Klaus Mochalski und Ali Yekta (Yekta IT) diskutieren die enormen praktischen Herausforderungen beim Aufbau eines Security Operations Centers (SOC) für die OT. Erfahren Sie, warum klassische IT-Reaktionen wie das blinde Isolieren von Systemen in industriellen Anlagen hochgefährlich sind, weshalb selbst im Jahr 2026 noch infizierte USB-Sticks ein reales Problem darstellen und wie Betreiber durch die kluge Kombination aus Logdaten, Netzwerksensorik und trainierten Playbooks schrittweise ein effektives OT-Monitoring aufbauen können.
Gut Gesagt
Ali Yekta: „Im Bereich IT kann ich die Maschine isolieren, das ist nicht so schlimm. [...] Einmal habe ich gar nicht überhaupt die technischen Möglichkeiten jetzt eben im Kraftwerk z.B. irgendeine Kiste auszuschalten oder zu isolieren und so weiter“.
Ali Yekta: [Ich hatte die Situation] dass irgendjemand einen USB-Stick an das HMI angeschlossen hat und daraufhin war auf dem HMI eine Mailware [...] und der Kunde sagte, na ja, das könnte bis mehrere Wochen und Monate dauern und bis dahin müssen wir einfach das HMI noch laufen lassen, weil wir jetzt auf die Schnelle keinen Ersatz kriegen“.
Ali Yekta: „Manchmal sagt der Hersteller, ich erkenne 300 Protokolle und 300 Protokolle heißt einfach nur, ich weiß, da läuft das, aber ich kriege keine Information. IEC104 Modus und sonstige Daten, wenn es um die Payloads geht, Function Calls, bekomme ich einfach nichts“.
Ali Yekta: „Später hat sich aber herausgestellt, dass das einfach nur der Backup Job war, der die Signaturen für die Sensorik heruntergeladen hat [...] Und wenn man in dem Moment z.B. falsch handelt und sagst du, okay, es brennt, wir müssen jetzt alles dicht machen, weil das steht einfach nur so im Plan. [...] dann wird man sehr sehr viel Schaden verursachen [...]“.
Ali Yekta: „Ich würde versuchen als erstes so wenige Systeme on zu borden, auch wirklich wenige Uses dafür zu schreiben. Es geht einfach darum überhaupt ein Gefühl zu haben, was und welche Logdaten habe ich, welche Assets habe ich und was könnte ich damit detektieren und dann mal mit Playbooks anfangen“.
Kapitel
00:00 Einführung in die OT-Sicherheit
02:20 Unterschiede zwischen IT- und OT-SOCs
05:03 Konkrete Vorfälle in der OT-Sicherheit
08:59 Herausforderungen beim OT-Monitoring
12:31 Planung und Implementierung von OT-Monitoring
16:01 Qualitätsunterschiede bei Herstellern
19:04 Strategien für Bestandsanlagen
20:39 Notfallübungen und Reaktionsstrategien
Keywords
OT-Security, OT-Monitoring, Cybersecurity, Industrie 4.0, Sicherheitsvorfälle, OT-SOC, Bestandsanlagen, Sicherheitsstrategien