foto freepik

Die Hackerangriffe auf Industrieanlagen nehmen weiterhin zu. Unternehmen müssen daher aktiv gegen Schatten-OT vorgehen und blinde Flecken in ihrer Sicherheitsstrategie schließen. Doch Visibilität herzustellen ist nur der erste Schritt und das Fundament für eine holistische OT-Sicherheitsstrategie.

Unter dem Begriff Schatten-IT fassen Fachleute Hard- und Software zusammen, die nicht durch die unternehmensinterne IT-Abteilung bereitgestellt, kuratiert oder gewartet, von den Angestellten jedoch trotzdem im Zuge ihrer Aufgaben genutzt wird. Lädt zum Beispiel ein Mitarbeitender einen KI-Assistenten auf seinen vom Arbeitgeber bereitgestellten Laptop, ohne das vorher mit der IT-Abteilung abzuklären, zählt das Tool zur Schatten-IT. Auch wer sich mit seinem privaten Laptop ins Unternehmensnetz einloggt, trägt zur Bildung von Schatten-IT bei. Gerade heutzutage ist die Gefahr der Entstehung hoch, denn nie zuvor war es so leicht für Mitarbeitende, externe Services und private Geräte für ihren Job einzusetzen. Dazu müssen sie nicht einmal potenziell schädliche Software auf ihre Arbeitsrechner herunterladen: Sensible Informationen können auch ganz schnell in den Tiefen von Online-Tools verschwinden. Gerade in Zeiten von KI-Helfern wie ChatGPT, DeepL oder DeepSeek ist der freiwillig induzierte Datenabfluss ein gewaltiges Problem.

Einfach definiert handelt es sich bei Schatten-IT um sämtliche IT, die außerhalb der Kontrolle der unternehmensinternen IT-Abteilung liegt. Das galt bis vor Kurzem inhärent auch für Produktionsanlagen und praktisch alle Geräte der Operational Technology (OT). Traditionell waren IT und OT nämlich immer strikt getrennt. Mittlerweile wachsen diese Bereiche mehr und mehr zusammen, was Vor- wie Nachteile bringt. Ein zentraler Vorteil ist das Optimierungspotenzial, das erst durch die Konvergenz zwischen IT und OT voll ausgeschöpft werden kann. Intelligente Software erfasst zum Beispiel die Auslastung von Industrieanlagen und kann die Produktionskapazitäten durch rationalisierte Prozesse erhöhen. Prädiktive Gerätewartung, ebenfalls eine Errungenschaft, die nur durch die enge Verzahnung von IT und OT möglich wird, verringert die Chance auf Ausfälle der Anlagen.

Wo Licht ist, ist auch Schatten

Doch diese Entwicklung bringt nicht nur Vorteile. Ein großer Nachteil ist zum Beispiel die massive Vergrößerung des Angriffsvektors für Cyberkriminelle. Für Hacker ist Operational Technology aus mehreren Gründen ein lukratives Ziel. Da Industrieunternehmen einen Produktionsausfall und die Kosten, die er nach sich zieht, unbedingt vermeiden wollen, sind sie bei Ransomware-Angriffen deutlich zahlungsbereiter als andere Firmen. Viele Betriebe gehören auch der kritischen Infrastruktur an, was sie für Industriesabotage durch ausländische Akteure interessant macht. OT-Anlagen sind ebenfalls oft im Fokus von Spionageaktivitäten.

