Published on

OT-Security: SPS im Shopfloor absichern (NIS-2)

Authors

TL;DR

SPS-Steuerungen im Shopfloor sind zunehmend vernetzt und damit angreifbar. 68% der Maschinenbau-Mittelständler haben keine OT-Security-Strategie. Ein strukturiertes Schutzkonzept mit Netzwerksegmentierung, SPS-Härtung und Anomalie-Erkennung lässt sich in 8 Wochen implementieren und verhindert Produktionsausfälle, die durchschnittlich 48.000 Euro pro Stunde kosten.

Warum SPS-Steuerungen verwundbar sind

Speicherprogrammierbare Steuerungen (SPS) wurden für Zuverlässigkeit konstruiert, nicht für IT-Sicherheit. Eine Siemens S7-300, die seit 15 Jahren fehlerfrei Pressen steuert, kennt weder Passwortschutz noch Verschlüsselung. Das war kein Problem, solange die SPS isoliert arbeitete.

Mit Industrie 4.0 ändert sich das. SPS kommunizieren über OPC-UA mit MES-Systemen, SCADA-Server sammeln Daten über das Netzwerk, und Fernwartungszugänge ermöglichen Herstellern den Zugriff von außen. Jede dieser Verbindungen ist ein potenzielles Einfallstor.

Reale Angriffsvektoren im Maschinenbau:

  • Ransomware über Office-IT: Laterale Bewegung vom kompromittierten Büro-PC zur SPS
  • Fernwartungszugang: Ungesicherte VPN-Tunnel des Maschinenherstellers
  • USB-Sticks: Infizierte Engineering-Laptops an SPS angeschlossen
  • Supply-Chain: Kompromittierte Firmware-Updates des SPS-Herstellers

Der durchschnittliche Produktionsausfall durch einen Cyberangriff dauert im Maschinenbau 4,2 Tage. Bei 48.000 Euro Kosten pro Stillstandsstunde ergibt das einen Schaden von über 4,8 Millionen Euro.

Das Purdue-Modell als Sicherheitsarchitektur

# ot-security/netzwerkarchitektur.yaml
purdue_modell:
  level_0_prozess:
    geraete:
      - "sensoren"
      - "aktoren"
      - "antriebe"
    schutz: "physischer_zugang"

  level_1_steuerung:
    geraete:
      - "sps_siemens_s7"
      - "sps_beckhoff"
      - "cnc_steuerungen"
    schutz:
      - "firmware_aktuell"
      - "zugangspasswort"
      - "programmaenderung_nur_mit_schluesselschalter"
    netzwerk: "vlan_10_steuerung"

  level_2_ueberwachung:
    geraete:
      - "scada_server"
      - "hmi_panels"
      - "engineering_workstations"
    schutz:
      - "windows_haertung"
      - "application_whitelisting"
      - "usb_kontrolle"
    netzwerk: "vlan_20_scada"

  level_3_betrieb:
    geraete:
      - "mes_server"
      - "historian"
      - "patch_server"
    schutz:
      - "antivirus"
      - "patch_management"
      - "backup"
    netzwerk: "vlan_30_betrieb"

  dmz_industrial:
    geraete:
      - "jump_server"
      - "data_diode"
      - "remote_access_gateway"
    schutz:
      - "zwei_faktor_auth"
      - "session_recording"
      - "zeitbegrenzter_zugang"

  level_4_5_enterprise:
    geraete:
      - "sap_erp"
      - "office_pcs"
      - "email_server"
    netzwerk: "office_netzwerk"

  firewall_regeln:
    - "level_1_zu_level_2: nur_definierte_ports"
    - "level_2_zu_level_3: nur_historian_protokolle"
    - "level_3_zu_dmz: nur_daten_export"
    - "dmz_zu_level_4: nur_read_only"
    - "kein_direkter_zugang_level_4_zu_level_1"

Das Purdue-Modell trennt die Netzwerkzonen hierarchisch. Die wichtigste Regel: Kein direkter Datenfluss von der Office-IT (Level 4/5) zur Steuerungsebene (Level 1). Jede Kommunikation läuft über die Industrial DMZ.

