OT-Security – Schutz für industrielle Systeme und Prozesse

Industrieanlagen vernetzen sich immer enger mit IT und Cloud – und geraten dadurch ins Visier von Cyberangriffen. OT-Security schützt industrielle Steuerungssysteme vor solchen Risiken und gewinnt durch die NIS-2-Richtlinie zur Cybersicherheit zusätzlich an Bedeutung.

In diesem Beitrag erfahren Sie, was OT-Security genau bedeutet, welche Bedrohungen Industrieanlagen aktuell ausgesetzt sind und welche Frameworks und Praktiken Ihnen helfen, Ihre Produktion zuverlässig zu schützen.

Das Wichtigste zu OT-Security in Kürze

  • OT-Security schützt industrielle Steuerungssysteme, Maschinen und Produktionsanlagen vor Cyberangriffen.
  • OT-Security unterscheidet sich grundlegend von klassischer IT-Security.
  • Frameworks wie IEC 62443 und das NIST Cybersecurity Framework liefern Ihnen ein erprobtes Gerüst für Risikomanagement, Netzwerksegmentierung und Reifegrad-Bewertung.
  • Anomalieerkennung und kontinuierliches Monitoring gelten als zentrale Bausteine moderner OT-Security.

Was ist OT-Security? Definition und Bedeutung

OT-Security umfasst alle technischen und organisatorischen Maßnahmen, die industrielle Steuerungssysteme vor Cyberbedrohungen schützen. Der Begriff Operational Technology (OT) beschreibt Hard- und Softwaresysteme, die physische Prozesse direkt überwachen und steuern. Dazu zählen Maschinen in Fabriken ebenso wie Turbinen in Kraftwerken, Pumpen in der Wasserversorgung und Förderbänder in Logistikzentren.
Anders als die klassische IT, in der Daten verarbeitet und gespeichert werden, hat OT direkten Einfluss auf die physische Welt. Ein Fehler kann eine Maschine beschädigen, eine Produktionslinie stoppen oder im Extremfall Menschen verletzen. Aus diesem Grund verlangt OT-Security einen eigenen Sicherheitsansatz.
Schutzziele in der OT
Die klassischen Schutzziele der IT-Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – gelten auch in der OT. Ihre Priorisierung dreht sich jedoch um – und ein viertes Schutzziel kommt hinzu. Während in der IT die Vertraulichkeit oft an erster Stelle steht, gilt in der OT folgende Reihenfolge:
  • Funktionale Sicherheit: Sie steht in der OT über allem und schützt Mensch und Umwelt. Ein manipuliertes Sicherheitssystem kann etwa Explosionen oder Brände und dadurch Verletzungen auslösen.
  • Verfügbarkeit: Industrieanlagen müssen rund um die Uhr laufen; denn ein ungeplanter Stillstand kann je nach Unternehmensgröße schnell sechs- bis siebenstellige Beträge pro Stunde kosten.
  • Integrität: Steuerungsbefehle und Sensordaten müssen unverfälscht bleiben. Falsche Werte können zu Fehlentscheidungen führen, die wiederum möglicherweise physische Schäden verursachen.
  • Vertraulichkeit: In der OT spielt sie eine geringere Rolle als in der IT, bleibt aber relevant – etwa für Rezepturen, Konstruktionsdaten oder personenbezogene Wartungsprotokolle.
Warum OT-Security an Bedeutung gewinnt
Lange galten Industrieanlagen als sicher, weil Unternehmen sie isoliert vom Internet betrieben. Diese Annahme trifft heute kaum noch zu. Industrie 4.0, das Industrial Internet of Things (IIoT) und Predictive Maintenance verbinden Maschinen mit Cloud-Plattformen und Lieferketten. Fernwartung, Remote-Engineering und cloudbasierte Analysen lösen den klassischen Air-Gap auf.
Hinzu kommt die regulatorische Dimension. Mit dem NIS-2-Umsetzungsgesetz und dem EU Cyber Resilience Act, dessen Pflichten ab Juni 2026 greifen, haben europäische Gesetzgeber den Druck erhöht. Geschäftsleitungen haften nun persönlich, wenn sie Sicherheitspflichten vernachlässigen.

