SzA für OT

BSI-Empfehlungen zu Systemen zur Angriffserkennung in der OT

Jérôme Arnaud
Head of Product Management Rhebo
8.10.2025
5 min

Im ersten Teil dieses Blogposts haben wir die generellen Funktionen eines Systems zur Angriffserkennung (SzA) nach dem IT-Sicherheitsgesetz (IT-SiG 2.0) auf mögliche Lösungen gemappt. Dieser Beitrag beleuchtet die Empfehlungen des BSI zu einem SzA.

BSI Orientierungshilfe zu SzA

Das BSI definiert in seiner Orientierungshilfe zum “Einsatz von Systemen zur Angriffserkennung” 1 die grundlegenden Anforderungen des IT-SiG 2.0 weiter aus. Demnach muss ein SzA als technische Grundfunktionen:

  • Relevante OT-Systeme identifizieren und Sichtbarkeit in der OT schaffen: Dies deutet auf ein netzbasiertes Angriffserkennungssystem hin, das passiv relevante OT-Systeme über ihre Kommunikationsmuster identifizieren und dokumentieren kann. Wenn möglich (z. B. während Wartungszyklen), könnte ein aktiver Netzwerkscan über ein Inventarisierungssystem sinnvoll sein.
  • Protokollierungsdaten auf System- UND Netzebene kontinuierlich überwachen, auswerten und SRE speichern: Während die Netzwerkebene nur durch ein NIDS abgedeckt werden kann, gibt es auf Geräteebene zwei Optionen. Eine davon sind hostbasierte Intrusion DetectionSysteme, die jedoch aufgrund begrenzter CPU-Leistung mehrheitlich auf IT-Systeme in der OT beschränkt sind. Die andere Option sind bestehende Logs, die standardmäßig von den jeweiligen Komponenten bereitgestellt werden.
  • Sicherheitsrelevante Ereignisse (SRE) detektieren und melden, auch wenn diese keinen bekannten Signaturen folgen: Damit sind alle verfügbaren Erkennungsmethoden – signaturbasiert (Firewall) und anomaliebasiert (NIDS, SIEM) – berücksichtigt und der mehrstufige Ansatz des BSI hervorgehoben.
  • SREs in Bezug setzen: Die Korrelation erfolgt in der Regel mit einem Security Information & Event Management (SIEM)-System, in dem alle Datenquellen zusammengeführt werden.
  • Qualifizierte Reaktion in angemessener Zeit ermöglichen: Die Reaktion auf Vorfälle beginnt mit korrekten und detaillierten Informationen über den Vorfall, die von einem NIDS bereitgestellt werden, und wird durch fundierte Entscheidungen fortgesetzt. Dazu sind vor allem klare Verantwortlichkeiten und Prozesse erforderlich.
  • Regelmäßig auf die Funktionalitäten überprüft und optimiert werden: Dies kann durch zwei ergänzende Perspektiven erreicht werden. Erstens können die Anomaliemeldungen auf Sicherheitslücken der bestehenden „ersten Verteidigungslinie” hinweisen. Zweitens bieten regelmäßige Sicherheitsaudits und Schwachstellenanalysen eine objektive Sichtweise eines Dritten auf die bestehende Sicherheitslage.

Auch hier zeichnet sich ab, wie die einzelnen Werkzeuge ineinandergreifen anstelle sich gegenseitig auszuschließen.

Für den OT-Bereich hat Rhebo ein Mapping erstellt, das zeigt, wie unsere Lösungen die einzelnen Anforderungen nach der BSI Orientierungshilfe erfüllen oder unterstützen (zum Poster).

Abb. 1: Ausschnitt der Anforderungen aus der BSI Orientierungshilfe und Unterstützung durch Rhebo bei der Erfüllung

BSI-Empfehlungen für Industrie und Energiewirtschaft

Das BSI hat mit BSI-CS 134 “Monitoring und Anomalieerkennung in Produktionsnetzwerken” 2 (2019) und BSI-CS 153 “Monitoring in der Stationsautomatisierung” 3 (2025) weitere Wegweiser für industrielle Infrastrukturen aufgestellt.

Dass beide Dokumente ein netzbasiertes Angriffserkennungssystem (oder NIDS für network-based intrusion detection system) mit integrierter Anomalieempfehlung empfehlen, hat einen Grund: Das BSI berücksichtigt bewusst die Besonderheiten von OT-Netzen:

  • keine oder stark limitierte Kapazität der Komponenten für host-basierte Sicherheitslösungen,
  • Sensibilität der industriellen Prozesse gegenüber aktiven Cybersicherheitsmechanismen (kein automatisiertes Eingreifen in die Kommunikation gewünscht),
  • deterministische, stabile und sich wiederholende Kommunikationsmuster, in denen Abweichungen aufgrund von Cyberangriffen per Anomalieerkennung gut identifiziert werden können.
  • Priorisierung der Anlagenverfügbarkeit und Prozessstabilität gegenüber Datenschutz und dadurch
  • generell geringes Cybersicherheitslevel der OT-Komponenten und –Systeme (Stichwort: insecure by design).

Während für das BSI 2019 die Idee eines passiven NIDS vermutlich selbst noch zu neu war – weshalb der Absatz verhältnismäßig dünn ausfällt – ist das Bundesamt im BSI-CS 153 von 2025 weitaus klarer.

Ein NIDS sollte in OT-Netzen:

  • passiv funktionieren,
  • kontinuierliche überwachen,
  • sicherheitsrelevante Vorfälle in Echtzeit erkennen,
  • sicherheitsrelevante Vorfälle mit allen Informationen dokumentieren und speichern,
  • mit einem SIEM integriert werden können und
  • eine schnelle Reaktion ermöglichen oder unterstützen.

Welche Anforderungen des BSI unser NIDS Rhebo industrial Protector abdeckt, erfahren Sie auf unserem Poster “NIDS nach BSI-CS 153”.

1 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-sza.html

2 https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_134.html

3 https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_153.html