Threat Hunting in der OT

OT-Sicherheitsexperte Oliver Jaeckel-Bender definiert Threat Hunting für OT-Netzwerke. Wie unterscheidet sich die Disziplin zur IT und was genau braucht es mindestens (und vielleicht maximal), um ein OT-Netzwerk sicher betreiben zu können?

Dauer:

26 min

Zu Gast in dieser Folge:

Oliver Jaeckel-Bender

Product Owner Cybersecurity for Digitalization of Production and Technology BASF

FAQ

Fakten zum Thema

Was unterscheidet Threat Hunting in der OT vom klassischen IT-Ansatz?

Im klassischen IT-Sektor sucht Threat Hunting aktiv nach Spuren bereits erfolgter Kompromittierungen (z. B. durch Dateianalysen oder Log-Files). In der OT setzt dieser Ansatz oft viel zu spät an. Hier bedeutet Threat Hunting primär Anomalieerkennung: Da industrielle Netzwerke deterministisch kommunizieren, ist jede Abweichung vom normalen Kommunikationsmuster ein potenzielles Warnsignal. Es geht weniger um das Verständnis jedes einzelnen Datenpakets (Payload), sondern um die Überwachung der Metainformationen – also wer, wie und warum mit wem kommuniziert.

Warum ist Sichtbarkeit die Grundvoraussetzung für OT-Sicherheit?

Man kann nichts schützen, was man nicht sieht oder versteht. In vielen OT-Netzwerken gibt es „blinde Flecken“, bei denen Betreiber nicht genau wissen, welche Komponenten wie zusammenwirken. Echte Sicherheit beginnt damit, die Wirkweise der Systeme vollständig zu erfassen. Das klingt komplex, lässt sich aber durch die Konzentration auf die Netzwerk-Metadaten handhabbar machen. Erst durch diese Sichtbarkeit wird eine effektive Verteidigungsstrategie überhaupt erst möglich.

Wie hilft Netzwerk-Segmentierung beim Threat Hunting?

Die Segmentierung (Aufteilung des Netzwerks in kleinere Zonen) reduziert die Komplexität massiv. Sie fungiert als erste Barriere gegen die laterale Ausbreitung von Angreifern. Im Kontext des Threat Huntings erlaubt eine gute Segmentierung, Anomalien viel präziser zuzuordnen. Anstatt das gesamte, unübersichtliche Netzwerk zu überwachen, können Sicherheitsverantwortliche verdächtige Aktivitäten innerhalb klar definierter Zonen schneller identifizieren und isolieren.

Warum gefährdet zu hohe Komplexität die Cybersicherheit in der Produktion?

Ein zentrales Problem moderner OT-Sicherheit ist das Missverhältnis zwischen Sicherheit und Beherrschbarkeit. Wenn Sicherheitslösungen zu kompliziert werden, besteht die Gefahr, dass sie im Alltag umgangen werden oder Fehlalarme die Produktion lähmen. Effektive Cybersicherheit muss für die Mitarbeiter vor Ort beherrschbar bleiben. Das Ziel ist „Simple Security“: Einfache, klare Strukturen wie saubere Segmentierung und automatisierte Anomalieerkennung bringen oft mehr Schutz als hochkomplexe IT-Tools, die in der OT-Welt nicht funktionieren.

Threat Hunting in der OT

CE-Kennzeichen für Digitales: Wie der CRA die OT-Schieflage korrigiert

Ferrari ohne Führerschein? Die richtige Reihenfolge zur OT-Sicherheit für CEOs

Wenn Maschinen plötzlich Ausweise brauchen

Risikoanalyse in der OT

Angriffserkennung in der OT

Aufbau des OT-Cybersicherheits-Knowhows

SIEM-Integration

Gesetzliche Compliance

Asset Discovery in der OT

Zustandsüberwachung in der OT

Mitre Att&ck for ICS Integration