Ungeplante Produktionsausfälle in der Fertigungsindustrie können innerhalb weniger Stunden Millionen kosten. Wer Legacy-Anlagen nach einem Cyberangriff austauschen muss, zahlt oft das Doppelte. OT-Security ermöglicht dagegen gezielten Schutz bestehender Anlagen und verschafft Produktionsverantwortlichen Zeit für eine Modernisierung nach eigenem Zeitplan.
Veraltete OT-Systeme sind leichte Ziele für Angreifer, ein Austausch kostet Millionen. OT-Security sichert Anlagen und verschafft Betreibern Zeit für strategische Modernisierung.
(Bild: Dall-E / KI-generiert)
In der modernen Fertigungsindustrie stellt sich für Betreiber zunehmend eine geschäftskritische Frage: Wie lassen sich in die Jahre gekommene, aber unverzichtbare Operational Technology (OT)-Systeme in einer vernetzten Welt absichern, ohne sie für Millionenbeträge austauschen zu müssen? Veraltete Betriebssysteme in Fabrikhallen oder Werkstätten sind ein leichtes Ziel für Cyberkriminelle. Ein präziser Blick auf die technologischen Lösungswege zeigt, warum die strategische Lebensdauerverlängerung durch spezialisierte OT-Security oft der wirtschaftlichste und sicherste Ansatz ist.
Vielen OT-Sicherheitsverantwortlichen und Produktionsleitern wird folgende Situation vertraut vorkommen: In einer Fertigungshalle steht eine Workstation, die seit Jahren äußerst zuverlässig ihren Dienst verrichtet und eine geschäftskritische Produktionslinie am Laufen hält. Auf diesem System läuft eine hochgradig maßgeschneiderte Software, die über spezifische industrielle Protokolle mit den speicherprogrammierbaren Steuerungen der Maschinen kommuniziert. Eine ungeschriebene, aber strikte Regel lautet in solchen Umgebungen: „Never touch a running system.“ Jeder Versuch, das veraltete Betriebssystem zu aktualisieren oder die Softwarearchitektur zu patchen, birgt das massive Risiko, das empfindliche Zusammenspiel der Komponenten zu stören und die Anlage zum Stillstand zu bringen.
Um dieses Risiko zu umgehen, verlassen sich Industrieunternehmen traditionell auf das Konzept des „Air-Gapping“ – die strikte physische und netzwerktechnische Isolierung der Anlage von der Unternehmens-IT und dem Internet. Doch die Realität der täglichen Betriebsabläufe entlarvt dieses Konzept allzu oft als trügerische Illusion. Eines Tages schließt ein Mitarbeiter oder externer Servicetechniker völlig routinemäßig einen USB-Stick an, um ein Update für ein Produktionsrezept aufzuspielen. In genau diesem unscheinbaren Moment löst sich der vermeintlich sichere Air-Gap in Luft auf.
Da das in die Jahre gekommene Legacy-System keine moderne Sicherheitssoftware unterstützt, bleibt diese Kompromittierung unbemerkt. Die fatalen Konsequenzen zeigen sich erst, wenn die Produktion als Folge einer erfolgreichen Ransomware-Attacke abrupt gestoppt wird. Das Unternehmen sieht sich plötzlich nicht nur mit erpressten Daten und massiven Lieferverzögerungen konfrontiert, sondern auch mit einer Ersatzbeschaffung, deren Kosten sich schnell auf zwei bis fünf Millionen US-Dollar belaufen können. Hinzu kommen oftmals bis zu sechs Monate für die gesetzliche oder normative Neuvalidierung der Anlagen und wochenlange Ausfallzeiten.
Vier strategische Wege im Umgang mit Legacy-Risiken
Wenn Legacy-Systeme in kritischen Infrastrukturen und Fertigungslinien zu massiven Sicherheitsrisiken werden, stehen Unternehmen im Wesentlichen vier Handlungsoptionen zur Verfügung. Keine davon ist trivial, und jede bringt tiefgreifende Konsequenzen mit sich.
