Banner E-Learning IT-Sicherheit
Artikel kostenlos lesen

„Läuft seit 15 Jahren ohne Zwischenfall” : OT-Sicherheit: Warum externe Dienstleister das größte Risiko für Produktionsnetze darstellen

In erstaunlich vielen OT-Umgebungen besitzt mindestens ein externer Dienstleister weitreichenderen Zugang zu kritischen Produktionssystemen als das eigene Sicherheitsteam – ein Zustand, den das seit Dezember 2025 geltende NIS-2-Gesetz nun zur rechtlichen Haftungsfrage macht. Der Beitrag beschreibt die typischen Schwachstellen an der Schnittstelle zu OEMs, Systemintegratoren und Fernwartungsteams und leitet daraus ein praxistaugliches Vorgehen ab.

Lesezeit 6 Min.
Bild: KI-generiert

Wer in der Operational Technology (OT) nach Schwachstellen sucht, stößt regelmäßig auf dasselbe Muster: Die kritischsten Lücken liegen oft nicht im eigenen Netzwerk des Betreibers, sondern bei den externen Partnern, denen er seit Jahren vertraut. Maschinenbauer, Integratoren, Fernwartungsteams und cloudbasierte Industrial-Internet-of-Things-Plattformen verfügen über Zugänge, die über lange Zeiträume gewachsen, selten dokumentiert und fast nie systematisch überprüft worden sind. Was als belastbares Vertrauensverhältnis erscheint, ist sicherheitstechnisch häufig eine ungeprüfte Annahme.

Fernwartungszugänge als offene Einfallstore

Eines der größten wiederkehrenden Risiken bei OT-Audits ist der Fernwartungszugang. Typisch ist die Konstellation, in der ein Maschinenbauer VPN-Zugangsdaten zu jeder von ihm ausgelieferten Anlage über mehrere Kunden hinweg vorhält – nicht selten mit wiederverwendeten Passwörtern oder mit Konten, die nach Projektende nie deaktiviert wurden. Die übliche Reaktion auf einen entsprechenden Befund lautet, man arbeite seit fünfzehn Jahren ohne Zwischenfall so. Das ist keine Sicherheitsposition, sondern Glück.

Ein konkretes Beispiel aus der Praxis verdeutlicht die Tragweite: In einer Energieversorgungsanlage übernahm eine Steuerungskomponente aus dem Jahr 1998 weiterhin zentrale Schaltvorgänge. Der ursprüngliche Hersteller war inzwischen von einem anderen Unternehmen übernommen worden, die Dokumentation war unvollständig – der Fernzugang des früheren Herstellers bestand jedoch fort und war nie überprüft worden.

Eine solche Verbindung ist ein offenes Einfallstor für jeden Angreifer, der zuvor die Umgebung des Dienstleisters kompromittiert. Das Grundmuster erinnert an SolarWinds: Die Kompromittierung eines vertrauenswürdigen Lieferanten wird zum Hebel gegen viele Kunden zugleich. In der OT kann dieser Effekt besonders kritisch werden, weil legitime Fernwartungszugänge häufig direkt an produktionsnahe Systeme heranreichen.

Dass dieser Angriffsvektor keineswegs theoretisch ist, zeigt ein öffentlich gewordener Vorfall: Ende Mai 2025 bestätigte Adidas, dass Unbefugte über einen externen Customer-Service-Dienstleister an Kundendaten gelangt waren – und nicht über die eigenen Kernsysteme. Betroffen waren Kontaktdaten, nicht die Produktion. Der Fall illustriert aber das Grundmuster: Die Sicherheit endet nicht am eigenen Firmentor.

Ein weiteres Problem stellen Software- und Firmware-Updates dar. Immer wieder finden sich kritische OT-Systeme, die Aktualisierungen ohne Integritätsprüfung und ohne Staging-Umgebung direkt aus dem Internet beziehen. Manipuliert ein Angreifer den Distributionskanal des Herstellers, erhält er Codeausführung auf Anlagen, die sich nicht ohne Weiteres vom Netz nehmen lassen.

NIS-2 macht die Lieferkette zur Pflicht

Die regulatorische Ausgangslage hat sich grundlegend verändert. Das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz gilt seit dem 6. Dezember 2025 ohne Übergangsfrist; § 30 BSIG benennt die Sicherheit der Lieferkette einschließlich der Beziehungen zu unmittelbaren Anbietern und Diensteanbietern ausdrücklich als Mindestmaßnahme. Damit endet die Verantwortung nicht mehr am eigenen Perimeter: Ein Angriff über einen Dienstleister wird zum eigenen Compliance-Problem.

Das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Vorgehen ist das Cyber Supply Chain Risk Management. Für jeden kritischen Lieferanten ist eine spezifische Risikobewertung durchzuführen: Welche konkreten Bedrohungen können über diesen Partner einwirken – Einschleusung von Schadsoftware, Datenabfluss, Dienstausfall? Die daraus abgeleiteten Sicherheitsanforderungen müssen rechtlich verbindlich sein, also vertraglich verankert, einschließlich Meldepflichten bei Vorfällen innerhalb fester Fristen. Compliance-Rahmenwerke geben damit den Mindeststandard vor – die eigentliche Absicherung der Lieferkette leisten sie allerdings nicht.

Drei Grundsätze, die sich in der Praxis bewährt haben

OT-Sicherheitsprogramme scheitern selten an technischen Grenzen, sondern daran, dass sie das schwierigere Problem umgehen: die Kontrolle über historisch gewachsene Dienstleisterzugänge. Drei Grundsätze haben sich bewährt.

