{"id":31566,"date":"2025-09-18T17:30:05","date_gmt":"2025-09-18T17:30:05","guid":{"rendered":"https:\/\/cybercompare.com\/?p=31566"},"modified":"2025-09-22T06:16:10","modified_gmt":"2025-09-22T06:16:10","slug":"rhebo-artikel","status":"publish","type":"post","link":"https:\/\/cybercompare.com\/de\/rhebo-artikel\/","title":{"rendered":"Wie gut sch\u00fctzen Firewalls meine OT-Netzwerke?"},"content":{"rendered":"\n<p><strong>Wenn \u00fcber Anforderungen der industriellen Cybersicherheit gesprochen wird, f\u00e4llt h\u00e4ufig der Begriff des Systems zur Angriffserkennung. Doch was genau macht es aus? Und was muss es in industriellen Umgebungen k\u00f6nnen?<\/strong><\/p>\n\n\n\n<p>Text: Uwe Dietzmann, Sales Manager bei Rhebo<\/p>\n\n\n\n<p>Die Pflicht, ein System zur Angriffserkennung (SzA) in der industriellen Infrastruktur zu betreiben, besteht explizit bislang nur f\u00fcr kritische Infrastrukturen (IT-Sicherheitsgesetz) bzw. kritische Anlagen (NIS2). Aufgrund der generellen Anforderungen der NIS2 gelangen aber auch alle anderen Betroffenen dorthin. Viele Wege f\u00fchren eben zu einem SzA.<\/p>\n\n\n\n<p>Die NIS2 fordert beispielsweise:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>eine regelm\u00e4\u00dfige Bewertung innerer und \u00e4u\u00dferer Cyberrisiken,<\/li>\n\n\n\n<li>die regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der eingesetzten Sicherheitsmechanismen,<\/li>\n\n\n\n<li>ein solides Schwachstellenmanagement und<\/li>\n\n\n\n<li>die Ber\u00fccksichtigung der Cybersicherheit der Lieferkette.<\/li>\n<\/ul>\n\n\n\n<p>Ohne ein System zur Angriffserkennung k\u00f6nnen diese Anforderungen nicht sinnvoll umgesetzt werden, denn sie ben\u00f6tigen a) Sichtbarkeit auf und in die eigenen Netzwerke und Systeme sowie b) Wege, um mit dem nicht abstellbaren Restrisikos umzugehen.<\/p>\n\n\n\n<p>\u201cWas hei\u00dft hier Restrisiko?\u201d, werden Sie sich fragen. \u201cIch m\u00f6chte 100% Cybersicherheit!\u201d. Leider gibt es die nicht, hat es vermutlich nie gegeben. Und die Risikolandschaft wird aufgrund von Vernetzung, Abh\u00e4ngigkeiten und Altlasten zunehmend un\u00fcberschaubar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Gro\u00dfteil industrieller Systeme ist mit nur minimalen oder keinen Sicherheitsmechanismen ausgestattet. Es muss von einer hohen Dunkelziffer an (Zero-Day-) Schwachstellen ausgegangen werden, und die Ausnutzung von Schwachstellen belegt laut Auswertungen von Cyberversicherungs-Claims Platz 1 der initialen Angriffsvektoren.<\/li>\n\n\n\n<li>In jeder OT gibt es an der einen oder anderen Stelle ein Legacy-System oder werden Legacy-Protokolle verwendet, deren Sicherheitsl\u00fccken nicht mehr gepatcht werden k\u00f6nnen (Abb. 1).<\/li>\n\n\n\n<li>Zugangsdaten in der OT sind h\u00e4ufig sehr einfach zu erraten.<\/li>\n\n\n\n<li>In OT-Umgebungen haben Dienstleister f\u00fcr die Konfiguration und Wartung der Ger\u00e4te h\u00e4ufig umfassende Befugnisse. Infizierte Wartungslaptops oder kompromittierte Updates (Stichwort: Lieferkettenangriff bzw. Supply Chain Compromise) k\u00f6nnen somit einfach in die OT finden.<\/li>\n\n\n\n<li>Die IT\/OT-Konvergenz sowie die Zunahme von Fernzug\u00e4ngen \u00fcber VPN \u00fcberbr\u00fccken den vergangenen Airgap zwischen Fertigung und Au\u00dfenwelt. Insbesondere Edge-Ger\u00e4te und VPN-Zug\u00e4nge r\u00fccken zunehmend ins Visier der Angreifenden.