SPS-Härtung: 10 konkrete Maßnahmen

  1. Standard-Passwörter ändern: Jede SPS erhält ein individuelles Passwort mit mindestens 12 Zeichen
  2. Zugriffsmodus einschränken: Nur Lese-Zugriff im Normalbetrieb, Schreibzugriff nur mit Schlüsselschalter
  3. Kommunikationsports einschränken: Nur benötigte Protokolle aktivieren, alles andere deaktivieren
  4. Firmware aktualisieren: Sicherheitsupdates innerhalb von 30 Tagen einspielen
  5. Programm-Backup: Tägliches Backup der SPS-Programme auf separatem Server
  6. Änderungsprotokoll: Jede Programmänderung mit Zeitstempel, Benutzer und Begründung dokumentieren
  7. Netzwerk-Segmentierung: Jede Maschine in eigenem VLAN, Kommunikation nur über Firewall
  8. Engineering-Laptops absichern: Dedizierte Laptops für SPS-Programmierung, kein Internet-Zugang
  9. USB-Ports kontrollieren: USB-Zugang physisch sperren oder per Endpoint-Protection einschränken
  10. Fernwartung absichern: Herstellerzugang nur über Jump-Server mit Zwei-Faktor-Authentifizierung und Session-Recording

Anomalie-Erkennung im OT-Netzwerk

Neben präventiven Maßnahmen benötigen Sie eine Erkennung laufender Angriffe. OT-Anomalie-Erkennung überwacht den Netzwerkverkehr passiv und erkennt:

  • Unbekannte Kommunikationspartner im OT-Netzwerk
  • Ungewöhnliche Protokolle oder Ports
  • SPS-Programmänderungen außerhalb geplanter Wartungsfenster
  • Auffällige Datenmengen oder Kommunikationsmuster
  • Neue Geräte im Netzwerk

Lösungen wie Nozomi Networks, Claroty oder Rhebo analysieren den OT-Traffic passiv über Mirror-Ports, ohne die Produktion zu beeinflussen.

NIS-2-Compliance für den Maschinenbau

Die NIS-2-Richtlinie betrifft ab Oktober 2024 auch Maschinenbauer mit mehr als 50 Mitarbeitern oder 10 Mio. Euro Umsatz als „wichtige Einrichtungen". Pflichten:

  • Risikomanagement für IT- und OT-Systeme
  • Meldepflicht bei Sicherheitsvorfällen (24 Stunden)
  • Supply-Chain-Security für Zulieferer
  • Regelmäßige Audits und Penetrationstests
  • Geschäftsführerhaftung bei Verstößen (bis 7 Mio. Euro oder 1,4% des Umsatzes)

Die oben beschriebenen Maßnahmen decken die technischen Anforderungen der NIS-2 weitgehend ab. Zusätzlich benötigen Sie organisatorische Prozesse und Dokumentation.

Grundlagen zur KI-Implementierung und deren Absicherung finden Sie in unserem Praxisleitfaden.

Kosten und Implementierungsplan

Investitionskosten (Beispiel: 30 Maschinen, 3 Fertigungsbereiche)

MaßnahmeKosten
Netzwerksegmentierung (Switches, Firewalls)28.000 €
SPS-Härtung (Konfiguration, Tests)12.000 €
Anomalie-Erkennung (Lizenz + Sensoren)35.000 €/Jahr
Industrial DMZ (Jump-Server, Data Diode)18.000 €
Beratung und Implementierung25.000 €
Schulung (IT + Instandhaltung)6.000 €
Gesamt (Jahr 1)124.000 €

Zum Vergleich: Ein einzelner Produktionstag Stillstand kostet bei 2-Schicht-Betrieb 384.000 Euro. Die Investition amortisiert sich bei Vermeidung eines einzigen Vorfalls um den Faktor 3.

