Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices
Cybersecurity 101/Cybersecurity/IT- vs. OT-Sicherheit

IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices

IT- und OT-Sicherheit betreffen zwei Bereiche mit unterschiedlichen Risikoprofilen, Compliance-Anforderungen und betrieblichen Prioritäten. Erfahren Sie zentrale Unterschiede und Best Practices.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist IT- und OT-Sicherheit?
Was ist IT/OT-Konvergenz?
Kernkomponenten von IT- und OT-Sicherheit
IT-Sicherheitskomponenten
OT-Sicherheitskomponenten
IT- vs. OT-Sicherheitsbetrieb
IT-Sicherheitsbetrieb
OT-Sicherheitsbetrieb
Zentrale Unterschiede zwischen IT- und OT-Sicherheit
Die Prioritätsumkehr
Die Lebenszykluslücke
OT-Sicherheits-Compliance und regulatorische Anforderungen
Warum traditionelle IT-Kontrollen in OT-Umgebungen scheitern
Herausforderungen bei Sichtbarkeit und Angriffsfläche
Die Sichtbarkeitslücke
Die wachsende Angriffsfläche
IT/OT-Angriffe aus der Praxis
Best Practices für IT- und OT-Sicherheit
1. Integrierte Governance-Frameworks einführen
2. Netzwerksegmentierung an der IT/OT-Grenze durchsetzen
3. Vollständige OT-Asset-Sichtbarkeit aufbauen
4. Verhaltensanomalie-Analyse für Industrieprotokolle einsetzen
5. OT-spezifische Incident-Response-Playbooks erstellen
6. IT- und OT-Sicherheitsteams vereinen
Wichtige Erkenntnisse

Verwandte Artikel

  • Was sind Air Gapped Backups? Beispiele & Best Practices
  • Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices
  • Was ist ein Golden Ticket Angriff?
  • Digital Rights Management: Ein praxisorientierter Leitfaden für CISOs
Autor: SentinelOne
Aktualisiert: April 22, 2026

Was ist IT- und OT-Sicherheit?

IT- und OT-Sicherheit schützen zwei unterschiedliche Bereiche, die Angreifer heute als eine einzige Angriffsfläche ausnutzen. Das Ausmaß des Problems ist dokumentiert: Der  Internet Crime Report 2024 des FBI verzeichnete mehr als 4.800 Meldungen von kritischen Infrastruktureinrichtungen, die von Cyberangriffen betroffen waren, wobei Ransomware – die größte Bedrohung für diese Sektoren – im Jahresvergleich um 9 % zunahm. IT- und OT-Sicherheit reduzieren dieses Risiko, indem sie Geschäftssysteme von industriellen Prozessen trennen und dabei helfen, IT-Kompromittierungen zu stoppen, bevor sie zu physischen Störungen führen.

IT-Sicherheit schützt die Systeme, die Sie zur Verarbeitung, Speicherung und Übertragung von Geschäftsinformationen nutzen. Server, Laptops, Cloud-Plattformen und Unternehmensanwendungen fallen alle in diesen Bereich. Das Prioritätsmodell folgt der klassischen CIA-Triade: Vertraulichkeit zuerst, dann Integrität, dann Verfügbarkeit. Wenn ein Server einen Notfall-Patch benötigt, nehmen Sie ihn offline, spielen das Update ein und bringen ihn wieder in Betrieb.

OT-Sicherheit schützt Systeme, die direkt mit der physischen Welt interagieren. SCADA-Systeme zur Überwachung eines Stromnetzes, SPS zur Steuerung eines chemischen Prozesses und HMIs zur Bedienung einer Wasseraufbereitungsanlage sind OT-Assets. Der  NIST OT Security Guide definiert OT als „eine breite Palette programmierbarer Systeme und Geräte, die mit der physischen Umgebung interagieren“. Das Prioritätsmodell kehrt sich um zu AIC: Verfügbarkeit zuerst, dann Integrität, dann Vertraulichkeit. Sie können einen laufenden Reaktor nicht für einen Patch-Zyklus am Dienstag offline nehmen.

Der entscheidende Unterschied liegt in den Konsequenzen. Ein IT-Vorfall kostet Daten und Geld. Ein OT-Vorfall kann Menschenleben kosten. Deshalb ist es für jeden Verteidiger in modernen cyber-physischen Umgebungen wichtig zu verstehen, wie sich diese Bereiche unterscheiden und wie sie heute miteinander verbunden sind. Der Ausgangspunkt für dieses Verständnis ist die Konvergenz: der Prozess, der diese beiden Bereiche untrennbar gemacht hat.

