Früher war ein Stromausfall eher die Folge eines technischen Defekts oder einer Lawine in den Bergen – ein bekanntes, kalkulierbares Risiko. Heute kann ein einziger Klick auf eine Phishing-Mail reichen, um ein ganzes Energieversorgungsnetz zu gefährden. Was als harmloser IT-Sicherheitsvorfall beginnt, kann sich schnell in eine Bedrohung für die Betriebstechnologie (Operational Technology, OT) verwandeln. Die Folgen reichen von Produktionsausfällen bis hin zu erheblichen Risiken für die nationale Infrastruktur.
Das Problem liegt in der engen Verbindung zwischen IT und OT. Während diese Systeme idealerweise strikt getrennt sein sollten, zeigt die Praxis ein anderes Bild. Organisch gewachsene OT-IT-Verbindungen oder unzureichend geschützte Wartungszugänge ermöglichen es Angreifern, über IT-Schwachstellen auf OT-Netzwerke zuzugreifen. Laut dem Global Cyber Security Outlook 2025 des WEF zählt diese Entwicklung zu den weltweit grössten Cyberbedrohungen – direkt hinter der missbräuchlichen Nutzung von KI.
Doch was bedeutet das konkret?
Ein realer Vorfall – und seine Folgen
Ein Mitarbeiter eines Energieversorgungsunternehmens erhält eine Phishing-Mail. Er klickt auf den Link, ohne Verdacht zu schöpfen. Innerhalb von Sekunden wird ein Remote-Access-Trojaner (RAT) auf seinem Rechner installiert. Das IT-Team reagiert schnell, isoliert den betroffenen Rechner und entfernt die Schadsoftware. Problem gelöst, oder?
Leider nein. Während sich alle auf den IT-Vorfall konzentrieren, bemerkt niemand, dass sich die Angreifer seitlich ins OT-Netzwerk bewegen. Durch eine ungesicherte Remote-Wartungsschnittstelle gelangen sie auf ein SCADA-System. Plötzlich haben Kriminelle Zugriff auf die Steuerung eines Kraftwerks.
Das Ergebnis:
- Manipulation der Steuerungsprozesse
- Abschaltung von Umspannwerken
- Überlastung von Netzen durch gezielte Fehlschaltungen
- Im schlimmsten Fall: grossflächige Stromausfälle
Ein solches Szenario ist keine Fiktion – der Angriff auf die ukrainische Energieversorgung im November 2023 zeigt, dass diese Bedrohung real ist. Die russische Hackergruppe Sandworm griff ein ukrainisches Energieversorgungsunternehmen an, indem sie genau dieses Muster nutzte: Erst wurde ein IT-System kompromittiert, dann drangen die Angreifer ins OT-Netzwerk vor und schalteten gezielt und gut zeitlich abgestimmt Umspannwerke ab.
Kritische Infrastrukturen sind längst ins Visier der Cyberkriminalität geraten. Auch hierzulande sind diese Muster anzutreffen.
Warum ist IT-OT-Konvergenz so riskant?
Das sind die Gründe, warum OT-Netzwerke so anfällig für solche Angriffe sind:
- Lange Lebenszyklen
Viele OT-Systeme wurden vor Jahrzehnten entwickelt und besitzen keine integrierten Sicherheitsmechanismen. Die Architektur vieler Anlagen ist auf Langlebigkeit und Stabilität ausgelegt – nicht auf Cybersecurity. - Echtzeit-Anforderungen
Bei OT-Steuerung in Produktion und Sicherheit spielen Echtzeit-Anforderungen eine wichtige Rolle. IT-Elemente wie Firewalls, welche weniger deterministisch ausgelegt sind, können dabei kritische Latenzen verursachen, welche die Steuerung beeinträchtigen. - Spezielle Protokolle
Die OT nutzt spezifische Protokolle wie Modbus, OPC UA oder DNP3, die oft keine oder nur sehr einfache Sicherheitsmechanismen haben, z.B. in Bezug auf Verschlüsselung oder Authentifizierung. - Fernwartungsschnittstellen als Einfallstor
OT-Systeme benötigen Remote-Zugänge für eine effiziente Wartung. Diese Zugänge sind jedoch oft unzureichend gesichert und bieten Angreifern eine direkte Möglichkeit, sich Zugang zu verschaffen. - Mangelndes Bewusstsein und traditionelle Sicherheitskonzepte
Viele Unternehmen setzen weiterhin auf klassische IT-Sicherheitsmassnahmen:
❌ Firewalls schützen nur den Perimeter – nicht vor Angriffen aus dem Inneren.
