Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices
Cybersecurity 101/Cybersecurity/OT-Sicherheit

Was ist OT-Sicherheit? Definition, Herausforderungen & Best Practices

OT-Sicherheit schützt industrielle Systeme, die physische Prozesse in kritischen Infrastrukturen steuern. Behandelt Purdue-Modell-Segmentierung, IT/OT-Konvergenz und NIST-Richtlinien.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist OT-Sicherheit?
Wie OT-Sicherheit mit Cybersicherheit zusammenhängt
Kernkomponenten der OT-Sicherheit
Wie OT-Sicherheit funktioniert
Warum IT/OT-Konvergenz das Risiko erhöht
Herausforderungen in der OT-Sicherheit
OT-Sicherheitsrahmenwerke und Compliance
Best Practices für OT-Sicherheit
Wichtige Erkenntnisse

Verwandte Artikel

  • IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices
  • Was sind Air Gapped Backups? Beispiele & Best Practices
  • Was ist ein Golden Ticket Angriff?
  • Digital Rights Management: Ein praxisorientierter Leitfaden für CISOs
Autor: SentinelOne
Aktualisiert: April 21, 2026

Was ist OT-Sicherheit?

Im Mai 2021 zwang der DarkSide-Ransomware-Angriff Colonial Pipeline dazu, den Betrieb für fünf Tage einzustellen, und das Unternehmen zahlte laut einer Mitteilung des DOJ ein Lösegeld von 4,4 Millionen US-Dollar. Die Einstiegsmethode war kein Zero-Day-Exploit. Angreifer nutzten Schwachstellen bei Fernzugriff und Zugangsdaten aus und verwandelten einen IT-seitigen Zugang in eine betriebliche Störung.

OT-Sicherheit ist die Disziplin zum Schutz der Hard- und Softwaresysteme, die physische Prozesse in kritischen Infrastrukturen überwachen und steuern. Diese Systeme, wie sie in NIST SP 800-82r3 definiert sind, umfassen industrielle Steuerungssysteme (ICS), SCADA-Netzwerke, verteilte Steuerungssysteme (DCS) und speicherprogrammierbare Steuerungen (SPS).

OT-Assets steuern direkt physische Abläufe. Eine kompromittierte SPS kann ein Ventil öffnen, eine Turbine überhitzen oder einen Wasseraufbereitungsprozess abschalten. Wenn diese Systeme ausfallen, gehen die Folgen über Datenverlust hinaus und reichen bis zur Zerstörung von Anlagen, Umweltschäden und Gefährdung von Menschenleben.

Wie OT-Sicherheit mit Cybersicherheit zusammenhängt

Wenn Sie aus dem IT-Sicherheitsbereich kommen, kennen Sie bereits das CIA-Dreieck: Vertraulichkeit, Integrität, Verfügbarkeit. OT-Sicherheit kehrt diese Prioritätenreihenfolge vollständig um.

Laut dem SANS Institute ist "das Hauptziel der OT-Cybersicherheit die Aufrechterhaltung der Sicherheit, Zuverlässigkeit und Verfügbarkeit industrieller Abläufe." In der Praxis bedeutet das:

  • Verfügbarkeit steht an erster Stelle. Ein Kraftwerk oder ein Wasserwerk kann nicht für ein Sicherheitspatch offline gehen, ohne die öffentliche Sicherheit zu gefährden.
  • Integrität steht an zweiter Stelle. Steuerbefehle müssen korrekt ausgeführt werden, damit Maschinen sichere, vorhersehbare Abläufe gewährleisten.
  • Vertraulichkeit steht an dritter Stelle. Datendiebstahl ist weniger kritisch als der Verlust der Kontrolle über physische Prozesse.

Diese Prioritätenumkehr schafft einen grundlegenden Zielkonflikt. Die Sicherheitsmaßnahmen, auf die Sie in IT-Umgebungen setzen, wie Deep Packet Inspection, aggressive Patch-Zyklen und Echtzeit-Antivirenscans, können Latenzen verursachen, die millisekundengenaue OT-Prozesse stören. Wie NIST SP 800-82r3 dokumentiert, können OT-Systeme "die physische Welt beeinflussen, weshalb die Definition von Risiko für ein ICS auch potenzielle reale Konsequenzen berücksichtigen muss."