OT, IT und ICS – die wichtigsten Begriffe im Überblick

Wer sich mit OT-Security beschäftigt, stößt schnell auf eine Vielzahl von Abkürzungen. Die folgenden Begriffe gehören zum Grundwortschatz und tauchen in relevanten Normen, Beratungen und Audits regelmäßig auf.
  • OT (Operational Technology): Hardware und Software, die physische Geräte und Prozesse steuert – wie Steuerungen für Förderanlagen, Kraftwerksturbinen oder Roboter in der Fertigung
  • IT (Information Technology): Systeme, die Daten verarbeiten, speichern und übertragen – etwa Office-Anwendungen, ERP-Systeme oder Mailserver
  • ICS (Industrial Control Systems): Sammelbegriff für alle Systeme, die industrielle Prozesse steuern und überwachen – umfasst SCADA, DCS und SPS
  • SCADA (Supervisory Control and Data Acquisition): Leitsysteme, die Daten aus weit verteilten Anlagen sammeln und Bedienenden eine zentrale Übersicht bieten – typisch in der Energie- und Wasserwirtschaft
  • SPS / PLC (Speicherprogrammierbare Steuerung / Programmable Logic Controller): kompakte Computer, die einzelne Maschinen oder Anlagenteile direkt steuern – reagieren in Millisekunden auf Sensorwerte
  • DCS (Distributed Control System): verteilte Steuerungssysteme, die in der Prozessindustrie wie Chemie, Pharma oder in Raffinerien zum Einsatz kommen
  • HMI (Human Machine Interface): Bedienoberfläche, über die Mitarbeitende mit Maschinen und Steuerungen kommunizieren
  • IIoT (Industrial Internet of Things): vernetzte Sensoren und Aktoren, die Daten in Echtzeit liefern und oft mit Cloud-Plattformen verbunden sind
Im folgenden Kapitel werfen wir einen Blick darauf, welchen Bedrohungen diese Systeme aktuell ausgesetzt sind.

Bedrohungslandschaft: Typische Angriffe auf OT-Netzwerke

Die Bedrohungslage für industrielle Netzwerke hat sich in den letzten Jahren deutlich verschärft. Es gibt diverse Gruppierungen, die gezielt OT-Umgebungen ins Visier nehmen. Industrieunternehmen erleben jährlich tausende Angriffe, die in der Regel zu Betriebsstörungen führen.
Dabei nutzen Angreifer:innen mal hochspezialisierte Schadsoftware, mal banale Phishing-Mails als Einfallstor. Häufig verschmelzen IT- und OT-Angriffe miteinander. Im Folgenden finden Sie die wichtigsten Bedrohungstypen.
Spezialisierte ICS-Malware
Eine kleine Gruppe von Schadprogrammen wurde gezielt für Industrieanlagen entwickelt. Sie gehören zum technologisch anspruchsvollsten Arsenal überhaupt. Die folgenden Beispiele zeigen, wie sich solche Werkzeuge entwickelt haben:
  • Stuxnet (2010) sabotierte iranische Urananreicherungsanlagen, indem es Siemens-Steuerungen manipulierte – gilt als erster digitaler Angriff mit physischen Folgen.
