Opsio - Cloud and AI Solutions
4 min read· 918 words

SPS-Sicherheit: Härtung von Steuerungen

Veröffentlicht: ·Aktualisiert: ·Geprüft vom Opsio-Ingenieurteam
Aus dem Englischen übersetzt und vom Opsio-Redaktionsteam geprüft. Original ansehen →
Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

SPS-Sicherheit: Härtung von Steuerungen

Warum sind SPS die kritischsten OT-Geräte überhaupt?

Speicherprogrammierbare Steuerungen (SPS, englisch: PLC - Programmable Logic Controllers) sind das Herzstück industrieller Automatisierung. Sie steuern Maschinen, Produktionslinien und kritische Infrastruktur direkt. Dragos berichtet, dass SPS-Schwachstellen 2025 bei 38% aller dokumentierten OT-Angriffe eine Rolle spielten (Dragos Year in Review, 2025). Eine kompromittierte SPS kann Maschinen zerstören, Produktionslinien stoppen oder physische Katastrophen verursachen.

Wichtige Erkenntnisse
  • SPS spielen bei 38% aller OT-Angriffe eine Rolle (Dragos, 2025)
  • Über 80% aller SPS weltweit laufen ohne Authentifizierung (ICS-CERT)
  • Stuxnet, INDUSTROYER und INCONTROLLER sind SPS-spezifische Malware-Beispiele
  • SPS-Härtung folgt einem 8-Punkte-Plan nach IEC 62443-3-3
  • Firmware-Verifikation und Programmintegrität sind kritische Sicherheitsmaßnahmen

Stuxnet (2010) demonstrierte erstmals, dass SPS gezielt durch Malware manipuliert werden können. Die Malware veränderte Siemens-SPS-Programme, um Zentrifugen physisch zu beschädigen. Seitdem haben staatliche Akteure und Kriminelle SPS-Angriffsfähigkeiten massiv ausgebaut.

[INTERNAL-LINK: SCADA-Sicherheit → SCADA-Sicherheit: Schutz von Leitsystemen]

Welche SPS-Schwachstellen sind am häufigsten ausgenutzt?

SPS wurden historisch für Zuverlässigkeit und Echtzeitfähigkeit entwickelt, nicht für Cybersicherheit. Das ICS-CERT der CISA dokumentiert jährlich Hunderte von SPS-spezifischen Schwachstellen (CISA ICS-CERT, 2025). Die häufigsten Schwachstellenkategorien sind fehlende Authentifizierung, unverschlüsselte Kommunikation und ungesicherte Engineering-Schnittstellen.

Fehlende Authentifizierung

Mehr als 80% aller SPS weltweit erfordern keine Authentifizierung für den Zugriff über industrielle Protokolle wie Modbus und EtherNet/IP. Jedes Gerät im OT-Netzwerk kann Steuerbefehle an eine nicht authentifizierte SPS senden. Angreifer, die in das OT-Netzwerk eindringen, haben sofortigen Zugriff auf alle SPS.

Ungesicherte Engineering-Schnittstellen

SPS werden über Engineering-Workstations programmiert und konfiguriert. Diese Verbindungen nutzen proprietäre Protokolle wie Siemens S7, Rockwell EtherNet/IP oder Schneider Modbus. Diese Protokolle haben oft keine oder schwache Sicherheitsfunktionen. Ein Angreifer, der Engineering-Protokolle beherrscht, kann SPS-Programme überschreiben.

Ungepatchte Firmware

SPS-Firmware wird selten aktualisiert, weil Firmware-Updates Produktionsunterbrechungen erfordern und die SPS-Zertifizierung gefährden können. Bekannte Firmware-Schwachstellen bleiben jahrelang offen. Angreifer nutzen öffentliche Schwachstellendatenbanken, um gezielt anfällige Firmware-Versionen zu suchen.

Kostenlose Expertenberatung

Brauchen Sie Unterstützung bei SPS-Sicherheit: Härtung von Steuerungen?

Unsere Cloud-Architekten unterstützen Sie bei SPS-Sicherheit: Härtung von Steuerungen — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.

Solution ArchitectKI-SpezialistSicherheitsexperteDevOps-Ingenieur
50+ zertifizierte IngenieureAWS Advanced Partner24/7 Support
Völlig kostenlos — keine VerpflichtungAntwort innerhalb 24h

Wie härten Sie SPS nach dem IEC-62443-Prinzip?