Was ist IT/OT-Konvergenz?

IT/OT-Konvergenz bezeichnet den Abbau der historischen Trennung zwischen Unternehmens-IT-Systemen und industriellen OT-Systemen. Über weite Teile des 20. Jahrhunderts arbeiteten OT-Umgebungen isoliert, physisch vom Firmennetzwerk getrennt, mit proprietären Protokollen, die kein Unternehmenswerkzeug erreichen konnte, und wurden von Anlageningenieuren statt von IT-Sicherheitsteams verwaltet. Diese Isolation war beabsichtigt – und lange Zeit auch wirksam.

Drei Kräfte haben dieses Modell aufgelöst:

  • Industrial Internet of Things (IIoT): Sensoren, Steuerungen und Feldgeräte wurden mit Unternehmensnetzwerken und Cloud-Plattformen verbunden, um Fernüberwachung und operative Effizienz zu ermöglichen – OT-Assets wurden erstmals online gebracht.
  • Industrie 4.0: Moderne Fertigungsprinzipien forderten die Integration von Echtzeitdaten zwischen Produktionssystemen und Business-Intelligence-Tools, wodurch direkte Datenpfade über ehemals harte Grenzen hinweg entstanden.
  • Ausweitung des Fernzugriffs: Unternehmensweite VPN- und Cloud-Konnektivität erstreckten sich auf Anlagenumgebungen, die zuvor physische Anwesenheit erforderten – oft getrieben durch Anforderungen von Anbietern und pandemiebedingte Veränderungen der Belegschaft.

Jede dieser Kräfte erhöhte die OT-Exponierung unabhängig voneinander. Zusammen beseitigten sie die Air-Gap-Annahme, auf die sich die industrielle Sicherheit jahrzehntelang verlassen hatte.

Das Ergebnis: Die Air Gap existiert weitgehend nicht mehr. Engineering-Arbeitsplätze sind mit Unternehmensdomänen verbunden, SCADA-Systeme senden Telemetrie an Cloud-Analyseplattformen, und Fernzugriffswege von Anbietern überschreiten täglich die IT/OT-Grenze. Die  CISA-Analyse zur IT/OT-Konvergenz dokumentiert, wie diese Ausweitung der Konnektivität OT-Umgebungen direkt vom Firmennetzwerk – und damit auch vom Internet – erreichbar gemacht hat.

Für Sicherheitsteams bedeutet Konvergenz, dass Ihr SOC jetzt Einblick in Umgebungen mit Modbus, DNP3 und industriellen Protokollen benötigt, die Ihr SIEM nie analysiert hat, und Geräte verwalten muss, die seit 20 Jahren ohne Sicherheitspatch im Einsatz sind. Die Herausforderung ist nicht nur technischer Natur. Sie erfordert gemeinsame Governance, abgestimmte Incident Response und eine einheitliche Sichtbarkeitsstrategie über zwei Bereiche mit unterschiedlichen Betriebsprioritäten hinweg. Um die Sicherheitsimplikationen der Konvergenz zu verstehen, hilft es, zunächst zu wissen, woraus jeder Bereich tatsächlich besteht.

Kernkomponenten von IT- und OT-Sicherheit

Die beiden Bereiche schützen grundsätzlich unterschiedliche Assets, laufen auf unterschiedlichen Protokollen und basieren auf unterschiedlichen betrieblichen Annahmen. Das Verständnis dieser Assets, was sie sind und warum sie so gebaut wurden, macht die Sicherheitsunterschiede zwischen IT und OT nachvollziehbar statt willkürlich.

IT-Sicherheitskomponenten

Ihr IT-Sicherheits-Stack schützt Unternehmensinformationssysteme auf mehreren Ebenen:

  • Endpoints: Server, Workstations, Laptops und mobile Geräte
  • Unternehmensnetzwerke: Unternehmens-LANs, WANs und Netzwerkinfrastruktur zur Unterstützung von Geschäftsprozessen
  • Cloud-Plattformen: IaaS, SaaS und Kontrollen auf Anwendungsebene
  • Identität und Zugriff: Authentifizierung, Autorisierung und Berechtigungsverwaltung

Diese Ebenen tragen den Großteil Ihrer Geschäftsdaten und Benutzeraktivitäten. Security-Operations-Plattformen verbinden sie über SIEM, EDR/XDR und Incident-Response-Workflows.

