Pattarin - stock.adobe.com

Feature

OT-Altlasten in der Produktion: Risiken und Gegenmaßnahmen

Alte OT-Anlagen laufen stabil, sind aber ein Sicherheitsrisiko. Nötig sind Zonen und Conduits nach IEC 62443, stabile Updates, Backups, Lieferantenchecks sowie Meldewege nach NIS2.

Michael Eckert
von
Zuletzt aktualisiert:08 Sept. 2025

Viele Produktionsanlagen laufen seit Jahren stabil – und sind dennoch angreifbar. Während die mechanische Robustheit dieser Systeme oft noch über jeden Zweifel erhaben ist, sehen Cybersicherheitsexperten wachsende Probleme. Früher als isolierte Insellösungen konzipiert, sind viele Anlagen heute über Netzwerke mit der Unternehmens-IT, mit Lieferkettenpartnern oder dem Internet verbunden – und damit potenziell angreifbar.

Eine Befragung von 211 Produktionsbetrieben in Deutschland im Juli/August 2025 durch techconsult im Auftrag von Sophos bestätigt diesen lange bekannten Zielkonflikt: OT-Systeme sind langlebig, aber sicherheitstechnisch oft überholt. Knapp die Hälfte der befragten Firmen nutzt Steuerungen seit fünf bis zehn Jahren weiter, elf Prozent sogar seit mehr als zehn Jahren. Zwar patchen viele Firmen regelmäßig, sie berichten aber zugleich von ungeplanten Stillständen nach Updates – ein klassisches Sicherheit vs. Verfügbarkeit-Dilemma. Dieser Artikel ordnet die Zahlen ein und ergänzt sie um Standards, Regulierung und praktikable Maßnahmen jenseits einzelner Herstellerempfehlungen.

Alter OT-Bestand erhöht die Angriffsfläche

International zeigen Analysen, dass die Fertigungsindustrie und andere Industriebranchen überdurchschnittlich von Ransomware und Betriebsunterbrechungen betroffen sind. Der im Bereich industrielle Sicherheit tätige Anbieter Dragos verzeichnete 2024 einen deutlichen Anstieg von Ransomware-Gruppen, die auf Industrieorganisationen zielen; am stärksten betroffen war die Fertigung.

Auch die ENISA stuft Verfügbarkeitsangriffe als zentrales Risiko ein und hebt Ransomware als prägende Bedrohung hervor. Für Betreiber bedeutet das: Jede zusätzliche Remote-Anbindung, jede alte Komponente ohne zeitnahe Patches und jede unklare Asset-Landschaft vergrößert die Angriffsfläche.

Patchen ohne Produktionsstillstand

Dass Updates in der Fertigung zu Unterbrechungen führen können, ist keine Seltenheit: Steuerungen, Bedienpanels, Engineering-Workstations und Historian-Server (Zeitreihen-Datenbanken) sind in der Produktion funktional eng verzahnt, sodass Änderungen an einer Komponente die anderen oft mitbetreffen. Best Practices empfehlen daher ein abgestuftes Vorgehen:

  • Systematische Risikoanalyse und Change-Control: Updates nach Risiko und Kritikalität priorisieren; Änderungen dokumentieren und rückbaubar machen.
  • Testumgebungen/Digital Twin, Wartungsfenster, Fallback-Pläne: Patches vorab testen, definierte Wartungsfenster nutzen und ein Backout-Prozedere bereithalten.
  • Kompensierende Kontrollen bei nicht patchbaren Altgeräten: Härtung, Application-Allow-Listing, strikte Netzwerkpfade, Protokollfilter und entkoppelte Remote-Zugriffe.

NIST SP 800-82 Guide to Industrial Control Systems (ICS) Security (PDF) fasst diese Prinzipien für ICS allgemein zusammen und ist – auch im europäischen Kontext – eine nützliche technische Referenz.

Segmentierung nach IEC 62443: Zonen und Conduits

Die in OT-Netzen am weitesten verbreitete Architekturleitlinie liefert die IEC 62443 mit den Kernelementen Zonen (Gruppen von Assets mit gleichen Sicherheitsanforderungen) und Conduits (definierte, kontrollierte Verbindungen zwischen Zonen). Daraus folgt eine klare Trennung von Produktionszellen, Perimeter/DMZ und Office-IT sowie eine feingranulare Kontrolle der Kommunikationspfade, die beispielsweise über industrielle Firewalls, Protokollinspektion oder unidirektionale Gateways technisch umgesetzt wird.

