Produktionsumgebungen können nicht mal einfach so IT-Sicherheitslösungen übergestülpt werden. Doch was macht die OT besonders? Und was unterscheidet sie von der IT-Sicherheit?
IT und OT sind kernverschieden und nicht jede IT-Sicherheitslösung kann in Produktionsumgebungen eingesetzt werden.
(Bild: VK Studio - stock.adobe.com / KI-generiert)
Die Verlockung, eine IT-Sicherheitslösung auf den gesamten Betrieb auszudehnen, ist groß. Man hat bereits seine Firewalls, Viren-Scanner und dergleichen, da lässt sich ein Upgrade schnell mit dem Hersteller vereinbaren. Außerdem werben viele IT-Sicherheitsanbieter mittlerweile auch mit OT-Sicherheitslösungen. Wer diesen Weg aber beschreitet, der kann irren und seine OT-Umgebung in große Gefahr bringen – die Produktionsumgebung samt ihrer vernetzten Maschinen. Es mag durch die IT-OT-Konvergenz und Industrie 4.0, über die viel geredet wird, zwar zu einem Verschwimmen der Grenzen kommen, doch es handelt sich dennoch um zwei Welten des Schutzes digitaler Geräte. Es ist nicht ratsam, zu einer IT-Sicherheitslösung zu greifen, die im OT-Gewand daherkommt. Stattdessen braucht es spezifische OT-Lösungen, von denen es allerdings nur wenige am Markt gibt, weshalb man sie übersehen könnte. Aus diesem Grund sollten die OT-Entscheider wissen, was eine native OT-Sicherheitslösung kennzeichnet.
Ausfallsicherheit steht in der OT an oberster Stelle
Schon der Ansatz ist verschieden: Die IT-Sicherheit arbeitet nach der CIA-Triade: Confidentiality, Integrity und Availability. Die OT dreht das Prinzip um. Sie stellt die Availability, also Ausfallsicherheit, nach vorne. Manche OT-Fachleute schreiben ein S für Safety davor, also SAIC. Hinzu kommt die plötzliche Vernetzung vieler Maschinen, die nie darauf ausgelegt worden sind, aber immer noch ein wichtiger Bestandteil des Maschinenparks sind, denn Maschinen kann man nicht einfach austauschen, wie einen Computer in der Büro-IT. Zum einen sind die Maschinen sehr teuer, zum anderen würde das ein Abschalten erfordern, was die gesamte Produktion zum Stillstand bringen kann – das ist oft unbezahlbar.
Hinzu kommt, dass viele Maschinen mit veralteten Betriebssystemen ausgestattet sind. Auch hier ist ein Upgrade aus den gerade erläuterten Gründen nicht ohne weiteres möglich – und ein Anschluss an das Internet war nie vorgesehen, weshalb Sicherheits-Patches entweder nie existiert haben oder nicht mehr erstellt werden. So findet man in vielen Fabriken zum Beispiel noch Windows XP, sowie ältere Betriebs-Systeme der Firmen Schneider, Siemens, ABB und dergleichen, denn eine Maschine, die läuft, fasst man nicht an. Einen automatisierten Patch-Tuesday gibt es daher in der OT nicht.
Echte OT-Lösungen arbeiten mit eigener Technologie: Sie kennen den Hardware-Bypass, der auf eine normale Hutschiene passt, um die Produktion trotz Wartung aufrecht zu erhalten. Dieser schaltet die Maschine passiv, wodurch sie in der Produktion mitlaufen kann, während ihr System heruntergefahren wird, um etwas zu prüfen, oder ein Update einzuspielen. Die Sicherheit wird dabei für diesen kurzen Zeitraum abgeschaltet, dies ist das Risiko, aber sie sitzt noch hinter den übergeordneten Sicherheitsmaßnahmen des OT-Netzwerkes – und sie arbeitet. Somit ist bei einem Update kein Neustart der gesamten Maschine notwendig. Das ist ein großer Unterschied zur Büro-IT: Der Ausfall eines Computers lässt sich verkraften, aber der Ausfall nur einer Maschine kann ein Fließband zum Stehen bringen.
Wenn zum Beispiel eine IT-Firewall in der Produktion eingesetzt wird, die nach einem Update einen Neustart braucht, der mehrere Minuten dauert, dann steht die Produktion still. Bei einem Plastik-Hersteller würde die gesamte Ware vor dem Gießen aushärten. Ein tatsächlich stattgefundener Ausfall kostete rund zwei Millionen Euro, weil das IT-System wegen einiger CVE-Schwachstellen mehrmals aktualisiert werden musste, was die Produktion stoppte.
IT-Lösungen müssen für ein Update einer Firewall den OSI-Layer 3 mit IP-Adressen nutzen. Die Administratoren müssen zur Konfiguration daher diese Adressen, sowie das Netzwerk, dessen Architektur und sämtliche Datenströme herausfinden. Dieses Sammeln kann Monate oder Jahre lang dauern. Echte OT-Lösungen dagegen lassen sich auf dem OSI-Layer 2 integrieren. Das bedeutet, dass sie einfach über ein Kabel zwischen Switch und Maschine gesteckt werden. IP-Adressen brauchen sie nicht. Es reicht, die Module umzustecken, schon ist die Lösung im Kern eingebunden. Das führt zu folgendem Ablauf: Die OT-Leute stecken die Kabel für die Sicherheitsmodule um, lassen dann die Sicherheitskomponenten lernen und fahren anschließen anhand von Vorschlägen die Sicherheit hoch. Während all dieser Zeit arbeitet die Maschine einfach in der Produktion weiter.
