Sie wissen sicher: Nüsse reduzieren das Risiko für Herz-Kreislauf-Erkrankungen. Ähnlich (Achtung, das ist nicht wissenschaftlich bewiesen!) verhält es sich mit ausgereiften Sicherheitskonzepten im Unternehmenskontext. Denn ohne erfolgreiche (Cyber-)Attacken auf IT-Infrastruktur und Betriebstechnologien (OT) keine temporären Herzrhythmusstörungen im Management. Doch bis sich Organisationen in Sicherheit wiegen können, müssen sie erst ein paar Nüsse mit unterschiedlicher Schalenhärte knacken – Identity and Access Management, Privileged Access Management und OT-Sicherheit. 

Sicherheit war noch nie Luxus, sondern stets absolute Notwendigkeit. Doch bei der Umsetzung treten Unternehmen häufig in zwei Fallen.  

Fehler #1: Cyber-Sicherheit wird zu kurzgefasst. Sie haben Firewalls und Virenscanner und fühlen sich sicher? Da müssen wir dazwischen grätschen. Unzureichend geschützte Identitäten und privilegierte Zugriffe sind der einfachste und effektivste Angriffspunkt für Cyber-Kriminelle – und leider auch der am meisten übersehene. Ohne ein durchdachtes Identity and Access Management (IAM) können Hacker mit einem gestohlenen Passwort ganze Systeme übernehmen. Noch gefährlicher wird es, wenn Organisationen Privileged Access Management (PAM) vernachlässigen – denn mit gehackten privilegierten Konten haben Angreifer die perfekten Werkzeuge, um unbemerkt maximale Kontrolle zu erlangen.  

Fehler #2: Physische Risiken werden übersehen. Gerade in der Industrie, dem Transportwesen oder für Versorgungsunternehmen spielt mit zunehmender Digitalisierung und Verbindungen zum Internet ein weiterer Bereich eine immense Rolle: die Sicherheit von Industrial Control Systems (ICS) und Supervisory Control and Data Acquistion Systems (SCADA) – gemeinhin unter „Operational Technology“ (OT) subsumiert. Ohne einen zuverlässigen Schutz dieser Komponenten sind Produktionsausfälle, Manipulationen und im schlimmsten Fall sogar physische Schäden bei Menschen und Maschinen nur noch eine Frage der Zeit – und die Angriffe werden verheerender, wie etwa die Ausfälle am ukrainischen Hochspannungsnetz zeigen. 

Unsere wärmste Empfehlung, um Katastrophen zu vermeiden: Beginnen Sie für Ihre Zero-Trust-Strategie mit soliden IAM- und PAM-Konzepten. Sorgen Sie zusätzlich dafür, dass die OT-Security mit Ihren Anforderungen zu Fernwartung (Remote Access) und Zugriffsschutz immer im Einklang mit den IT-Bestandteilen dieser beiden Konzepte steht. Nur so lässt sich beispielsweise sicherstellen, dass ausschließlich autorisierte Personen und Maschinen auf OT-Systeme zugreifen können – auch von außerhalb. Gerade in Industrie und kritischen Infrastrukturen ist ein kompromittiertes privilegiertes Konto eine direkte Gefahr für die physische Sicherheit. 

Doch eine Frage bleibt: Wie lassen sich diese Nüsse letztlich knacken?    

Was ist OT-Sicherheit? 

OT-Sicherheit bedeutet weit mehr als nur den Schutz physischer Geräte und Infrastrukturen. Es geht darum, Menschen, Systeme und Prozesse gleichermaßen abzusichern, kritische Infrastrukturen zu überwachen und Angriffe frühzeitig zu erkennen. Dabei kommen (immer auf OT-Anforderungen adaptierte!) Technologien wie Next Generation Firewalls (NGFWs) oder Security-Information-und-Event-Management-Systeme (SIEM) zum Einsatz. Stets behutsam und mit dem Gedanken, dass Fehler hier schnell zu physischen Ausfällen führen können. Gelernt haben wir schon: IAM und PAM dürfen nicht fehlen – mit den Besonderheiten der OT im Vordergrund!  

Gut geschützte digitale Identitäten sind der Dreh- und Angelpunkt jeder Sicherheitsstrategie. Ohne ein strukturiertes Identity and Access Management gibt es keine Kontrolle darüber, wer Zugriff auf welche Systeme, Anwendungen und Daten hat. Ein funktionierendes IAM ist weit mehr als nur die Vergabe von Benutzerkonten. Es sorgt dafür, dass jeder Nutzer die richtigen Rechte zum richtigen Zeitpunkt erhält – und nicht mehr. Es reguliert, welche externen Partner oder Dienstleister auf sensible Systeme zugreifen dürfen, und automatisiert die Berechtigungsvergabe, um menschliche Fehler zu minimieren. Kurz gesagt: IAM macht Berechtigungen transparent, nachvollziehbar und sicher. 

Diese Erdnuss lässt sich mit versierten Handgriffen leicht knacken – drei Must-haves:  

• Regelmäßige Berechtigungsüberprüfungen: Wer braucht wirklich Zugriff? Welche Rechte kann man reduzieren, um dem Least-Privileged-Gedanken gerecht zu werden? 

• Automatisierung: Eine rollenbasierte Berechtigungsvergabe entlastet IT-Teams und reduziert menschliche Fehler. 

• Single Sign-On (SSO): Vereinfachung der Anmeldung ohne Sicherheitseinbußen. Die Voraussetzung: Unternehmen müssen SSO mit einer Mehrfaktor-Authentisierung (MFA) kombinieren – bevorzugt unter Nutzung FIDO2-basierter Verfahren oder Phishing-resistenter Token.  

