute synchro passe par les niveaux  │
│    4 (MES) chiffrée + authentifiée, JAMAIS depuis le niveau 1 ou 2.        │
│                                                                             │
│  ❷ La DMZ industrielle (N 3.5) est OBLIGATOIRE. Aucun flux ne traverse     │
│    N4 → N3 sans transit par DMZ (jump server, proxy, ou diode).             │
│                                                                             │
│  ❸ Active Directory séparé par site. Pas de domaine groupe partagé entre   │
│    les zones OT. Un AD compromis ne contamine pas les autres sites.         │
└─────────────────────────────────────────────────────────────────────────────┘

3. Verbindungsmethoden — Vergleich

Methode	Bandbreite / Latenz	Native Sicherheit	Kosten	Anwendungsfall
Site-to-Site IPsec-VPN	Internet-begrenzt (10–100 Mbps), variable Latenz	IKEv2 + AES-256-Verschlüsselung. PSK oder Zertifikate.	€	Kleine Standorte, unkritische Telemetrie
MPLS	SLA-garantiert, stabile Latenz (5–30 ms)	Nativ unverschlüsselt — vertrauenswürdiger Carrier nötig. IPsec on-top.	€€€	Große Mehrwerk-Konzerne mit Carrier-Verträgen
SD-WAN	MPLS + Internet + 4G/5G-Aggregation, Auto-Failover	Native E2E-Verschlüsselung (Cisco Viptela, Fortinet, Versa). Zentrale Policy.	€€	Moderner MPLS-Nachfolger — Rollouts ab 2024
Mobilfunk 4G / 5G (privater APN)	5G URLLC: <10 ms; 4G: 30–80 ms	Privater APN + IPsec. Kein Internet-Routing.	€€	Isolierte / mobile Standorte oder SD-WAN-Ergänzung
Dunkelfaser (direkt)	1–100 Gbps, nur physische Latenz	Keine — L1/L2-Verschlüsselung (MACsec, OTN) zwingend.	€€€€	Benachbarte Campus-Standorte, sehr anspruchsvolle Apps
Datendiode (einseitig)	Hardware-begrenzt (Mbps bis Gbps), µs-Latenz	Rückübertragung physikalisch unmöglich — Sicherheit durch Konstruktion.	€€€	Historian → IT, OT → SOC, Nuklear, Verteidigung

4. Die 8 klassischen Fallstricke

Flaches Site-to-Site-VPN — Einmal verbunden sieht der Angreifer alle SPS. Immer am VPN-Ausgang mikro-segmentieren.
AD-Domäne über OT-Standorte hinweg — Eine AD-Kompromittierung in der Zentrale öffnet alle Werke. Getrennte AD-Forests pro OT-Standort.
Permanente Hersteller-Konten — Hersteller-24/7-Zugang? Nein. Just-in-Time, von Mensch validiert, zeitlich begrenzt, aufgezeichnet.
VLAN ≠ echte Segmentierung — Ein VLAN ist logische Isolation auf einem Switch — keine Firewall. Echte Isolation: L3/L4 auf Industrie-Firewall.
Backups aus dem Produktionsnetz erreichbar — OT-Ransomware, die Backups erreicht, eliminiert die BCM. Immer air-gapped und teilweise offline.
Keine zentralisierten standortübergreifenden Logs — Koordinierter Mehrwerk-Angriff bleibt unbemerkt, wenn SIEMs siloiert sind. Konzern-SIEM liest OT-Logs aller Werke.
Asymmetrische Routen mit MPLS + Internet — Ausgehend MPLS, Rückweg Internet: Firewall sieht nur die Hälfte. Symmetrisches BGP-Routing erzwingen.
Kein standortübergreifender IR-Plan — Bei Angriff auf Werk A — wann wird Werk B isoliert? Schriftliche Prozedur, jährliche Tabletop-Übungen unter NIS2.

5. Empfohlene Austauschprotokolle

Bedarf	Empfohlenes Protokoll	Sicherheit
Werk-übergreifender Prozessdatenaustausch	OPC UA (IEC 62541)	Sign + Encrypt zwingend. Gegenseitige X.509-Zertifikate.
IIoT-Cloud-Telemetrie	MQTT Sparkplug B	TLS 1.3 + Zertifikate. Nur ausgehend.
Standortübergreifende Umspannwerke	IEC 61850 MMS (cross-site) / GOOSE (intra-site uniquement)	IEC 62351 (Cyber-Pendant zu IEC 61850).
Custody Transfer Öl-Gas	OPC UA + dedizierte Signaturen	OPC UA Sign + Encrypt. Separater Backup-Historian für fiskalisches Audit.
Hersteller-Wartung	Hersteller-Bastion + RDP/SSH	PAM (CyberArk, Wallix, BeyondTrust). MFA-Pflicht. Videoaufgezeichnete Sitzungen.

Regulatorischer Rahmen

NIS2

EU-Richtlinie 2022/2555

Nationale Umsetzung 17.10.2024. Erweitert NIS1 — umfasst Energie, Wasser, Lebensmittel, kritische Fertigung, Abfall. Pflichten: Risikoanalyse, technische Maßnahmen, Meldung binnen 24 h, Bußgelder bis 10 M€ oder 2 % des Konzernumsatzes.

CRA

Cyber Resilience Act

EU-Verordnung ab Ende 2027. Produkte mit digitalen Elementen auf EU-Markt. Pflichten: Security-by-Design, Schwachstellenmanagement, 5 Jahre Updates. Inkl. SPS, IIoT-Sensoren, vernetzte Industrieausrüstung.

ANSSI (FR)

OIV / OSE

Kritische Betreiber (12 Sektoren) und Betreiber wesentlicher Dienste (NIS2). ANSSI-Rahmen: EBIOS-Risikoanalyse, Homologation, PASSI/PDIS-Qualifizierungen. Frankreich strenger als EU-Minimum.

IEC 62443-Normen — Referenzserie

IEC 62443-2-1 — Cybersicherheits-Managementprogramm — Betreiber
IEC 62443-2-4 — Cybersicherheitsanforderungen für Dienstleister
IEC 62443-3-2 — Risikobewertung und Systemdesign
IEC 62443-3-3 — Sicherheitsanforderungen Systeme & Zonen
IEC 62443-4-1 — Sicherer Produktentwicklungszyklus für Hersteller
IEC 62443-4-2 — Technische Anforderungen für IACS-Komponenten

Die IEC-62443-Serie umfasst insgesamt 14 Dokumente — 4 Kategorien: allgemein, Betreiber, System, Komponente.

Werkzeuge

IEC-62443-Security-Level-Rechner, Purdue-Segmentierungsmatrix, NIS2-Checkliste — in Entwicklung.