Diese Prioritätenverschiebung prägt jede Architekturentscheidung in einem OT-Sicherheitsprogramm, von der Netzwerksegmentierung bis zum Umgang mit Schwachstellenmanagement. Die folgenden Komponenten setzen dieses Prinzip in konkrete Maßnahmen um.

Kernkomponenten der OT-Sicherheit

Der Aufbau eines OT-Sicherheitsprogramms erfordert fünf grundlegende Komponenten, die jeweils an die betrieblichen Anforderungen industrieller Umgebungen angepasst sind.

1. Netzwerksegmentierung nach dem Purdue-Modell

Die Purdue Enterprise Reference Architecture (PERA) bietet einen hierarchischen Rahmen zur Trennung von OT- und IT-Netzwerken. Laut einer DOE-Publikation definiert dieses Modell sechs Ebenen, von Ebene 0 (Feldgeräte wie Sensoren und Aktoren) bis Ebene 5 (externe Konnektivität einschließlich Herstellersupport und Cloud-Zugriff). Eine wichtige Ergänzung für moderne Umgebungen ist Ebene 3.5, eine demilitarisierte Zone (DMZ), die gemeinsame Dienste wie Datenhistorianer beherbergt und direkten Datenverkehr zwischen Unternehmens-IT und OT-Steuerungssystemen verhindert. CISA-Segmentierungsrichtlinien verlangen mehrere DMZ-Schichten mit Firewall-Durchsetzung an jeder Grenze.

2. Asset-Inventarisierung und Sichtbarkeit

Sie können nur schützen, was Sie sehen. CISA-Inventarisierungsrichtlinien beschreiben einen stufenweisen Ansatz: Umfang definieren, Governance-Rollen zuweisen, dann physische Inspektionen und logische Erhebungen durchführen, um Asset-Listen mit Attributen wie Kritikalität und Sicherheitskonfiguration zu erstellen.

Eine besondere Herausforderung sind inaktive Geräte. Backup-Controller, redundante Sicherheitssysteme und Notfallausrüstung bleiben im Normalbetrieb inaktiv, sind für passives Netzwerkmonitoring unsichtbar und können von Angreifern ausgenutzt werden.

3. Sicherer Fernzugriff

Fernzugriff für Hersteller ist sowohl betriebliche Notwendigkeit als auch eine dauerhafte Schwachstelle. Laut dem Defense-in-Depth-Leitfaden verlangen Herstellerverträge häufig Fernzugriff auf Geräte, und Angreifer nutzen diese Verbindungen als Einstiegspunkte. Die Absicherung dieses Kanals erfordert Jump-Server in DMZ-Segmenten, Multi-Faktor-Authentifizierung, temporäre rollenbasierte Zugriffsrechte und starke Verschlüsselung.

4. Risikobasiertes Patch-Management

Das Patchen von OT-Systemen unterscheidet sich grundlegend vom Patchen von IT-Endpunkten. Laut CISA-Roadmap "wenden ICS-Betreiber Patches aus vielen Gründen nicht an, darunter das Risiko oder die Kosten von Betriebsunterbrechungen und das Fehlen von Patches für bestimmte Geräte durch die Hersteller."

Wenn direktes Patchen nicht möglich ist, werden kompensierende Maßnahmen eingesetzt: verstärkte Netzwerksegmentierung um gefährdete Assets, Applikations-Whitelisting, strengere Zugriffsbeschränkungen und verstärkte Überwachung auf Ausnutzungsversuche.

5. OT-spezifisches Verhaltensmonitoring

Industrielle Umgebungen profitieren von verhaltensbasiertem Anomalie-Monitoring, da OT-Netzwerkverkehr vorhersehbaren, wiederholbaren Mustern folgt. Laut NIST IR 8219 verbessert Verhaltensmonitoring die Zuverlässigkeit von ICS, indem anomale Daten erkannt werden, bevor sie den Betrieb stören. Effektives Monitoring erfordert protokollspezifische Fähigkeiten für industrielle Kommunikationsprotokolle wie Modbus, DNP3, EtherNet/IP und PROFINET.

Diese fünf Komponenten bilden zusammen die Bausteine eines OT-Sicherheitsprogramms. Der nächste Schritt ist, sie in ein Betriebsmodell zu überführen, das die Produktion nicht stört.

Wie OT-Sicherheit funktioniert

OT-Sicherheit arbeitet mit gestaffelten Abwehrmaßnahmen, die die Besonderheiten industrieller Umgebungen berücksichtigen.

