IT-Sicherheit für OT-UmgebungenSchwachstellenforschung für die industrielle Cybersicherheit
Von
Galina Antova und Amir Preminger
Forschungs-Communities zur IT-Sicherheits gibt es schon lange. Sie teilen ihre Erkenntnisse untereinander und mit den Herstellern der betroffenen Produkte, um Korrekturen zum Schutz der Benutzer zu fördern. Längst sehen auch die Hersteller diesen Beitrag als nutzbringend an und bieten oft auch Bug-Bounty-Programme, durch die Forscher finanziell motiviert und honoriert werden. Aber wie sieht es mit den Forschern aus, die sich auf die für kritische Infrastrukturen relevanten Schwachstellen konzentrieren?
OT-Systeme und -Geräte können nicht mehr als bloße Kisten behandelt werden. Deshalb gilt es das Wachstum von Forschungs-Communities fördern, um die industrielle Cybersicherheit zu stärken.
(Bild: greenbutterfly - stock.adobe.com)
Angesichts einer entscheidenden Phase für kritische Infrastrukturen, die durch die Beschleunigung der digitalen Transformation, gezielte Ransomware-Angriffe und ausgeklügelte Angriffe auf die Lieferkette gekennzeichnet ist, besteht ein dringender Bedarf an Forschungsgemeinschaften, die sich auf Betriebstechnik (OT) und industrielle Kontrollsysteme (ICS) konzentrieren. Auch wenn diese Gemeinschaften erst im Entstehen begriffen sind, wirken sie sich schon jetzt positiv auf die industrielle Cybersicherheit aus. Aber was ist nötig, damit sie sich etablieren und wachsen können?
Herausforderungen
Traditionell handelte es sich bei der OT um eine geschlossene Umgebung. Die Netze laufen auf proprietären Protokollen, ältere Geräte sind weit verbreitet und ICS-Geräte sind auf eine bestimmte Funktion ausgerichtet. Ein proprietärer Bereich, in dem der Zugang zu den Geräten schwierig ist, erschwert die Überprüfung durch Fachkollegen. Infolgedessen sind die Forscher größtenteils eigenmotiviert. Sie bestehen aus Exploit-Forschern, die durch den Nervenkitzel der Jagd auf Angreifer angespornt sind, und aus Forschern, die in erster Linie ihr Verständnis der Arbeitsweise von Angreifern verbessern wollen, um das Sicherheitsniveau zu erhöhen.
Heutzutage verändert sich die OT-Umgebung schnell und ist anfälliger für Angriffe, da stark vernetzte cyber-physische Systeme (CPS) zur Norm werden. Mit der Beschleunigung des erweiterten IoT (XIoT), das OT, Industrial IoT (IIoT), Internet of Medical Things (IoMT) und Enterprise-IoT umfasst, sind immer mehr kommerzielle Unternehmen und Open-Source-Tools im OT-Ökosystem vorzufinden. Das Identifizieren von Schwachstellen sowie die Bewertung und das Management von Risiken sind komplexer denn je. Deshalb ist es von größter Bedeutung, mehr Forscher zu ermutigen, ihr Fachwissen und ihre Erkenntnisse zu teilen.
Aktueller Stand
Glücklicherweise setzt sich im öffentlichen und privaten Sektor zunehmend die Erkenntnis durch, dass Sicherheit ein Teamsport ist. Die Executive Order des Weißen Hauses und mehrere Schlüsselinitiativen der US-amerikanischen Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) zeigen, dass die Hindernisse für den Austausch von Informationen über Bedrohungen und eine verstärkte Zusammenarbeit beseitigt werden sollen. Dies hat weltweiten Vorbildcharakter.
Da mehr als 60 Prozent der Industrieunternehmen die OT- und IT-Governance unter dem CISO zentralisieren, beginnen die Unternehmen, Sicherheitsbewertungen und mehr Penetrationstests ihrer OT-Umgebungen durchzuführen. Betreiber von Anlagen analysieren die Sicherheit kommerzieller Geräte, um ein technisches Verständnis dafür zu erlangen, wie Software und Systeme angreifbar werden. Hierbei hat sich das MITRE/ICS-Framework schnell zu einer wichtigen Ressource entwickelt.
Mit der weit verbreiteten Erkenntnis, dass Wissen Macht bedeutet, entstehen immer mehr Bug-Bounty-Programme. So wurde die Zero Day Initiative (ZDI), das weltweit größte herstellerunabhängige Bug-Bounty-Programm, auf OT ausgeweitet und verzeichnet wachsendes Interesse.
Vieles in der OT-Sicherheitsforschung ist noch Neuland, das aber immer weiter erschlossen wird. Immer mehr führende Hersteller von OT-Geräten entwickeln ausgefeilte interne Programme, um proaktiv nach Schwachstellen zu suchen. In der zweiten Jahreshälfte 2021 war ein Anstieg von 35 Prozent bei den Anbietern zu verzeichnen, die interne Untersuchungen durchführen, und ein Anstieg von 76 Prozent bei der Anzahl der Schwachstellen, die im Rahmen dieser Programme offengelegt wurden.
Ausblick
Auch wenn bereits deutliche Fortschritte zu erkennen sind, gibt es noch zahlreiche weitere Möglichkeiten, um die Verbreitung von Forschungs-Communities zu fördern und einen zusätzlichen Nutzen aus ihren Erkenntnissen zu ziehen.
