Am 30. April 2026 kamen auf Einladung des Forschungstags Cybersicherheit NRW Teilnehmer aus Wissenschaft, Wirtschaft und Politik zusammen, um über aktuelle Entwicklungen in der Cybersicherheitsforschung zu sprechen. Als Cybersecurity-Beratung mit einem hohen Anteil an Forschung und Entwicklung haben wir die Gelegenheit genutzt, Ergebnisse aus mehreren Jahren angewandter Forschung vorzustellen. Der Vortrag trug den Titel „Angewandte OT-Security-Forschung: Praxiserfahrungen aus KRITIS-Sektoren in Bahn und Energie".
OT-Systeme sind zunehmend Ziel von Cyberangriffen. 2025 wurden in Polen über 30 Wind- und PV-Anlagen sowie ein Heizkraftwerk koordiniert angegriffen, mit Wiper-Malware und Firmware-Manipulation an Remote Terminal Units (CERT.PL). Industroyer und Industroyer2 zeigten 2016 und 2022 in der Ukraine, wie OT-Protokolle wie IEC 60870-5-104 und IEC 61850 gezielt ausgenutzt werden können. Auch Bahnsysteme sind betroffen: 2023/24 wurden polnische Züge aus der Ferne gestoppt, weil das verwendete Funkprotokoll keine Authentifizierung vorsah.
Wie lässt sich gegen solche Angriffe verteidigen? Mit dieser Frage befassen wir uns in mehreren Forschungsprojekten und in der täglichen Beratungspraxis.
Automotive und Bahn Sicherheit
Im Forschungsprojekt FINESSE haben wir uns drei Jahre lang mit Bedrohungen für Schienen- und Straßenfahrzeuge beschäftigt. Auf Grundlage dokumentierter Vorfälle haben wir das VATT&EK-Framework entwickelt, das 15 Taktiken und über 150 Techniken zur Beschreibung von Angriffen auf intelligente Transportsysteme bereitstellt.
Daraus sind zwei physische Demonstratoren entstanden: YekCar für den Automotive-Bereich (mit ECUs, CAN-Bus, UDS und Keyless-System) und YekTrain für Bahnsysteme. Beide nutzen wir, um Angriffe durchzuführen, Detektionsregeln zu entwickeln und IDS- sowie VSOC-Konzepte zu testen.
Auf dieser Basis haben wir das MVB-IDS entwickelt, ein eigenes Intrusion Detection System für den Multifunction Vehicle Bus. Gemeinsam mit DB Systemtechnik konnten wir es auf dem Advanced TrainLab, einem Forschungszug der Deutschen Bahn, im realen Betrieb testen.
Parallel dazu haben wir das Diagnoseprotokoll UDS, das in jedem modernen Fahrzeug verbaut ist, systematisch klassifiziert (UDS Attack Taxonomy, IEEE CNS 2025) und Monitoring-Strategien für Vehicle Security Operations Center entwickelt (From ECU to VSOC, arXiv 2510.25375). Die zugrundeliegende multi-modale VSOC-Architektur wurde auf der CRITIS 2025 in Jönköping veröffentlicht.
Energie-Sektor
Im Energiesektor führen wir OT-Penetrationstests in Umspannwerken und Kraftwerken durch und prüfen dabei sowohl die eingesetzten Industrieprotokolle als auch Leittechnik, Engineering-Workstations und IT/OT-Übergänge. In dieser Arbeit zeigt sich regelmäßig, dass SOC-Teams und Betriebspersonal kaum Möglichkeiten haben, den Umgang mit OT-Angriffen praktisch zu üben, ohne produktive Anlagen zu gefährden.
Bestehende Cyber-Ranges aus dem IT-Bereich greifen hier zu kurz. Sie bilden weder Industrieprotokolle wie IEC-104, IEC 61850 oder Modbus realistisch ab, noch machen sie die physischen Auswirkungen von Angriffen auf gesteuerte Prozesse sichtbar. Diese Korrelation zwischen digitalen Anomalien im Netzwerkverkehr und konkreten Folgen in der Anlage ist aber zentral, um OT-Angriffe zu erkennen und einzuordnen.
Aus unseren Erfahrungen aus OT-Pentests und SOC-Engineering ist YekCity entstanden, eine physische Trainingsumgebung mit echten Industrieprotokollen (IEC 60870-5-104, IEC 61850 mit GOOSE, MMS und SV, Modbus TCP, DNP3, PROFINET, S7, OPC UA), einer nach Purdue-Modell segmentierten Netzwerkarchitektur und einem Smart-City-Modell, an dem Schaltzustände und Stromausfälle physisch sichtbar werden. Detection-Regeln folgen MITRE ATT&CK for ICS, die Plattform ist mit gängigen SIEM-Systemen wie Splunk, Elastic und Microsoft Sentinel kompatibel.
Wir setzen YekCity in Notfallübungen und Awareness-Trainings für KRITIS-Betreiber ein, um die Resilienz gegen reale OT-Angriffe zu erhöhen. SOC-Teams üben die Detektion manipulierter IEC-104- oder MMS-Pakete, Red/Blue-Team-Szenarien orientieren sich an realen APT-Kampagnen wie Industroyer oder Triton, und Betriebspersonal lernt, wie sich Cyberangriffe in der Anlage auswirken.
Quellen
- https://dl.acm.org/doi/abs/10.1145/3631204.3631867
- https://arxiv.org/abs/2510.25375
- https://ieeexplore.ieee.org/abstract/document/11195020
- https://link.springer.com/chapter/10.1007/978-3-032-19540-1_8
- https://www.eurobits.de/event/forschungstag-cybersicherheit-nrw-2026/
Ali Recai Yekta
Ali Recai Yekta ist CTO & Head of Cybersecurity bei Yekta IT. Seine Schwerpunkte sind u.a. Pentesting sowie Cyber Defense für die Branchen Automotive & Rail. Er hat ein Master in IT-Sicherheit und ist OSCP, OSEP, OSWE, CRTO zertifiziert.