Skip to the main content.
Kontakt
Linkedin YouTube

OT und IT: Zwei Welten, eine Sicherheitsstrategie

Ein exklusiver Artikel von Chris Rock
chris-rock-hacker
Chris Rock

CISO von SIEMonster
Logo SIEMonster

SIEMonster ist eine flexible SIEM- und SOC-Plattform, die speziell für MSSPs und Unternehmen entwickelt wurde, die skalierbare und individuell anpassbare Cybersicherheitslösungen benötigen. Entwickelt von Branchenexperten, bietet sie automatisierte Bedrohungserkennung, Datenanreicherung und transparente Berichte – ohne versteckte Kosten oder Vendor-Lock-in. Geeignet für Unternehmen jeder Größe liefert SIEMonster zuverlässigen, modernen Schutz vor Cyber-Bedrohungen und unterstützt die kontinuierliche Weiterentwicklung zur Erfüllung aktueller Sicherheitsanforderungen.

 

OT- oder IT Sicherheit

Warum das für RIEDEL Networks keinen Unterschied macht 

Es war großartig zu sehen, dass einige der jüngsten Konferenzen, an denen ich teilgenommen habe, sowohl Operational Technology (OT) als auch Information Technology (IT)-Sicherheit gemeinsam behandelten – etwas, das ich in meiner bisherigen Laufbahn noch nie erlebt hatte. Veranstaltungen wie die Hou.Sec.Con in Houston (USA) und zuletzt die IT-Sec Expo in Nürnberg (Deutschland) behandeln OT und IT endlich als gleichwertige Themen in der Diskussion rund um Cybersicherheit.

Auf der IT-Sec Expo hatte ich das Privileg, gemeinsam mit meinen guten Freunden von RIEDEL Networks an ihrem Stand zu stehen. Dort sprachen wir mit Besucherinnen und Besuchern aus beiden Welten – IT-Experten, die OT als oft übersehenes Risiko betrachten, und OT-Fachleuten, die ähnliche Sicherheitsbedenken haben, jedoch vor ganz anderen Herausforderungen stehen.

Für diejenigen, die mit dem Thema weniger vertraut sind: Die traditionelle Trennung zwischen OT und IT war immer klar. Operational Technology (OT) bezeichnet die Hardware und Software, die physische Prozesse und industrielle Anlagen überwachen, steuern und verwalten – etwa in Produktionsstätten, Energieversorgungsunternehmen oder in der Öl- und Gasindustrie. Information Technology (IT) hingegen umfasst klassische Computer, Server und Cloud-Infrastrukturen.

Für viele Unternehmen, insbesondere IT-Sicherheitsteams, bleiben OT-Umgebungen weitgehend ein Rätsel – sie überschneiden sich nur gelegentlich über das Internet of Things (IoT). Doch in Branchen wie Energieversorgung, Öl & Gas und Fertigung ist die OT-Landschaft enorm. Der wesentliche Unterschied besteht darin, dass Cybervorfälle in OT-Umgebungen physische Auswirkungen in der realen Welt haben können. Ein Angriff auf ein IT-System kann den Geschäftsbetrieb stören – aber ein Angriff auf ein OT-System kann Menschenleben gefährden. Man denke an Hochöfen mit 1.800 °C oder Roboterarme, die sich mit hoher Geschwindigkeit über den Produktionsboden bewegen – wenn diese Systeme kompromittiert werden, ist die Gefahr unmittelbar und ernst.

Am Messestand fiel mir auf, dass viele OT-Unternehmen zunächst vorsichtig auf uns zukamen – auf der Suche nach SIEM-Lösungen für ihre OT-Umgebungen. Ein häufiges Missverständnis war, dass die Integration von OT-Protokollen in ein SIEM schwierig oder gar unmöglich sei. Doch unsere Philosophie bei SIEMonster war schon immer einfach:

„Wenn ein Gerät ein Ereignis erzeugen kann, können wir es erfassen und verarbeiten.“

Wir sammeln Ereignisse aus allen Ebenen – von Feldgeräten und PLCs über zentrale SCADA-Systeme bis hin zu Netzwerkverkehr – ohne Agenten installieren zu müssen, wo dies technisch nicht möglich ist.

Vielleicht halte ich diese Fähigkeit für selbstverständlich, weil SIEMonster dies bereits seit über einem Jahrzehnt erfolgreich umsetzt. Unser erster Kunde war ein globaler Stahlhersteller – ein Unternehmen mit einer riesigen IT-Infrastruktur (über 10.000 Mitarbeitende in Vertrieb, Marketing, Finanzen und Recht) und einer komplexen OT-Umgebung mit Hochöfen, Roboterarmen, Lackieranlagen und SCADA-/PLC-Systemen. Kurz gesagt: SIEMonster wurde im Feuer geschmiedet. Für uns war die Integration von IT- und OT-Logs schon immer Teil des täglichen Geschäfts.

 

SCADA und SIEM

In SCADA-Umgebungen (Supervisory Control and Data Acquisition) fließen Daten nicht direkt von jedem Sensor zu einem zentralen Controller. Diese Systeme sind mehrschichtig aufgebaut, und jede Schicht stellt einen potenziellen SIEM-Einspeisepunkt dar.