1. Weiterbetrieb und das Prinzip Hoffnung: Die einfachste, aber gefährlichste Option besteht darin, keine technischen Veränderungen vorzunehmen. Die Produktion läuft unverändert weiter, und das Management hofft schlichtweg, dass Cyber-Bedrohungen das eigene Unternehmen ignorieren. Dieser passive Ansatz erfordert anfänglich keinen Aufwand, ist jedoch ein reines Glücksspiel. Angesichts sich rapide verschärfender Compliance-Vorgaben und immer ausgefeilterer Angriffsmethoden ist das Risiko immens. Spätestens, wenn Auditoren im Rahmen von Prüfungen, die nicht mehr unterstützten und ungeschützten Systeme hinterfragen, scheitert diese Strategie. Fehlgeschlagene Audits führen zu hastigen Sanierungsplänen und resultieren am Ende dennoch in Notfallausgaben – allerdings unter hohem Rechtfertigungsdruck.
2. Trügerische Sicherheit durch Netzwerksegmentierung: Ein proaktiverer Schritt ist die Netzwerksegmentierung. Durch den gezielten Einsatz von VLANs und Firewalls werden Legacy-Systeme vom restlichen Unternehmensnetzwerk und der IT getrennt. Dies reduziert zweifellos die unmittelbare Angriffsfläche. Das entscheidende Defizit dieses Ansatzes ist jedoch: Segmentierung beseitigt nicht die zugrundeliegenden Schwachstellen der Maschinen, sie baut lediglich höhere Mauern. Gelingt es einem Angreifer, in diese segmentierte Zone einzudringen – sei es durch Social Engineering, kompromittierte Zugangsdaten oder direkten physischen Zugang in der Betriebsstätte –, sind die ungepatchten Anlagen weiterhin völlig schutzlos.
3. Erzwungener Systemaustausch unter maximalem Druck: Oftmals wird die Entscheidung durch einen realen Cyber-Vorfall erzwungen. Ein Breach zwingt das Unternehmen zum sofortigen Handeln, und neue Systeme müssen im absoluten Krisenmodus implementiert werden. Notfallbeschaffungen, extrem beschleunigte Integrationspläne und Krisenzuschläge lassen die Budgets explodieren. Wie Daten von Siemens aus dem Jahr 2024 belegen, können allein die Kosten für ungeplante Ausfallzeiten in Automobilwerken über 2,3 Millionen US-Dollar pro Stunde betragen. Selbst kurze Unterbrechungen führen hier zu gewaltigen finanziellen Kaskadeneffekten. Bei dieser Option zahlt das Unternehmen nicht nur den Preis für neue Hardware, sondern vor allem den extremen Aufschlag, der durch das Fehlen von Alternativen entsteht.
4. Die strategische Lebensdauerverlängerung: Die vierte und oftmals übersehene Option ist der Schutz der bestehenden Legacy-Infrastruktur bei gleichzeitiger Verlängerung ihrer sicheren Betriebsdauer. Dieser Weg setzt auf maßgeschneiderte Sicherheitskontrollen, die explizit für Legacy-Umgebungen entwickelt wurden und ohne jegliche Modifikation der zugrundeliegenden Systeme funktionieren. Unternehmen können moderne Schutzmechanismen integrieren, ohne die Stabilität der Anlagen zu riskieren. Diese Strategie verhindert unvorhergesehene Millioneninvestitionen und ermöglicht es, Modernisierungsprojekte entspannt nach dem eigenen Geschäftszeitplan umzusetzen.
OT-zentrierte Sicherheitstechnik: Schutz im laufenden Betrieb
Die wichtigste Erkenntnis für die Industrie lautet somit: Legacy-Systeme müssen keine dauerhaften Risikofaktoren bleiben. Eine strategische Verlängerung der Lebensdauer ermöglicht es, alte Anlagen für weitere sieben bis zehn Jahre abzusichern. Denn die restlichen Optionen sind angesichts der oben erwähnten Faktoren eigentlich keine Alternativen.
Hierfür bedarf es jedoch spezialisierter OT-Sicherheitslösungen. Herkömmliche IT-Sicherheitstools, die notdürftig für industrielle Zwecke umkonfiguriert wurden, scheitern hier kläglich. Moderne OT-Sicherheitskonzepte werden von Grund auf für die strengen Restriktionen der Industrie entwickelt. Sie berücksichtigen, dass Anlagen nicht für Patches neu gestartet werden dürfen, der verfügbare Arbeitsspeicher oft stark limitiert ist und Latenzen oder Performance-Einbußen absolut inakzeptabel sind.