Schritt 1: Umgebung erfassen

Ihr Sicherheitsprogramm beginnt mit der Asset-Erkennung. Sie führen physische Inspektionen von Feldgeräten, logische Erhebungen des Netzwerkverkehrs und die Dokumentation aller Controller, Sensoren, HMIs und Engineering-Workstations durch. Diese Inventarisierung wird direkt den Ebenen des Purdue-Modells zugeordnet und verschafft Ihnen einen klaren Überblick über die Assets auf jeder Ebene.

Schritt 2: Segmentieren und isolieren

Mit dem Purdue-Modell als Blaupause schaffen Sie Durchsetzungsgrenzen zwischen Netzwerkzonen. Firewalls mit Default-Deny-Regeln steuern den Datenverkehr an jeder Grenze. Die DMZ auf Ebene 3.5 beherbergt gemeinsame Dienste wie Historianer und Reporting-Server und verhindert gleichzeitig direkte Kommunikation zwischen Unternehmensnetzwerk und Steuerungssystemen.

Schritt 3: Baselines festlegen

SPS führen wiederholt die gleiche Steuerungslogik aus. SCADA-Abfrageintervalle folgen festen Zeitplänen. Sie erfassen diese normalen Kommunikationsmuster als Baselines und markieren Abweichungen: unerwartete Protokollbefehle, neue Verbindungen zwischen Geräten, die zuvor nie kommunizierten, oder Änderungen an der SPS-Logik.

Schritt 4: Überwachen und reagieren

Kontinuierliches Monitoring überwacht den Netzwerkverkehr an Durchsetzungsgrenzen und innerhalb von Zonen. Wenn Anomalien auftreten, wie ein nicht autorisierter Schreibbefehl an eine SPS oder eine unerwartete Verbindung vom Unternehmensnetzwerk zu einem Level-1-Controller, werden Ihre Reaktionsverfahren aktiviert. OT Incident Response unterscheidet sich von IT-Response, da die Isolierung eines kompromittierten Systems einen kritischen Prozess abschalten kann. Reaktionspläne müssen die Betriebskontinuität und physische Sicherheit berücksichtigen.

Schritt 5: Lebenszyklusmanagement aufrechterhalten

OT-Sicherheit ist keine einmalige Implementierung. Sie aktualisieren kontinuierlich Asset-Inventare, bewerten Risiken neu, wenn neue Schwachstellen auftreten, und testen kompensierende Maßnahmen, wenn Patches nicht verfügbar sind. Vergleichen Sie Schwachstellenbewertungen mit CISA's Known Exploited Vulnerabilities Catalog, um die Priorisierung der Behebung zu steuern.

Wenn Sie diese Schritte zuverlässig durchführen können, stellt sich die nächste Frage: Wo steigen Angreifer am wahrscheinlichsten ein? Zunehmend ist das die konvergierte IT/OT-Grenze.

Warum IT/OT-Konvergenz das Risiko erhöht

Die größte strukturelle Veränderung in der OT-Sicherheit ist die Konvergenz von IT- und OT-Netzwerken. Laut einem DOE Supply Chain Report "nimmt diese Konvergenz weiter zu" und schafft neue Risiken, da Energiesysteme IKT und OT verbinden, um Effizienz zu gewinnen. Der NSTAC Strategy Report beschreibt das Paradox: Konnektivität bringt Effizienzvorteile, setzt OT-Systeme aber Bedrohungen aus, für die sie nie konzipiert wurden.

Konvergenz schafft spezifische Angriffswege, die Ihr Sicherheitsprogramm adressieren muss:

  • Flache Netzwerkarchitekturen, in denen Angreifer lateral in SCADA-Umgebungen vordringen, weil Netzwerkgrenzen schwach oder nicht vorhanden sind, laut dem CISA-Landschaftsbericht.
  • Ausnutzung von Legacy-Protokollen über unverschlüsselte Industrieprotokolle wie Modbus, DNP3 und ICCP, die Daten ohne Verschlüsselung oder Authentifizierung übertragen.
  • Schwachstellen beim Fernzugriff über VPNs und Herstellersupport-Kanäle, die ordnungsgemäße Authentifizierung oder Überwachung umgehen.

