Die deutsche Industrie und kritische Infrastruktur stehen vor einem einzigartigen Sicherheitsdilemma. Während der Cybersecurity-Industrie Lösungen für moderne, Cloud-native Systeme entwickelt, läuft die Basis unserer Wirtschaft und Versorgung auf Hardware, die teilweise älter als das Internet selbst ist. Diese Diskrepanz ist nicht das Ergebnis von Nachlässigkeit, sondern von Physik und Finanzrealität.
Das echte Problem: Nicht zu patchbare Systeme
Operationale Technologie (OT) und speicherprogrammierbare Steuerungen (SPS) in Kraftwerken, Wasserwerken und Fabrikationen sind oft von ihrer physischen Umgebung untrennbar. Eine SPS, die in das Fundament eines Kraftwerks einbetoniert ist oder in die Hydraulikanlage einer Presse verdrahtet wurde, lässt sich nicht einfach austauschen wie ein virtueller Server. Der Austausch eines 5.000-Euro-Controllers kostet in Wirklichkeit mehrere Millionen: Produktionslinien müssen stillgelegt werden (50.000 Euro Verlust pro Stunde), Turbinen mit Kränen ausgebaut werden, oder Stadtstraßen müssen aufgerissen werden, um unterirdische Stationen zu erreichen. Angesichts solcher Kosten sagen Finanzvorstände konsequent “Nein” — und der Chief Information Security Officer muss das System dann eben “sicher machen”.
Die “eBay-Supply-Chain” und kreative Notlösungen
Dies führt zu einer dystopischen Realität: Sicherheitsverantwortliche und Ingenieure durchsuchen systematisch eBay nach veralteten Steuermodulen aus der Clinton-Ära. Es gibt Fälle, wo Organisationen Konkursverfahren überwachen, um aus stillgelegten Fabriken veraltete Controller zu kannibalieren und in kalten Lagern zu stocken. Das ist kein Fehler, sondern eine bewusste Strategie, um die Gegenwart mit dem Vergangengang zu sichern.
Defensive Strategien im Kampf gegen moderne Bedrohungen
Da moderne Sicherheitstools wie Endpoint Detection & Response (EDR) diese alten Systeme zum Absturz bringen würden und selbst ein einfacher nmap-Scan ein Legacy-SCADA-System offline nehmen kann, müssen Sicherheitsverantwortliche anders denken. Die Strategie heißt “digitale Beton”: strikte, hardwarebasierte Segmentierung mit Firewalls oder Datendioden, die Daten nur in eine Richtung fließen lassen. Das alte OT-Netzwerk muss für die Außenwelt unsichtbar sein — nur Telemetrie kommt heraus, nichts geht hinein.
Statt die Endpoints selbst zu überwachen, müssen Sicherheitsteams das Netzwerk selbst beobachten. Sie etablieren eine Baseline für “normalen” Datenverkehr: Wenn eine 15 Jahre lang mit derselben internen IP-Adresse kommunizierende SPS plötzlich zu einem anderen Subnetz spricht, ist das der Alarm.
Physische Sicherheit wird zur Cybersicherheit. Ein Assessment zeigte, wie ein Millionen-Euro-Firewall-System durch das Eindringen in einen unverschlossenen Schuppen und das Einstecken eines Raspberry Pi umgangen werden konnte. Für Legacy-Systeme ist die physische Perimeter — Zäune, Schlösser, Kameras — zum primären Firewall geworden.
Das kulturelle Problem
Die Sicherheitsbranche muss aufhören, Organisationen für veraltete Technologie zu beschämen. Das Wasser aus der Leitung, die Autoteile aus der Fabrik und der Strom aus der Steckdose — alle verlassen sich auf diese “eBay-Supply-Chain”. Der Programmierer ist tot, der Vendor insolvent, die Hardware obsolet. Aber die Mission bleibt: Die Lichter müssen brennen, das Wasser muss fließen. Die Aufgabe von Sicherheitsverantwortlichen ist nicht, über die Korrosion zu klagen, sondern sicherzustellen, dass sie nicht zu einem Datenleck wird.