OT-Sicherheitskomponenten

OT-Sicherheit schützt industrielle Steuerungssysteme und deren unterstützende Infrastruktur. Der  NIST OT Security Guide kategorisiert die wichtigsten Komponenten:

  • SCADA-Systeme: Überwachende Steuerung und Kontrolle über verteilte Infrastrukturen wie Stromnetze, Pipelines und Wassersysteme
  • Verteilte Steuerungssysteme: Steuerungselemente, die in Produktionsanlagen verteilt sind, typisch für die kontinuierliche Prozessfertigung
  • Speicherprogrammierbare Steuerungen: Zweckgebundene Steuerungen für diskrete Prozesse wie Fertigungsstraßen
  • Human-Machine-Interfaces: Bedienoberflächen zur Überwachung und Steuerung industrieller Prozesse

Sicherheitsgerichtete Systeme fügen eine eigene Ebene für Schutzabschaltungen hinzu, wenn Prozessvariablen sichere Grenzwerte überschreiten. Industrielle Protokolle wie Modbus, DNP3, PROFINET, EtherNet/IP und OPC UA sind auf Zuverlässigkeit und Echtzeit-Performance ausgelegt, nicht auf Sicherheit.

Diese Komponenten arbeiten innerhalb der Purdue Enterprise Reference Architecture, dem Industriestandard-Modell, das OT-Umgebungen in hierarchische Ebenen von Feldgeräten bis zu externen Systemen gliedert. Ebene 3.5, die DMZ an der IT/OT-Grenze, ist der Bereich, in dem die meisten Sicherheitskontrollen konzentriert sind. Der  NIST-Leitfaden zur Netzwerksegmentierung empfiehlt, direkte Kommunikation von Level-4-Geräten zu niedrigeren Betriebsebenen zu verhindern. Diese architektonischen Unterschiede sind nicht nur strukturell; sie bestimmen, wie Sicherheitsteams in jeder Umgebung realistisch auf Bedrohungen reagieren können.

IT- vs. OT-Sicherheitsbetrieb

Die gleiche Bedrohung – ein kompromittiertes Anmeldekennwort, ein bösartiges Gerät oder eine ungewöhnliche Netzwerkverbindung – erfordert eine völlig andere Reaktion, je nachdem, ob sie in einer IT- oder OT-Umgebung auftritt. Die betrieblichen Zwänge jedes Bereichs prägen jede Entscheidung, die ein Sicherheitsteam treffen kann.

IT-Sicherheitsbetrieb

IT-Sicherheit arbeitet in einem schnellen Reaktionszyklus. Ihr SOC sammelt Telemetrie von Endpunkten, Netzwerkgeräten, Cloud-Workloads und Identitätssystemen auf einer zentralen Plattform. Verhaltensbasierte KI und Korrelations-Engines analysieren diese Daten in Echtzeit, erkennen Anomalien anhand bekannter Angriffsmuster und Verhaltensgrundlagen. Wird eine Bedrohung erkannt, können Sie  den Endpunkt isolieren, den Prozess beenden, einen Passwort-Reset erzwingen oder einen Notfall-Patch in Sekunden ausrollen, da die Auswirkungen auf das Geschäft begrenzt sind.

OT-Sicherheitsbetrieb

OT-Sicherheit unterliegt anderen Zwängen. Auf den meisten SPS oder RTUs können keine Agenten installiert werden, da die Rechenressourcen fehlen. Aktive Schwachstellenscans sind nicht möglich, da – wie der  NIST OT Security Guide warnt – „indiskriminierte Anwendung von IT-Sicherheitspraktiken in OT Verfügbarkeits- und Timing-Störungen verursachen kann“. Ein Netzwerkscan, der im Unternehmens-LAN Routine ist, kann eine ressourcenbeschränkte SPS zum Absturz bringen oder in den Fail-Safe-Modus versetzen.

