OT-Wissen aus der Praxis: Ein Interview mit unseren Consultants

Was sind eurer Meinung nach die größten Herausforderungen, die Unternehmen bei der Absicherung ihrer OT-Systeme zu bewältigen haben?

Markus: Eine der größten Herausforderung ist es die Anforderungen der IT-Security mit dem reibungslosen Ablauf der Produktion zu vereinbaren. Die OT-Systeme laufen zum Teil schon geraume Zeit in der Produktion und deren Betreiber haben den Fokus darauf, dass die Produktion konstant und fehlerfrei läuft, dadurch sind manche IT-Security Vorgaben schwierig bis gar nicht umzusetzen. Zum Beispiel: SMB V1 deaktivieren, aber XP soll weiterhin auf eine Netzwerkfreigabe schreiben können. Als weitere Erschwernis kommt dazu der Aufgabenumfang und der Arbeitsaufwand durch die “neuen” Anforderungen, die von den vorhandenen Mitarbeitern abgearbeitet werden müssen.

Christoph: Eine der größten Herausforderungen beim Schutz von OT-Systemen ist, dass viele dieser Systeme sehr alt sind. Dadurch sind sie oft schwer zu aktualisieren oder abzusichern. Zudem wissen viele Unternehmen gar nicht genau, welche Geräte in ihren Netzwerken aktiv sind, was Sicherheitslücken schafft. Hinzu kommt, dass Mitarbeitende oft nicht ausreichend für Cybergefahren geschult sind. Um sich zu schützen, müssten Unternehmen klare Sicherheitsmaßnahmen ergreifen, Netzwerke besser absichern und ihr Personal regelmäßig schulen.

Welche typischen Schwachstellen begegnen euch in OT-Umgebungen immer wieder?

Andreas: In OT-Umgebungen stoßen wir regelmäßig auf wiederkehrende Schwachstellen. Besonders kritisch sind veraltete Betriebssysteme, fehlende Netzwerksegmentierung und unzureichende Patch-Stände. Ein häufiges Problem ist der Einsatz identischer Benutzerkonten mit Standardpasswörtern auf mehreren Produktionsanlagen – oft über Jahre hinweg unverändert. Diese Praxis bietet Angreifern ein leichtes Einfallstor. Zudem fehlen oft Transparenz über Assets, klare Zugriffskonzepte sowie geeignete Monitoring- und Reaktionsmaßnahmen. Solche Sicherheitslücken erhöhen das Risiko von Cyberangriffen erheblich und machen gezielte Schutzmaßnahmen dringend erforderlich.

Markus: In OT-Umgebungen sehen wir immer wieder unzureichende Backup-Strategien und schlecht verwaltete lokale Konten. Häufig fehlen aktuelle, getestete Backups kritischer Systeme, sodass im Störungsfall weder schnelle Wiederherstellung noch vollständige Datenintegrität gewährleistet sind. Ebenso problematisch ist der Einsatz identischer lokaler Administrator- oder Auto-Logon-Konten mit unveränderten Standardpasswörtern. Da viele OT-Anwendungen lokale User mit hohen Rechten voraussetzen, bleibt dieses Risiko oft lange bestehen. Sinnvolle Gegenmaßnahmen sind automatisierte Passwortrotation, der Einsatz von individuellen, zufällig generierten Passwörtern und die Integration von Lösungen wie ondeso SR, um Auto-Logon-Konten bei Neustarts sicher zu aktualisieren. Eine Kombination aus getesteten Backup-Konzepten und konsequentem Passwortmanagement reduziert diese Schwachstellen nachhaltig.

Was sind einfache, aber effektive Schritte, die OT-Verantwortliche sofort umsetzen können?

Andreas: OT-Verantwortliche können mit einigen einfachen, aber wirkungsvollen Maßnahmen, die meist mit vertretbarem Aufwand umsetzbar sind und sofort spürbaren Sicherheitsgewinn bieten, sofort die Sicherheit verbessern:

• Standardpasswörter ändern und individuelle Accounts mit starken Passwörtern einführen.
• Nicht benötigte Benutzerkonten entfernen und Rechte regelmäßig überprüfen.
• Netzwerksegmentierung umsetzen, z. B. durch Trennung von IT und OT.
• Bestandsaufnahme aller OT-Geräte zur Erhöhung der Transparenz.
• USB- und Wechselmedienzugriffe einschränken oder kontrollieren.
• Sicherungen regelmäßig prüfen und offline speichern.
• Grundlegende Schulungen für Mitarbeitende zur Sensibilisierung durchführen.

Markus: Ein effektiver und sofort umsetzbarer Schritt ist die Einführung regelmäßiger Backups für OT-Clients wie Engineering-Workstations oder HMIs. Diese Systeme enthalten oft kritische Projekt- und Konfigurationsdaten, deren Verlust zu Produktionsstillständen führen kann. Ein zentraler Netzwerk-Share mit ausreichender Kapazität, automatisierte Sicherungen und eine einfache Versionierung sind schnell eingerichtet. Ergänzend sollten stichprobenartige Restore-Tests sowie eine Offline-Kopie vorgesehen werden, um Manipulationen und Ransomware vorzubeugen. So lässt sich mit überschaubarem Aufwand die Wiederanlauffähigkeit deutlich verbessern.

Wie kann ondeso bei der Verwaltung und Pflege von OT-Systemen helfen?