Um diese Hürden technisch zu meistern, setzen moderne Ansätze auf spezialisierte Methoden:
Virtuelles Patching: Diese Technologie legt eine Art Schutzschild vor bekannte Schwachstellen der Anlage. Sie wehrt Angriffe auf Systemebene ab, ohne dass das Betriebssystem der Maschine selbst aktualisiert oder berührt werden muss.
Anwendungskontrollen: Strenge Richtlinien sperren die Ausführung unbekannter Prozesse. Es wird exakt vorgegeben, welche Programme legitim sind. Jeder Versuch, unautorisierte Software (wie etwa Ransomware-Routinen) zu starten, wird von vornherein blockiert.
Prävention auf Netzwerkebene: Der industrielle Datenverkehr und protokollspezifische Kommunikationen werden in Echtzeit inspiziert. Schädliche Befehle werden erkannt und blockiert, bevor sie die kritische Hardware überhaupt erreichen.
Die Entscheidung zwischen dem hastigen Austausch oder dem intelligenten Schutz kritischer Legacy-Systeme ist weitaus mehr als eine reine Kostenabwägung. Es geht um die strategische Frage, wer den Zeitplan der industriellen Modernisierung bestimmt. Ein krisengetriebener Systemaustausch im Falle eines Cyberangriffs setzt die Angreifer an das Steuer. Eine proaktive, strategische Verlängerung der Lebensdauer durch passgenaue OT-Security holt die Kontrolle zurück in die Hände der Produktionsverantwortlichen.
Unternehmen, die diesen Weg gehen, vermeiden nicht nur Austauschkosten in Millionenhöhe pro geschütztem System, sondern gewinnen auch Jahre an wertvoller Zeit, um Investitionen in die Modernisierung strategisch und nach ihren eigenen geschäftlichen Prioritäten zu planen. So erhalten sie die betriebliche Stabilität, sichern mühsam erarbeitete behördliche Validierungen und schützen das unschätzbare Know-how ihrer Belegschaft. Der Schlüssel liegt darin, diese Entscheidungen proaktiv zu treffen, solange alle Handlungsoptionen offenstehen – denn sobald ein Cyber-Vorfall das Handeln erzwingt, schwinden die Möglichkeiten und die verbleibenden Alternativen werden drastisch teurer.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Morris Becker ist Regional Director DACH bei TXOne Networks.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/2f/412f490bc0b9e8199b275716dc55e08a/0131963630v2.jpeg "Angreifer nutzen kritische Lücken in Fortinets Sicherheits-Appliance FortiSandbox aus. Korrigierte Firmware steht seit April bereit, Betreiber sollten umgehend aktualisieren. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e8/d8/e8d8fc279ab506c111e3ea6337c42111/0131857480v2.jpeg "Der neu entdeckte DoS-Angriff HTTP/2 Bomb erschöpft den Webserver-Arbeitsspeicher binnen Sekunden. Für IIS, Envoy und Cloudflare Pingora fehlt bislang ein Patch. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/8d/428dc0efc2c83df53175fd9c7184e9fd/0131903746v1.jpeg "Über acht Terabyte an unverschlüsselten Passwörtern, Benutzernamen und E-Mail-Adressen waren zeitweise frei im Netz zugänglich. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6c/f8/6cf8b167fef62b623afaa3e74ca6d7f6/0131970576v2.jpeg "Veraltete OT-Systeme sind leichte Ziele für Angreifer, ein Austausch kostet Millionen. OT-Security sichert Anlagen und verschafft Betreibern Zeit für strategische Modernisierung. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/49/35498e1a8647fe1deeeb2461fcfd96a6/0131799168v1.jpeg "Der neu gegründete Safenet-Verband fordert scharfe Kontrollen für importierte Internet-Netzwerkgeräte in Europa. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c1/c3/c1c354b621abf753d1a9d25327fb50e4/0131494583v1.jpeg "Gemeinsam mit CUbIQ Technologies bringt HPE Quantensicherheit über ein QKD-Pluggable-Modul in Router und Switches. (Bild: © Warakorn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/43/dc/43dc60320bffd0e5055e6f3bede22603/0131919993v2.jpeg "Falco greift als kernelnaher Agent direkt auf Systemaufrufe laufender Kubernetes-Container zu. So erkennt das Tool ungewöhnliche Aktivitäten, die statische Sicherheitsscans nicht erfassen. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/da/96da192108efdc9515535582777ce86f/0131919816v2.jpeg "Die kritische Schwachstelle CVE-2026-20253 in PostgreSQL-Sidecar von Splunk Enterprise wird aktiv ausgenutzt. (Bild: © Santiago - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/61/0a/610a13004541d94603f357c25ff10033/0131829821v2.jpeg "Die Mini-Shai-Hulud-Kampagne erreicht mit der Miasma-Welle den Python Package Index. Manipulierte Wheels stehlen bei jedem Python-Start Cloud- und Entwicklerzugangsdaten. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/67/cb/67cb45f559ebb65b6989574c73c7e9a8/0131822268v2.jpeg "Fragmentierte IAM-Landschaften schaffen Angriffsflächen, die klassische Sicherheitsmaßnahmen nicht adressieren. Identity Fabric orchestriert bestehende Systeme und macht Zero Trust konsequent umsetzbar. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/66/71661611e59b8408605b7db7dcbec0e4/0131759983v2.jpeg "Die Hälfte der ISX-Tour ist geschafft: Nach München geht es jetzt weiter nach Hamburg und Düsseldorf. (Bild: Vogel-IT Akademie)")
:quality(80)/p7i.vogel.de/wcms/ef/02/ef026ebbc177a0ce4de09becbf79d5ac/0131660873v1.jpeg "Historisch gewachsene IT-Architekturen erweisen sich für die fortschreitende Digitalisierung als Bremsklotz. (Bild: © kiimoshi - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/38/73/38736859f3bbd53b9fc6edcc8f372f1a/0131559499v1.jpeg "Der ATHENE Startup Award UP26@it-sa richtet sich an junge Cybersecurity- und Datenschutz-Startups aus Deutschland, Österreich und der Schweiz. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/e7/dce7048477ac2b6f9d1411475c2fef78/0131183563v1.jpeg "Malware wie Viren, Würmer und Trojaner ist Software, die nur für den Zweck erzeugt wird, Schaden anzurichten. (Bild: Olemedia via Getty Images Signature)")
:quality(80)/p7i.vogel.de/wcms/a3/7d/a37d1d1261dbe550bbc86876a966b983/0131028980v1.jpeg "Netzwerke brauchen besonderen Schutz. Dieser Schutz muss für interne und externe Verbindungen, z.B. mit mobilen Geräten und Cloud-Services, sichergestellt sein. (Bild: Pixabay / CC0 )")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b8/8c/b88c9a0aab945495440412ada3fe9929/0130446469v2.jpeg "Eine Honeypot-Analyse von Forescout zeigt: Zwei Drittel aller OT-Angriffe richten sich gegen Netzwerkperimeter-Geräte wie industrielle Router und Firewalls. (Bild: © vladimircaribb - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/45/b44566421cbd0fd6b11fc28219b93db8/0126652168v2.jpeg "Ein sicherer Wiederanlauf nach Cyberangriffen wird für ICS und OT mit NIS2, CRA und IEC 62443 verbindlich vorgeschrieben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/f3/d2f36438bf20929068e40aeaef2a3a31/0127820650v2.jpeg "Der wirksame Schutz von kritischen Infrastrukturen erfordert eine konsequent segmentierte, mehrschichtige Sicherheitsstrategie mit starker Authentifizierung, begrenzten Fernzugriffen, kontinuierlicher Überwachung und klar getrennten IT-, OT- und IoT-Netzwerken. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/4b/844bc2a9c52a3237fbf611ab0447ad73/0127824516v2.jpeg "31.500 Laptops, die noch mit Windows 7 liefen, werden vom britischen Umwelt- und Landwirtschaftsministerium nun durch Windows 10 ersetzt. Doch dieses erhält ebenfalls keine Sicherheitsupdates mehr. (Bild: frei lizenziert Gerd Altmann)")