OT-Security scheitert selten an fehlender Technologie. Sie scheitert an Menschen, die nicht wissen worauf sie achten müssen. An Prozessen, die nie getestet wurden. An Entscheidungen, die unter Druck zum ersten Mal getroffen werden.
Ein Produktionsleiter, der nicht versteht warum Netzwerksegmentierung wichtig ist, wird sie umgehen. Ein SOC-Analyst, der noch nie Modbus-Traffic gesehen hat, wird den Alarm wegklicken. Ein Management, das die Auswirkungen eines OT-Angriffs unterschätzt, wird kein Budget freigeben.
Training bedeutet nicht PowerPoint. Es bedeutet Verständnis aufbauen und Handlungsfähigkeit üben.
OT Security für Entscheider und Einsteiger
Für Manager, OT-Verantwortliche und alle, die OT-Security verstehen müssen, ohne selbst technisch umzusetzen.
Wer OT-Security verantwortet, muss keine Protokolle analysieren. Aber er muss verstehen, wie industrielle Umgebungen aufgebaut sind, welche Bedrohungen relevant sind und was regulatorisch gefordert wird.
Das Training beginnt mit den Grundlagen: Was ist eine SPS und warum ist sie anders als ein Server? Was ist ein HMI, ein SCADA-System, ein Historian? Wie sieht eine typische OT-Architektur aus und warum sind die Übergänge zwischen IT und OT so kritisch?
Darauf aufbauend geht es um Sicherheitskonzepte: Was bedeutet Netzwerksegmentierung in OT-Umgebungen? Was fordert IEC 62443 konkret, welche Zonen und Security Levels sind relevant und was bedeutet das für die eigene Organisation? Welche Rolle spielen Maschinenhersteller, Integratoren und Wartungsdienstleister bei der Angriffsfläche?
Ein besonderer Fokus liegt auf realen Angriffen: Was hat bei Stuxnet, Industroyer und Triton tatsächlich funktioniert und was lernen wir daraus? Und schließlich: Was fordern NIS2, KRITIS-Verordnung und IT-Sicherheitsgesetz konkret, und was bedeutet das praktisch für Entscheidungen und Budget?
Dauer: 1 bis 2 Tage. Präsenz oder Remote, mit Fallbeispielen aus der Praxis.
OT Security Advanced
Für Security-Analysten, OT-Engineers und Incident Responder, die technisch arbeiten.
Grundlagen und Protokolle
Wer OT-Umgebungen verteidigen will, muss ihre Kommunikation verstehen. Wir behandeln die wichtigsten industriellen Protokolle und ihre Sicherheitseigenschaften: Modbus, ein weit verbreitetes Protokoll ohne Authentifizierung und Verschlüsselung. S7comm, das Siemens-eigene Protokoll das in vielen Produktionsumgebungen eingesetzt wird. OPC UA, der modernere Standard mit Sicherheitsmechanismen die in der Praxis häufig falsch konfiguriert sind. IEC 60870-5-104 und IEC 61850, die in der Energieversorgung eingesetzt werden und eigene Angriffsflächen mitbringen.
Angriffe auf industrielle Umgebungen
Wie gelangen Angreifer von IT nach OT? Wie sehen laterale Bewegung und Pivoting durch Segmentierungslücken konkret aus? Wir analysieren, wie bekannte ICS-Malware vorgeht: Industroyer nutzt IEC 104 und IEC 61850 um Schutzrelais zu manipulieren. Triton greift Triconex Safety-Systeme über proprietäre Protokolle an. Pipedream ist modular aufgebaut und gegen verschiedene Steuerungsplattformen einsetzbar. Grundlage für die Analyse ist MITRE ATT&CK for ICS, das Angriffstechniken in industriellen Umgebungen systematisch beschreibt.