Für Sicherheitsverantwortliche in konvergierten Umgebungen ist die IT-Seite des Netzwerks der primäre Einstiegspunkt, über den Angreifer OT-Assets erreichen. Wenn Sie bereits in  XDR-Kategorien denken, wenden Sie denselben Sichtbarkeitsansatz auf die Verbindungen zwischen Unternehmensendpunkten und Ihrem Steuerungsnetzwerk an. Das Verständnis dieser Wege zeigt auch, warum der Aufbau eines OT-Sicherheitsprogramms in der Praxis schwierig ist.

Herausforderungen in der OT-Sicherheit

Der Aufbau eines OT-Sicherheitsprogramms bringt spezifische Herausforderungen mit sich, selbst bei etablierten Rahmenwerken und staatlichen Leitlinien.

  1. Legacy-Systeme, die nicht aktualisiert werden können: Der DOE-Bericht betont, dass ältere SCADA-Geräte nicht mit Blick auf Cybersicherheit entwickelt wurden und ein Upgrade Abhängigkeiten zu anderen Systemen beeinträchtigen könnte. Sie schützen möglicherweise SPS mit nicht unterstützten Betriebssystemen, fest codierten Passwörtern, unverschlüsselten Protokollen und ohne Möglichkeit zum Patchen ohne umfangreiche Tests oder Systemabschaltungen.
  2. Einschränkungen durch Betriebsunterbrechungen: Das Patchen von OT-Systemen erfordert Ausfallzeiten. Für eine 24/7-Stromerzeugungsanlage oder ein Wasserwerk birgt jede Unterbrechung Risiken. Diese Einschränkung zwingt Sie, häufiger auf kompensierende Maßnahmen als auf direkte Behebung zu setzen.
  3. Vielfältige Bedrohungsakteure: Sowohl hochentwickelte staatliche Akteure als auch wenig erfahrene Hacktivisten zielen inzwischen auf OT. Laut einer gemeinsamen Warnung vom Dezember 2025 haben pro-russische Hacktivistengruppen erfolgreich SCADA-Netzwerke mit einfachen Methoden angegriffen, teils durch gleichzeitige DDoS-Angriffe zur Unterstützung von SCADA-Einbrüchen. Eine CISA-Warnung beschreibt, wie Angreifer 2015 die Prykarpattyaoblenergo in der Ukraine störten und etwa 225.000 Kunden für mehrere Stunden ohne Strom ließen.
  4. Bereichsübergreifende Koordination: OT-Sicherheit erfordert Zusammenarbeit zwischen IT-Sicherheit, Steuerungsingenieuren, Anlagenbetreibern und physischer Sicherheit. Keine einzelne Disziplin hat den vollständigen Überblick. Der SANS 2025-Bericht ergab, dass Organisationen, die Feldtechniker in Tabletop-Übungen einbeziehen, fast doppelt so häufig echte Bereitschaft zeigen.
  5. Sichtbarkeitslücken in der OT-Umgebung: Inaktive Geräte, nicht dokumentierte Assets und verschlüsselte Herstellerverbindungen schaffen blinde Flecken. Laut SANS 2025-Bericht werden 49 % der Vorfälle inzwischen innerhalb von 24 Stunden erkannt, aber fast jeder fünfte benötigt mehr als einen Monat zur Behebung.

Diese Einschränkungen ändern nicht das Ziel, aber sie verändern Ihre Vorgehensweise. Anerkannte Rahmenwerke bieten die Struktur, um sie systematisch zu adressieren.

OT-Sicherheitsrahmenwerke und Compliance

Mehrere Rahmenwerke geben vor, wie Organisationen OT-Sicherheitsprogramme aufbauen und messen. Die drei am weitesten verbreiteten sind NIST SP 800-82, IEC 62443 und NERC CIP. Jedes erfüllt eine andere Funktion, und die meisten ausgereiften Programme kombinieren mehrere davon.

NIST SP 800-82 Revision 3, veröffentlicht im September 2023, ist der wichtigste US-Bundesleitfaden zur Absicherung industrieller Steuerungssysteme. Er bietet einen risikobasierten Ansatz für OT-Sicherheit und ist auf das NIST Cybersecurity Framework 2.0 abgestimmt, einschließlich der neuen Govern-Funktion, die OT-Cybersicherheits-Governance auf Organisationsebene hebt. NIST SP 800-82 ist beschreibend, nicht vorschreibend: Es sagt Ihnen, was zu berücksichtigen ist und wie Sie Risiken bewerten, überlässt aber die konkrete Umsetzung jeder Organisation. Betrachten Sie es als Ihr Programmmanagement-Grundgerüst.

