SucheKontaktRessourcen
Leitfaden der britischen Cybersicherheitsbehörde

Die OT dokumentieren, ohne sich zu überfordern (Teil 2)

René Krause
Teamlead Service
6.1.2026
3 min

In Teil 1 dieses Blogposts wurde die Umsetzung der vorbereitenden Kernprinzipien 1 und 2 des Leitfadens “Creating and maintaining a definitive view of your Operational Technology (OT) Architecture” besprochen. Im zweiten Teil geht es ans Eingemachte der Kernprinzipien 3 bis 5: Wie kann ein passives netzbasiertes Intrusion Detection System wie Rhebo Industrial Protector Sie bei der Identifikation, Bewertung und Dokumentation der OT-Infrastruktur voranbringen?

Kernprinzip 3: OT-Assets identifizieren und kategorisieren

Mit Schritt 3 beginnt die eigentliche Datenaufnahme und –dokumentation. Ein NIDS, d.h. ein passives Netzwerksicherheitsmonitoring mit entsprechend Detektions- und Analysemechanismen, kann hier einen Großteil der Datenaufnahme abdecken. Vor allen Dingen schafft es aufgrund der Echtzeitanalyse ein Lagebild, das aktuell und korrekt ist.

Generell gilt: Je länger (d.h. Wochen oder Monate) ein NIDS im OT-Netzwerk läuft, desto vollständiger wird die Dokumentation, da dann auch alle Vorgänge und beteiligten Systeme detektiert werden, die mitunter nur turnusmäßig auftreten (Updates, Wartungsvorgänge, Backups). In der Zwischenzeit macht das NIDS, was es am besten kann: es detektiert Anomalien in der OT-Kommunikation, die auf Cyberangriffe und technische Fehlerzustände hinweisen.

Aufgabe Umsetzung mit NIDS
Assets (Systeme, Geräte, Informationen) in der OT identifizieren.
  • Eine Erstaufnahme kann über ein Rhebo Industrial Security Assessment erfolgen. Dabei wird das NIDS über Mirror-Switches in der OT integriert (dauert ca. 30 Minuten) und die OT-Kommunikation für 2 Wochen passiv aufgezeichnet. Bereits wenige Minuten nach Start der Aufzeichnung liegt ein aktueller Netzwerkplan vor, der bereits Informationen für die Anforderungen aus Kernprinzip 3 (Assets) und 4 (Verbindungen, Protokolle) abbildet.
  • Für ein längerfristiges Bild: NIDS als Angriffserkennungssystem integrieren und betreiben. Zu jedem Zeitpunkt werden kommunizierende Geräte und Systeme angezeigt. Über Zeitreihen können Verhaltensmuster und Protokollnutzung analysiert werden.
Assets bezüglich Kritikalität, Risikoexponierung und Verfügbarkeitsanforderungen bewerten.
  • Führen Sie alle Informationen zusammen.
  • Bewerten Sie Kritikalität und Verfügbarkeitsanforderungen z. B. über die operative, arbeitsschutztechnische und wirtschaftliche Bedeutung eines Systems. Hier kommt das Fach- und Erfahrungswissen Ihrer Mitarbeitenden zum Tragen.
  • Bewerten Sie Risikoexponierung über Verbindungsinformationen (insbesondere in die IT, ins Internet und über Fernzugänge) aus dem NIDS.

Kernprinzip 4: Verbindungen zwischen OT-Systemen identifizieren

Aufgabe Umsetzung mit NIDS
Abgleichen, welche Verbindungen ein Asset benötigt und welche es hat.
  • Analysieren Sie die Verbindungen jedes Systems mithilfe der Daten aus dem NIDS. Die Netzwerkplan zeigt, welche Systeme in welchem Ausmaß (Durchsatz und Paketumlaufzeiten) miteinander kommunizieren. Dieser Schritt erfolgt auch standardmäßig während eines Rhebo Industrial Security Assessments.
  • Achten Sie insbesondere auf Verbindungen in die IT und ins Internet. Dieser Schritt erfolgt ebenfalls standardmäßig während eines Rhebo Industrial Security Assessments.
  • Gleichen Sie die Verbindungen mit bestehenden Infrastruktur- und Datenflussdiagrammen ab, die dokumentieren, welche Verbindungen legitim und zwingend notwendig sind.
  • Entfernen oder reglementieren (z. B. über Datenioden) Sie ggf. Verbindungen, die nicht für das Funktionieren des industriellen Prozesses relevant oder unerwünscht sind.
Abgleichen, welche Protokolle ein Asset benötigt und welche es nutzt. Prüfen, wie die notwendigen, genutzten Protokolle abgesichert werden.
  • Analysieren Sie die Zeitreihen der im NIDS detektierten Assets, um verwendete Protokolle und deren Versionen zu identifizieren und sicherheitstechnisch zu bewerten. Dieser Schritt erfolgt ebenfalls auch standardmäßig während eines Rhebo Industrial Security Assessments.
  • Gleichen Sie diese Informationen mit dem Datenflussdiagramm ab.
  • Deaktivieren Sie unsichere und nicht notwendige Protokolle (z. B. LLNR, mDNS, Web Services Discovery, TELNET).
Aktuelle OT-Sicherheitsmaßnahmen dokumentieren und bzgl. Funktionalität und Effektivität bewerten.
  • Aktualisieren Sie Systeme – soweit möglich – auf höhere, sichere Protokollversionen (z. B. SNMP v2 auf SNMP v3, NFS v2 auf NFS v3, FTP auf FTPS).
  • Besprechen Sie mit der IT und dem Cybersicherheitsteam, welche Sicherheitsmaßnahmen dezidiert die OT schützen und wo es Lücken gibt.
  • Überprüfen Sie Netzwerksegmentierungen.
  • Dokumentieren Sie, wer wie auf OT-Systeme zugreifen kann und welche privilegierten vordefinierten Protokolle identifizieren Sie Protokollbrüche.
Rahmenbedingungen des OT-Netzwerkes dokumentieren.
  • Dokumentieren Sie Parameter wie Bandbreite, Latenz, Verfügbarkeit, Redundanz und Exposition.
  • Nutzen Sie die Durchsatz- und Datenverkehr-Zeitreihen aus dem NIDS, um Netzwerkbedingungen und Rahmenbedingungen zu identifizieren (z. B. Einbrüche oder Schwankungen, ICMP Unerreichbarkeit, TCP Retransmissions). Dieser Schritt erfolgt standardmäßig während eines Rhebo Industrial Security Assessments.