OT-Monitoring basiert auf passiver Netzwerkanalyse, Deep Packet Inspection industrieller Protokolle und Verhaltensanomalie-Erkennung auf Netzwerkebene. Sie erstellen Baselines für normale Kommunikationsmuster zwischen Steuerungen, Sensoren und HMIs und markieren Abweichungen. Das Reaktionsmodell priorisiert Prozessstabilität: Einen laufenden Chemie-Reaktor isolieren Sie nicht wie einen Laptop. Reaktionsentscheidungen erfordern andere Verfahren und Entscheidungsrechte und müssen Prozesssicherheit neben Cyberrisiko berücksichtigen. Diese betrieblichen Unterschiede sind der praktische Ausdruck tiefer liegender architektonischer, lebenszyklusbezogener und prioritätsmodellbezogener Divergenzen, die die beiden Bereiche trennen.

Zentrale Unterschiede zwischen IT- und OT-Sicherheit

Sieben entscheidende Dimensionen trennen diese Bereiche:

DimensionIT-SicherheitOT-Sicherheit
PrioritätsmodellCIA (Vertraulichkeit zuerst)AIC (Verfügbarkeit zuerst)
SystemlebenszyklenKurzfristige ErneuerungszyklenLanglebige Systeme, oft ungepatcht
PatchingKontinuierlich, oft automatisiertNur geplante Wartungsfenster
ProtokolleStandard (HTTP, SMB, TLS)Industriell (Modbus, DNP3, PROFINET)
Agent-UnterstützungVollständige Endpoint-Agent-BereitstellungAgentenlose Überwachung für die meisten Geräte
Incident ResponseAggressive Isolierung und EindämmungProzessstabilität und Sicherheit zuerst
AusfallkonsequenzDatenverlust, GeschäftsunterbrechungKörperlicher Schaden, Umweltschäden, Verlust von Menschenleben

Zwei dieser Dimensionen – das Prioritätsmodell und die Lebenszykluslücke – haben das größte operative Gewicht. Sie sind die Hauptursache für die meisten Reibungen, die Sicherheitsteams erleben, wenn sie versuchen, Unternehmenswerkzeuge und -prozesse auf industrielle Umgebungen anzuwenden.

Die Prioritätsumkehr

Für OT-Umgebungen betont der  CISA IT/OT-Konvergenzbericht Verfügbarkeit sowie sichere und zuverlässige Prozesssteuerung. Multi-Faktor-Authentifizierung, die Notfallzugriffe verzögert, Verschlüsselung, die Latenz verursacht, oder Sicherheitskontrollen, die Neustarts erfordern, stehen direkt im Widerspruch zu OTs Anforderung an sofortige Verfügbarkeit.

Die Lebenszykluslücke

OT-Systeme bleiben typischerweise deutlich länger im Einsatz als Unternehmens-IT-Assets und können oft nicht nach normalen IT-Zeitplänen gepatcht werden. Das führt zu einer dauerhaften Exponierung, die durch Segmentierung, Monitoring, kompensierende Kontrollen und technische Überprüfung gemanagt wird – nicht allein durch Routine-Patching.

Diese Unterschiede erklären, warum die direkte Anwendung von IT-Kontrollen auf OT-Umgebungen Risiken schafft und warum die Compliance-Rahmenwerke, die jeden Bereich regeln, ebenfalls grundlegend verschieden sind.

OT-Sicherheits-Compliance und regulatorische Anforderungen

OT-Sicherheit ist nicht nur eine Best-Practice-Entscheidung; für viele Branchen ist sie gesetzlich vorgeschrieben. Die regulatorische Landschaft hat sich seit prominenten Vorfällen, die die nationale Sicherheitsrelevanz industrieller Cyberangriffe zeigten, erheblich erweitert.

  • NERC CIP (North American Electric Reliability Corporation Critical Infrastructure Protection): Verpflichtend für Betreiber von Stromnetzen in Nordamerika. NERC CIP-Standards verlangen von Versorgern die Umsetzung spezifischer Kontrollen für elektronischen Zugriff, physische Sicherheit, Incident Reporting und Supply Chain Risk Management. Nichtbeachtung kann mit bis zu 1 Million US-Dollar pro Verstoß und Tag geahndet werden.
  • TSA Pipeline- und Eisenbahn-Sicherheitsrichtlinien: Nach dem Colonial-Pipeline-Angriff erließ die TSA Cybersecurity-Richtlinien, die sich mittlerweile in der dritten Iteration befinden. Diese schreiben Incident Reporting an CISA, einen benannten Cybersecurity-Koordinator sowie spezifische Zugriffs- und Segmentierungsanforderungen für Pipeline- und Eisenbahnbetreiber vor.
  • NIST SP 800-82: Die wichtigste technische Referenz der US-Regierung für ICS- und OT-Sicherheit. Nicht für alle privaten Organisationen gesetzlich verpflichtend, aber der Standard, auf den sich CISA in eigenen Leitlinien bezieht und der faktisch für Organisationen mit Bundesaufträgen oder in regulierten kritischen Infrastrukturen erforderlich ist.
  • NIS2-Richtlinie (EU): Die Network and Information Security 2-Richtlinie hat im Oktober 2024 verpflichtende Cybersecurity-Anforderungen auf Betreiber in der gesamten EU ausgeweitet – darunter Energie, Wasser, Fertigung und Transport. Organisationen müssen Risikomanagementmaßnahmen umsetzen, erhebliche Vorfälle innerhalb von 24 Stunden melden und die Sicherheit der Lieferkette gewährleisten.

