SzA für OT

Gehört das SzA in die Cloud?

René Krause
Teamlead Service
11.11.2025
5 min

Öffentliche Cloud-Anbindungen machen einiges einfacher, erweitern aber auch die Angriffsfläche und Sicherheitsabhängigkeit von Drittanbietern. Rhebo setzt bei seinem SzA für die OT ausschließlich auf On-Premise-Betrieb ohne Anbindung in eine öffentliche Cloud.

In der digitalen Welt ist das größte Verkaufsargument – und auf Seite der Anwendenden die größte Ausrede – Convenience, Bequemlichkeit. Das stimmt vor allem in Bezug auf öffentliche Cloud-Anbindungen zu Hyperscalern, aber auch Cloud-Infrastruktur von Komponentenanbietern. Systeme können ortsunabhängig und zentral verwaltet werden. Falls Support benötigt wird, können Hersteller mitunter schneller helfen. So weit, so gut.

Die Kehrseite ist, dass die Cybersicherheit für die Daten und damit auch die damit verknüpften Systeme im eigenen Unternehmen zu einem beträchtlichen Teil aus der Hand gegeben wird. Das haben mittlerweile auch Angreifende verstanden, die in den letzten Jahren wiederholt Cloud-Infrastrukturen ins Visier genommen haben.

Von der Cloud in den Urlaub

Hinzu kommen Abhängigkeiten bei der Verfügbarkeit der Cloud-Applikationen, wie der großflächige Zusammenbruch der AWS-Infrastruktur im Oktober 2025 gezeigt hat.1 Auch wenn bei AWS ein größeres Team sofort auf den Zusammenbruch reagieren konnte, bleibt den davon betroffenen Unternehmen am Ende nur abzuwarten und Tee zu trinken.

Von der Cloud ins Dark Web

Eine beunruhigenderes Erwachen hatten im September 2025 die Kunden des Firewall-Anbieters SonicWall, zumindest wenn sie ihre Firewall-Konfigurationen im Cloud Backup Service von SonicWall gespeichert hatten. Wie sich einige Wochen nach einem Breach der SonicWall-Cloud herausstellte, hatten Angreifende 100 % der Konfigurations-Backups der Kunden kompromittiert. Damit hatten die Cyberkriminellen die Einstellungen und Zugangsdaten der SonicWall-Kunden in der Hand.2  

Nicht nur haben Angriffe auf Cloud-Umgebungen beträchtlich zugenommen3, die Angreifenden werden auch immer besser darin, die Kontrolle zu behalten.4

Von der Cloud zum [Geheimdienst Ihrer Wahl]

Es braucht jedoch nicht einmal Cyberkriminelle. Geheimdienste und die mannigfachen Verflechtungen gerade nicht-europäischer Cybersicherheitsunternehmen mit ihren jeweiligen Regierungsapparaten tun es auch. Über Ciscos hardkodierte Hintertür und Microsofts Bestätigung, den Datenschutz auf ihren europäischen Cloudservern nicht 100%ig sicherstellen zu können, haben wir bereits an anderer Stelle geschrieben.

Und KRITIS AG-Gründer Manuel “HonkHase” Atug hat in unserem Podcast auch von Sicherheitsanbietern mit Cloud-Zugriff gesprochen, deren Handhabe mit sensiblen Kundendaten mehr als fraglich aussah.

Wenn Cloud, dann On Premise

Das netzbasierte System zur Angriffserkennung (NIDS) Rhebo Industrial Protector kann als physische und virtualisierte Appliance betrieben werden, verbleibt bei unseren Kunden aber IMMER on-premise. Wenn ein Betreiber wünscht, dass mehrere Instanzen unseres NIDS zentral virtualisiert werden sollen, erfolgt dies ausschließlich in einer privaten (unternehmensinternen) Cloud, nie in einer öffentlichen Cloud-Infrastruktur.

Rhebo Industrial Protector Datenkollektoren / Sensoren und Controller laufen stets ohne Verbindung in das öffentliche Netz. Es gibt weder automatisierte Suchen nach Updates, noch externe Verbindungsversuche zur Lizenzprüfung oder für Backups. Das Rhebo Supportteam stellt unseren Kunden jegliche Updates direkt zur Verfügung und unterstützt hands-on beim Roll-out.

Dieses manuelle Vorgehen reduziert vielleicht ein wenig die Convenience, stärkt jedoch die OT-Cybersicherheit unserer Kunden. Denn die Entscheidungsgewalt über Updates und Backups verbleiben genauso bei den Betreibern der OT-Infrastruktur, wie die digitale Souveränität über die sensiblen OT-Informationen und -Daten.

1 https://dataconomy.com/2025/10/20/aws-outage-a-complete-list-of-every-site-and-app-that-went-down/  

2 https://www.darkreading.com/cyberattacks-data-breaches/sonicwall-100-firewall-backups-breached  

3 Punkte 35 bis 38 unter https://www.getastra.com/blog/security-audit/cloud-security-statistics/  

4 https://cybersecuritynews.com/hackers-weaponizing-oauth-applications/