Cyberangriffe auf industrielle Anlagen, Produktionsnetze und kritische Infrastrukturen gelten als eines der größten Risiken unserer Zeit. Gleichzeitig scheint die Zahl öffentlich bekannter Angriffe auf Operational Technology (OT) erstaunlich gering zu sein – zumindest im Vergleich zur Flut an Meldungen über Ransomware-Attacken auf klassische IT-Systeme.
Ist das Thema OT-Security also überbewertet? Oder bewerten wir die Lage mit der falschen Brille?
OT ist hochgradig verwundbar – aber anders als die IT
Aus technischer Sicht spricht vieles dafür, dass OT-Umgebungen besonders schutzbedürftig sind. Industrielle Netze, Steuerungen und Protokolle wurden über Jahrzehnte mit einem klaren Ziel entwickelt: maximale Verfügbarkeit. Sicherheitsmechanismen spielten dabei kaum eine Rolle. Hinzu kommt, dass in der OT oft deutlich mehr Personen Zugriff haben – von internen Mitarbeitern über Maschinenführer bis hin zu OEMs und externen Dienstleistern, häufig mit weitreichenden Privilegien.
Gleichzeitig fehlen in vielen OT-Umgebungen grundlegende Sicherheitsstandards, die in der IT längst selbstverständlich sind: Multi-Faktor-Authentifizierung, sauberes Identity- und Access-Management, Verschlüsselung, konsequentes Patch-Management oder eine klare Netzwerksegmentierung. Rein technisch betrachtet müsste die OT also ein leichtes Ziel sein.
Und doch bleibt die große Welle an öffentlich bekannten Angriffen aus.
IT-Angriffe folgen dem Geld – OT-Angriffe der Strategie
Ein zentraler Grund liegt in den völlig unterschiedlichen Motiven hinter IT- und OT-Angriffen.
In der IT-Sicherheit geht es in den meisten Fällen um Daten – und damit um Geld. Cyberkriminelle stehlen Informationen, verkaufen sie weiter oder verschlüsseln Systeme, um Lösegeld zu erpressen. Diese Angriffe sind laut, schnell und auf unmittelbaren finanziellen Erfolg ausgelegt. Vom ersten Zugriff bis zur Verschlüsselung vergehen oft nur wenige Wochen.
In der OT sieht die Lage grundlegend anders aus. Hier stehen nicht Daten, sondern Verfügbarkeit, Sicherheit von Menschen und der Schutz der Umwelt im Vordergrund. Angriffe auf industrielle Netze dienen selten kurzfristigem Profit. Sie sind vielmehr Teil geopolitischer Strategien und hybrider Konflikte – mit dem Ziel, Lieferketten, Energieversorgung oder industrielle Produktion gezielt destabilisieren zu können.
Die stille Gefahr: langfristige Positionierung statt sofortiger Schaden
OT-Angriffe verlaufen daher leise, langsam und äußerst behutsam. Das primäre Ziel ist nicht die sofortige Sabotage, sondern die langfristige Positionierung innerhalb sensibler Infrastrukturen. Staatlich gesteuerte Angreifergruppen – sogenannte Advanced Persistent Threats (APT) – verschaffen sich Zugang, bewegen sich schrittweise durch die Netze und verankern sich an kritischen Punkten. Der eigentliche Schaden wird bewusst auf unbestimmte Zeit verschoben.
Diese Strategie des „Prepositioning“ wurde in den letzten Jahren mehrfach beobachtet, unter anderem bei bekannten Gruppen wie Volt Typhoon oder Salt Typhoon. Auch das BSI weist darauf hin, dass entsprechende Aktivitäten in Deutschland nicht ausgeschlossen werden können. Dass solche Angriffe selten öffentlich werden, liegt in ihrer Natur: Solange nichts ausfällt, bleibt die Kompromittierung oft unentdeckt.
Warum fehlende Schlagzeilen kein Sicherheitsindikator sind
Die geringe Zahl bekannter OT-Vorfälle ist daher kein Zeichen für Sicherheit, sondern Ausdruck einer anderen Angriffslogik. Während IT-Angriffe schnell auffallen und öffentlich eskalieren, bleiben OT-Angriffe häufig unter dem Radar – manchmal über Jahre hinweg. Unternehmen sollten daraus nicht den Schluss ziehen, ihre Produktions- oder Leitsysteme seien „schon sicher genug“.
Drei zentrale Hebel für mehr OT-Sicherheit
Für IT-Leiter, CIOs und Geschäftsführer bedeutet das: OT-Sicherheit muss integraler Bestandteil der gesamten Cyberstrategie sein – gerade auch ohne akute Vorfälle. Drei Maßnahmenpakete sind dabei besonders wirkungsvoll:
1. Zugänge zur OT konsequent absichern
OT-Systeme dürfen nicht direkt aus dem Internet erreichbar sein. Fernzugriffe von OEMs und Dienstleistern müssen streng kontrolliert, überwacht und auf das notwendige Minimum reduziert werden. Eine klare Trennung von IT und OT durch Firewalls, DMZs oder Datendioden ist ebenso essenziell wie das Abschalten von Standardpasswörtern und veralteten Authentifizierungsverfahren.
2. Seitliche Bewegungen im OT-Netz erschweren
Eine feingranulare Segmentierung nach Kritikalität und Vertrauensniveau reduziert die Ausbreitungsmöglichkeiten von Angreifern erheblich. Nicht benötigte Dienste, Ports und Protokolle – insbesondere herstellerseitig aktivierte Broadcast-Funktionen – sollten konsequent deaktiviert werden.
3. Angriffe frühzeitig erkennen
Da OT-Angriffe selten laut sind, ist Sichtbarkeit entscheidend. Netzwerkbasierte Systeme zur Angriffserkennung (NIDS) ermöglichen ein passives Monitoring und erkennen verdächtige Kommunikationsmuster und Anomalien frühzeitig. Orientierung bieten dabei unter anderem die Empfehlungen und Richtlinien des BSI, insbesondere im Kontext des IT-Sicherheitsgesetzes 2.0.
Fazit
Dass man wenig von Cyberangriffen auf die OT hört, ist kein Grund zur Entwarnung – im Gegenteil. Die größte Gefahr liegt in der Unsichtbarkeit. Unternehmen, die ihre industrielle Infrastruktur heute nicht aktiv absichern und überwachen, laufen Gefahr, morgen Teil eines größeren strategischen Szenarios zu werden. OT-Sicherheit ist damit keine Frage der Panikmache, sondern der vorausschauenden Unternehmensführung.
Quelle: Rhebo