Die meisten regulierten Organisationen nutzen  IEC 62443 als grundlegenden OT-Standard und ordnen dessen Kontrollen NERC CIP-, NIST 800-82- oder NIS2-Anforderungen je nach Sektor und Region zu. Compliance-Rahmenwerke geben vor, was erreicht werden muss; zu verstehen, warum bestehende IT-Tools dies in OT nicht leisten können, ist ebenso wichtig.

Warum traditionelle IT-Kontrollen in OT-Umgebungen scheitern

Standard-IT-Sicherheitswerkzeuge wurden für Unternehmensumgebungen entwickelt. In OT scheitert jede Werkzeugkategorie auf eine spezifische, dokumentierte Weise.

  • Endpoint-Agents: IT-Endpoint-Agents können in technische Systeme eingreifen, legitimes Steuerungsverhalten als bösartig einstufen und Instabilität in Systemen verursachen, die nie für moderne Sicherheitssoftware ausgelegt waren.
  • Protokollblindheit: IT-Sicherheitswerkzeuge analysieren Standardprotokolle wie HTTP, HTTPS und SMB. Sie können Modbus, DNP3, PROFINET oder proprietäre Industrieprotokolle nicht dekodieren. Das bedeutet, sie können keine unautorisierten technischen Änderungen erkennen, keine bösartigen OT-spezifischen Befehle finden oder zwischen einer legitimen Sollwertänderung und einem Angreifer, der einen chemischen Prozess manipuliert, unterscheiden.
  • Quarantänerisiken: Unternehmens-Playbooks verlangen die sofortige Isolierung kompromittierter Systeme. In OT kann die Isolierung einer Steuerung, die eine Turbine, ein Pipeline-Ventil oder eine Chemiecharge steuert, zu physischen Kettenreaktionen führen. Die Reaktionsentscheidung muss die Prozesssicherheit berücksichtigen.
  • Patch-Inkompatibilität: Der  CISA OT Patching Guide erklärt, dass OT-Patching nicht den traditionellen IT-Patching-Prozessen, -Zeitplänen oder -Methoden folgt. Es erfordert eine ingenieurtechnische Analyse und enge Abstimmung mit Betriebsteams, um Sicherheit und Kontinuität zu priorisieren.

Das Verständnis, wo IT-Tools an ihre Grenzen stoßen, ist die Grundlage für ein Sicherheitsmodell, das in beiden Bereichen funktioniert. Doch Werkzeuggrenzen sind nur ein Teil des Bildes. Konvergierte Umgebungen bringen auch strukturelle Herausforderungen mit sich, die kein einzelnes Produkt allein lösen kann.

Herausforderungen bei Sichtbarkeit und Angriffsfläche

Zwei strukturelle Probleme machen konvergierte IT/OT-Umgebungen durchgängig schwerer zu schützen als jeden Bereich für sich: Sie sehen oft nicht, was Sie schützen sollen, und der zu verteidigende Perimeter wächst ständig.

Die Sichtbarkeitslücke

Viele Organisationen haben immer noch keine vollständige Sichtbarkeit über ihren OT-Bestand, insbesondere auf Steuerungs- und Feldebene, wo das operationelle Risiko am höchsten ist. Das erschwert es, unautorisierte Änderungen, Asset-Drift oder Angreiferbewegungen zu erkennen, bevor physische Konsequenzen entstehen.

