Warum passive Sichtbarkeit der einzig vertretbare Weg in der OT ist
In der IT ist ein Netzwerk-Scan Routine. In einer Produktionsanlage kann derselbe Scan eine Steuerung zum Absturz bringen oder eine Linie stoppen. Dieser Unterschied ist der Ausgangspunkt für fast alles, was OT-Security von IT-Security trennt.
Wer aus der IT-Sicherheit kommt, bringt ein Werkzeug-Repertoire mit, das sich über Jahrzehnte bewährt hat: aktive Scanner, die ein Netz systematisch abfragen, Ports durchprobieren und Dienste identifizieren. In einem Büronetz ist das harmlos. Ein Server, der eine ungewöhnliche Anfrage bekommt, antwortet entweder oder ignoriert sie. Im schlimmsten Fall taucht ein Eintrag im Log auf.
In der Operational Technology gelten andere Gesetze. Hier stehen keine robusten Server, sondern speicherprogrammierbare Steuerungen (SPS), die seit fünfzehn Jahren ununterbrochen laufen, mit Firmware, die nie für unerwartete Netzwerkpakete ausgelegt war. Eine einzige unerwartete Anfrage kann genügen, um eine solche Steuerung in einen undefinierten Zustand zu versetzen.
Der Scan, der die Linie stoppte
Die Fachliteratur und die Erfahrungsberichte aus der OT-Security sind voll von Vorfällen, in denen gut gemeinte Sicherheitsmaßnahmen genau das ausgelöst haben, was sie verhindern sollten: einen Produktionsausfall. Ein aktiver Scan, der versehentlich in ein OT-Segment lief; ein Schwachstellen-Scanner, der eine alte Steuerung mit Anfragen überforderte; ein Asset-Discovery-Tool, das ein Protokoll falsch interpretierte und eine Maschine in den Nothalt schickte.
Das Tückische daran: Diese Vorfälle entstehen nicht durch Böswilligkeit oder Inkompetenz, sondern durch die schlichte Übertragung von IT-Methoden auf eine Umgebung, in der sie nicht gelten. Die Annahme „ein Scan kann ja nichts kaputt machen" ist in der OT schlicht falsch.
Was passiv wirklich bedeutet
Die Antwort auf dieses Dilemma ist ein grundlegend anderer Ansatz: rein passive Sichtbarkeit. Statt das Netz aktiv zu befragen, hört man ausschließlich mit. Konkret heißt das: Man bekommt über einen sogenannten SPAN-Port (auch Mirror-Port genannt) eine Kopie des gesamten Netzwerkverkehrs auf einen separaten Anschluss gespiegelt — und wertet diese Kopie aus, ohne jemals selbst ein Paket ins Netz zu senden.
Der entscheidende Punkt: Eine passive Lösung ist rückwirkungsfrei. Sie kann technisch nicht stören, weil sie technisch nichts sendet. Sie ist für die Anlage unsichtbar — und genau das macht sie in der OT überhaupt erst einsetzbar.
Woraus passiv ein Bild entsteht
Erstaunlich viel lässt sich aus reinem Mithören rekonstruieren:
- Asset-Inventar: Jedes Gerät, das kommuniziert, verrät sich — über IP- und MAC-Adresse, oft auch über Hostname und Protokoll-Eigenheiten. So entsteht ein vollständiges Verzeichnis, ohne ein einziges Gerät aktiv abzufragen.
- Kommunikationsbeziehungen: Wer spricht mit wem, wie oft, in welche Richtung? Daraus ergibt sich die tatsächliche Netzwerk-Topologie — nicht die, die im Schaltplan stehen sollte, sondern die, die real existiert.
- Protokoll- und Funktionsebene: Mit den richtigen Werkzeugen lässt sich sogar die industrielle Sprache mitlesen — etwa ob ein Lesebefehl oder ein Schreibbefehl an eine Steuerung geht.
- Schwachstellen: Sind Gerätetyp und Firmware-Stand erkennbar, lassen sie sich gegen bekannte Schwachstellen-Datenbanken abgleichen — ganz ohne aktiven Schwachstellen-Scan.
Passive Sichtbarkeit liefert in der OT nicht etwa ein schlechteres Bild als aktives Scannen — sie liefert das einzige Bild, das man verantworten kann, ohne den Betrieb zu gefährden.
Wie weit kommt man damit?
Die ehrliche Antwort: erstaunlich weit, aber nicht unendlich weit. Passive Verfahren sehen alles, was kommuniziert. Ein Gerät, das im Netz hängt, aber gerade schweigt, taucht erst auf, wenn es spricht. In der Praxis ist das selten ein Problem, weil OT-Geräte fast immer zyklisch kommunizieren — eine SPS, die nie etwas sendet, gibt es kaum.
Für die allermeisten Anforderungen — Asset-Inventar für NIS2, Netzwerk-Transparenz für ein Zonenkonzept nach IEC 62443, Erkennung verbotener Kommunikationswege — ist passive Sichtbarkeit nicht nur ausreichend, sondern der einzig professionelle Weg. Wo später Tiefe fehlt, kann man gezielt und kontrolliert ergänzen — aber das Fundament steht, ohne dass je ein Risiko für die Anlage bestand.
Die praktische Konsequenz
Für mich als Berater ist passive Sichtbarkeit deshalb kein Feature unter vielen, sondern eine Grundhaltung. Jedes Projekt beginnt damit, ein belastbares Bild der Produktions-OT zu schaffen — und zwar so, dass die Anlage davon nichts merkt. Erst auf diesem Fundament lässt sich sinnvoll über Segmentierung, Monitoring, Compliance und Maßnahmen sprechen.
Wer in der OT mit aktiven Methoden beginnt, riskiert, das Vertrauen der Anlagenbetreiber zu verspielen, bevor das eigentliche Sicherheitsprojekt überhaupt startet. Wer passiv beginnt, zeigt vom ersten Tag an, dass er die Regeln der OT verstanden hat.