IEC 62443 adressiert zudem Rollen (Asset-Owner, Integrator, Hersteller) und Prozesse über den Lebenszyklus – von der Risikoanalyse (IEC 62443-3-2) über Systemanforderungen (IEC 62443-3-3) bis zur Produkt- und Lieferantenabsicherung (IEC 62443-4-1/-4-2). Für Betreiber ist wichtig: Die Segmentierung folgt dem Risiko und den Prozessgrenzen, nicht nur der physikalischen Verkabelung.

Lieferkette und externe Prüfungen

Viele Vorfälle entstehen über Drittparteien – vom Service-Laptop bis zum Cloud-Konnektor. Das BSI und die ISA empfehlen deshalb, die besonderen OT-Eigenschaften in Verträgen und Prüfungen ausdrücklich zu verankern. Dazu gehören beispielsweise Asset- und Patch-Transparenz, zeitlich begrenzte und überwachte Remote-Zugriffe sowie Nachweise für sichere Entwicklung und Wartung (zum Beispiel nach IEC 62443-2-4/-4-1).

Praxistipp: Nutzen Sie Penetrationstests- und Schwachstellenanalysten mit OT-Erfahrung, denn nicht jede IT-Methode ist in produktionsnahen Netzen gefahrlos einsetzbar. Ein abgestimmter Testplan mit OT/Produktion verhindert Kollateralschäden.

NIS2 in Deutschland: Pflichten und Meldewege

Mit NIS2 weitet die EU die Security-Pflichten auf deutlich mehr Unternehmen aus, darunter Teile der Fertigung, Logistik und Abfallwirtschaft. In Deutschland liegt seit dem 30. Juli 2025 eine Kabinettsfassung des NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes (NIS2UmsuCG, PDF) vor, das parlamentarische Verfahren läuft. Unternehmen sollten sich daher auf neue Pflichten einstellen, zu denen beispielsweise Risikomanagement-Maßnahmen, Management-Verantwortung und Sanktionsrahmen gehören.

Zentral sind die Meldepflichten bei signifikanten Vorfällen: Frühwarnung binnen 24 Stunden, Incident-Meldung binnen 72 Stunden und ein Abschlussbericht binnen eines Monats. Diese Timeline ist direkt in der Richtlinie (Art. 23) verankert und sollte in Notfallhandbüchern und Playbooks fest integriert sein.

ENISA hat zudem technische Umsetzungsleitfäden (PDF) zu den Risikomanagement-Maßnahmen veröffentlicht. Diese sind hilfreich, um evidenzbasierte Kontrollen (zum Beispiel Backups, Notfallübungen, Netztrennung und Schwachstellenmanagement) zu belegen.

Maßnahmen mit hoher Wirkung

Auf Basis der Befragungsergebnisse und der einschlägigen Leitlinien lassen sich priorisierte Schritte ableiten.

  • OT-Asset-Inventar und Sichtbarkeit: Vollständige Inventarisierung inklusive Firmware-Stände und Kommunikationsbeziehungen, kontinuierliches Monitoring.
  • Zonen/Conduits konsequent umsetzen: Produktionszellen, DMZ und Office trennen, nur notwendige Protokolle/Ports, strikte Authentisierung.
  • Update-Strategie mit Rückfallebene: Wartungsfenster, Testumgebung, Restore-Pläne; für unpatchbare Altgeräte kompensierende Kontrollen.
  • Backup jenseits von Daten: Sicherung von Rezepturen, SPS-Programmen, Parametern und Netzwerk-Konfigurationen – offline und unveränderbar.
  • Drittparteien steuern: Verträge mit Security-Klauseln (Zugriffe, Logging, Schwachstellenhandling), regelmäßige Audits/Belege (zum Beispiel IEC 62443-2-4).
  • Meldeprozesse gemäß NIS2: Schwellwerte definieren, Rollen klären, Vorlageformulare und 24/72/30-Tage-Fristen im IR-Prozess (Incident Response) verankern.
  • Schulung und Übungen: OT-spezifische Phishing-Risiken, Wechselmedien-Policies (USB-Kioske) und Notfallübungen mit Produktion und Management.

Fazit

Die Sophos-Umfrage bestätigt, was viele Produktionsbetriebe erleben. Langlebige OT sorgt für Stabilität, aber auch für wachsende Angriffsflächen. Wer Ausfälle durch Sicherheitsupdates vermeiden will, braucht klare Change-Prozesse, getestete Fallbacks und eine Segmentierung, die den Prozessfluss respektiert. IEC 62443 liefert hierfür die Architektur und NIST SP 800-82 die technische Tiefe. Mit NIS2 steigen zusätzlich Pflichten und Dokumentationsdruck. Dies ist ein guter Anlass, Altlasten strukturiert anzugehen, bevor der nächste Vorfall zur Zwangsmodernisierung führt.

Erfahren Sie mehr über IoT, IIoT und Industrie 4.0