Leider ist OT ein leichtes Ziel – das ist das größte Problem. Denn sie besteht in der Regel aus speziellen und sehr teuren Geräten, die auf eine lange Lebensdauer sowie einen möglichst ununterbrochenen Einsatz ausgelegt sind. Entsprechend selten ist die Firmware der heute eingesetzten Produktionsanlagen auf dem allerneuesten Stand der Technik. Und auch Updates kommen seltener vor, als das bei der IT-Infrastruktur normalerweise der Fall ist. Das liegt insbesondere daran, dass ein Update bei OT-Geräten immer zu einem Produktionsausfall führen kann, was dem Unternehmen hohe Kosten verursacht. Gegen regelmäßige Updates spricht außerdem, dass oft speziell geschultes Personal benötigt wird, um die Produktion herunterzufahren, das Gerät vom Netz zu nehmen, dessen Firmware zu aktualisieren und den Betrieb anschließend wieder aufzunehmen. Jedes Update birgt überdies die Gefahr, dass hinterher etwas nicht mehr reibungslos läuft – das Motto »Never change a running system« gilt nirgendwo mehr als im OT-Bereich. Das Gerät zeitnah zu ersetzen, ist unmöglich – anders als das im IT-Bereich der Fall ist, wo ein kaputter Server binnen Stunden, manchmal sogar binnen Minuten ersetzt werden kann.

You can’t protect what you can’t see

Nun ist es so, dass IT und OT zwar immer mehr zusammenwachsen, allerdings sind IT- und OT-Sicherheit nach wie vor getrennte Bereiche. Und schlimmer noch: Praktisch kein Unternehmen hat überhaupt ein dediziertes OT-Sicherheitsteam. Während es für den IT-Bereich auf Security spezialisierte Teams, eine feste Ressourcenplanung, Sicherheitsprotokolle und -prozesse sowie klare Zuständigkeiten gibt, ist das im OT-Bereich nicht der Fall. Und im Gegensatz zu den IT-Teams liegt der Fokus von Mitarbeitenden der OT-Abteilung auf der Produktion – also vor allem auf der Effizienz der Maschinen und deren möglichst reibungslosem Betrieb. Doch das größte Problem im Hinblick auf die OT-Sicherheit ist die mangelnde Visibilität. An dieser Stelle müssen Industrieunternehmen schleunigst nachjustieren, denn in vielen gibt es praktisch kein Wissen darüber, welche ihrer Produktionsanlagen in welcher Form bereits mit der IT über Netzwerke verbunden sind. Der Grund dafür ist, dass auf den wenigsten Geräten entsprechende Sicherheitsagenten einfach installiert werden können, da die Firmware – wie die Geräte selbst – selten für mehr als die reine Funktionalität ausgelegt ist. Während also auf herkömmlichen IT-Geräten wie Servern oder PCs leicht Antivirenprogramme, Firewalls oder EDR (Endpoint Detection and Response)-Lösungen installiert werden können, funktioniert das bei Industriemaschinen in Ermangelung des richtigen Betriebssystems in der Regel nicht.

Die gute Nachricht ist, dass es durchaus Optionen gibt, diese dringend benötigte Visibilität herzustellen. Eine der wichtigsten ist die Installation passiver Sensoren, die den Netzwerk-Traffic in und aus dem OT-Bereich monitoren. Sie müssen dafür nicht auf den Industrieanlagen selbst installiert werden, wodurch es zu keinen Latenzen oder Verzögerungen kommt. Somit beeinträchtigen sie auch nicht die Produktion selbst. Speziell für den OT-Bereich ausgelegte Sensoren sind zudem in der Lage, neue OT-Geräte automatisiert zu erkennen. Auf diese Weise stellen Unternehmen nachhaltig Visibilität über ihre OT-Infrastruktur her. Zu den von den Sensoren erfassten Daten gehören unter anderem Anmeldeversuche für den Netzwerkbereich, in dem die Maschinen angesiedelt sind, oder Änderungen an den Konfigurationen und Zugriffsrechten. Die Sensoren erfassen auch, wer auf die Geräte über das Netzwerk zugegriffen hat und welche Protokolle verwendet wurden.