Während IAM den Überblick über alle Identitäten sicherstellt, dreht sich beim Teilbereich Privileged Access Management (PAM) alles um die kritischen Zugriffe: Administrator-Konten, Root-User, Service-Accounts und alle anderen hoch privilegierten Berechtigungen, die die volle Kontrolle über Systeme, Netzwerke und Datenbanken ermöglichen. Diese privilegierten Konten sind ein Hauptziel für Angreifer. Ein normaler Nutzer kann Schaden anrichten, aber ein kompromittiertes Admin-Konto kann eine komplette IT-Infrastruktur lahmlegen. Deshalb braucht es eine strikte Kontrolle darüber, wer, wann und wie auf besonders kritische Systeme zugreifen darf. 

Auch für das Privileged Access Management existieren ein paar technische Kniffs:  

• Just-in-Time-Zugriffe: Privilegierte Rechte werden nur für den Moment vergeben, in dem sie benötigt werden. Das Ziel des „Zero Standing Privilege“ gilt es dabei stets im Auge zu behalten. 

• Session Monitoring: Alle Sitzungen von privilegierten Nutzern werden überwacht und protokolliert, egal ob reines Keyboard-Logging oder komplette Bildschirm-Videos. 

• Zugriffssteuerung mit MFA: Admin-Login ohne zusätzliche Sicherheitsprüfung? No way! 

• Credential Vaults: Passwörter für privilegierte Konten werden nicht direkt genutzt, sondern über sicheres Vaulting geschützt und rotiert. 

Ihr Unternehmen weist keine Betriebstechnologien wie industrielle Kontrollsysteme auf? Sie zählen sich nicht zu den Versorgungsunternehmen? Und sie befördern auch keine Menschen (ob per Bahn oder Fahrstuhl)? Nun, dann sind sie mit IAM und PAM bereits bestens versorgt. Alle anderen sollten unbedingt weiterlesen, wenn sie OT-Sicherheit bislang stiefmütterlich behandeln.   

So viel ist richtig: OT-Systeme waren ursprünglich nicht für die Vernetzung mit IT konzipiert – und schon gar nicht auf Erreichbarkeit aus dem Internet ausgelegt. Viele Anlagen, Maschinensteuerungen oder Industrie-Roboter wurden vor Jahrzehnten entwickelt und arbeiten noch immer mit unsicheren Protokollen, unverschlüsselter Kommunikation und standardisierten Zugangsdaten, die in den 80er- oder 90er-Jahren Stand der Technik waren. Die zahlreichen „Privilegien“ in der OT von der Konfiguration der Sicherheitssensoren über Einstellungen an Antriebs- und Qualitätsmesstechnik bis hin zu den übergeordneten Bedienrechnern in Fertigung und Gebäudeautomation bleiben dabei meist unberücksichtigt.   

Die Zeiten ändern sich schnell – und die OT-Sicherheit hinkt vielerorts hinterher! Noch immer sind viele Industrieanlagen mit Standard-Passwörtern geschützt oder verfügen über Wartungszugänge, die nie deaktiviert wurden. Und während IT-Systeme regelmäßig gepatcht werden, laufen OT-Systeme oft zwangsläufig jahrelang mit ungesicherten Schwachstellen – einfach, weil sie nicht ohne Produktionsausfälle aktualisiert werden können oder nur im überalterten Abnahmezustand betrieben werden dürfen. 

Das bedeutet: Nachholbedarf! Doch was unsere Checkliste unten in sieben Punkten recht simpel anmuten lässt, stellt in Wirklichkeit eine extrem harte Nuss dar – ähnlich einer Macadamianuss. Daher braucht es starke Partner mit gleichermaßen Erfahrung in den IT-Bereichen IAM, PAM und der OT-Sicherheit, um zum Kern vorzudringen: einem sicheren Unternehmen. Wir bewerben uns gerne!  

Checkliste für OT-Security

• Entdecken Sie alle privilegierten Zugriffe Ihrer OT-Landschaft – ohne Ausnahmen! 

• Dokumentieren und sichern Sie alle Konten mit administrativen Privilegien.  

• Verschaffen Sie sich einen Überblick über die Tätigkeiten Ihrer privilegierten Anwender.  

• Eliminieren Sie hart-codierte und Klartext Credentials in den Applikationen.  

• Implementieren Sie, wo möglich, eine auf OT adaptierte Multi-Faktor-Authentifizierung für jeden administrativen Zugriff. 

• Erlauben Sie nur den minimal nötigen Satz an Privilegien für einzelne Job.  

• Ermöglichen Sie Automation der Zugriffsvergabe und Überwachung zur Entlastung.  

Ohne IAM gibt es keine klare Kontrolle über digitale Identitäten und Zugriffspunkte. Ohne PAM bleiben hoch privilegierte Konten eine massive Schwachstelle. Und ohne OT-Sicherheit ist jede vernetzte Produktionsanlage ein potenzielles Angriffsziel mit realen, physischen Konsequenzen. 

Wenn dann aber schließlich die Sicherheitsmaßnahmen ineinandergreifen, entsteht weit mehr als nur Schutz: Unternehmen können das volle Potenzial der Digitalisierung ausschöpfen. Effiziente Datennutzung, smarte Produktionsprozesse, optimierte Betriebsabläufe oder vorausschauende Wartungen sind nur einige Beispiele einer IT-OT-Kooperation mit Prädikat „zukunftsfähig“.