IEC 62443, gemeinsam von ISA und IEC gepflegt, füllt die technischen Details aus, die NIST SP 800-82 offenlässt. Während NIST beschreibt, was zu erreichen ist, definiert IEC 62443, wie Sie Ihr Programm strukturieren, um dieses Ziel zu erreichen. Es ist normativ und behandelt allgemeine Konzepte, Richtlinien und Verfahren, Systemsicherheit und Komponentensicherheit in vier Standardreihen. Sein wesentlichster Beitrag ist das Security Level (SL)-Modell, das Maßnahmen der Fähigkeit des Bedrohungsakteurs zuordnet, denen Ihre Abwehr standhalten muss:

  • SL-1: Schutz vor versehentlicher oder unbeabsichtigter Gefährdung.
  • SL-2: Schutz vor gezielten Angriffen mit einfachen Methoden und begrenzten Ressourcen.
  • SL-3: Schutz vor ausgefeilten Angriffen mit moderaten Ressourcen und automationsspezifischem Wissen.
  • SL-4: Schutz vor staatlichen oder gut finanzierten Angreifern mit umfassender OT-Expertise.

Das Zonen- und Leitungsmodell innerhalb von IEC 62443 beeinflusst direkt, wie Organisationen die zuvor beschriebene Purdue-Modell-Segmentierung umsetzen.

NERC CIP (Critical Infrastructure Protection) verfolgt einen ganz anderen Ansatz. Es ist für Betreiber von Stromnetzen in Nordamerika verpflichtend und schreibt konkrete Sicherheitsmaßnahmen für Asset-Identifikation, Zugriffsmanagement, Incident Reporting und Wiederherstellungsplanung vor. Organisationen, die NERC CIP unterliegen, müssen prüfbare Anforderungen erfüllen und bei Nichteinhaltung mit Sanktionen rechnen. Wer im Energiesektor tätig ist, kommt an NERC CIP nicht vorbei.

Der SANS 2025-Bericht bestätigt, dass regulierte Organisationen nicht weniger Vorfälle als andere erleben, aber bei Vorfällen etwa 50 % weniger finanzielle Verluste und Sicherheitsauswirkungen verzeichnen. Compliance erzwingt Investitionen in grundlegende Fähigkeiten wie Asset-Sichtbarkeit, Protokollierung und Änderungsüberwachung, die auch die Bausteine effektiver Bedrohungserkennung und -reaktion sind.

In der Praxis funktionieren diese Rahmenwerke am besten in Kombination. Nutzen Sie NIST SP 800-82 als Programmmanagement-Struktur und IEC 62443 als technische Umsetzungsspezifikation. Auch Organisationen ohne regulatorische Vorgaben profitieren von diesen Standards als strukturierte Reifepfade. Mit dieser Grundlage können Sie Rahmenwerksanforderungen in den operativen Alltag übersetzen.

Best Practices für OT-Sicherheit

Basierend auf NIST SP 800-82r3, IEC 62443 und CISA-Leitlinien bilden die folgenden Maßnahmen das Fundament eines ausgereiften OT-Sicherheitsprogramms.

