OT-Security 2026: Warum die Industrie jetzt handeln muss

Q: Gilt NIS2 für Industrieunternehmen?

Ja. Fertigung, Energie, Wasser und Verkehr sind als "wichtige" oder "wesentliche" Einrichtungen erfasst. NIS2 fordert explizit Risikomanagement, Incident Response und Lieferketten-Security - auch für OT-Systeme.

1 Min. Lesezeit

Die Konvergenz von IT und OT öffnet Industrieunternehmen für Cyberangriffe, die früher undenkbar waren. Ransomware legt Produktionslinien lahm, veraltete Steuerungssysteme bieten keine Sicherheitsupdates mehr. Warum OT-Security 2026 zur Chefsache wird.

Das Wichtigste in Kürze

IT/OT-Konvergenz: Industrielle Steuerungssysteme (ICS) sind zunehmend mit IT-Netzwerken verbunden – und damit angreifbar.
Ransomware in der Produktion: Angriffe auf OT-Systeme können Produktionslinien für Tage oder Wochen stilllegen.
Legacy-Systeme: Viele Steuerungssysteme laufen auf Windows XP oder älter – ohne Sicherheitsupdates.
NIS2 betrifft OT: Fertigungsindustrie und Energiesektor sind explizit als „wichtige Einrichtungen“ erfasst.
Air Gap ist Illusion: Die meisten OT-Netzwerke sind längst nicht mehr isoliert – auch wenn es so scheint.

Warum OT-Angriffe zunehmen

Industrielle Steuerungssysteme (ICS), SCADA-Systeme und Programmable Logic Controllers (PLCs) wurden jahrzehntelang für Zuverlässigkeit, nicht für Sicherheit gebaut. Protokolle wie Modbus, OPC und PROFINET haben keine eingebaute Authentifizierung oder Verschlüsselung. Solange OT-Netzwerke physisch isoliert waren (Air Gap), war das kein Problem.

Die Digitalisierung hat diese Isolation aufgebrochen. Predictive Maintenance, Remote Monitoring, Cloud-Analytics und digitale Zwillinge erfordern Konnektivität. Damit sind OT-Systeme den gleichen Bedrohungen ausgesetzt wie IT – aber mit deutlich weniger Schutzmaßnahmen.

Die größten OT-Sicherheitsrisiken

Ransomware: Angreifer zielen gezielt auf OT, weil der Schaden durch Produktionsausfall den Zahlungsdruck massiv erhöht. Colonial Pipeline (2021) und Norsk Hydro (2019) zeigten die Verwundbarkeit.

Legacy-Systeme: Steuerungssysteme haben Lebenszyklen von 15-20 Jahren. Viele laufen auf Betriebssystemen, die seit Jahren keine Sicherheitsupdates mehr erhalten.

Fehlende Segmentierung: In vielen Unternehmen existiert keine saubere Trennung zwischen IT- und OT-Netzwerk. Ein Phishing-Angriff auf die Buchhaltung kann bis zur Produktionslinie durchschlagen.

Mangelnde Sichtbarkeit: Viele Unternehmen wissen nicht genau, welche Geräte in ihrem OT-Netzwerk existieren – Asset Discovery ist der erste Schritt.

OT-Security-Maßnahmen: Ein Pragmatischer Ansatz

1. Asset Inventory: Alle OT-Geräte inventarisieren – Firmware-Versionen, Kommunikationswege, Abhängigkeiten.

2. Netzwerksegmentierung: IT und OT konsequent trennen (Purdue-Modell). DMZ zwischen beiden Zonen. Keine direkten Verbindungen.

3. Monitoring: OT-spezifische Anomalie-Erkennung einsetzen. Klassische IT-Security-Tools verstehen OT-Protokolle oft nicht.

4. Patch-Management: Wo Updates möglich sind, einspielen. Wo nicht: kompensierende Kontrollen (Virtual Patching, Netzwerkisolation).

5. Incident Response: OT-spezifische IR-Pläne erstellen. Safety hat in OT immer Vorrang vor Security – Systeme dürfen nicht unkontrolliert heruntergefahren werden.

Key Facts auf einen Blick

Lebenszyklen OT: 15-20 Jahre (vs. 3-5 Jahre IT)

Colonial Pipeline: 5 Tage Betriebsausfall, 4,4 Mio. USD Lösegeld

NIS2-Sektoren: Energie, Fertigung, Wasser, Verkehr sind erfasst

Purdue-Modell: 5 Zonen + DMZ als Referenzarchitektur

OT-Protokolle: Modbus, OPC, PROFINET – keine native Verschlüsselung

Fakt: Angriffe auf industrielle Steuerungssysteme stiegen laut Dragos 2025 um 87 Prozent gegenüber dem Vorjahr.

Fakt: Nur 24 Prozent der Industrieunternehmen haben laut SANS Institute ein dediziertes OT-Security-Team – der Rest verlässt sich auf die IT-Abteilung.

Häufige Fragen

Was ist der Unterschied zwischen IT- und OT-Security?

IT-Security schützt Daten (Vertraulichkeit, Integrität, Verfügbarkeit). OT-Security schützt physische Prozesse – Safety hat Priorität. OT-Systeme haben längere Lebenszyklen, proprietäre Protokolle und vertragen oft keine klassischen Security-Maßnahmen wie Virenscanner.

Warum ist der Air Gap eine Illusion?

Die meisten OT-Netzwerke sind über Remote-Wartungszugänge, Cloud-Anbindungen oder geteilte Infrastruktur mit IT verbunden. USB-Sticks, Laptops von Wartungstechnikern und OT-Cloud-Plattformen durchbrechen den vermeintlichen Air Gap.

Gilt NIS2 für Industrieunternehmen?

Ja. Fertigung, Energie, Wasser und Verkehr sind als „wichtige“ oder „wesentliche“ Einrichtungen erfasst. NIS2 fordert explizit Risikomanagement, Incident Response und Lieferketten-Security – auch für OT-Systeme.

Wie schützt man Legacy-Systeme ohne Updates?

Netzwerkisolation, Virtual Patching über IPS/IDS, Application Whitelisting, strikte Zugangskontrollen und Monitoring. Langfristig: Migration auf supportete Systeme planen.

Wo starte ich mit OT-Security?

Asset Inventory und Netzwerksegmentierung sind die wichtigsten ersten Schritte. Ohne zu wissen, was im Netzwerk ist, kann man es nicht schützen. Ohne Segmentierung breiten sich Angriffe unkontrolliert aus.