Andreas: ondeso bietet spezialisierte Lösungen für das Management und die Absicherung von OT-Systemen. Mit den Softwarelösungen von ondeso können OT-Verantwortliche z. B. systematisch Assets erfassen, Softwarestände dokumentieren und regelmäßige Wartungsprozesse automatisieren – ganz ohne Produktionsausfall. Außerdem unterstützt ondeso bei der Verteilung von Sicherheitsupdates, der Verwaltung von Benutzerkonten sowie der Einführung standardisierter Prozesse über verschiedene Standorte hinweg. Damit lassen sich Risiken reduzieren, Compliance-Anforderungen erfüllen und der Betrieb effizienter gestalten – alles speziell auf industrielle IT und OT zugeschnitten.

Welche Maßnahme hat in einem konkreten Fall am meisten zur OT-Security eines Kunden beigetragen?

Andreas: In einem konkreten Projekt hat besonders die Einführung eines automatisierten Passwortmanagements über ondeso SR für Standardbenutzer die OT-Security deutlich verbessert. Gemeinsam mit dem Kunden wurde ein Mechanismus etabliert, der regelmäßig sichere, zufällige Passwörter für lokale Standardkonten generiert. Diese Passwörter wurden nicht auf der Anlage gespeichert, sondern ausschließlich an einen zentralen Passwortserver übermittelt. Zugriff auf das Passwort war nur kontrolliert und protokolliert möglich. Dadurch wurde das Risiko durch fest hinterlegte oder mehrfach verwendete Kennwörter effektiv eliminiert – ein großer Sicherheitsgewinn bei gleichzeitig hoher Praxistauglichkeit.

Markus: Am meisten bewirkt hat bei einem Kunden der blitzschnelle, gezielte Rollout des WannaCry-Sicherheitsupdates auf allen OT-relevanten Windows-Systemen über ondeso SR. Unmittelbar nach den ersten Medienmeldungen haben wir eine schlanke Operation gebaut, die ausschließlich den benötigten Patch installierte und ihn flächendeckend ausgerollt hat. Das gleiche Verfahren lieferte sofortige Transparenz: Wir sahen in einem Dashboard, welche Maschinen bereits geschützt waren, wo Installationen fehlgeschlagen sind und wo noch Handlungsbedarf bestand. Dadurch konnten wir Restlücken priorisiert schließen und der Kunde reduzierte in sehr kurzer Zeit sein Risiko signifikant – ein produktionsrelevanter WannaCry-Ausfall blieb aus.

Christoph: Ein konkretes Beispiel ist für mich hier sehr schwierig zu nennen. Alle Kunden haben einerseits sehr unterschiedliche und heterogene Infrastrukturen und anderseits sehr unterschiedliche bereits umgesetzte Maßnahmen, was die OT-Security betrifft. So kann es zum Beispiel sein, dass es bereits ein Backup-Konzept gibt, aber noch nicht die Schwachstellen der einzelnen Geräte erfasst werden. OT-Security muss immer ganzheitlich betrachtet werden und daher ist es für mich immer wichtig, noch fehlende Bausteine mittels ondeso SR hinzufügen zu können bzw. den Kunden beraten zu können wie er seine OT-Security-Prozesse mittels ondeso SR effizienter gestalten kann.

Was ist euer Lieblingsfeature von ondeso SR und warum?

Markus: Operations – ganz klar mein Lieblingsfeature in ondeso SR. Damit kann ich mir aus dem gesamten Werkzeugkasten standardisierte Abläufe bauen, die auf jeder Anlage identisch und reproduzierbar laufen. Beispiel Inbetriebnahme eines neuen Clients: definierte lokale Benutzer anlegen, starke Passwörter setzen, Gruppen zuweisen, RDP gezielt aktivieren oder deaktivieren, lokale Firewall-Regeln setzen bzw. entfernen – immer gleich, ohne manuelle Abweichungen. Einheitliche Bezeichnungen innerhalb der Operation sorgen dafür, dass Ergebnisse sauber ausgewertet werden können. Status- und Ergebnisdaten schreibe ich direkt in Advanced Information Fields; so sieht der Kunde auf einen Blick, welche Schritte erfolgreich waren oder wo nachgearbeitet werden muss. Und wenn einmal etwas Spezielles nötig ist, ergänze ich den Ablauf per Script Action Item über Custom-Skripte. Diese Kombination aus Automatisierung, Konsistenz und Transparenz macht Operations für mich zum stärksten Feature.

Christoph: Ich mag am liebsten die automatisierte Erfassung von Informationen über die OT-Systeme. Diese Funktionalität richten wir meist direkt zu Beginn eines Projekts ein und die Kunden haben damit dann auch gleich einen ersten „Aha-Effekt“. Wenn die Kunden dann auch noch feststellen, dass sie mittels ondeso SR einfach und effizient Workflows, sogenannte Operations, bauen können, mit welchen sie auf diese Informationen (automatisiert) reagieren können, dann ist die Freude kundenseitig meist sehr groß.

Andreas: Mein Lieblingsfeature von ondeso SR sind ganz klar die Operations – also die Möglichkeit, wiederkehrende Aufgaben vollständig zu automatisieren. Ob Softwareinstallationen, Skript-Ausführungen, Konfigurationsänderungen oder Prüfprozesse: Mit Operations lassen sich nahezu alle IT-relevanten Tätigkeiten zentral steuern und standardisiert auf OT-Systeme ausrollen. Das spart enorm viel Zeit, minimiert Fehlerquellen und sorgt für transparente, dokumentierte Abläufe – ein echter Gamechanger für alle, die viele Anlagen effizient und sicher betreiben müssen.

Vielen Dank für das spannende Interview!

Wenn Sie gerne mehr über ondeso und unsere Software erfahren möchten, folgen Sie unseren Social Media Kanälen:
LinkedIn oder YouTube