Die wachsende Angriffsfläche

Wenn Industrieunternehmen Anlagen mit Cloud-Services, Fernzugriffsplattformen, Lieferanten und Unternehmenssystemen verbinden, erweitert sich die Angriffsfläche weit über den traditionellen Anlagenperimeter hinaus. Die Annahme der OT-Isolation gilt in modernen Umgebungen nicht mehr. Jeder neue Verbindungspunkt ist ein potenzieller Einstiegspfad von IT nach OT, und die Vorfälle, die die heutige regulatorische und sicherheitstechnische Landschaft geprägt haben, zeigen, dass Angreifer genau das ausnutzen.

IT/OT-Angriffe aus der Praxis

Die theoretischen Risiken der IT/OT-Konvergenz haben sich in dokumentierten Vorfällen in Energie, Fertigung und Wasserinfrastruktur realisiert. Jeder der folgenden Fälle begann mit einem bekannten IT-Angriffsvektor und eskalierte zu Betriebsstörungen oder physischen Gefahren – und zeigt, dass die IT/OT-Grenze keine Sicherheitskontrolle ist, sondern ein Ziel.

  1. Colonial Pipeline, 2021: Colonial Pipeline gab bekannt, dass ein Ransomware-Angriff das Unternehmen dazu veranlasste,  den Pipeline-Betrieb proaktiv herunterzufahren. Der Ausfall beeinträchtigte die Kraftstoffversorgung an der US-Ostküste mehrere Tage lang, und das Unternehmen zahlte später rund 4,4 Millionen US-Dollar Lösegeld.
  2. Triton in saudischer Petrochemieanlage, 2017: Das US-Justizministerium  klagte einen russischen Regierungsforscher im Zusammenhang mit Triton-Malware an, die auf das sicherheitsgerichtete System einer Petrochemieanlage abzielte. Das DOJ erklärte, die Malware sei entwickelt worden, um Notabschaltungen auszulösen und durch Manipulation der SIS-Logik physische Schäden zu verursachen.
  3. Oldsmar-Wasserwerk, 2021: In Florida verschaffte sich ein Eindringling Zugang zur Wasseraufbereitungsanlage der Stadt Oldsmar und  versuchte, den Natriumhydroxidgehalt von 100 auf 11.100 Teile pro Million zu erhöhen, wie offizielle Vorfallsdetails von lokalen Behörden und Bundesbehörden berichten.

Diese Vorfälle zeigen ein konsistentes Muster: Die Kompromittierung beginnt mit konventionellem IT-Zugang, aber die Auswirkungen werden betrieblich, physisch oder sicherheitsrelevant. Sie haben auch eine Gemeinsamkeit in den ausgenutzten Lücken: mangelnde Sichtbarkeit, unzureichende Segmentierung, fehlende OT-spezifische Incident Response und getrennte IT- und OT-Teams. Die folgenden Maßnahmen adressieren diese Lücken direkt.

Best Practices für IT- und OT-Sicherheit

Die gemeinsame Absicherung von IT- und OT-Umgebungen erfordert mehr als bessere Tools. Es braucht eine durchdachte Strategie, die die betrieblichen Zwänge von OT respektiert und gleichzeitig die Monitoring- und Reaktionsstärke der Unternehmenssicherheit nutzt. Diese sechs Maßnahmen bilden das Fundament dieser Strategie.

1. Integrierte Governance-Frameworks einführen

Nutzen Sie  IEC 62443 als grundlegenden OT-Sicherheitsstandard und ordnen Sie ihn NIST CSF 2.0 und ISO 27001 zu, wobei Sie den  CISA IT/OT-Konvergenzbericht nutzen, um die Governance über Unternehmens- und Industrieumgebungen hinweg abzustimmen.

2. Netzwerksegmentierung an der IT/OT-Grenze durchsetzen

Implementieren Sie das ISA/IEC 62443-Zonen-und-Conduits-Modell, um laterale Bewegungen von IT in Produktionsumgebungen zu reduzieren. Folgen Sie dem  NIST-Leitfaden zur Netzwerksegmentierung, um Firewall-Regeln zu implementieren, die verhindern, dass Level-4-Geräte direkt mit Betriebsmitteln kommunizieren. Wenden Sie  Zero-Trust-Prinzipien auf die Purdue-Level-3.5-DMZ an und behandeln Sie das IT-Netzwerk als unzuverlässige Zone gegenüber OT.

