SzA für OT

Ergeben Firewalls (oder ein SIEM) ein ausreichendes System zur Angriffserkennung?

Uwe Dietzmann
Sales Manager Rhebo
15.10.2025
5 min

Die kurze Antwort ist: Nein! In diesem Post erläutern wir, warum die – gerade in der OT – beide Lösungen nicht ausreichen.

Firewalls und ein Security Information & Event Management (SIEM) System sind ohne Frage relevante Bestandteile eines Systems zur Angriffserkennung – auch in der OT. Jedoch sind sie nicht per se DAS System zur Angriffserkennung, wie es z. B. das BSI definiert.  

Firewalls  

Firewalls sitzen an den Netzwerkgrenzen, schauen nach außen und prüfen dort (in der Regel signaturbasiert) ausschließlich den Verkehr, der die Netzwerkgrenzen über das jeweilige Gateway passiert. Sie kommen typischerweise aus der Unternehmens-IT.

Firewalls sind jedoch blind in Bezug auf:

  1. verdächtige Kommunikation, die INNERHALB des OT-Netzwerkes stattfindet: Im Gegensatz zur IT, werden OT-Netze aufgrund bestehender Abläufe verhältnismäßig offen geführt. Über direkt angeschlossene Wartungslaptops oder 1:1-Verbindungen per VPN-Fernzugang können Schadsoftware oder kompromittierte Systeme an den Firewalls vorbei in die OT gelangen. Erschwerend kommt hinzu, dass diese Zugänge meist durch externe Dienstleister oder die Supportteams der Anlagenhersteller genutzt werden – und die eigene IT-Sicherheit somit nur bedingt Kontrolle ausüben kann. Jegliche verdächtigen Vorgänge innerhalb eines Netzwerkes werden durch Firewalls übersehen. Neben der Einschränkung von Privilegien und einem stringenten Authentifizierungsmanagement braucht es ein Netzwerkmonitoring, um auch Aktivitäten innerhalb der Netzwerke überwachen und auf verdächtiges Verhalten untersuchen zu können.
  1. Angriffe, für die keine Signaturen existieren: Der Großteil der in der OT genutzten Firewalls funktioniert signaturbasiert. Das heißt, ihre Detektionsfähigkeiten hängen von einer Bibliothek bekannter Angriffsmuster ab, wie sie zum Beispiel durch bereits analysierte Schadsoftware erstellt werden können. Jedoch verschiebt sich der initiale Angriffsvektor auf Unternehmensnetzwerke seit Jahren in Richtung neuartiger und getarnter Angriffsvektoren bzw. Angriffe, für die keine Schadsoftware notwendig ist. Das bestätigen verschiedene Zeitreihen von Versicherungsunternehmen und Sicherheitsunternehmen.
    Dafür werden mehrheitlich bestehende, oftmals noch unbekannte (sogenannte Zero-Day) Schwachstellen auf Hardware- und Software-Komponenten ausgenutzt. Eine weitere Methode ist die Übernahme legitimer Benutzerkonten durch gestohlene Zugangsdaten oder erschlichene Zugangsdaten (z. B. über Spearphishing). Die Angreifenden bewegen sich somit als legitimierte Benutzer im Netz. In beiden Fällen bleiben die Angreifenden unsichtbar für die Firewall, weil sie bereits hinter deren Brandmauer stehen. Auch hier schafft ein Netzwerkmonitoring, die Sichtbarkeit hinter der Brandmauer zu schaffen. Eine integrierte Anomalieerkennung erlaubt zudem die Detektion von Angriffsmustern und sicherheitsrelevantem Kommunikationsverhalten, die nicht über Signaturen abgedeckt sind.
  1. Living-Off-The-Land Cyberangriffe: Diese Art der Angriffe versucht, komplett ohne Schadsoftware oder sonstige Payloads auszukommen. Stattdessen werden die Ressourcen (Systeme, Funktionen, Protokolle) genutzt, die im angegriffenen Netz zur Verfügung stehen. Diese Art von verdeckten Angriffen sind für signaturbasierte Sicherheitslösungen noch schwieriger zu erkennen. Eine Anomalieerkennung wiederum kann auch diese Angriffstechnik sichtbar machen.
  1. Angriffe durch Innentäter: siehe Punkt 1.
  1. (häufig) Kommunikation, die OT-spezifische Protokolle verwendet: Die OT ist in Bezug auf die verwendeten Protokolle ein großer Gemischtwarenladen. Neben einer Vielzahl aus der IT bekannter Protokolle werden verschiedenste Protokolle verwendet, die für die OT spezifisch sind. Zudem besitzen viele OT-Systeme und -Komponenten proprietäre Herstellerprotokolle. Firewalls können diese in der Regel nicht erkennen bzw. analysieren. Aus diesem Grund sind Lösungen notwendig, die IT- UND OT-Protokolle verstehen – beispielsweise ein dediziert für die OT entwickeltes netzbasiertes Intrusion Detection System (NIDS) wie Rhebo Industrial Protector.

Abb. 1: Ein SIEM führt verschiedenste Quelle an Threat Intelligence und Meldungen zusammen

SIEM-System

Ein SIEM-System führt an zentraler Stelle Log-Daten verschiedenster Systeme in den Netzwerken sowie Threat Intelligence Informationen zusammen, analysiert diese und versucht, Muster zu erkennen, die auf eine Gefährdung hinweisen (Abb. 1). An dieser Stelle kommt häufig auch KI oder Machine-Learning zum Einsatz, um die umfangreichen Datensätze zu durchforsten.

Ein SIEM allein ist jedoch KEIN System zur Angriffserkennung, denn es ist abhängig von seinen Datenquellen. Fehlen Datenquellen, kann ein SIEM auch nur bedingt akute Gefährdungen erkennen / ableiten. Ohne Logdaten bzw. ein Monitoring innerhalb der OT, besitzt auch ein SIEM keinerlei Einblick in die OT-Netze und kann somit keine Aussagen zur Gefährdungslage und OT-Sicherheit geben.

Fazit

Firewalls und SIEM können weder allein noch in Kombination die OT retten. Ihnen fehlen der Einblick, das Verständnis und spezifische Funktionen, die für OT-Netzwerke maßgeblich sind.

Ein OT-Monitoringsystem mit integrierter Anomalieerkennung – wie Rhebo Industrial Protector – schließt die Sicherheitslücken und blinden Flecken, die durch Firewalls und ein SIEM offenbleiben. Das BSI bezeichnet solche Systeme auch als netzbasiertes Intrusion DetectionSystem (NIDS) bzw. netzbasiertes Angriffserkennungssystem.