Ebenfalls positiv ist die Entwicklung zu bewerten, dass immer mehr Unternehmen die OT-Sicherheit dem CISO unterstellen. Das heißt, dass sich dieses Thema horizontal in Richtung IT verschiebt, wo die Sicherheitsprotokolle und -prozesse bereits erprobt und funktional sind. Außerdem bewegt es sich vertikal in Richtung Geschäftsführung, was in Zeiten zunehmender Angriffe auf die OT-Infrastruktur wichtiger denn je ist. Es ergibt in jedem Fall Sinn, die gesamte Sicherheit über die IT und die OT zentral zu verwalten.

Visibilität ist nicht alles

Die schlechte Nachricht ist, dass Visibilität leider nicht ausreicht, sondern nur der erste und fundamentale Schritt hin zur OT-Sicherheit sein kann. Da IT-Sicherheitsabteilungen jedoch schon mit den Angriffen auf die IT-Infrastruktur überlastet sind, sorgt der vergrößerte Angriffs- und Überwachsungsvektor für einen noch größeren und kaum zu bewältigenden Arbeitsaufwand. Aus diesem Grund lohnt es sich in jedem Fall über einen externen MXDR (Managed Extended Detection and Response)-Dienstleister nachzudenken, der ein vollfunktionsfähiges Security Operations Center (SOC) und die entsprechende Sensorik bereitstellen kann – und zwar speziell für OT-Infrastrukturen.

Unabhängig davon sollten Industrieunternehmen das Sicherheitsniveau ihres OT-Bereichs entsprechend ihrer IT Security Posture anheben und die Transformation hin zu einem »Unified Security«-Ansatz, also einem holistischen Sicherheitskonzept, weiter vorantreiben. Sie müssen ihre aktuelle Situation in Sachen OT-Security mappen und dann ein Ziel definieren sowie evaluieren, was dafür nötig ist. Auf diesem Weg müssen die Mitarbeitenden sie begleiten, daher ist OT-Sicherheit nicht nur eine Frage der Tools, sondern auch der Schulungen und der Mitarbeitermotivation. Wichtig ist auch, dass eine zentrale Security-Infrastruktur existiert, in der alle Vorfälle zentralisiert zusammenlaufen. Dafür eignen sich beispielsweise SIEM (Security Incident and Event Management)-Plattformen wie Microsoft Sentinel. Für die Kommunikation zwischen SIEM-Plattform und den Sensoren herzustellen, die die Industriemaschinen überwachen, eignen sich im industriellen Bereich Datentransferprotokolle wie Modbus/TCP oder OPC Unified Architecture. Für das Internet of Things haben sich die Protokolle MQTT sowie HTTP/HTTPS als Standards etabliert.

Alles in allem sollten Industrieunternehmen, die noch blinde Flecken haben, die IT- und OT-Sicherheit schleunigst zur Chefsache erklären. Gerade KRITIS-Unternehmen drohen bei einer mangelhaften Sicherheitsstrategie horrende Strafen. Es ist daher höchste Zeit zu handeln.

Vijay Viswanathan, Senior Product Marketing Manager bei Ontinue

11948 Artikel zu „OT Sicherheit“

News | Trends 2026 | Trends Security | Favoriten der Redaktion | IT-Security | Künstliche Intelligenz | New Work

70 Prozent der Unternehmen genehmigen KI-Projekte trotz Sicherheitsbedenken

27. März 2026

Jeder sechste Entscheider in Deutschland stuft Besorgnis als »extrem« ein – und wurde dennoch zugunsten von Wettbewerbsdruck und internen Forderungen übergangen. TrendAI, ein Geschäftsbereich von Trend Micro und Anbieter von KI-Sicherheit, veröffentlicht neue Forschungsergebnisse, die zeigen, dass Unternehmen weltweit den Einsatz von künstlicher Intelligenz vorantreiben, obwohl bekannte Sicherheits- und Compliance-Risiken bestehen [1]. Eine neue…

Jetzt 25 % Ticketrabatt für »manage it« Leser

11948 Artikel zu „OT Sicherheit“