<\/li>\n\n\n\n<li>Die Lieferkette wird zunehmend undurchsichtiger. Software-Entwickler greifen seit langem auf externe Bibliotheken und Softwarebausteine zur\u00fcck. Auch in der Hardware befinden sich h\u00e4ufig Einzelteile von dutzenden vorgelagerten Lieferanten, \u00fcber die man selbst keine \u00dcbersicht hat.<\/li>\n\n\n\n<li>Klassische Sicherheitstools f\u00fcr Endger\u00e4te k\u00f6nnen in der OT aufgrund limitierter Rechenkapazit\u00e4ten nur sehr eingeschr\u00e4nkt eingesetzt werden.<\/li>\n<\/ul>\n\n\n\n<p>Reichen in diesen F\u00e4llen Firewalls? Oder ein Security Information &amp; Event Management (SIEM) System?<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"939\" height=\"325\" src=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image.png\" alt=\"\" class=\"wp-image-31569\" srcset=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image.png 939w, https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image-300x104.png 300w, https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image-768x266.png 768w\" sizes=\"(max-width: 939px) 100vw, 939px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-left has-small-font-size\">Abb. 1: Die h\u00e4ufigsten Sicherheitsrisiken in der OT (Ergebnisse von Rhebo Industrial Security Assessments in Industrieunternehmen und Kritischen Anlagen)<\/p>\n\n\n\n<h6 class=\"wp-block-heading\">Jede L\u00f6sung hat ihren Platz<\/h6>\n\n\n\n<p>Die kurze Antwort ist: Nein. Die etwas L\u00e4ngere: Ein effektives SzA ergibt sich durch das Zusammenspiel verschiedener L\u00f6sungen, die jeweils an spezifischen Stellen bestimmte Bedrohungen erkennen k\u00f6nnen.<\/p>\n\n\n\n<p>Dieser mehrstufige Ansatz ist entscheidend, denn eine reine Perimetersicherung durch Firewalls reicht l\u00e4ngst nicht mehr. Das zeigt die Statistik der letzten Jahre: Die Mehrheit der initialen Angriffsvektoren auf Unternehmen nutzt Schwachstellen und gestohlene Zugangsdaten. Die Angriffe umschiffen damit die Firewalls. Daraus ergibt sich die Notwendigkeit, eine weitere Instanz \u2013 eine 2nd Line of Defense \u2013 innerhalb des Perimeters aufzubauen (Abb. 2).<\/p>\n\n\n\n<p>Die <strong>Firewalls <\/strong>sichern die industrielle Infrastruktur als erste Abwehrlinie an den Netzwerk- und Segmentgrenzen mittels Mustererkennung vor bekannten Angriffsstrategien und den g\u00e4ngigsten Risiken. Ein <strong>netzbasiertes Intrusion Detection System (NIDS)<\/strong> beh\u00e4lt die Innenansicht der Netzwerke. Es besteht aus einem OT-Monitoring mit Anomalieerkennung, das sowohl CVE-Schwachstellen auf OT-Systemen identifiziert, als auch verd\u00e4chtige Vorg\u00e4nge erkennt. Es bildet die zweite Linie der Abwehr, indem es Aktivit\u00e4ten innerhalb der Netzwerke erkennt, welchen Firewalls gegen\u00fcber blind sind. Diese schadhaften Aktivit\u00e4ten reichen von ausgenutzten Schwachstellen sowie Netzwerkzugriffen mittels gestohlener Zugangsdaten, \u00fcber den Eintrag von Malware \u00fcber die Lieferkette (Hersteller, Dienstleister), bis zu lateralen Bewegungen erfolgreicher Eindringlinge und Konfigurationsver\u00e4nderungen.