SCADA-Sicherheit: Schutz von Leitsystemen
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Warum sind SCADA-Systeme besonders attraktive Angriffsziele?
SCADA-Systeme (Supervisory Control and Data Acquisition) sind das Nervenzentrum industrieller Anlagen. Sie überwachen und steuern physische Prozesse in Energieversorgung, Wasserwerken, Chemiewerken und Fertigungsanlagen. Das ICS-CERT der CISA berichtet, dass SCADA-Schwachstellen 2025 um 62% gegenüber 2023 gestiegen sind (CISA, 2025). Ein kompromittiertes SCADA-System gibt Angreifern direkte Kontrolle über physische Prozesse.
Wichtige Erkenntnisse
- SCADA-Schwachstellen stiegen um 62% zwischen 2023 und 2025 (CISA)
- SCADA-Systeme laufen oft auf ungepatchten Windows-Betriebssystemen
- OPC-UA, MODBUS und DNP3 sind häufigste SCADA-Protokolle ohne eingebaute Sicherheit
- SCADA-Kompromittierung ermöglicht direkte Steuerung physischer Prozesse
- Defense-in-Depth mit mindestens 4 Schutzschichten ist SCADA-Sicherheits-Mindeststandard
SCADA-Systeme sind besonders gefährdet, weil sie historisch ohne Cybersicherheitsanforderungen entwickelt wurden. Viele Implementierungen aus den 1990er und 2000er Jahren laufen heute noch in kritischer Infrastruktur, mit bekannten Schwachstellen und ohne Patch-Unterstützung.
[INTERNAL-LINK: OT-Bedrohungslandschaft → OT-Bedrohungslandschaft 2026]
Welche SCADA-Architekturen gibt es und wo sind die Sicherheitslücken?
SCADA-Systeme existieren in zwei grundlegenden Architekturen: monolithische und verteilte Systeme. Moderne SCADA-Implementierungen sind zunehmend webbasiert und cloud-fähig, was neue Sicherheitsherausforderungen schafft. Claroty berichtet, dass 67% aller SCADA-Systeme nicht mit aktuellen Sicherheitspatches versorgt werden (Claroty, 2025).
Monolithische SCADA-Systeme
Ältere SCADA-Systeme bestehen aus einer zentralen Server-Applikation und dezentralen RTUs/SPS. Sie kommunizieren über proprietäre Protokolle oder Modbus/DNP3. Diese Systeme haben oft keine Authentifizierung, keine Verschlüsselung und keine modernen Audit-Funktionen. Sie laufen auf veralteten Betriebssystemen und sind schwer zu patchen.
Verteilte SCADA-Systeme
Moderne SCADA-Systeme nutzen Client-Server-Architekturen mit redundanten Servern und webbasierten HMI-Schnittstellen. Sie kommunizieren über OPC-UA (OPC Unified Architecture), das Authentifizierung und Verschlüsselung unterstützt. Aber viele OPC-UA-Implementierungen sind fehlerhaft konfiguriert und nutzen die Sicherheitsfunktionen nicht.
Cloud-Connected SCADA
Die neueste Generation von SCADA-Systemen hat direkte Cloud-Verbindungen für Remote-Monitoring und Predictive Maintenance. Diese Verbindungen schaffen neue Angriffsvektoren, wenn sie nicht ausreichend gesichert sind. API-Sicherheit, Identitätsmanagement und Datenverschlüsselung sind für Cloud-SCADA kritische Anforderungen.
Brauchen Sie Unterstützung bei SCADA-Sicherheit: Schutz von Leitsystemen?
Unsere Cloud-Architekten unterstützen Sie bei SCADA-Sicherheit: Schutz von Leitsystemen — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Welche Angriffsmethoden richten sich gegen SCADA-Systeme?
Angreifer nutzen SCADA-spezifische Schwachstellen und allgemeine Netzwerkzugänge. DRAGOS dokumentiert sechs aktive Bedrohungsgruppen, die 2025 speziell auf SCADA-Systeme in Europa abzielten (Dragos, 2025).
Direktangriffe auf SCADA-Protokolle
Malware wie FrostyGoop und INCONTROLLER greift direkt SCADA-Protokolle an. FrostyGoop nutzt das Modbus-Protokoll, um Gerätekonfigurationen zu manipulieren. INCONTROLLER enthält Module für Schneider Electric und Omron SCADA-Systeme. Diese Malware erfordert tiefes OT-Know-how und wird von staatlichen Akteuren entwickelt.
Man-in-the-Middle-Angriffe auf SCADA-Kommunikation
Unverschlüsselte SCADA-Kommunikation über Modbus, DNP3 oder IEC 60870 kann abgehört und manipuliert werden. Angreifer, die sich in ein OT-Netzwerk eingebracht haben, können legitime Steuerbefehle abfangen und durch manipulierte Befehle ersetzen. Ohne Authentifizierung können Geräte nicht zwischen legitimen und gefälschten Befehlen unterscheiden.
Angriffe auf HMI-Workstations
HMI-Workstations (Human-Machine Interfaces) sind häufige Angriffsziele, weil sie Windows-basiert sind und direkten Zugang zu SCADA-Systemen haben. Phishing-E-Mails, die zu HMI-Benutzern gelangen, sind ein häufiger Angriffsvektor. Kompromittierte HMI-Workstations geben Angreifern die gleichen Rechte wie ein autorisierter Operator.
Wie implementieren Sie SCADA-Sicherheit nach Defense-in-Depth?
SCADA-Sicherheit folgt dem Defense-in-Depth-Prinzip mit mindestens vier Schutzschichten. NIST SP 800-82 empfiehlt diese mehrschichtige Strategie explizit für alle SCADA-Umgebungen (NIST, 2023). Jede Schicht verlangsamt Angreifer und gibt Verteidigern Zeit zur Reaktion.