1. Aufwertung des Profils von OT-Ingenieuren: Früher wurden OT-Geräte als statische Hardware betrachtet, doch heute besteht die OT aus kritischen, softwaregesteuerten Systemen, die sich mit dem XIoT weiterentwickeln müssen. Mit diesem Paradigmenwechsel werden OT-Ingenieure zunehmend als technisch versiert wahrgenommen und ihr Verständnis für Schwachstellen ist für die Stärkung der Sicherheitslage im Zeitalter der digitalen Transformation von entscheidender Bedeutung. Wir müssen Ingenieure weiterhin dazu ermutigen, DevSecOps von der OT-Seite aus als Dreh- und Angelpunkt für die Sicherung der industriellen Wirtschaft voranzutreiben.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
2. Schließen der Bug-Bounty-Lücke zwischen IT und OT: Die Anbieter sollten zusätzliche Programme auflegen, um durch finanzielle Belohnungen und Anerkennung Anreize für mehr OT-Forschung zu schaffen. Da Angriffe auf kritische Infrastrukturen Auswirkungen auf Existenzen und Leben haben, ist es entscheidend, dass viele versierte Forscher mit ihnen zusammenarbeiten, um Angreifer zu bekämpfen.
3. Partnerschaften zum Abbau von Zugangsbarrieren: Um die Forschung zu unterstützen, sollten die Anbieter Initiativen ergreifen, um ihre Geräte für Forscher zugänglicher zu machen. Es ist vielleicht eine unkonventionelle Idee, aber Anbieter, die OT/ICS-Anlagen und -Umgebungen sichern, sollten Partnerschaften eingehen, um den Zugang zu ihren Geräten untereinander zu teilen. Angesichts des enormen Umfangs von Schwachstellen und des inhärenten Risikos des XIoT ist es an der Zeit, die Kräfte zu bündeln. Damit ist letztlich allen geholfen.
4. Bereitstellen von praxisorientierten Anleitungen: Anbieter sollten nicht davon ausgehen, dass die Offenlegung einer Schwachstelle gleichbedeutend mit einem Patching ist. In Anbetracht der Patching-Zyklen, der Priorisierung der Betriebszeit und der Prävalenz von Altsystemen ist ein Patching möglicherweise nicht praktikabel. Es bedarf einer anderen Art der Risikobetrachtung und Risikominderung durch kompensierende Kontrollen, einschließlich besserer Segmentierung, sicherem Fernzugriff und Erkennungstools. Schließlich sollte das Endergebnis einer gemeldeten Schwachstelle darin bestehen, die OT-Umgebung so schnell wie möglich sicherer zu machen.
In dem Maße, wie kritische Infrastrukturen in die Cloud verlagert werden und das XIoT-Universum sich weiter ausbreitet, wächst auch die Risikoanfälligkeit. OT-Systeme und -Geräte können nicht mehr als bloße Kisten behandelt werden. Angreifer sehen sie nicht auf diese Weise, entsprechend dürfen es auch nicht die Sicherheitsverantwortlichen. Deshalb müssen wir das Wachstum von Forschungs-Communities fördern, um die industrielle Cybersicherheit zu stärken – und zwar schnell, denn wir haben keine Zeit zu verlieren.
Über die Autoren
Galina Antova ist Mit-Gründerin und Chief Business Development Officer von Claroty. Amir Preminger ist VP Research von Claroty.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d1/c3/d1c3ea28cb57ef0c781c3a2ffdb64873/0129392960v2.jpeg "Sicherheitsforschende haben eine Schwachstelle in Google Gemini entdeckt, bei der böswillige Akteure eine unauffällige Payload in eine Kalendereinladung einbetten, die es ihnen ermöglicht, die Datenschutzmaßnahmen zu umgehen und sensible Daten des Nutzers zu stehlen, ohne dass dieser interagieren muss. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/5f/ce/5fceb535aae0ba446c45d422e7c0c740/0129495522v2.jpeg "Kommt der Wunsch nach einer Nachbesserung der DSGVO einer Aufweichung des Datenschutzes gleich? (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/85/eb/85ebcb9d59c789244b0672056a79aa6d/0129519820v2.jpeg "Europas Cybersecurity-Startups erfinden die Abwehr neu: Auf dem Web Summit in Lissabon stellten junge Unternehmen aus Portugal, Deutschland und Estland Lösungen für Post-Quantum-Bedrohungen, souveräne KI und explodierende Cloud-Risiken vor. (Bild: © Bundi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/31/cf/31cfd2b3ca1f33fa50c7a723c6c41d0c/0123901295v2.jpeg "Die Hacker-Community verlässt zunehmend das Nerd-Image und findet legale, profitable Einkommensquellen. Zudem erlebt das Hardware-Hacking aktuell eine Renaissance – eine Rückkehr zu den eigenen Wurzeln. (Bild: AIPERA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/42/f242d4d6e27cd8a61db781b0ff706c8d/0126172371v2.jpeg "Seit 20 Jahren suchen die Forscherinnen und Forscher der Zero Day Initiative nach Zero-Day-Sicherheitlsücken, um das Internet sicherer vor Cyberangreifern zu machen – ein Meilenstein zu dem wir gerne gratulieren! (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")