<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"939\" height=\"439\" src=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image-1.png\" alt=\"\" class=\"wp-image-31571\" srcset=\"https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image-1.png 939w, https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image-1-300x140.png 300w, https:\/\/cybercompare.com\/wp-content\/uploads\/2025\/09\/image-1-768x359.png 768w\" sizes=\"(max-width: 939px) 100vw, 939px\" \/><\/figure>\n\n\n\n<p class=\"has-text-align-left has-small-font-size\">Abb. 2: Ein OT-Monitoring bildet die Innere Sicherheit in der OT-Sicherheitsstrategie<\/p>\n\n\n\n<p>Das <strong>SIEM <\/strong>wiederum bildet das Mastermind der Cybersicherheit, indem es alle Datenquellen f\u00fcr Cybersicherheitsmeldungen intelligent zusammenf\u00fchrt und auswertet. Ein SIEM ist deshalb ohne Datenquellen in den jeweiligen zu sch\u00fctzenden Bereichen machtlos. OT-Monitoring, Logs der Endger\u00e4te und Firewalls bilden hierbei wichtige Datenquellen. Gleicherma\u00dfen wird ein SIEM erst zu einem sinnvollen Werkzeug, wenn die Netzwerkstruktur eine gewisse Gr\u00f6\u00dfe und Komplexit\u00e4t erreicht hat.<\/p>\n\n\n\n<h6 class=\"wp-block-heading\">Netzwerkmonitoring in der OT in wenigen Schritten integrieren<\/h6>\n\n\n\n<p>Das kann im ersten Moment \u00fcberw\u00e4ltigend klingen, ist im Rollout aber einfacher als gedacht. Das f\u00fcr OT-Umgebungen entwickelte deutsche NIDS Rhebo Industrial Protector kann als Switch-Mirrorport oder Software-Agent ohne Produktionsunterbrechung in den Fertigungslinien integriert werden.<\/p>\n\n\n\n<p>Das NIDS liest und analysiert kontinuierlich und rein passiv die gesamte OT-Kommunikation, ohne in diese einzugreifen oder Latenzen zu verursachen. Im ersten Schritt wird zusammen mit den Expert:innen von Rhebo eine Baseline der zu erwartenden, legitimen Kommunikation erstellt. Im laufenden Betrieb werden Abweichungen von dieser Baseline dann in Echtzeit als Anomalien gemeldet und inklusive der forensischen Daten dokumentiert. Damit sind Cybersicherheitsteams in der Lage, eine 24\/7-Sicherheits\u00fcberwachung ihrer Industrieanlagen zu betreiben und eine eingehende forensische Analyse aller Sicherheitsvorf\u00e4lle in der Fertigung durchzuf\u00fchren. Als deutsches Unternehmen stellt Rhebo zudem sicher, dass die sensiblen Anlagendaten den Standort nicht verlassen und die digitale Souver\u00e4nit\u00e4t gest\u00e4rkt wird.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wenn \u00fcber Anforderungen der industriellen Cybersicherheit gesprochen wird, f\u00e4llt h\u00e4ufig der Begriff des Systems zur [&hellip;]<\/p>\n","protected":false},"author":24,"featured_media":31574,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[18],"tags":[],"class_list":["post-31566","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-article-de"],"_links":{"self":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/31566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/users\/24"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/comments?post=31566"}],"version-history":[{"count":7,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/31566\/revisions"}],"predecessor-version":[{"id":31587,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/posts\/31566\/revisions\/31587"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media\/31574"}],"wp:attachment":[{"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/media?parent=31566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/categories?post=31566"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercompare.com\/de\/wp-json\/wp\/v2\/tags?post=31566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}