  • Jeder Drittzugang gilt standardmäßig als hochriskant. Keine direkten VPN-Verbindungen in die OT, keine geteilten Zugangsdaten, keine dauerhaften Zugriffsrechte. Sämtliche Drittsitzungen laufen über Gateways oder Sprungserver mit starker Authentisierung und vollständiger Protokollierung. An die Stelle dauerhafter Zugänge tritt ein sitzungsbasiertes Modell mit Freigabe, Zeitbegrenzung und nachgelagerter Auditierung; Mehr-Faktor-Authentisierung ist für externe Parteien nicht verhandelbar. Bewährt hat sich Just-in-Time-Zugriff: Der Techniker fordert eine Sitzung an, erhält temporäre Berechtigungen, die mit Abschluss der Arbeit verfallen. Damit entfällt der über Jahre gewachsene Bestand verwaister Konten.
  • Die Software- und Firmware-Lieferkette wird abgesichert. Software und Firmware werden ausschließlich aus internen, verifizierten Quellen bezogen – niemals direkt aus dem Internet in OT-Bereiche. Kryptografische Signierung und Verifikation sind verbindlich, soweit die Technik sie unterstützt; Aktualisierungen werden vor dem Produktiveinsatz in einer Laborumgebung getestet. Wo Hersteller eine Software-Stückliste (SBOM) liefern, fließt diese in das Schwachstellenmanagement ein und erlaubt es, auf Drittanbieter-Schwachstellen zu reagieren, auch wenn offizielle Patches durch Zertifizierungsauflagen verzögert sind.
  • Überwacht wird unter der Annahme, dass Dienstleister versagen. Passives, auf industrielle Protokolle abgestimmtes Monitoring mit einer Baseline des normalen Verkehrs – einschließlich der Dienstleisterverbindungen – ist die Grundlage. Auffälligkeiten wie ein Lieferantenkonto, das unerwartete Befehle absetzt, müssen in Echtzeit alarmieren, nicht erst in der Nachbetrachtung eines Vorfalls auffallen. Für KRITIS-Betreiber konkretisiert das BSI die Pflicht zu Systemen zur Angriffserkennung; in OT-Umgebungen ist die passive Verkehrsanalyse dafür häufig der naheliegende Ansatz, weil sie Sichtbarkeit schafft, ohne produktionskritische Systeme aktiv zu belasten.

Wo der Einstieg liegt

Die meisten Organisationen unterschätzen die Zahl der Dritten mit aktivem Zugang zu ihrer OT erheblich. In der Praxis treten regelmäßig deutlich mehr aktive Lieferantenverbindungen zutage, als das Sicherheitsteam erwartet hatte. Der erste Schritt ist deshalb eine fortlaufend gepflegte Zugriffslandkarte: jede Instanz mit irgendeiner Form von OT-Zugang, mit Angabe dazu, worauf sie zugreifen kann, warum, auf welchem Weg und wann der Zugang verfällt.

Für die Bewertung dieser Zugänge hat sich ein einfaches Prüfraster bewährt. Es übersetzt die drei Grundsätze in konkrete Leitfragen, Risikoindikatoren und Mindestmaßnahmen:

PrüfpunktLeitfrageRisikoindikatorMindestmaßnahme
FernzugangWer kann auf welche OT-Systeme zugreifen?dauerhafte VPN-Konten, geteilte AccountsJIT-Zugriff, MFA, Session Recording
HerstellerzugangIst der Zugang vertraglich geregelt?Zugang besteht nach Projektende fortAblaufdatum, Rezertifizierung, Verantwortlicher
UpdatekanalWoher kommen Firmware-/Software-Updates?Direktdownload aus dem Internetinternes Repository, Signaturprüfung, Staging
DienstleistervorfallWie erfährt der Betreiber davon?keine Meldefrist im VertragIncident-Klausel, Kontaktkette, Fristen
MonitoringWird Dienstleisterverkehr erkannt?kein Baseline-ModellOT-Monitoring, Alarm auf Befehle/Zeitfenster

Darauf folgt die Härtung der kritischsten Vertrauensgrenzen: Die drei größten Lieferantenrisiken werden identifiziert und mit Segmentierung, Gateways, Mehr-Faktor-Authentisierung, zeitlich begrenztem Zugriff und dedizierter Überwachung hinterlegt. Erst danach lohnt der Entwurf einer Zero-Trust-Architektur für die OT – verstanden nicht als Misstrauen, sondern als systematische Verifikation, beginnend bei den Dienstleistern.

Vertrauen als größte Angriffsfläche

Vertrauen ist die Grundlage jeder Lieferantenbeziehung. In der OT-Sicherheit ist es zugleich das, was Angreifer am effizientesten ausnutzen. Der nächste Sicherheitsvorfall kommt mit hoher Wahrscheinlichkeit nicht durch die Firewall, sondern über die Fernwartungssitzung eines vertrauten Dienstleisters, ein routinemäßiges Update oder eine Cloud-Verbindung, die niemand als Risiko markiert hatte. Wer seine Dienstleisterzugänge nicht kennt, kann seine OT nicht risikobasiert schützen – und wer sie kennt, aber nicht begrenzt, überwacht und vertraglich absichert, hat kein Lieferkettenrisiko, sondern ein selbst geschaffenes Kontrollproblem. Genau das macht NIS-2 aus einer Frage guter Praxis zu einer rechtlichen Pflicht.

 

Autorin

Sabine Frömling ist unabhängige Beraterin für OT-/ICS-Sicherheit, NIS2 und GRC mit Sitz in Berlin und rund 20 Jahren Projekterfahrung im Industrie- und Energiesektor. Im Herbst 2026 erscheint ihr Praxisratgeber „ISMS für die Industrie“ bei Springer Vieweg. Sie arbeitet hersteller- und produktneutral.
Web: https://froemling.consulting/ 
LinkedIn: https://www.linkedin.com/in/sabine-froemiing/