Produktionsumgebungen brauchen keine Cloud-Anbindung
Betrachtet man Endpunkt-Sicherheit, dann sind zudem fast alle IT-Endpunktlösungen an eine Cloud angeschlossen worden, sind EDR-Systeme, mit einem Data Lake verbunden oder laufen nur auf neuen Windows-Systemen, gemäß den Anforderungen der Büro-Umgebungen. Dort kann man die Computer aktualisieren und neue Betriebssysteme aufsetzen, doch die OT-Welt sieht anders aus: Der Hersteller liefert eine Maschine mit einem bestimmten Betriebssystem aus und hier endet die Anpassungsmöglichkeit. Aus diesem Grund können echte OT-Sicherheitslösungen alte Industrie-Betriebssysteme aller Art abdecken und brauchen keine Cloud-Anbindung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Darüber hinaus geht die Verhaltensanalyse in der IT auf das Verhalten eines Benutzers sowie des Angreifers ein, um Muster zu erstellen. Die OT aber arbeitet nach dem Prinzip „Asset Centric“ und stellt somit das Verhalten der Maschine in den Mittelpunkt, denn eine Maschine verhält sich nach der Inbetriebnahme streng nach den Werkseinstellungen, und so können die Maschine, auch ohne Cloud-Anbindung, überwacht und alle Abweichungen als Anomalie gemeldet werden.
Hinzu kommt, was viele vergessen, dass man als Unternehmer auf Maschinen oft nichts installieren kann oder darf, weil dies die Haftung berühren würde. Die OT-Sicherheit muss sich damit auseinandersetzen und daher brauchen OT-Entscheider eine externe Lösung, wie einen tragbaren Malware- oder Schwachstellen-Scanner, um die Maschine auf Fehler und Malware zu prüfen.
Zero Trust in der OT
In der OT gibt es zu Zero Trust keine Definition, aber das Prinzip lässt sich übertragen: IT-Zero-Trust stellt den Anwender in den Mittelpunkt, OT-Zero-Trust die Maschine. Während in der IT angegriffene Bereiche in eine Quarantäne geschoben und das Gerät somit aus dem Spiel genommen werden, lässt sich das mit Maschinen nicht bewerkstelligen. Sonst bliebe die Produktion stehen. Darum wird der Prozess an sich betrachtet. Ein Angriff wird abgefangen, der Prozess isoliert, doch die Maschine arbeitet weiter. Darum liegt der Fokus immer auf dem laufenden Betrieb und seinen Anomalien.
Auch das Virtuelle Patching muss anders betrachtet werden: Es gilt, die Vielfalt sowie das Alter der Betriebssysteme zu beachten, denn in der OT gibt es mehr als Linux-, Mac- und Microsoft-Systeme. Ein typisches IPS (Intrusion Prevention System) aus der IT aber ist immer auf Microsoft, Adobe und andere übliche Hersteller ausgelegt worden. OT-Umgebungen dagegen brauchen ein echtes OT-IPS für Industriesysteme wie ABB, Schneider, Siemens und andere. Die Stolperfalle hier: Manche Hersteller verkaufen allgemein ein IPS, doch das meint immer ein IT-IPS, während das OT-IPS, wenn überhaupt bekannt, zugebucht werden müsste.
IT-Sicherheit ist eben nicht einfach auf die OT-Sicherheit zu übertragen. Wer diesen Denkfehler begeht oder sich von der Werbung täuschen lässt, der gefährdet seine Produktionsumgebung. Es lohnt sich daher der Gang zum OT-Spezialisten, der OT-native Sicherheitslösungen anbietet und daher mit dieser eigenen Welt wirklich vertraut ist. Hier zählt Ausfallsicherheit am höchsten, denn eine stehende Maschine kann die gesamte Produktion zum Erliegen bringen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/24/4f/244fa2688152941d7d2f8f320e2b1f15/0121183196v2.jpeg "Zwar setzen Unternehmen mehr Monitoring für ihre OT-Umgebungen ein, doch generell sind die meisten schlecht auf Cyberangriffe vorbereitet. (Bild: wladimir1804 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/b3/07b36399c96698dcfaef2c686b3e20bc/0120896064v3.jpeg "Die Hälfte aller Unternehmen nutzen Remot-Access-Tools in OT-Umgebungen, dabei sind viele der Tools nicht für den Unternehmenseinsatz geeignet (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/ea/35ea0341f107310acd25876683c51860/0110812120.jpeg "Das neue eBook „Security anywhere“ erklärt nicht nur, wie Zero Trust funktioniert, sondern auch, wo Zero Trust seine Grenzen hat. (Bild: Romolo Tavani - stock.adobe.com - Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933900/1933901/original.jpg "Die Konvergenz von OT und IT wird in eine Konvergenz der verschiedenen Security-Projekte und der Security-Teams münden. Nur dann kann Industrie 4.0 mit Sicherheit zum Erfolg werden. (wladimir1804 - stock.adobe.com, Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/32/65/32654f010e012ba572e250df890b4ca3/0127688944v2.jpeg "Künstliche Intelligenz wird zum entscheidenden Faktor in der Cyberabwehr: Zero Trust, KI-basierte Erkennung und integrierte Endpoint-Security bilden gemeinsam die neue Verteidigungslinie. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/0b/4c0b6458534b75394ae5a03de2370eb1/0125277546v2.jpeg "Für Verizon ist klar: Nur eine sichere Fertigung ist eine produktive Fertigung. (Bild: DIgilife - stock.adobe.com)")