Ein Vorfall bei einem Energieversorger im Nahen Osten zeigt das Ausmaß gezielter Angriffe auf OT-Systeme: Ein iranisch-verbundener APT-Akteur versuchte, von der IT-Umgebung lateral in die Operationstechnologie-Systeme vorzudringen. Das besonders Alarmierende: Der Angreifer nutzte eine bisher nicht öffentlich dokumentierte Schwachstelle (sogenannte “n-day”-Vulnerability), um sich immer wieder Zugang zu verschaffen – selbst nachdem die Organisation bereits Containment-Maßnahmen eingeleitet hatte. Erst durch umfassende Forensik und koordinierte Remediation konnte der Zugriff unterbunden werden.
Weit häufiger entstehen Sicherheitslücken jedoch durch organisatorische Fahrlässigkeit und mangelndes Verständnis für OT-Spezifika. Ein besonders eindrucksvolles Beispiel: Ein IT-Sicherheitsverantwortlicher führte einen Standard-Vulnerability-Scan an Turbinensystemen eines Kraftwerks durch – obwohl dies in OT-Umgebungen strikt verboten ist. Das Ergebnis war katastrophal: Innerhalb von 2:11 Minuten kamen beide Turbinen zum Stillstand, erzeugt einen Lärm, der über einen Kilometer weit zu hören war. Das Sicherheitsteam durfte daraufhin Jahre lang die Anlage nicht betreten.
Eine häufig unterlassene Aufgabe ist die regelmäßige Bestandsaufnahme von Geräten. Bei einer großen Lebensmittelhandelskette wurden nach Implementierung von OT-spezifischen Monitoring-Lösungen über 1.000 unbekannte Geräte entdeckt – verteilt über mehrere Verteilzentren. Viele davon waren veraltet, nicht mehr unterstützt und nicht patchbar. Ein anderer Fall offenbarte noch Größeres: Ein US-Bundesunternehmen betrieb Solaris-Server ohne jedwede Patches, mit Standardpasswörtern und angeblich “physisch isoliert”. Tatsächlich waren sie vom öffentlichen Internet aus erreichbar. Nur weil ein pensionierter Entwickler die Organisation verließ, entstand eine kritische Sicherheitslücke.
Ein Pharmaunternehmen entdeckte während einer digitalen Transformation versteckte Verbindungen zwischen IT und OT (sogenannte “Shadow IT” und “Shadow SaaS”), darunter offene USB-Ports an aktiven Maschinen und veraltete Windows-XP-Systeme. Die Behebung dieser Defizite in nur 48 Stunden verhinderte wahrscheinlich eine schwerwiegende Sicherheitsverletzung – ein Glücksfall, wie der CISO selbst bekennt.
Ein Hersteller installierte Millionen in moderne Firewall-Technologie, ging aber davon aus, dass damit interne Netzwerksegmentierung erreicht war. Erst durch umfassende OT-spezifische Discovery-Tools zeigte sich: Es gab Tausende Geräte, die die Firewalls nicht filterten. Ein anderes Beispiel betraf ein Ölraffinerie-Unternehmen mit ausschließlich Windows-XP-Workstations und veralteten Cisco-Switches – eine Sicherheitsverpflichtung wurde bewusst ignoriert, weil die Verantwortlichen nicht glaubten, dass eine Risikoanalyse neuen Erkenntnisse bringe.
Dese Fälle unterstreichen mehrere kritische Lektionen: Physische Isolation funktioniert nicht, wenn die Netzwerk-Architektur dies nicht widerspiegelt. “Wir sind nicht exponiert” ist nur glaubwürdig, wenn es gemessen, nicht angenommen wird. OT-Systeme erfordern spezialisierte Sicherheitswerkzeuge und Expertise – Standard-IT-Tools verursachen oft mehr Schaden als Nutzen. Und nicht zuletzt: Unbekannte Geräte und veraltete Hardware sind die Regel, nicht die Ausnahme. Deutsche Behörden und Unternehmen sollten diese Warnsignale ernst nehmen.