Zwei Technologien, zwei Kulturen. Eine Bedrohungslage.

Industrieunternehmen bewegen sich heute in zwei parallelen technologischen Realitäten: der klassischen IT-Welt und der industriellen OT-Welt (Operational Technology). Beide verfolgen unterschiedliche Ziele, basieren auf verschiedenen Systemen und bringen jeweils eigene Herausforderungen mit. In puncto Cybersicherheit sind sie jedoch längst nicht mehr voneinander zu trennen. Während IT-Systeme mit regelmäßigen Sicherheitsupdates, zentraler Benutzerverwaltung und etablierten Schutzmaßnahmen arbeiten, sind viele OT-Umgebungen weiterhin von jahrzehntealten Maschinen und proprietären Steuerungssystemen geprägt. Diese sogenannten Legacy-Systeme laufen oft seit vielen Jahren stabil, wurden aber nie für eine Anbindung ans Internet oder für moderne Sicherheitsstandards entwickelt.

Der große Unterschied: In der IT lassen sich Sicherheitsmaßnahmen verhältnismäßig schnell umsetzen. Ein Client kann vom Netzwerk getrennt, gepatcht oder durch ein Endpoint-Security-System geschützt werden. In der OT hingegen stehen Maschinen, die kontinuierlich produzieren müssen. Jede geplante oder ungeplante Downtime kostet bares Geld. Ganz zu schweigen von sicherheitskritischen Prozessen, bei denen eine Fehlfunktion Menschen oder Umwelt gefährden könnte. Deshalb sind selbst grundlegende Schutzmaßnahmen in OT-Umgebungen oft nur eingeschränkt realisierbar.

Die Herausforderung: Sicherheit ohne Eingriff in den Betrieb

Ein weiteres Problem ist die fehlende Transparenz. Viele Unternehmen wissen nicht genau, welche Systeme sich überhaupt in ihrem OT-Netzwerk befinden – besonders wenn über Jahre hinweg Maschinen ergänzt, getauscht oder angepasst wurden. Auch ein aktuelles Asset-Management ist eher die Ausnahme als die Regel. Kommt es zu einem Sicherheitsvorfall, fehlen die Grundlagen für eine schnelle und gezielte Reaktion.

Zugleich nehmen die Risiken zu. Cyberangriffe auf Produktionsumgebungen sind längst keine Seltenheit mehr. Ob durch gezielte Attacken oder Zufallstreffer - etwa über Phishing-Kampagnen, infizierte USB-Sticks oder kompromittierte Wartungszugänge von Drittanbietern. Viele Systeme lassen sich weder patchen noch segmentieren oder umfassend überwachen. Klassische IT-Lösungen greifen hier nicht oder bringen zusätzliche Risiken mit sich.

Deshalb muss Cybersicherheit in der Industrie neu gedacht werden. Die Lösung liegt nicht im Schutz einzelner Systeme, sondern in einem ganzheitlichen Ansatz, der IT und OT gemeinsam betrachtet.

SOC als Brücke zwischen IT und OT

Ein Security Operations Center (SOC), das sowohl IT- als auch OT-Daten verarbeiten kann, bietet genau diese umfassende Sichtweise. Der erste Schritt ist es, Sichtbarkeit zu schaffen. Dafür kommen spezielle Sensoren zum Einsatz, die den Netzwerkverkehr analysieren, ohne bestehende Maschinensteuerungen zu verändern. So entsteht ein digitales Abbild der OT-Landschaft. Kommunikationsmuster, Geräte, Schwachstellen und potenzielle Angriffsflächen werden sichtbar. Die Sensorik arbeitet passiv auf Netzwerkebene. Der laufende Betrieb bleibt unbeeinträchtigt.

Die gewonnenen Informationen fließen in das SOC, das idealerweise mit der IT-Infrastruktur verbunden ist. Dort lassen sich verdächtige Aktivitäten erkennen - sowohl innerhalb der OT als auch bei Übergängen zur IT, etwa über die Lieferkette oder Schnittstellen zu ERP-Systemen. Eine integrierte Plattform ermöglicht es, Alarme kontextbezogen zu bewerten, Angriffsvektoren zu analysieren und geeignete Maßnahmen einzuleiten. Ziel ist nicht die automatische Reaktion. Gerade in der OT wäre das zu riskant. Stattdessen steht eine gezielte und fundierte Alarmierung der richtigen Stellen im Unternehmen im Vordergrund.

Detection, Analyse, Kontext. Kein Blindflug mehr.

Ein großer Vorteil moderner SOCs liegt in der Fähigkeit, nicht nur Rohdaten zu verarbeiten, sondern auch kontextbezogene Informationen zu nutzen. Dazu gehören Daten aus vorhandenen OT-Security-Systemen oder Schnittstellen zu Lieferanten. So lassen sich auch Supply-Chain-Angriffe besser erkennen - also Bedrohungen, die über Dritte in das Unternehmen gelangen. Voraussetzung ist, dass die entsprechenden Systeme Logs liefern oder Schnittstellen bereitstellen, über die sich Daten erfassen lassen.

Im Gegensatz zur IT gibt es für OT-Umgebungen keine universelle Detection-Rule-Bibliothek. Die eingesetzten Systeme und Produktionsprozesse sind zu verschieden. Die Regeln zur Angriffserkennung müssen individuell auf die jeweilige Umgebung abgestimmt werden - oft in enger Zusammenarbeit mit dem Kunden. Standards können dennoch genutzt werden, etwa bei OT-Geräten mit bekannten Betriebssystemen oder bei vorhandenen Security-Lösungen, deren Daten das SOC bereits verarbeiten kann.

Der Mensch bleibt entscheidend, auch mit KI-Unterstützung

Mit der zunehmenden Nutzung von künstlicher Intelligenz und automatisierter Analytik werden SOCs effizienter. KI kann helfen, Alarme zu korrelieren, Playbooks zu erstellen oder Detection Rules vorzuschlagen. Doch sie ersetzt keine menschliche Expertise. Gerade in der OT, wo jede Handlung große Auswirkungen haben kann, ist ein tiefes Verständnis für den Kontext unerlässlich. KI unterstützt dabei, Entscheidungen schneller und fundierter zu treffen. Die finale Bewertung sollte jedoch immer bei erfahrenen Analysten liegen.

Fazit: Ohne Integration kein Schutz

Die industrielle Produktion ist längst digitalisiert. Ihre Sicherheit darf nicht hinterherhinken. Ein integriertes SOC, das IT und OT gemeinsam betrachtet, schafft die nötige Transparenz. Es ermöglicht die frühzeitige Erkennung von Bedrohungen und unterstützt gezielte Reaktionen. Dabei müssen die besonderen Anforderungen der OT berücksichtigt werden: langlebige Systeme, kontinuierliche Verfügbarkeit und oft fehlende Standards. Moderne SOCs verbinden diese Welten mit passiver Sensorik, anpassbarer Detection, intelligenter Alarmierung und dem Verständnis, dass Cybersicherheit immer auch eine organisatorische Aufgabe ist.

Für mehr Infos zu unserem SOC for IT & OT lade dir unser secure mag runter:
SOC for IT & OT