  1. Implementieren Sie Defense-in-Depth-Netzwerksegmentierung. Folgen Sie dem Purdue-Modell, um hierarchische Zonen mit Firewalls und Default-Deny-Regeln an jeder Grenze einzurichten. Erlauben Sie niemals direkten Datenverkehr zwischen Unternehmens-IT und OT-Steuerungsnetzwerken.
  2. Führen Sie eine kontinuierlich aktualisierte Asset-Inventarisierung. Folgen Sie dem stufenweisen CISA-Ansatz: Umfang und Governance definieren, physische und logische Erhebungen durchführen und wichtige Attribute wie Kritikalität, Firmware-Versionen und Sicherheitskonfigurationen erfassen. Berücksichtigen Sie inaktive Geräte.
  3. Erzwingen Sie Multi-Faktor-Authentifizierung für alle Fernzugriffe. Nutzen Sie Jump-Server in DMZ-Segmenten, gewähren Sie temporären rollenbasierten Zugriff für Hersteller und protokollieren Sie alle Fernsitzungen. Eliminieren Sie direkte OT-Netzwerkkonnektivität von externen Parteien.
  4. Setzen Sie risikobasiertes Patch-Management um. Planen Sie Patches in Wartungsfenstern. Wenn Patchen nicht möglich ist, setzen Sie kompensierende Maßnahmen ein: Applikations-Whitelisting, verstärkte Segmentierung und verstärkte Überwachung. Vergleichen Sie Schwachstellen mit dem Known Exploited Vulnerabilities Catalog von CISA.
  5. Setzen Sie OT-spezifisches Verhaltensmonitoring ein. Legen Sie Baselines für normale Kommunikationsmuster fest und markieren Sie Abweichungen. Überwachen Sie Industrieprotokolle (Modbus, DNP3, OPC-UA) auf nicht autorisierte Befehle. Integrieren Sie das Monitoring in Ihre übergreifenden Security Operations für einheitliche Sichtbarkeit.
  6. Erstellen Sie bereichsübergreifende Incident-Response-Pläne. Beziehen Sie Steuerungsingenieure und Anlagenbetreiber neben IT-Sicherheitspersonal ein. Führen Sie von Ingenieuren geleitete Tabletop-Übungen durch, die Szenarien simulieren, in denen die Isolierung eines kompromittierten Geräts kritische Prozesse stören könnte.

Die Übertragung dieser Best Practices in den operativen Alltag beginnt mit der Stärkung der IT-seitigen Kontrollen, die Angreifer am häufigsten nutzen, um OT zu erreichen.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

OT-Sicherheit schützt die industriellen Systeme, die physische Prozesse in kritischen Infrastrukturen steuern, wobei Verfügbarkeit und Sicherheit Vorrang vor Datenvertraulichkeit haben. Die IT/OT-Konvergenz hat die Angriffsfläche vergrößert und setzt Legacy-Systeme Risiken aus. Ein effektives Programm erfordert Defense-in-Depth-Segmentierung nach dem Purdue-Modell, eine rigorose Asset-Inventarisierung, risikobasiertes Patch-Management und OT-spezifisches Verhaltensmonitoring. 

Rahmenwerke wie NIST SP 800-82 und IEC 62443 bieten strukturierte Reifepfade, und die Absicherung der IT-Grenze mit autonomem Schutz reduziert das Risiko für verbundene Betriebsumgebungen direkt.

FAQs

OT-Sicherheit ist die Praxis, Hardware- und Softwaresysteme zu schützen, die physische Prozesse in industriellen Umgebungen überwachen und steuern. Zu diesen Systemen gehören ICS, SCADA-Netzwerke, DCS und PLCs, die in Bereichen wie Energie, Fertigung, Wasseraufbereitung und Transport zu finden sind. 

OT-Sicherheit priorisiert Verfügbarkeit und Sicherheit vor Datenvertraulichkeit, da Ausfälle in diesen Systemen zu Geräteschäden, Umweltschäden oder Gefährdung von Menschenleben führen können.

Ebene 3.5 fungiert als kontrollierter Austauschpunkt, an dem gemeinsame Dienste wie Datenhistorian-Systeme und Berichtserver angesiedelt sind. Der Datenverkehr aus der Unternehmens-IT endet in der DMZ und gelangt nicht direkt in die Steuerungssysteme. Firewalls erzwingen strikte, protokollspezifische Regeln an beiden Grenzen: eine zur Unternehmensnetzwerkseite und eine zur OT-Zone. 

Verbindungen sind, wo immer möglich, unidirektional ausgelegt und nutzen Daten-Dioden oder Einweg-Gateways, die den Abfluss von OT-Daten für Geschäftsanalysen ermöglichen, während eingehende Befehle blockiert werden.

Angreifer nutzen in erster Linie schwaches Berechtigungsmanagement, ungepatchte VPN-Gateways und exponierte, internetzugängliche OT-Geräte aus. Spear-Phishing, das auf Engineering-Arbeitsstationen abzielt, die IT- und OT-Netzwerke verbinden, bleibt äußerst effektiv. 

Supply-Chain-Kompromittierungen durch bösartige Firmware-Updates oder kompromittierte Anbieter-Software führen zu persistierenden Backdoors. Organisationen schützen sich, indem sie Richtlinien zur regelmäßigen Berechtigungsrotation für alle OT-Geräte durchsetzen, passives Netzwerk-Monitoring einsetzen, Netzwerkzugangskontrollen an Zonenübergängen implementieren und von Anbietern die Nutzung dedizierter Jump Hosts mit Sitzungsaufzeichnung verlangen.