Schicht 1: Netzwerksegmentierung
SCADA-Server und HMI-Workstations müssen in einem dedizierten, segmentierten Netzwerk betrieben werden. Keine direkte Verbindung zu IT-Netzwerken oder dem Internet. Alle Verbindungen laufen durch eine DMZ mit expliziter Firewall-Kontrolle. Eingehende Verbindungen von außen sind auf das absolut Notwendige beschränkt.
Schicht 2: Zugriffsverwaltung
Strikte rollenbasierte Zugriffskontrolle für alle SCADA-Systeme. Operator-Konten haben nur Lesezugriff; Konfigurationsänderungen erfordern privilegierte Zugänge. Alle Zugänge werden protokolliert. Externe Zugriffe (Wartung, Remote-Support) sind auf zeitlich begrenzte, überwachte Sessionen beschränkt.
Schicht 3: Härtung von SCADA-Komponenten
Deaktivieren Sie alle nicht benötigten Dienste, Ports und Protokolle auf SCADA-Servern und HMI-Workstations. Application Whitelisting erlaubt nur bekannte, autorisierte Anwendungen. Regelmäßige Integritätsprüfungen stellen sicher, dass SCADA-Software nicht manipuliert wurde.
Schicht 4: Kontinuierliches Monitoring
Überwachen Sie alle SCADA-Kommunikation auf Anomalien. Plötzliche Änderungen in Kommunikationsmustern, neue Verbindungen zu unbekannten Zielen und ungewöhnliche Steuerbefehle sind Frühwarnsignale. OT-native SIEM-Lösungen erkennen SCADA-spezifische Angriffsmuster.
Welche spezifischen Härtungsmaßnahmen gelten für SCADA-Software?
SCADA-Software-Härtung reduziert die Angriffsfläche der SCADA-Anwendung selbst. Das BSI hat spezifische Härtungsempfehlungen für gängige SCADA-Produkte veröffentlicht (BSI, 2024). Diese Maßnahmen ergänzen die Netzwerk- und Systemhärtung.
OPC-UA-Sicherheitskonfiguration
OPC-UA bietet eingebaute Sicherheitsfunktionen, die in vielen Implementierungen nicht aktiviert sind. Aktivieren Sie: Authentifizierung (Username/Password oder Zertifikat), Verschlüsselung (AES-256), Integritätsprüfung und Audit-Protokollierung. Deaktivieren Sie anonyme Verbindungen. Überprüfen Sie OPC-UA-Zertifikate regelmäßig.
Historian-Sicherheit
Historian-Server sammeln Prozessdaten und sind häufig die Schnittstelle zwischen OT und IT. Sichern Sie Historian-Server durch Netzwerksegmentierung, starke Authentifizierung und Verschlüsselung der Datenbankverbindungen. Replikation von OT zu IT-Historian läuft nur in einer Richtung durch die DMZ.
[PERSONAL EXPERIENCE] In SCADA-Sicherheitsprojekten stellen wir regelmäßig fest, dass die kritischste Schwachstelle nicht die SCADA-Software selbst ist, sondern der Betriebssystem-Layer. Windows XP und Windows Server 2008, auf denen SCADA-Software zertifiziert ist, haben tausende bekannte, ungepatchte Schwachstellen.
[UNIQUE INSIGHT] Unternehmen, die virtual patching (Schutz auf Netzwerkebene für ungepatchte SCADA-Betriebssysteme) konsequent einsetzen, reduzieren das Angriffsrisiko für Legacy-SCADA-Systeme um bis zu 80%, ohne die SCADA-Zertifizierung zu gefährden.
Häufig gestellte Fragen
Kann ich mein SCADA-System in die Cloud migrieren ohne Sicherheitsrisiken?
Cloud-Migration für SCADA ist möglich, aber erfordert sorgfältige Sicherheitsarchitektur. Hybridansätze sind am häufigsten: Steuerungssysteme bleiben lokal, Monitoring und Analytics wandern in die Cloud. Direkte Steuerungsfunktionen in der Cloud sind für hochkritische Systeme nicht empfehlenswert. Sicherheitsanforderungen müssen vor der Migration vollständig definiert sein.
Wie patche ich SCADA-Betriebssysteme ohne Zertifizierungsprobleme?
Arbeiten Sie eng mit Ihrem SCADA-Hersteller zusammen. Viele Hersteller geben freigegebene Patch-Levels an, die mit ihrer Software kompatibel sind. Nutzen Sie Testumgebungen für Patch-Tests vor dem Produktionseinsatz. Wo Patches nicht möglich sind, setzen Sie kompensierende Kontrollen ein und dokumentieren Sie dies für Auditoren.
Wie erkennt man einen SCADA-Angriff?
Typische Anzeichen: ungewöhnliche Netzwerkkommunikation von SCADA-Servern, nicht autorisierte Konfigurationsänderungen an SPS, HMI-Verbindungen zu unbekannten Zielen, plötzliche Änderungen in Prozessparametern ohne manuellen Eingriff. Kontinuierliches Monitoring mit OT-nativen Erkennungsregeln ist die zuverlässigste Methode.
Fazit: SCADA-Sicherheit erfordert Defense-in-Depth
SCADA-Sicherheit ist keine optionale Ergänzung, sondern Grundvoraussetzung für den sicheren Betrieb kritischer Infrastruktur. Der mehrschichtige Defense-in-Depth-Ansatz mit Netzwerksegmentierung, Zugriffsmanagement, Härtung und Monitoring bietet den umfassendsten Schutz.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und wie wir SCADA-Sicherheitsprogramme implementieren.
[INTERNAL-LINK: SPS-Sicherheit → SPS-Sicherheit: Härtung von Steuerungen]
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.