Für die Budgetplanung von KI- und Security-Projekten empfehlen wir eine strukturierte Kostenschätzung.

Praxisbeispiel: Automobilzulieferer Nordhessen

Ein Zulieferer für Bremssysteme mit 210 Mitarbeitern und 45 vernetzten Maschinen implementierte das OT-Security-Konzept in 10 Wochen. Ausgangslage: Flaches Netzwerk ohne Segmentierung, SPS mit Standard-Passwörtern, uneingeschränkte Fernwartungszugänge.

Ergebnisse nach 6 Monaten:

  • Netzwerk in 5 Zonen segmentiert mit dedizierten Firewalls
  • 100% der SPS mit individuellen Passwörtern und eingeschränktem Zugriff
  • Anomalie-Erkennung erkannte 3 Fehlkonfigurationen und 1 unautorisierten Zugangsversuch
  • NIS-2-Audit bestanden ohne Beanstandungen
  • Versicherungsprämie für Cyberversicherung um 22% gesunken

Detaillierte ROI-Berechnungen ermöglicht die KI-ROI Excel-Vorlage.

Häufig gestellte Fragen

Beeinflusst die Netzwerksegmentierung die Maschinenperformance?

Nein. Moderne Industrial-Firewalls arbeiten mit Latenzen unter 1 Millisekunde. Für SPS-Kommunikation ist das nicht messbar. Wichtig: Verwenden Sie Industrial-grade Switches, keine Office-Hardware.

Können wir OT-Security ohne externes Personal umsetzen?

Grundmaßnahmen wie Passwortänderung und USB-Kontrolle ja. Für Netzwerksegmentierung und Anomalie-Erkennung empfehlen wir einen spezialisierten OT-Security-Dienstleister. Nach der Implementierung reichen 0,5 FTE für den laufenden Betrieb.

Wie reagiere ich auf einen erkannten Angriff?

Definieren Sie vorher einen Incident-Response-Plan: 1. Betroffenes Segment isolieren, 2. Produktion auf manuelle Steuerung umschalten, 3. Forensik sichern, 4. NIS-2-Meldung innerhalb 24 Stunden, 5. Wiederherstellung aus Backup.

Müssen alle SPS gleichzeitig gehärtet werden?

Nein. Starten Sie mit den Maschinen, die Netzwerkverbindungen nach außen haben. Vollständig isolierte SPS haben niedrigere Priorität. Planen Sie die Härtung in reguläre Wartungsfenster ein.

Was tun bei SPS ohne Passwortschutz-Funktion?

Ältere SPS (z.B. S7-300) bieten keinen Passwortschutz. Schützen Sie diese durch Netzwerk-Segmentierung: Die SPS kommuniziert nur mit dem zugehörigen HMI-Panel über eine dedizierte Firewall-Regel.

Nächste Schritte

Erstellen Sie eine Asset-Inventur aller vernetzten OT-Geräte. Prüfen Sie den aktuellen Netzwerkplan auf fehlende Segmentierung. Beauftragen Sie einen Penetrationstest für das OT-Netzwerk. Der KI-Leitfaden für Unternehmen bietet weitere Orientierung für die Digitalisierung mit Sicherheitsfokus.

Diskutieren auf Twitter

📖 Verwandte Artikel

Weitere interessante Beiträge zu ähnlichen Themen

Alle Artikel durchsuchen

Bereit für KI im Mittelstand?

Nutzen Sie unsere 10 kostenlosen KI-Tools und Praxis-Guides – oder sprechen Sie direkt mit unseren Experten.

Kostenloses Beratungsgespräch buchenKI-Schulung bis 100% gefördert

Pexon Consulting – KI-Beratung für den Mittelstand | Scaly Academy – Geförderte KI-Weiterbildung (KI-Spezialist, KI-Experte, Workflow-Automatisierung)