Isolieren Sie Altsysteme mithilfe unidirektionaler Gateways, die einen ausgehenden Datenfluss zur Überwachung ermöglichen, während eingehende Befehle blockiert werden, um eine Remote-Ausnutzung zu verhindern. Setzen Sie passive Netzwerktaps ein, um Sichtbarkeit zu gewährleisten, ohne Latenz einzuführen. 

Beschränken Sie den physischen Zugang durch Schlösser, Ausweise und manipulationssichere Siegel an Bedienfeldern. Verwenden Sie protokollbewusste Firewalls, die nur bestimmte industrielle Befehlssequenzen zulassen und unautorisierte Funktionscodes blockieren. Implementieren Sie zeitbasierte Zugriffspolicen, die die Remote-Konnektivität außerhalb von Wartungsfenstern deaktivieren.

Ihr OT-Incident-Response-Plan muss prozessspezifische Schwellenwerte vordefinieren, die alternative Reaktionspfade auslösen. Klassifizieren Sie Assets nach Kritikalität und autorisieren Sie Maßnahmen im Voraus: Isolieren Sie nicht-kritische Systeme sofort; für geschäftskritische Steuerungen führen Sie den Betrieb im Degradationsmodus mit manuellen Übersteuerungen oder redundanten Backups fort, während Angreifer stromaufwärts eingedämmt werden. 

Erstellen Sie Entscheidungsbäume, die Leitwartenpersonal befähigen, vordefinierte Sicherheitsprotokolle ohne vorherige Freigabe durch die IT-Sicherheit umzusetzen. Dokumentieren Sie ausfallsichere Zustände für jeden gesteuerten Prozess, damit Einsatzkräfte wissen, welche Systeme sicher abgeschaltet werden können und welche einen kontinuierlichen Betrieb erfordern.

Die meisten Angriffe auf OT-Systeme gehen vom IT-Netzwerk aus und bewegen sich lateral in Richtung der operativen Zonen. Der Schutz von IT-Endpunkten, Identitäten und Cloud-Workloads mit autonomen Reaktionsfunktionen stoppt Angreifer, bevor sie die IT/OT-Grenze erreichen. 

Verhaltensbasierte KI auf IT-Endpunkten kann laterale Bewegungen in Echtzeit erkennen und eindämmen, wodurch das Risiko für verbundene OT-Assets reduziert wird. Dies macht den Schutz auf IT-Seite zu einer grundlegenden Schicht jedes Sicherheitsprogramms für konvergierte Umgebungen.

Erfahren Sie mehr über Cybersecurity

Was ist Remote Monitoring and Management (RMM) Security?Cybersecurity

Was ist Remote Monitoring and Management (RMM) Security?

Erfahren Sie, wie Bedrohungsakteure RMM-Tools für Ransomware-Angriffe ausnutzen, und entdecken Sie Erkennungsstrategien sowie bewährte Sicherheitspraktiken zum Schutz Ihrer Umgebung.

Mehr lesen
Address Resolution Protocol: Funktion, Typen & SicherheitCybersecurity

Address Resolution Protocol: Funktion, Typen & Sicherheit

Address Resolution Protocol übersetzt IP- in MAC-Adressen ohne Authentifizierung und ermöglicht so Spoofing-Angriffe. Erfahren Sie, wie SentinelOne ARP-basierte laterale Bewegungen erkennt und stoppt.

Mehr lesen
Was sind unveränderliche Backups? Autonomer Ransomware-SchutzCybersecurity

Was sind unveränderliche Backups? Autonomer Ransomware-Schutz

Unveränderliche Backups nutzen WORM-Technologie, um Wiederherstellungspunkte zu erstellen, die von Ransomware weder verschlüsselt noch gelöscht werden können. Erfahren Sie Best Practices für die Implementierung und häufige Fehler.

Mehr lesen
HUMINT in der Cybersicherheit für UnternehmenssicherheitsverantwortlicheCybersecurity

HUMINT in der Cybersicherheit für Unternehmenssicherheitsverantwortliche

HUMINT-Angriffe manipulieren Mitarbeitende dazu, Netzwerkzugang zu gewähren und umgehen so technische Kontrollen vollständig. Lernen Sie, sich gegen Social Engineering und Insider-Bedrohungen zu verteidigen.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch