Letzte Woche habe ich auf dem Forschungstag Cybersicherheit NRW über angewandte OT-Security-Forschung ein Vortrag gehalten und Praxiserfahrungen aus den Domänen Bahn, Automotive und Energie geteilt.
OT-Systeme sind zunehmend Ziel von Cyberangriffen. 2025 wurden in Polen über 30 Wind- und PV-Anlagen sowie ein Heizkraftwerk koordiniert angegriffen, mit Wiper-Malware und Firmware-Manipulation an Remote Terminal Units (CERT.PL). Industroyer und Industroyer2 zeigten 2016 und 2022 in der Ukraine, wie OT-Protokolle wie IEC 60870-5-104 und IEC 61850 gezielt ausgenutzt werden können. Auch Bahnsysteme sind betroffen: 2023/24 wurden polnische Züge aus der Ferne gestoppt, weil das verwendete Funkprotokoll keine Authentifizierung vorsah.
Wie lässt sich gegen solche Angriffe verteidigen? Mit dieser Frage befassen wir uns in mehreren Forschungsprojekten und in der täglichen Beratungspraxis.
Automotive und Bahn Sicherheit
Im Forschungsprojekt FINESSE haben wir uns drei Jahre lang mit Bedrohungen für Schienen- und Straßenfahrzeuge beschäftigt. Auf Grundlage dokumentierter Vorfälle haben wir das VATT&EK-Framework entwickelt, das 15 Taktiken und über 150 Techniken zur Beschreibung von Angriffen auf intelligente Transportsysteme bereitstellt.
Daraus sind zwei physische Demonstratoren entstanden: YekCar für den Automotive-Bereich (mit ECUs, CAN-Bus, UDS und Keyless-System) und YekTrain für Bahnsysteme. Beide nutzen wir, um Angriffe durchzuführen, Detektionsregeln zu entwickeln und IDS- sowie VSOC-Konzepte zu testen.
Auf dieser Basis haben wir das MVB-IDS entwickelt, ein eigenes Intrusion Detection System für den Multifunction Vehicle Bus. Gemeinsam mit DB Systemtechnik konnten wir es auf dem Advanced TrainLab, einem Forschungszug der Deutschen Bahn, im realen Betrieb testen.
Parallel dazu haben wir das Diagnoseprotokoll UDS, das in jedem modernen Fahrzeug verbaut ist, systematisch klassifiziert (UDS Attack Taxonomy, IEEE CNS 2025) und Monitoring-Strategien für Vehicle Security Operations Center entwickelt (From ECU to VSOC, arXiv 2510.25375). Die zugrundeliegende multi-modale VSOC-Architektur wurde auf der CRITIS 2025 in Jönköping veröffentlicht.
Energie-Sektor
Im Energiesektor pentesten wir Umspannwerke und Kraftwerke und aus diesen Erfahrungen ist YekCity entstanden, ein KRITIS-Simulator mit authentischen Protokollen (IEC 60870-5-104, IEC 61850, Modbus TCP), den wir bereits in mehrere cyber-physischen Notfallübungen mit Betreibern eingesetzt haben.
Quellen
- https://dl.acm.org/doi/abs/10.1145/3631204.3631867
- https://arxiv.org/abs/2510.25375
- https://ieeexplore.ieee.org/abstract/document/11195020
- https://link.springer.com/chapter/10.1007/978-3-032-19540-1_8
- https://www.eurobits.de/event/forschungstag-cybersicherheit-nrw-2026/
Ali Recai Yekta
Ali Recai Yekta ist CTO & Head of Cybersecurity bei Yekta IT. Seine Schwerpunkte sind u.a. Pentesting sowie Cyber Defense für die Branchen Automotive & Rail. Er hat ein Master in IT-Sicherheit und ist OSCP, OSEP, OSWE, CRTO zertifiziert.