  • Sensoren und Feldgeräte bilden die Basis – z. B. Temperaturfühler, Durchflussmesser oder Drucksensoren, die analoge oder digitale Signale erzeugen. Diese senden ihre Daten in der Regel an lokale Steuerungen, nicht direkt an das zentrale System.

  • PLCs und RTUs (Programmable Logic Controllers / Remote Terminal Units) sammeln Daten von diesen Sensoren, führen lokale Steuerungslogik aus (z. B. das Öffnen eines Ventils, wenn der Druck zu hoch ist), und können Ereignisse protokollieren oder zusammenfassen, bevor sie sie an das zentrale SCADA- oder HMI-System

  • Auf der obersten Ebene konsolidiert die SCADA-/HMI-Schicht die Daten aller PLCs und RTUs, speichert sie in einem Historian und stellt Bedienern Dashboards, Alarme und Trendanalysen zur Verfügung, um einen vollständigen Überblick über den Anlagenstatus zu gewährleisten.

Obwohl SCADA-Implementierungen je nach Branche – von Kernenergie und Wasseraufbereitung bis hin zu Petrochemie und Robotik – unterschiedlich ausfallen, gilt ein Grundprinzip immer: Wenn ein Gerät ein Ereignis erzeugt, können wir es erfassen. Egal ob über Netzwerk-Taps, automatisierte Datenerfassung oder Agenten – SIEMonster kann diese Ereignisse in Echtzeit erfassen, korrelieren und analysieren.

Wir haben festgestellt, dass SCADA-Systeme zwar keine einheitlichen Standards oder Regeln bieten, die uns als Architekten die Arbeit erleichtern würden, aber ein Prinzip bleibt universell: Wenn ein Gerät – sei es in der Kernenergie, Wasseraufbereitung, Petrochemie oder Robotik – Ereignisse erzeugt, können wir diese aus der Netzwerkschicht, durch automatisierte Abfragen oder mithilfe von Agenten erfassen und in das SIEM-System einspeisen, um sie zu analysieren.

 

Ereignisklassifizierung

Die Klassifizierung von Ereignissen spielt bei diesen Lösungen eine entscheidende Rolle. In vielen Fällen sind OT-Umgebungen maßgeschneidert – entwickelt nach sehr spezifischen Anforderungen. Dadurch entstehen einzigartige Log-Daten, die sich in ihrer Bedeutung stark unterscheiden.

Ein Beispiel:
Ein niedriger Durchfluss in einem Kühlsystem eines Kernkraftwerks hätte eine wesentlich höhere Priorität als eine niedrige Durchflusswarnung in einem Abwassersystem.
Andererseits hätte in einer Wasseraufbereitungsanlage ein Alarm, der auf schädliche Chemikalien nach der Aufbereitung hinweist, eine höhere Priorität als ein leichter Rückgang des Stromverbrauchs im Kernkraftwerk. Ein SIEM-System, das solche Meldungen verarbeitet, muss daher in der Lage sein, diese Unterschiede in Bedeutung und Dringlichkeit zu berücksichtigen und entsprechend zu priorisieren.

 

Beispiel: Logging in einer nuklearen Umgebung

Ein Beispiel für eine protokollierte Meldung aus einer nuklearen SCADA-Umgebung könnte folgendermaßen aussehen:

<10>1 2025-10-23T10:30:05+00:00 SCADA-Server01 CitectSCADA - - - [Alarm] Tag: Pump01_Pressure Value: 120 PSI State: ACTIVE Area: Reactor_1_cooling

Diese Beispielmeldung enthält mehrere eindeutige Informationen, die identifiziert und priorisiert werden können. Zunächst müssen die Daten in Key-Value-Paare (KVPs) aufgeteilt werden, um sie konsistent und zuverlässig weiterzuverarbeiten. In der SIEMonster-Umgebung wird dafür ein sogenannter Decoder erstellt, der auf Regulären Ausdrücken (Regex) basiert – entweder PCREGEX oder OSREGEX.

Aus den Beispieldaten können folgende logische Felder extrahiert werden:

  • Event Type: Alarm

  • Item_monitor: Pump01_Pressure

  • Value: 120 (ohne „PSI“, damit der Wert als Zahl verarbeitet werden kann)

  • State: ACTIVE

  • Area: Reactor_1_cooling

Ein einfacher Decoder könnte diese Felder automatisch erkennen und in strukturierte Daten umwandeln. Die Ausgabe würde dann entsprechend zur Visualisierung und Analyse im SIEM-System aufbereitet.

Um diese zu extrahieren, würde ein rudimentärer Decoder wie folgt aussehen:

Rudimentary Decoder

Die Ausgabe würde dann wie folgt aussehen:

Ausgabe

Visualisierung:

Visualisierung

Visualisierung1

 

Fazit

Für uns ist diese Integration zweite Natur. OT und IT waren für uns schon immer Teil desselben Sicherheitsökosystems. Im Laufe der Jahre haben wir mit Hewlett Packard (HP) an Projekten zur BIOS-Sicherheit und Ereigniserfassung gearbeitet und zahlreiche OT-Unternehmen in Nordamerika und im Nahen Osten unterstützt – insbesondere im Bereich der Energieversorgung und kritischen Infrastruktur.