3. Vollständige OT-Asset-Sichtbarkeit aufbauen

Sie können nur schützen, was Sie sehen. Inventarisieren Sie jede SPS, jeden SCADA-Server, jedes HMI, Gateway und IoT-Gerät. Nutzen Sie agentenlose Erkennung für ressourcenbeschränkte OT-Geräte, ergänzt durch agentenbasierte Abdeckung auf Engineering-Arbeitsplätzen und OT-Servern, die dies unterstützen. Besserer Asset-Kontext stärkt die ICS-Sicherheit und verbessert  Netzwerksegmentierungs-Entscheidungen.

4. Verhaltensanomalie-Analyse für Industrieprotokolle einsetzen

Gehen Sie über signaturbasierte Tools hinaus. Effektives OT-Monitoring erfordert tiefe Protokollanalyse industrieller Protokolle wie Modbus, DNP3 und OPC UA, um ungewöhnliche Befehlsmuster, unautorisierte Geräteinteraktionen und Protokollmanipulationen zu erkennen. Integrieren Sie OT-Monitoring-Daten in Ihren SOC-Workflow, statt sie isoliert zu betreiben.

5. OT-spezifische Incident-Response-Playbooks erstellen

Ihr IT-Incident-Response-Playbook verursacht Schaden, wenn es direkt auf OT angewendet wird. Erstellen Sie separate Playbooks, die Produktionssicherheit und Kontinuität priorisieren, und führen Sie Tabletop-Übungen mit OT-Anbietern und Lieferanten durch, wie es  NIST IR 8576 empfiehlt. Starke Incident-Response-Planung ist ein Kernelement der ICS-Sicherheit.

6. IT- und OT-Sicherheitsteams vereinen

Beenden Sie den Betrieb von IT- und OT-Sicherheit als getrennte Inseln. Integrierte Cyber-Teams, die IT-Bedrohungsanalyse mit OT-Prozesswissen kombinieren, mit gemeinsamen Workflows und koordinierter Incident Response, sind unter Druck deutlich widerstandsfähiger.

Die Umsetzung dieser Best Practices im großen Maßstab erfordert eine Plattform, die für konvergierte Umgebungen entwickelt wurde.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

IT- und OT-Sicherheit verfolgen unterschiedliche Prioritäten: Datenschutz versus Betriebssicherheit. Die IT/OT-Konvergenz hat die Air Gap, die industrielle Umgebungen einst schützte, beseitigt und gemeinsame Angriffsflächen geschaffen, die eine einheitliche Governance erfordern. Standard-IT-Kontrollen scheitern in OT-Umgebungen, weil sie Industrieprotokolle nicht analysieren, lange Gerätelebenszyklen nicht überstehen oder das Gebot, physische Prozesse am Laufen zu halten, nicht respektieren. 

Die Absicherung konvergierter Umgebungen erfordert die Einhaltung branchenspezifischer Vorgaben wie NERC CIP und NIS2, integrierte Governance nach ISA/IEC 62443, strikte Netzwerksegmentierung an der IT/OT-Grenze, agentenlose OT-Sichtbarkeit, Verhaltensanomalie-Analyse und OT-spezifische Incident-Response-Playbooks.

FAQs

IT-Sicherheit schützt Informationssysteme: Server, Workstations, Cloud-Plattformen und Unternehmensnetzwerke, in denen Geschäftsdaten gespeichert sind. OT-Sicherheit schützt industrielle Steuerungssysteme, die mit physischen Prozessen interagieren, einschließlich SCADA-Systemen, SPS und HMIs in Umgebungen wie Stromnetzen, Wasseraufbereitungsanlagen und Fertigungsbetrieben. 

Die beiden Bereiche folgen unterschiedlichen Prioritätsmodellen: IT stellt Vertraulichkeit an erste Stelle, während OT die Verfügbarkeit priorisiert. Die gemeinsame Absicherung beider Bereiche wird zunehmend notwendig, da diese Umgebungen zusammenwachsen.

Die meisten OT-Geräte, wie SPS und RTUs, verwenden Echtzeitbetriebssysteme mit begrenzter CPU, Speicher und Speicherplatz. Sie können häufig keine modernen Sicherheitsagenten unterstützen, ohne Latenz oder Instabilität zu riskieren. Aus diesem Grund setzen OT-Teams stattdessen auf passives Monitoring, Netzwerk-Fingerprinting und selektive Abdeckung auf unterstützenden Systemen. 