  • Industroyer/CrashOverride (2016) verursachte einen Stromausfall in Kiew, indem es OT-Protokolle missbrauchte.
  • Triton/TRISIS (2017) zielte auf Schneider Electrics Triconex-Sicherheitssysteme einer petrochemischen Anlage in Saudi-Arabien.
  • Pipedream/Incontroller (2022) ist ein modulares Toolkit, das gegen viele Industrien und Steuerungstypen wiederverwendbar ist.
Ransomware mit OT-Auswirkungen
Klassische Ransomware-Angriffe richten sich oft gegen die IT, schlagen aber regelmäßig auf die OT durch. Das prominenteste Beispiel ist der Angriff auf die Colonial Pipeline 2021, der die Treibstoffversorgung an der US-Ostküste tagelang unterbrach. Auch die Schadsoftware NotPetya legte 2017 weltweit Produktionen lahm, von Reedereien bis zu Pharmakonzernen.
Phishing und Social Engineering
Trotz aller technischen Möglichkeiten bleibt der Mensch ein häufiges Einfallstor für Schadsoftware. Phishing-Mails an Mitarbeitende aus Engineering und Anlagenwartung, gefälschte Anrufe vermeintlicher Servicetechniker:innen oder gehackte Fernzugänge externer Dienstleister öffnen Tür und Tor. Sind die Angreifer:innen einmal in der IT, suchen sie aktiv den Weg in die OT. Supply-Chain-Angriffe
Industrieanlagen bestehen aus hunderten Komponenten unterschiedlicher Hersteller. Eine einzige verwundbare Software-Bibliothek im Treiber, in einer SPS-Firmware oder im HMI-System öffnet ein Schlupfloch. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zuletzt mehrfach vor Schwachstellen in weit verbreiteten Bibliotheken gewarnt, die in OT-Komponenten stecken.
Wechseldatenträger und Insider-Risiken
USB-Sticks und Servicetechniker-Notebooks bleiben ein klassisches Einfalsstor für Cyberangriffe. Stuxnet erreichte seine Ziele auf genau diesem Weg. In der Praxis nutzen Service-Mitarbeitende oft ein einziges Diagnose-Notebook für viele Kunden – und tragen damit Schadsoftware von Anlage zu Anlage. Hinzu kommen Insider-Risiken: Aktuelle oder ehemalige Mitarbeitende kennen die Anlage genau und wissen, wo Schwachstellen liegen. Aus Frust nach einer Kündigung, Rachegefühlen oder finanziellen Motiven können sie gezielt Schaden anrichten – etwa indem sie Steuerungen manipulieren, Zugangsdaten weitergeben oder Daten stehlen.
Schwachstellen in Legacy-Systemen
Viele Industrieanlagen laufen mit Steuerungen aus den 1990er- oder 2000er-Jahren. Diese Geräte kennen oft keine Authentifizierung, übertragen Daten unverschlüsselt und lassen sich nicht patchen. Ein Austausch ist teuer und mit langen Stillständen verbunden, weshalb solche Systeme jahrzehntelang im Einsatz bleiben.

OT-Security: Best Practices und Frameworks (IEC 62443, NIST CSF)

Frameworks helfen Ihnen, die komplexe Aufgabe OT-Security strukturiert anzugehen. Sie liefern erprobte Konzepte, einheitliche Begriffe und klare Bewertungsstufen, an denen Sie ablesen können, wie weit Sie bei der Umsetzung schon sind. Außerdem dienen sie als Nachweis gegenüber Auditoren und Versicherungen. Die beiden international wichtigsten Standards für OT-Security sind IEC 62443 und das Cybersecurity-Framework NIST.
IEC 6244: der internationale OT-Security-Standard
IEC 62443 ist der zentrale Standard für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme. Ursprünglich entwickelt vom ISA99-Komitee der International Society of Automation (ISA), hat ihn die International Electrotechnical Commission (IEC) anschließend als globalen Standard übernommen. Das Konzept ruht auf drei Säulen:
  • Zonen und Conduits: Mit diesem Konzept teilen Sie Ihre OT-Umgebung in logische Sicherheitsbereiche (Zonen) auf. Jede Zone besitzt klare Regeln, wer kommunizieren darf. Conduits sind die kontrollierten Verbindungswege zwischen Zonen.
  • Security Levels (SL 1 bis SL 4): Sie definieren das angestrebte Schutzniveau. SL 1 schützt vor zufälligen Verstößen, SL 4 gegen hochmotivierte staatliche Angreifer:innen mit umfangreichen Mitteln.
  • Lifecycle-Ansatz: IEC 62443 betrachtet Sicherheit über den gesamten Lebenszyklus – von der Planung über die Inbetriebnahme bis zur Stilllegung.
Für Hersteller, Integratoren und Betreiber gibt es jeweils eigene Anforderungen. Damit verteilt der Standard die Verantwortung auf alle Beteiligten der Wertschöpfungskette. Im Kontext von NIS-2 gilt IEC 62443 in vielen Branchen als anerkannter „Stand der Technik“.
NIST Cybersecurity Framework (NIST CSF)
Das NIST CSF stammt vom US-amerikanischen National Institute of Standards and Technology (NIST) und ist branchenübergreifend einsetzbar. Seit der Version 2.0 vom Februar 2024 strukturiert es Cybersicherheit in sechs Funktionen, die jedes Unternehmen abdecken sollte:
  • Govern: Strategie, Verantwortlichkeiten und Risikomanagement auf Führungsebene verankern – passt direkt zur neuen Geschäftsleitungshaftung unter NIS-2
  • Identify: Anlagen, Prozesse und Risiken erfassen
  • Protect: Schutzmaßnahmen wie Zugriffskontrolle und Schulungen umsetzen
  • Detect: Anomalien und Vorfälle frühzeitig erkennen
  • Respond: auf Vorfälle koordiniert reagieren
  • Recover: den Normalbetrieb wiederherstellen und aus Vorfällen lernen
Das ergänzende Dokument „NIST Special Publication 800-82“ vertieft diese Logik speziell für ICS- und OT-Umgebungen. Viele Unternehmen kombinieren IEC 62443 mit dem NIST CSF: Letzteres liefert die Management-Sicht, ersteres die technischen Details.
Weitere relevante Standards
Neben den beiden großen Frameworks gibt es weitere relevante Vorgaben für die OT-Security. Sie ergänzen IEC 62443 und NIST CSF um regionale, gesetzliche und branchenspezifische Aspekte:
  • NIS-2: EU-Richtlinie, seit Dezember 2025 in deutsches Recht überführt – verpflichtet Unternehmen zu Risikomanagement, Meldepflichten und Geschäftsleitungshaftung
  • EU Cyber Resilience Act (CRA): stellt ab Juni 2026 Anforderungen an die Cybersicherheit digitaler Produkte – auch an Komponenten von Industrieanlagen
  • BSI-IT-Grundschutz, Baustein IND: konkrete BSI-Empfehlungen für Produktionsumgebungen
  • ISO/IEC 27019: erweitert die ISMS-Norm ISO 27001 um Anforderungen für die Energiewirtschaft
Defense-in-Depth: Praxisorientierte Schutzmaßnahmen
Alle genannten Frameworks empfehlen einen mehrstufigen Schutz nach dem Prinzip Defense-in-Depth. Die wichtigsten Bausteine sehen so aus:
  • Asset-Inventar: Sie können nur schützen, was Sie kennen. Ein vollständiges Verzeichnis aller OT-Komponenten ist deshalb der erste Schritt.
  • Netzwerksegmentierung: Trennen Sie OT von IT, Produktion vom Büro und kritische Zonen vom Rest. Das Purdue-Modell bietet dafür eine bewährte Referenzarchitektur, die in modernen IIoT-Umgebungen meist um Edge-Gateways und Cloud-Connectivity-Zonen ergänzt wird.
  • Patch- und Schwachstellenmanagement: Patchen Sie, wo möglich. Setzen Sie kompensierende Maßnahmen ein, wenn ein Hersteller keine Updates mehr liefern.
  • Identitäts- und Zugriffsmanagement: Vergeben Sie Rechte nach dem Prinzip der geringsten Berechtigung. Multi-Faktor-Authentifizierung gilt 2026 als Pflicht für Remote-Zugänge und Engineering-Workstations.
  • Zero Trust: Auch innerhalb der OT prüft jedes Gerät jede Verbindung. Implizites Vertrauen entfällt.
  • Schulung und Awareness: Mitarbeitende müssen Phishing erkennen und Sicherheitsvorfälle melden. Das gilt für IT-Teams ebenso wie für Anlagenfahrer:innen.
  • Software Bill of Materials (SBOM): Dokumentieren Sie alle Komponenten Ihrer Software. SBOMs werden 2026 zum Standard und beschleunigen Ihr Vulnerability Management, weil Sie Ihren Bestand automatisch mit CVE-Datenbanken abgleichen können.
Mit diesem Fundament lassen sich auch komplexe Industrieanlagen wirksam absichern. Ein zentraler Baustein bleibt jedoch oft unterschätzt: die kontinuierliche Überwachung. Darum geht es im nächsten Kapitel.

OT Security Monitoring und Anomalieerkennung in der Praxis

Klassisches IoT-Monitoring greift in der OT zu kurz. Viele OT-Protokolle wie Modbus, Profinet oder DNP3 verwenden keine Standardsignaturen, die ein typisches Antivirenprogramm erkennt. Außerdem dürfen Scanner Steuerungen nicht aktiv abfragen, weil die Geräte sonst abstürzen können. OT-Monitoring braucht deshalb eigene Werkzeuge und Ansätze.
Passive Erfahrung statt aktiver Scans
In der OT setzen Unternehmen auf passive Network Detection. Eine Sonde lauscht am Netzwerk-Switch, analysiert den Datenverkehr und erstellt ein Asset-Inventar – ganz ohne aktive Anfragen an die Steuerungen. Diese Methode ist betriebssicher und liefert trotzdem ein vollständiges Bild der Anlage.
Anomalieerkennung als Schlüssel
Weil signaturbasierte Erkennung in der OT oft versagt, dominiert die Anomalieerkennung. Das System lernt das normale Kommunikationsverhalten der Anlage über mehrere Wochen kennen. Sobald ein Gerät plötzlich ungewöhnliche Befehle sendet oder eine fremde IP-Adresse auftaucht, schlägt das Monitoring Alarm.
Moderne Lösungen nutzen dafür Machine Learning. Sie erkennen subtile Abweichungen, die ein Mensch übersehen würde. Das BSI empfiehlt OT-Angriffserkennungssysteme, oft als OT-NIDS bezeichnet, in seinen Vorgaben für Betreiber kritischer Infrastrukturen (KRITIS) ausdrücklich.
Integration in das Security Operations Center
Ein OT-Monitoring entfaltet erst seinen vollen Nutzen, wenn es in ein zentrales Security Operations Center (SOC) eingebunden ist. Dort laufen Alarme aus IT und OT zusammen. Analyst:innen können einen Angriff verfolgen, der sich über die Bürowelt in die Produktion ausbreitet. Folgende Werkzeuge spielen im SOC eine Rolle:
  • SIEM-Systeme (SIEM: Security Information and Event Management): sammeln und korrelieren Logdaten aus IT und OT
  • SOAR-Plattformen (SOAR: Security Orchestration, Automation and Response): automatisieren Reaktionen auf Vorfälle
  • OT-spezifische NDR-Lösungen (NDR: Network Detection and Response): liefern tiefe Einblicke in industrielle Protokolle
  • Threat-Intelligence-Feeds: informieren über aktuelle Bedrohungen für Ihre Branche
Was gutes OT-Monitoring leisten muss
Bei der Auswahl einer Monitoring-Lösung sollten Sie auf einige Schlüsselfunktionen achten. Die folgende Liste hilft Ihnen dabei, Anbieter zu vergleichen. Ein gutes Portfolio beinhaltet etwa:
  • Vollständiges Asset-Inventar in Echtzeit
  • Unterstützung gängiger OT-Protokolle (Modbus, OPC UA, Profinet, IEC-104, DNP3 und mehr)
  • Erkennung von Anomalien sowohl auf Netzwerk- als auch auf Verhaltensebene
  • Klare, priorisierte Alarme mit Bezug zu MITRE ATT&CK for ICS
  • Nahtlose Anbindung an SIEM, SOAR und bestehende Ticketsysteme
  • Nachvollziehbare Forensik-Funktionen für Audits und Vorfallsuntersuchungen
Mit einem solchen Setup erfüllen Sie nicht nur technische Anforderungen, sondern auch die gestaffelten Meldepflichten aus dem NIS2-Umsetzungsgesetz. Eine erste Frühwarnung müssen Sie binnen 24 Stunden ans BSI senden, eine detaillierte Vorfallsmeldung folgt nach 72 Stunden, ein abschließender Bericht nach einem Monat. Ohne aussagekräftiges Monitoring ist das kaum zu leisten.

Unser Fazit: OT-Security als Fundament der vernetzten Industrie

OT-Security ist 2026 keine Kür mehr, sondern Pflicht. Industrieanlagen verschmelzen mit IT-Systemen, Cloud-Plattformen und Lieferketten. Damit wachsen die Angriffsflächen – und gleichzeitig steigen die regulatorischen Anforderungen durch NIS-2 und den EU Cyber Resilience Act.
Die zentralen Hebel sind klar: Sie schaffen ein vollständiges Asset-Inventar, segmentieren Ihre Netzwerke nach IEC 62443, setzen Defense-in-Depth-Maßnahmen um und überwachen Ihre OT mit spezialisierten Tools zur Anomalieerkennung. Frameworks wie IEC 62443 und das NIST Cybersecurity Framework liefern dafür ein erprobtes Gerüst.
Wenn Sie professionelle Hilfe bei der Vorsorge gegen Cyber-Angriffe wünschen, wenden Sie sich an die Expert:innen von Vodafone: Diese beraten Sie gerne umfassend zu IT-Sicherheitslösungen für Ihr Unternehmen.
Quelle:
https://www.vodafone.de/business/blog/ot-security-21151/