Advertorial
Wie Legacy-Systeme geschützt werden
Veraltete Betriebssysteme in Produktionsumgebungen sind keine Seltenheit, denn Maschinen werden für viele Jahre angeschafft. Damit diese nicht zum Risiko in der OT-Sicherheit werden, muss man sie schützen – das geht: mit OT-nativen Sicherheitslösungen statt IT-Sicherheitslösungen im OT-Gewand.
Produktionsanlagen und Steuerungssysteme in der Industrie sind auf Dauerbetrieb ausgelegt und laufen oft jahrzehntelang zuverlässig, bei nur wenigen Wartungsunterbrechungen. Was aus betriebswirtschaftlicher Sicht effizient ist, wird in Zeiten der Digitalisierung zum Problem. Viele dieser Anlagen arbeiten mit veralteten Betriebssystemen, für die es keine Updates mehr oder einen Hersteller-Support gibt. Besonders in der OT (Operational Technology) sind solche Systeme verbreitet. Steuerungsmodule mit Windows XP oder älter gelten vielerorts als üblich und ein Austausch ist meist keine praktikable Option. Die Systeme sind tief in die Produktionsabläufe integriert, neue Betriebssysteme oft inkompatibel und das Aktualisieren würde ein Herunterfahren der Maschine erfordern.
Wie Alt-Systeme zum Einfallstor werden
Die bekannten Schwachstellen alter Betriebssysteme wurden öffentlich dokumentiert und lassen sich mit frei verfügbaren Exploits gezielt ausnutzen. Gleichzeitig vergrößert sich durch die zunehmende Vernetzung mit IT-Systemen und dem Internet die Angriffsfläche der OT deutlich. Der Schutz dieser Systeme ist aber besonders anspruchsvoll, weil viele klassische IT-Sicherheitslösungen nicht auf die Bedingungen industrieller Steuerungstechnik ausgelegt worden sind. Cloud-Anbindung, automatische Scans und Updates, oder Hintergrundprozesse können den Betrieb stören oder Ausfälle verursachen. Zudem fehlt es oft an Kompatibilität mit proprietärer Hardware oder Software.
Ein kompromittiertes Alt-System kann jedoch weitreichende Folgen haben: Produktionsunterbrechungen, Maschinenschäden oder sogar Gefährdung der Arbeiter und Maschinenführer sind reale Szenarien – bei kritischen Infrastrukturen (KRITIS) erstreckt sich ein Ausfall zudem schnell auf breite Bevölkerungskreise. Besonders riskant ist dabei die unkontrollierte Ausbreitung von Malware im Netzwerk: Ein erfolgreicher Angriff auf ein einzelnes System kann genügen, um sich lateral durch die OT-Landschaft zu bewegen und ganze Produktionslinien lahmzulegen.
Regularien als Impulsgeber
Mit der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) hat die EU neue Rahmenbedingungen geschaffen, um die Cyber-Sicherheit kritischer Infrastrukturen und industrieller Systeme zu verbessern. Betreiber sollen verpflichtet werden, Risiken zu bewerten, geeignete Schutzmaßnahmen zu implementieren und Sicherheitsvorfälle zu melden. Die Regulierung schafft dringend benötigte Aufmerksamkeit für ein lange vernachlässigtes Feld – reicht aber in der Praxis nicht aus, um Alt-Systeme wirksam abzusichern.
Die technischen Voraussetzungen, um den gesetzlichen Anforderungen gerecht zu werden, sind in vielen Betrieben schlicht nicht gegeben. Alte Steuerungssysteme lassen sich nicht ohne Weiteres an zentrale Monitoring-Lösungen anbinden. Virtual Patching, Segmentierung oder Endpunktschutz setzen spezialisiertes Fachwissen und angepasste Infrastrukturen voraus. Vorschriften können also den Handlungsrahmen definieren, ersetzen aber keine individuelle Sicherheitsstrategie.
Hinzu kommt, dass sich die Bedrohungslage schneller entwickelt als jede gesetzliche Vorgabe. Angriffsverfahren auf Basis von Künstlicher Intelligenz (KI), Zero-Day-Exploits oder automatisierten Scans entstehen in kurzen Innovationszyklen. Der Gesetzgeber bleibt zwangsläufig reaktiv. Unternehmen, die sich ausschließlich an Mindeststandards orientieren, laufen daher Gefahr, in eine trügerische Sicherheit zu verfallen.
So lassen sich bestehende OT-Systeme schützen
Der Austausch veralteter Systeme ist oft weder wirtschaftlich noch technisch realisierbar. Umso wichtiger ist es, bestehende OT-Umgebungen durch gezielte Maßnahmen abzusichern. Eine effektive Methode ist die Netzwerk-Segmentierung: Durch die logische Trennung von IT und OT sowie eine Mikro-Segmentierung innerhalb der OT lassen sich Kommunikationsbeziehungen präzise steuern und Angriffe auf isolierte Bereiche begrenzen.
Virtuelles Patching ermöglicht es, Schwachstellen in Alt-Systemen abzusichern, ohne direkt in die Systeme einzugreifen. Sicherheitsgeräte vor dem eigentlichen System erkennen bekannte Bedrohungen und wehren diese in Echtzeit ab – besonders relevant bei Betriebssystemen ohne Updates. Patches werden wiederum auf dieser virtuellen Oberfläche eingespielt, die sich vor den veralteten Maschinen befindet, wodurch letztere doch von diesen Updates profitieren können.
Nur OT-native Sicherheitslösungen sind wirklich und umfassend auf diese besonderen Anforderungen zugeschnitten: Sie funktionieren offline, passen in bestehende Schaltschränke, oder auf Hutschienen, und verfügen über einen Hardware-Bypass, der bei Updates den laufenden Betrieb nicht unterbricht.
Moderne OT-Endpunktschutzsysteme erfassen den Zustand aller Geräte automatisch, erkennen Anomalien frühzeitig und funktionieren ohne Cloud-Anbindung. Zudem reduziert eine Härtung der Systeme die Angriffsfläche deutlich und erhöht die Systemstabilität. Ergänzt werden sollte dies durch Schutzmechanismen an physischen Schnittstellen: USB-Geräte lassen sich nämlich automatisch prüfen, bevor sie Zugriff erhalten. So lassen sich versehentliche Einschleusungen von Malware, etwa bei Wartungseinsätzen, verhindern.
All diese Maßnahmen sind aber nur dann wirksam, wenn sie Teil eines strukturierten Risiko-Managements sind. Regelmäßige Schwachstellen-Analysen, Audits und definierte Zuständigkeiten bilden die Grundlage, um Alt-Systeme auch unter aktuellen Sicherheitsanforderungen betreiben zu können.
Fazit
Legacy-Systeme bleiben auf absehbare Zeit ein integraler Bestandteil industrieller Realität – und damit ein Risiko. Ihre Langlebigkeit ist betrieblich und finanziell sinnvoll, aber in vernetzten Produktionsumgebungen eine offene Flanke für Cyber-Angriffe. Ein Austausch ist selten praktikabel, eine Aktualisierung meist technisch unmöglich. Untätigkeit aber ist keine Option, denn das oberste Gebot der OT-Sicherheit lautet: Ausfallsicherheit.
Wer seine OT-Umgebung schützen will, der muss also planen: mit technischen Lösungen, die ohne Eingriff in bestehende Systeme laufen, klarer Segmentierung und kontinuierlicher Überwachung. OT-native Sicherheitslösungen bieten dafür die notwendige Flexibilität. Mit der richtigen Herangehensweise lassen sich so auch die alten Systeme wirksam absichern, um die Maschinen weiterhin zuverlässig betreiben zu können.
Erfahren Sie dazu alles Wesentliche im Live-Webinar am 24. Juni 2025.
Zur kostenfreien Anmeldung geht es hier. Seien Sie dabei!
Lesen Sie mehr zum Thema
