Warum OT-Endpunkte zum Sicherheitsrisiko werden

Seriell-zu-IP-Konverter und Edge-Bridges absichern

Seriell-zu-IP-Konverter transportieren in Umspannwerken, Wasseraufbereitungsanlagen, CNC-Fertigungsstraßen, Schienensignalanlagen und in der Patientenüberwachung digitale Werte von RTUs (Remote Terminal Unit), Relais, PLCs (Programmable Logic Controller) oder Bedside-Monitoren ins IP-Backbone. Die BRIDGE:BREAK-Forschung von Forescout weist in diesem Fall 22 neue Schwachstellen in Geräten der Lantronix-EDS-Reihe und in Silex SD-330AC nach. Zehntausende dieser Konverter sind online im Netz erreichbar, häufig mit Standard-Zugangsdaten und ohne Patch-Historie.

Das Gefahrenpotenzial ist physischer Natur: Angreifer können Sensorwerte für Druck, Durchfluss oder Vitaldaten manipulieren, bevor diese SCADA- oder Monitoring-Systeme erreichen. Umgekehrt lassen sich Aktuator-Befehle verfälschen, was direkte Auswirkungen auf die Anlagensicherheit hat.

Strategie zur Absicherung:

• Inventarisierung: Erfassung nach Hersteller, Firmware und Segment.
• Härtung: Deaktivierung unverschlüsselter Dienste (HTTP, Telnet) und Migration auf SNMPv3.
• Isolation: Platzierung in streng reglementierten Segmenten mit Kommunikation ausschließlich zum SCADA-System.
• Validierung: Einsatz von OT-Gateways mit Deep Packet Inspection (DPI), die Telegramme gegen Referenzmodelle prüfen.

Mikrosegmentierung: Den Schaden nach dem Angriff begrenzen

Mikrosegmentierung setzt dort an, wo die klassische Perimetersicherheit versagt. Anstelle flacher VLANs werden Durchsetzungspunkte direkt auf Geräte- oder Workload-Ebene verteilt. Laut Gartner werden bis Ende 2026 rund 60 Prozent der Unternehmen Zero-Trust-Architekturen mit multiplen Formen der Mikrosegmentierung nutzen. Das NIST-Framework SP 800-207 ordnet Mikrosegmentierung als zentralen Kontrollpunkt innerhalb einer Zero-Trust-Architektur ein.

Der Weg zur Umsetzung:

• Passive Flow-Map: Über NetFlow, sFlow oder SPAN-Ports wird die Ist-Kommunikation dokumentiert.
• Klassifikation: Systeme werden nach Funktion und Risiko in Zonen (z. B. Produktion, Medizintechnik, IoT-Sensoren) eingeteilt.
• Monitor-Modus: Das Regelwerk wird zunächst ohne Blockierung getestet, um Fehlalarme auszuschließen.
• Enforcement: Umschalten auf Default-Deny, wobei jede Verbindung eine explizite Erlaubnis benötigt.

Zwischen der IT und den sensiblen Bereichen (Produktion/Medizintechnik) müssen zudem die klassischen Trennungen gemäß IEC 62443 mit DMZs und Jump-Hosts bestehen bleiben. In einer modernen Architektur darf es keinen direkten Pfad mehr vom Office-Client zur SPS geben.

Lehren aus der Praxis

Im Lagebericht 2025 hat das BSI durchschnittlich 119 neu bekannte Schwachstellen pro Tag gezählt, was einem Zuwachs von 24 Prozent gegenüber der Vorperiode entspricht. 48 Prozent der KRITIS-Betreiber verfügen über kein hinreichend reifes System zur Angriffserkennung. Laut ENISA Threat Landscape 2025 macht die Ausnutzung bekannter Schwachstellen 21,3 Prozent aller Initialzugriffsvektoren aus und liegt damit hinter Phishing mit 60 Prozent, aber deutlich vor gestohlenen Credentials.

Wie kritisch eine unzureichende Segmentierung sein kann, zeigte der koordinierte Cyberangriff auf den polnischen Energiesektor Ende 2025: Exponierte Management-Schnittstellen dienten dabei als Eintrittstor, von dem aus sich die Angreifer ungehindert in unzureichend segmentierte OT-Netze ausbreiten konnten.

Besonders im Gesundheitswesen verschärft sich die Lage: Medizinische Geräte können bereits ab Werk infiziert sein und versuchen, Schadcode aus dem Internet nachzuladen. Eine konsequente Netztrennung ist hier nicht mehr nur eine Frage der Datensicherheit, sondern des Patientenschutzes.