Das Trainingsdilemma in der OT-Security

OT-Security-Teams in kritischen Infrastrukturen müssen auf Cyberangriffe wie Industroyer, BlackEnergy oder Triton reagieren können. Doch klassische IT-Cyber-Ranges bilden weder industrielle Kommunikationsprotokolle wie IEC-104, IEC-61850 oder Modbus noch die physischen Auswirkungen von Angriffen auf Prozesssteuerungen ab.

An produktiven SCADA-Systemen, Leittechnik oder Bahninfrastrukturen lässt sich aus nachvollziehbaren Gründen nicht trainieren. Das Ergebnis: SOC-Teams und Incident-Response-Verantwortliche haben theoretisches Wissen über OT-Angriffe, aber keine praktische Erfahrung in der Detektion und Abwehr.

Das zentrale Problem: Die Korrelation zwischen digitalen Anomalien im Netzwerkverkehr und physischen Auswirkungen auf gesteuerte Prozesse lässt sich in bestehenden Trainingsumgebungen nicht nachvollziehen.

 

YekCity: Realistische OT-Angriffsszenarien ohne Betriebsrisiko

YekCity ist eine physische Trainingsumgebung für OT-Security, die echte Industrieprotokolle, realistische Netzwerkarchitekturen und physisch sichtbare Prozessauswirkungen kombiniert.

 

Entwickelt aus praktischer OT-Pentest-Erfahrung

Die Plattform basiert auf Erkenntnissen aus OT-Penetrationstests in kritischen Infrastrukturen. Unser Team hat Sicherheitsbewertungen in Kraftwerken, Umspannwerken, Bahninfrastruktur und produzierender Industrie durchgeführt – von Kraftwerksleitsystemen mit IEC-61850 über Stellwerkssteuerungen bis zu DCS- und MES-Systemen mit PROFINET und Modbus.

Diese Praxiserfahrung ermöglicht uns, tatsächlich vorgefundene Schwachstellen zu simulieren. Jedes Trainingszenario basiert auf realen Angriffsmustern aus dokumentierten APT-Kampagnen (Industroyer, Triton, BlackEnergy, Stuxnet) und unseren eigenen OT-Pentests – anonymisiert und für Trainingszwecke aufbereitet. Die Entwicklung folgt Standards wie MITRE ATT&CK for ICS, IEC 62443, NIST Cybersecurity Framework und dem BSI ICS-Security-Kompendium.

 

Technische Grundlage

YekCity unterstützt die wichtigsten Industrieprotokolle: IEC 60870-5-104 für Fernwirktechnik, IEC 61850 (inkl. GOOSE, MMS, SV) für Energieautomatisierung, Modbus TCP/RTU für Prozessautomatisierung, DNP3 für Energieversorgung und Wasserwerke, PROFINET/PROFIBUS für Siemens-Automation, S7-Protokoll für SPS-Kommunikation, EtherNet/IP für Rockwell-Systeme sowie OPC UA für Industrie-4.0-Integration.

Die Netzwerkinfrastruktur folgt dem Purdue-Modell mit segmentierten OT-Netzwerken (DMZ, Prozessnetz, Leitnetz, Office-IT), Firewalls und IDS-Systemen nach IEC 62443-3-3, realistischer IP-Adressierung sowie Jump-Hosts und Engineering Workstations. Diese Architektur spiegelt echte KRITIS-Umgebungen wider.

Ein 3D-gedrucktes Smart-City-Modell dient als physische Schnittstelle zur Visualisierung von Schaltzuständen, Stromausfällen und Notabschaltungen in Echtzeit. Teams sehen direkt, wie manipulierte GOOSE-Pakete oder IEC-104-Befehle physische Auswirkungen haben – diese Korrelation ist in klassischen Cyber-Ranges nicht möglich.

YekCity ist kompatibel mit gängigen SIEM-Plattformen wie Splunk,, Elastic, Microsoft Sentinel und Graylog. Vordefinierte Detection-Regeln basierend auf MITRE ATT&CK for ICS werden mitgeliefert. Die Integration mit Network-Security-Monitoring-Tools wie Zeek, Suricata und Snort ermöglicht forensische Analysen über PCAP-Exports.

 

Red/Blue-Team-Übungen

Realistische Simulation vollständiger Angriffsketten gegen OT-Infrastruktur. Das Red Team operiert wie eine APT-Gruppe und führt Angriffe von Reconnaissance über Lateral Movement bis zum Impact-Szenario durch. Das Blue Team muss Angriffe in Echtzeit erkennen, analysieren und stoppen. Die Analysten müssen die Detektion manipulierter Industrieprotokolle über SIEM-Analyse bis zur Incident Response unter Zeitdruck umsetzen. Nach den Übungen erfolgt eine forensische Auswertung mit Gap-Identifikation in Überwachung und Prozessen.

Zielgruppe: SOC-Teams, CERT/CSIRT, OT-Security-Verantwortliche

 

Anwendungsbereiche: KRITIS-Sektoren

YekCity deckt primär die Energieversorgung ab – von Kraftwerksleitsystemen und Umspannwerken über Verteilnetze bis zu SCADA-Leitstellen. Trainierbare Szenarien umfassen Industroyer-ähnliche Multi-Protokoll-Angriffe, GOOSE-Manipulation und IEC-104 Man-in-the-Middle.

Weitere Sektoren sind Bahninfrastruktur (Stellwerke, Bahnstrom, Signaltechnik), produzierende Industrie (DCS, SPS-Systeme von Siemens/Rockwell, Safety-Systeme mit Triton-ähnlichen Angriffen) sowie Wasserversorgung (SCADA mit DNP3/Modbus). Alle Szenarien basieren auf unserer praktischen Erfahrung aus OT-Pentests in diesen Bereichen.

 

NIS2- und KRITIS-Compliance

YekCity unterstützt betroffene Einrichtungen bei der Erfüllung von NIS2-Anforderungen durch regelmäßige dokumentierte Sicherheitsübungen, messbare Verbesserung der Reaktionsfähigkeit und Audit-Trails für Compliance-Dokumentation. Für die KRITIS-Verordnung bietet die Plattform praxisnahe Schulung von Personal mit OT-Verantwortung, Tests von Notfallplänen unter realistischen Bedingungen und Nachweise gegenüber dem BSI.