Dank unserer Partnerschaft mit RIEDEL Networks in Deutschland – einem Unternehmen mit tiefgreifender Expertise und hoher Glaubwürdigkeit im OT-Bereich – liefern SIEMonster und RIEDEL gemeinsam eine einheitliche Enterprise-Grade-SIEM-Lösung, die IT- und OT-Infrastrukturen unter einer gemeinsamen, leistungsstarken Oberfläche absichert.
Diese Kunden (und viele weitere) vertrauen bereits auf RIEDEL Networks.
BEUMER Group - International Quality Leader in Intralogistics-5 1 ESPN_wordmark 1 Deutsche_Saatveredelung_Logo 2 WDR_Dachmarke 1 elbtor-logo 1 Kyocera 1 Grenke RTL_Logo_2021 1 Lila sunset vine DYN Hoffmann_Group_Logo Ideal_Standard_logo Jungheinrich-Logo Knipex-Logo Pfeifer_&_Langen_logo S-oliver Villeroy_&_Boch_logo Mauser_Logo gedore aaf-international-logo-vector atos2 Logo-gmp2 sport europe tv sea chefs Toyota_Gazoo_Racing_stacked_logo arlanxeo-vector-logo-1 saueressig-seeklogo2 flexico-logo KIEL-Logo Levis_logo Zalando_201x_logo EGU_Logo_mit-Zusatz_RZ-1200x201 Kopie Lobbe-Logo-800px

Success Stories

Einige unserer Referenzen und Kundenprojekte im Detail vorgestellt.
Filter:
CTDI

CTDI

So ist es uns gelungen, das Netzwerk von CTDI nicht nur schneller und stabiler zu machen, sondern auch die Servicequalität auf ein neues Level zu heben.

Managed WAN

MPLS

Netzwerk
ATOS

ATOS Kliniken

So gelingt es unserem Kunden ATOS, sein Netzwerk zukunftssicher, stabil und geschützt zu betreiben. Denn eines ist klar: gerade im Gesundheitswesen muss die IT einfach funktionieren!

Managed WAN

Netzwerk

SD-WAN
DYN

DYN Media

Warum ein neuer Sport-Streaming-Anbieter auf ein traditionelles MPLS-Netzwerk setzt.

 

Managed WAN

MPLS

Netzwerk
Grenke_AG

Grenke

IT-Projekte bringen oft unerwartete Herausforderungen mit sich. Erfahren Sie, wie wir gemeinsam mit Grenke diese erfolgreich gemeistert haben.

Managed WAN

MPLS

Netzwerk
EGU

EGU

So gelingt es, mit SD-WAN für mehr Wachstum und Netzwerkstabilität zu sorgen. Die hochverfügbare Infrastruktur ist stabil, zuverlässig und hat eine garantierte Verfügbarkeit von 99,9 %

Managed WAN

Netzwerk

SD-WAN
Schaeffler

Schaeffler

Erfahren Sie, wie ein Rennwagen aus 80 Kilometern Entfernung präzise und sicher bei Höchstgeschwindigkeiten ferngesteuert werden kann – selbst in engen Kurven mit über 100 km/h und extrem niedriger Latenz.

Managed WAN

Netzwerk

SD-WAN
Broschüre mit dem Titel

sea chefs

Mit RIEDEL Networks voll auf Kurs: Eine wesentliche Grundlage bildet dabei die IT-Infrastruktur, die auf See absolut verlässlich sein muss.

Managed WAN

Netzwerk

MPLS
Die_Lila_Logistik

Müller - Die lila Logistik

Gehen Sie mit auf die Reise von Müller – lila Logistik und erfahren Sie, welchen Mehrwert sie aus ihrer IT-Infrastruktur ziehen können.

Managed WAN

Netzwerk

SD-WAN
Faller Packaging

Faller Packaging

Entdecken Sie die spannenden Herausforderungen, die Faller Packaging gemeinsam mit uns lösen konnte!

Managed WAN

Netzwerk

SD-WAN
Kyocera

Kyocera

Was bedeutet es eigentlich, wenn ein Service-Provider verspricht, dass man „nie wieder ein Ticket öffnen müsse“? Lesen Sie jetzt nach, wie wir mit Kyocera ein paneuropäisches Netzwerk aufgebaut haben.

 

Managed WAN

Netzwerk
Toyota Gazoo Racing

Toyota Gazoo Racing

Gemeinsam mit Toyota Gazoo Racing haben wir erfolgreich eine flexible Kommunikations- und IT-Lösung entwickelt, um auch unter Pandemie-Bedingungen eine reibungslose Zusammenarbeit sicherzustellen.

 

Managed WAN

Netzwerk

Die eigene Erfolgsgeschichte lesen?

Es dauert nur einen winzigen Augenblick uns eine Nachricht zu schicken!

Kontakt aufnehmen