❌ Antivirus erkennt keine Attacken, die legitime Systemfunktionen missbrauchen.
❌ Klassische IT-SOC-Lösungen mit Data-Lake sind blind für industrielle Steuerungsprotokolle.
Cyberkriminelle haben diese Schwachstellen längst erkannt – und nutzen sie gezielt aus.
Wie können Unternehmen sich schützen?
Eine reine Absicherung durch klassische IT-Sicherheitsmassnahmen reicht nicht aus. Entscheidend sind:
- Netzwerksegmentierung und Zero Trust: Eine strikte Trennung von IT- und OT-Netzwerken nach dem Purdue-Zonenmodell und Zugriff sowie Authentifizierung mit zentralen Gateways via einer Management Zone umsetzen. Nur streng definierte und überwachte Kommunikationswege zulassen. Denn wenn IT und OT miteinander kommunizieren, muss jeder Zugriff hinterfragt werden. Es braucht klare Architekturvorgaben, Schutzsysteme und Risikominderungs-massnahmen an den neuralgischen Stellen.
- Spezialisierte OT-Sicherheitslösungen: SCADA, PLCs und ICS brauchen eigene Schutzmechanismen und Use Cases. Die OT-Defense muss in Echtzeit geschehen. Klassische Firewalls helfen wenig, es braucht OT-fähige Sensoren. Hinzu kommt, dass die Compliance mit regulatorischen Anforderungen sichergestellt werden muss, beispielsweise mit Anforderungen des Eidgenössischen Nuklearsicherheitsinspektorats (ENSI) im Kernenergiebereich oder mit der Stromversorgungsverordnung. Ausserdem müssen Meldepflichten eingehalten werden.
- Gezielte Anomalie-Erkennung: Da Angriffe in OT-Umgebungen meist nicht durch klassische Malware erfolgen, müssen ungewöhnliche Kommunikationsmuster frühzeitig erkannt werden. In der OT kann nicht einfach klassisch wie in der IT nach Signaturen gesucht werden. Die systemspezifischen Use Cases folgen keinem Standard und müssen anlagenspezifisch von Fachspezialisten, welche die Funktion der Anlagen kennen, realisiert werden.
Viele Unternehmen setzen noch immer auf traditionelle Sicherheitsmassnahmen, die für IT-Systeme konzipiert wurden. Doch in OT-Umgebungen greifen diese Ansätze zu kurz. Die Herausforderung besteht darin, Sicherheit und operative Effizienz in Einklang zu bringen und gleichzeitig höchste Resilienz gegenüber Cyberangriffen zu gewährleisten.
Die entscheidende Frage ist nicht, ob Unternehmen in der Schweiz angegriffen werden, sondern wann und wie.
Informationsveranstaltung OT-SOC für EVU
Axpo Systems bietet umfassende OT/IT-SOC Lösungen, um genau diese Herausforderungen zu bewältigen:
✅ Echtzeit-Detektion von Cyberangriffen und Unregelmässigkeiten in Steuerungsprozessen.
✅ OT-spezifische Sicherheitslösungen, die speziell für industrielle Steuerungssysteme entwickelt wurden.
✅ Bei kritischen Infrastrukturen hat Cloud oder Abhängigkeit zu Hyperscalern oder Tech Giganten keinen Platz. Bei Axpo Systems ist alles on Prem auf eigenem, hochredundanten Tier 3 Design Datacenter.
✅ Die Incident & Change Prozesse sind in die SIEM integriert, damit geplante Maintenance bekannt ist und Fehlalarme verhindert werden.
✅ Unser SOC ist das einzige in der Schweiz, das nicht im Internet, sondern in der SCION-Domain gehostet ist – für maximale Sicherheit.
Möchten Sie mehr darüber erfahren, so melden Sie sich für eine Informationsveranstaltung für Energieversorgungsunternehmen bei Axpo Systems an: Einladung zur Informationsveranstaltung OT-SOC für EVUs