Dieser Ansatz erhält die Prozessstabilität und verbessert dennoch die ICS-Sicherheit sowie die Gesamtsichtbarkeit.

Das Purdue-Modell organisiert industrielle Umgebungen in Schichten, von Feldgeräten bis hin zu Unternehmens- und externen Systemen. Sein praktischer Nutzen liegt in der Segmentierung. Es wird verwendet, um Vertrauensgrenzen zu definieren, insbesondere an der Level 3.5 DMZ zwischen IT und OT. 

Diese Struktur unterstützt die Netzwerksegmentierung, reduziert das Risiko der lateralen Bewegung und bietet einen klareren Rahmen zum Schutz der SCADA-Sicherheit in vernetzten Umgebungen.

ISO 27001 bietet einen umfassenden Rahmen für das Management der Informationssicherheit, legt jedoch keinen Fokus auf Sicherheit in der Produktion oder Zuverlässigkeit von Steuerungssystemen. ISA/IEC 62443 ist speziell für industrielle Cybersicherheit entwickelt und deckt Systemarchitektur, Komponentensicherheit und Lebenszykluspraktiken ab, die spezifisch für OT-Umgebungen sind. 

Die beiden Standards können miteinander abgeglichen werden, aber 62443 adressiert ICS-Sicherheitsanforderungen, die von ISO 27001 nie abgedeckt wurden.

Die größten Risiken sind erweiterte Konnektivität, eingeschränkte Sichtbarkeit auf Steuerungen und Feldgeräte sowie eine mangelhafte Koordination zwischen IT- und OT-Teams. Ein Vorfall, der in Enterprise-Tools unbedeutend erscheint, kann in OT-Umgebungen erhebliche betriebliche Folgen haben. 

Die Bewältigung dieser Risiken erfordert einen gemeinsamen Kontext beider Teams, eine starke Netzwerksegmentierung an der IT/OT-Grenze sowie OT-spezifische Incident-Response-Playbooks, um zu verhindern, dass ein routinemäßiger Kompromittierungsfall zu einer physischen Störung wird.

Ja, aber Sie müssen es sorgfältig anwenden. Zero Trust funktioniert am besten an Grenzpunkten wie Remote-Zugriffspfaden und der IT/OT-DMZ, wo Authentifizierung und Autorisierung durchgesetzt werden können, ohne den Steuerungsverkehr zu stören. 

Innerhalb von OT-Netzwerken passen Sie das Modell in der Regel durch Segmentierung, Richtlinienkontrollen und Überwachung an. So können Sie die SCADA-Sicherheit verbessern, ohne unsichere Latenzzeiten in kritische Prozesse einzubringen.

Erfahren Sie mehr über Cybersecurity

Was ist Remote Monitoring and Management (RMM) Security?Cybersecurity

Was ist Remote Monitoring and Management (RMM) Security?

Erfahren Sie, wie Bedrohungsakteure RMM-Tools für Ransomware-Angriffe ausnutzen, und entdecken Sie Erkennungsstrategien sowie bewährte Sicherheitspraktiken zum Schutz Ihrer Umgebung.

Mehr lesen
Address Resolution Protocol: Funktion, Typen & SicherheitCybersecurity

Address Resolution Protocol: Funktion, Typen & Sicherheit

Address Resolution Protocol übersetzt IP- in MAC-Adressen ohne Authentifizierung und ermöglicht so Spoofing-Angriffe. Erfahren Sie, wie SentinelOne ARP-basierte laterale Bewegungen erkennt und stoppt.

Mehr lesen
Was sind unveränderliche Backups? Autonomer Ransomware-SchutzCybersecurity

Was sind unveränderliche Backups? Autonomer Ransomware-Schutz

Unveränderliche Backups nutzen WORM-Technologie, um Wiederherstellungspunkte zu erstellen, die von Ransomware weder verschlüsselt noch gelöscht werden können. Erfahren Sie Best Practices für die Implementierung und häufige Fehler.

Mehr lesen
HUMINT in der Cybersicherheit für UnternehmenssicherheitsverantwortlicheCybersecurity

HUMINT in der Cybersicherheit für Unternehmenssicherheitsverantwortliche

HUMINT-Angriffe manipulieren Mitarbeitende dazu, Netzwerkzugang zu gewähren und umgehen so technische Kontrollen vollständig. Lernen Sie, sich gegen Social Engineering und Insider-Bedrohungen zu verteidigen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch