OT-Geräte – und ihre Sicherheit – müssen dringend raus aus dem Schatten klassischer Business-IT. Zu hoch ist das Risiko möglicher Cyberbedrohungen – schließlich ist OT heute längst vernetzt, angreifbar und geschäftskritisch. Ein Umdenken ist nötig: Die eco Kompetenzgruppen Sicherheit und IoT haben sich dieser Aufgabe angenommen und dem Thema mit einem Event entsprechende Awareness verschafft.
Steuerungsmaschinen, IIoT-Sensoren und SCADA-Systeme (Supervisory Control and Data Acquisition): Operational Technology (OT) ist heutzutage vielfältiger und vor allem deutlich digitalisierter als noch vor sieben Jahrzehnten. Seit etwa 15 Jahren hat sich die damals revolutionäre Technik für Fabrikarbeit und Produktion erneut selbst revolutioniert. Moderne OT ist heute stark vernetzt, lässt sich oft aus der Ferne remote warten, ist skalierbar und liefert Daten für KI-Modelle, die Echtzeit-Analysen ermöglichen.
All diese gewinnbringenden Eigenschaften führen aber auch dazu, dass Industrieunternehmen ihre OT-Geräte immer umfassender vor Cyberangriffen schützen müssen. Das Stichwort lautet IT-OT-Konvergenz: Die vernetzen Anlagen der Smart Factory lassen sich nicht mehr separat von klassischen IT-Systemen betrachten – die Grenze zwischen IT und OT verschwimmt immer mehr. Sei es aufgrund von mit Sensoren nachgerüsteter Roboter oder nachträglich automatisierter Prozesse. Sind Unternehmen dieser Entwicklung bereits gewachsten? Oder besteht Nachholbedarf?
OT-Sicherheit mehr Priorität einräumen
„Noch fehlt in vielen Industrieunternehmen das Bewusstsein dafür, dass OT-Geräte genauso wehrhaft gegen Cyberbedrohungen wie die klassische IT sein müssen“, sagt Olaf Pursche, Leiter der eco Kompetenzgruppe Sicherheit. „Es braucht dringend eine strategische Herangehensweise an OT-Security – organisatorisch wie technisch.“
Am 13. Mai 2025 luden die eco Kompetenzgruppen Sicherheit und IoT zum Event „Security meets Operational Technology“ deshalb nach Köln ein. Ziel war es, die Relevanz von OT-Sicherheit stärker in den Fokus zu rücken und mit den Teilnehmenden aktuelle Herausforderungen und Lösungen zu diskutieren.
Dabei haben sich vor allem drei wichtige Aspekte herauskristallisiert:
1. Kulturelle Ebene: OT muss raus aus der Unsichtbarkeit
In vielen Unternehmen ist es bisher noch nicht üblich, OT als Teil der IT – und damit auch ihrer Sicherheitsstrategie – zu verstehen. Das fängt bereits damit an, dass nicht bekannt ist, welche OT-Geräte wo im Prozesszyklus im Einsatz sind und wer darauf zugreifen kann. Der erste Schritt sollte deshalb eine Asset-Inventarisierung sein – um darauf aufbauend ein umfassendes Asset-Management vornehmen zu können. Denn nur was ich kenne, kann ich auch schützen.
Dabei findet gerade abseits von ERP-, CRM- und SCM-Systemen – in Produktionshalle – die Wertschöpfung statt: SCADA-Systeme, SPS, Sensoren und Aktoren sorgen dafür, dass Anlagen reibungslos ihre Arbeit machen können und reichlich Daten für Analyse- und Optimierungszwecke bereitstellen. Doch – ob via Phishing, USB-Stick, gehacktes VPN-Netzwerk oder Remote-Zugang: Viele Angriffsvektoren laufen heute über die klassische IT. Wenn ein Störungsfall oder Cyberangriff die Anlagen lahmlegt, steht schnell mal die gesamte Produktion still – und das führt im schlimmsten Fall zu wirtschaftlichen Einbußen im Sekundentakt. Bilden OT und IT jedoch eine gesicherte Einheit, wirken IT-Systeme als Bollwerk, um OT-Geräte zu schützen.
Die NIS-2-Regulatorik bringt viele produzierenden Unternehmen zwar ohnehin bald in Zugzwang, schafft aber auch erste und dringend notwendige Awareness für das Thema OT-Security.
2. Technische Ebene: OT ist „Legacy-Legacy“
Klassische Legacy-Systeme in der IT sind veraltet, können nicht mehr upgedatet werden und sind daher in ihren Funktionen überholt. In der OT hingegen sind Legacy-Systeme aber teilweise mehrere Jahrzehnte alt und wurden oft erst nachträglich digitalisiert. Gerade dort, wo das Industrial Internet of Things (IIoT) im Einsatz ist, finden sich meist im Nachhinein eingebaute Sensoren und Edge-Gateways. Gerade bei niedrigen Funktionsstufen dominiert noch Technik ohne eingebaute Sicherheitsvorkehrungen. Insgesamt erschweren es die zahlreichen heterogenen Systeme, den Überblick über aktuelle Standards zu behalten und die Sicherheit in der Produktion einheitlich zu messen.
Weshalb es sich empfiehlt, Sicherheitsstrategien grundlegend anzugehen: Wie viele Personen können physisch und digital auf OT-Geräte zugreifen? Gibt es Geräte, die nicht online sein müssen und Zugänge, auf die verzichtet werden kann? Sind IT- und OT-Netze getrennt, um OT-Geräte angemessen abschirmen zu können? Welche IT-Sicherheitsmethoden lassen sich auf den Bereich OT anwenden? Welche Absicherung gibt es im Notfall? Zum Beispiel bedeuten weniger Remote-Zugänge und Dienste auch gleich weniger Angriffsfläche. Und auch kleine Maßnahmen wie VPN, Passwortwechsel und Abschalten unnötiger Zugänge zeigen sofortige Wirkung.
3. Organisatorische Ebene: OT und IT als Einheit – mit Grenzen – verstehen
Die Erfahrung zeigt, dass es sinnvoll ist, OT und IT von gesonderten Experten betrachten zu lassen, sich diese aber ausreichend abstimmen sollten. Doch oft arbeiten IT- und OT-Teams nicht Hand in Hand – falls es überhaupt es ausgewiesenes IT-Team gibt. Nicht nur in puncto Fachwissen, sondern auch hinsichtlich der Organisationsstruktur haben Unternehmen durchaus Nachholbedarf.
So sollten OT- und IT-Team zwar gemeinsam denken und handeln, dafür aber im Vorhinein einen klaren Rahmen für ihre Zusammenarbeit definieren. Es braucht sowohl eindeutige Rollen und Zuständigkeiten als auch Schnittstellen, um Know-how zu teilen und Prozesse aufeinander abzustimmen. Von den unterschiedlichen Expertisen können beide Teams nur profitieren.
Von der Managementebene bis zur Maschinensteuerung: Ein durchgängig abgestimmter Cybersecurity-Ansatz ist gefragt. Unternehmen sollten dazu vorher definieren, welche Ebenen der mehrschichtigen Produktionssteuerung noch OT und welche bereits der IT zuzuordnen sind. In welche Zuständigkeit fällt etwa ein System, das ein Human Machine Interface (HMI) und ein Supervisory Control and Data Acquisition (SCADA)-System kombiniert? In der Regel beginnt der Bereich OT bei Sensoren und Aktoren, die Daten für OT-Sicherheitstools liefern, und endet dort, wo Manufacturing Execution Systeme (MES) Produktionsabläufe dokumentieren und optimieren – dem Betriebsmanagement in der Fertigung. Diese Grenze sollte jedes Unternehmen aber individuell festlegen.
Dabei ist wichtig zu verstehen, dass nicht jede IT-Sicherheitsmethode eins zu eins auf den OT-Bereich anwendbar ist, aber viele Prinzipien (z. B. Segmentierung, Monitoring, Zugriffssteuerung) übertragbar sind – wenn sie OT-gerecht umgesetzt werden.
Mehr zum Thema Sicherheit in der Industrie 4.0 erfahren Sie im Rahmen der eco Kompetenzgruppen Sicherheit und Internet of Things (IoT). Werden Sie Mitglied und erleben Sie echte Branchendynamik!