Security Monitoring und Detection
Auf Basis der Angriffsmuster geht es um den Aufbau von Detektionsfähigkeit: OT-IDS-Technologien, Use-Case-Entwicklung nach MITRE ATT&CK for ICS, SIEM-Integration und Anomalieerkennung für industrielle Protokolle. Abgeschlossen wird mit Incident Response in OT: Containment ohne Produktionsstopp, Forensik an SPS und Koordination zwischen IT-Security und OT-Engineering.
Den Abschluss bilden praktische Übungen auf unserem OT-Simulator YekCity, mit eigenen Angriffen, Traffic-Analyse und Anomalieerkennung in einer realen Umgebung.
Dauer: 3 bis 4 Tage. Präsenz empfohlen für den Hands-on-Anteil.
Tabletop Exercise
Für Teams, die ihre Prozesse und Entscheidungswege im Ernstfall testen wollen.
Wissen ist das eine. Unter Druck die richtigen Entscheidungen treffen das andere.
Eine Tabletop Exercise ist eine moderierte Simulation eines Sicherheitsvorfalls. Kein Code, keine Tools. Ein Szenario, ein Raum und die Menschen, die im Ernstfall zusammenarbeiten müssen. Neue Informationen kommen in Echtzeit. Entscheidungen müssen getroffen werden, ohne alle Fakten zu kennen.
- Ransomware breitet sich Richtung OT aus
- Verdächtige Firmware-Änderung an SPS
- Unbekannter Remote-Zugriff nachts
- Anomale Prozesswerte ohne erkennbare Ursache
Was geübt wird: Eskalationswege und Kommunikation, Entscheidungen unter Unsicherheit, Zusammenarbeit zwischen IT, OT, Produktion und Management sowie die Abwägung zwischen Safety, Security und Verfügbarkeit.
Wir entwickeln die Szenarien gemeinsam mit Ihnen, damit sie zu Ihrer Anlage, Ihrer Branche und Ihren realen Risiken passen.
Dauer: 2 bis 4 Stunden. Ergebnis: dokumentierte Lessons Learned, identifizierte Prozesslücken, Maßnahmenplan.
Red/Blue Team auf YekCity
Für Security-Teams, die Detection und Response unter realen Bedingungen testen wollen.
YekCity ist unser physischer OT-Simulator: ein Miniaturmodell einer Stadt mit Stromversorgung, Verkehrssteuerung und Industrieanlagen. Echte SPS von Siemens und Schneider, echte Protokolle wie Modbus, S7comm, OPC UA, IEC 60870-5-104 und IEC 61850, echte Angriffe. Basierend auf Szenarien wie dem Industroyer-Angriff auf ukrainische Umspannwerke, der genau diese Protokolle genutzt hat.
Im Red/Blue Team Format greift unser Red Team YekCity mit realen Angriffstechniken an. Ihr Blue Team versucht, diese Angriffe zu erkennen und zu stoppen. Die Lichter gehen aus, Ampeln fallen aus, Produktionsprozesse stoppen. Kontrolliert und abgestimmt.
In der Purple Team Variante arbeiten Red und Blue zusammen. Nach jeder Phase gemeinsame Analyse: Was wurde erkannt? Was nicht? Warum? Welche Use Cases fehlen im SIEM? Wo greift das Playbook nicht? Das Format ist iterativ und liefert konkrete Verbesserungen statt einer einmaligen Momentaufnahme.
Was geprüft wird: Detection Coverage gegen MITRE ATT&CK for ICS, Alert-Qualität und Triage-Fähigkeit, Response-Zeit und Playbook-Wirksamkeit sowie die Koordination zwischen IT-SOC und OT-Engineering.
Red/Blue Team Übungen auf YekCity eignen sich besonders gut als Abschluss eines SOC-Aufbauprojekts, um zu validieren ob die aufgebauten Fähigkeiten im Ernstfall greifen. Eine Basis-Detection mit OT-IDS und SIEM-Integration sollte vorhanden sein.