Kernprinzip 5: Hersteller-Abhängigkeiten verstehen

Gerade in der OT haben Hersteller oft umfängliche Zugriffsrechte. Oftmals ist es vertraglich vorgegeben, dass Systeme und Geräte nur durch das Personal des Herstellers oder zertifizierte Dienstleister gewartet und repariert werden dürfen. Das schafft eine große offene Flanke, denn die Kontrolle über die Cybersicherheit der Drittunternehmen ist sehr beschränkt.

Aufgabe Umsetzung mit NIDS
Einrichtungen mit externer Verbindung auf die OT bezüglich ihres Vertrauensniveaus bewerten.
  • Nutzen Sie die Geräteliste aus dem Rhebo Industrial Security Assessment und operativen NIDS, um Hersteller, Fabrikate und Verbindungen zu externen Netzwerken zu identifizieren.
  • Ergänzen Sie die Informationen mit Angaben aus Service Level Agreements.
  • Bewerten Sie die externen Verbindungen nach Vertrauensniveau (hoch = identisches Gefährdungsprofil, hohe Kontrolle, z. B. OT in einem Umspannwerk; mittel = IT-Netzwerk; niedrig = Drittunternehmen, Internet).
  • Stellen Sie sicher, dass kein System aus einem niedrigeren Niveau ein System aus einem höheren Niveau administrieren kann.
  • Stellen Sie sicher, dass zwischen Vertrauensniveaus gehärtete Sicherheitsmaßnahmen umgesetzt werden (DMZ, Firewall, MFA, Sicherheitsmonitoring).
Zugriffsanforderungen von Herstellern und Dienstleistern verstehen.
  • Nutzen Sie Zeitreihen aus dem NIDS, um Datenflüsse in externe Netzwerke nachzuvollziehen.
  • Analysieren Sie Update- und Wartungsprozesse mit Herstellern (Worauf können sie zugreifen? Wie gewährleisten sie die Sicherheit und Qualität der Updates? Wie gewährleisten sie die Sicherheit ihrer Mitarbeitenden und IT-Geräte?).
  • Analysieren Sie Zugriffsanforderungen von Herstellern.
  • Identifizieren Sie Anforderungen, wo Sicherheitskontrollen ausgesetzt oder abgeschwächt werden.
  • Stimmen Sie sich mit Herstellern ab, wie Zugriffs- und Sicherheitsanforderungen harmonisiert werden können. Stellen Sie gemeinsam fest, dass alle Assets in der OT geschützt werden (z. B. durch Zugriffskontrollen, Datendioden und Segmentierung).
  • Stellen Sie einen sicheren Datentransfer (Verschlüsselung) sicher.
Unsichere Verbindungsmöglichkeiten durch Hersteller und Dienstleister identifizieren und blockieren/absichern.
  • Überprüfen Sie Drittunternehmen auf ihre OT-Systeme zugreifen können.
  • Stellen Sie sicher, dass keine Verbindungs­methoden genutzt werden, die nicht durch Sie gesichert werden können (z. B. 4G-Modems, Bluetooth, WiFi, USB).

Aufgrund der nur beschränkt möglichen Kontrolle von Drittunternehmen bezüglich ihres Vertrauensniveaus bei der Cybersicherheit, sollten deren Aktivitäten besonders genau verfolgt werden. Dazu zählen Maßnahmen wie:

  • zentrale Freigabe von Zugriffen (inkl. über Fernzugänge),
  • Logging der Aktivitäten (Change Log) und  
  • Monitoring der erfolgten Verbindungen und Kommunikation in die OT während des Zugriffs, um nicht autorisierte Vorgänge oder Infizierungen über z. B. Wartungslaptops umgehend zu erkennen.
  • gezieltes Monitoring der gewarteten Geräte und Systeme nach Wiederanfahren, um ungewünschte oder maliziöse Änderungen im Kommunikationsverhalten zu erkennen.  

Starten Sie jetzt damit, Sichtbarkeit und Klarheit in Ihre OT zu bekommen: Infos zum Rhebo Industrial Security Assessment und dem NIDS Rhebo Industrial Protector.