Die Härtung von SPS folgt einem systematischen 8-Punkte-Prozess. IEC 62443-3-3 definiert grundlegende Sicherheitsanforderungen für SPS als IACS-Komponenten (IEC 62443-3-3, 2013). Diese Anforderungen bilden die Grundlage für eine strukturierte SPS-Härtung.

Punkt 1: Passwörter und Authentifizierung

Ändern Sie alle Standard-Passwörter. Aktivieren Sie Passwortschutz für SPS-Zugang, soweit das Gerät es unterstützt. Moderne SPS unterstützen Benutzernamen/Passwort-Authentifizierung oder zertifikatbasierte Authentifizierung. Ältere Geräte müssen durch Netzwerksegmentierung kompensiert werden, wenn Authentifizierung nicht möglich ist.

Punkt 2: Netzwerkisolation und Filterung

Platzieren Sie SPS in isolierten Netzwerksegmenten. Firewall-Regeln erlauben nur notwendige Kommunikation: SCADA-Server zu SPS für Statusabfragen und Steuerungsbefehle, Engineering-Workstations zu SPS für Programmierung (mit expliziter Genehmigung). Alle anderen Verbindungen sind blockiert.

Punkt 3: Deaktivierung ungenutzter Dienste

Deaktivieren Sie alle Netzwerkdienste, Ports und Protokolle, die nicht für den Betrieb benötigt werden. Viele SPS haben integrierte Webserver, FTP-Dienste und SNMP-Interfaces, die standard-mäßig aktiviert sind. Diese ungenutzten Dienste sind potenzielle Einstiegspunkte und sollten deaktiviert werden.

Punkt 4: Firmware-Verifikation

Prüfen Sie die Integrität der installierten Firmware regelmäßig. Viele moderne SPS unterstützen kryptografische Firmware-Verifikation. Führen Sie ein Firmware-Inventar mit Checksums. Abweichungen können auf Manipulation hinweisen und müssen sofort untersucht werden.

Punkt 5: Programm-Integrität

Erstellen Sie eine kryptografisch signierte Baseline des autorisierten SPS-Programms. Überprüfen Sie regelmäßig, ob das auf der SPS laufende Programm mit der Baseline übereinstimmt. INDUSTROYER und INCONTROLLER manipulierten SPS-Programme; ohne Programmintegrätsprüfung bleibt diese Manipulation unentdeckt.

Punkt 6: Physische Sicherheit

Sichern Sie physischen Zugang zu SPS und Schaltschränken. Unautoriserter physischer Zugang ermöglicht die Umgehung aller Netzwerksicherheitsmaßnahmen. Schaltschrankschlösser, Zutrittskontrollen und Videoüberwachung sind Teil der SPS-Sicherheitsstrategie.

Punkt 7: Protokollierung und Überwachung

Protokollieren Sie alle Zugriffe auf SPS, Programmieraktionen und Konfigurationsänderungen. Viele ältere SPS haben keine eigene Protokollierungsfähigkeit; Netzwerkprotokollierung kann diese Lücke teilweise schließen. Ungewöhnliche Verbindungen zu SPS außerhalb von Wartungsfenstern müssen sofort Alarm auslösen.

Punkt 8: Regelmäßige Sicherheitsüberprüfungen

Führen Sie regelmäßige Sicherheitsüberprüfungen der SPS-Konfiguration durch. Prüfen Sie Firmware-Versionen gegen bekannte Schwachstellen, überprüfen Sie Passwörter und Netzwerkkonfiguration. Nach Wartungseinsätzen sollten Konfigurationen auf unautorisierte Änderungen geprüft werden.

Welche besonderen Herausforderungen gibt es bei Legacy-SPS?

Ältere SPS aus den 1990er und 2000er Jahren haben oft keine modernen Sicherheitsfunktionen. Sie können nicht einfach ersetzt werden, weil sie in zertifizierten Produktionsprozessen integriert sind. Das BSI schätzt, dass mehr als 60% der in Deutschland betriebenen SPS als Legacy einzustufen sind (BSI, 2025).

Für Legacy-SPS ohne Authentifizierung sind kompensierende Netzwerkkontrollen die einzige Option: Strikte Netzwerksegmentierung isoliert die SPS, Netzwerküberwachung erkennt anomale Kommunikation, und physische Sicherheit begrenzt physischen Zugang. Diese Kontrollen sind nicht so wirksam wie direkte SPS-Härtung, aber sie reduzieren das Risiko erheblich.

[PERSONAL EXPERIENCE] In Projekten mit deutschen Maschinenbauunternehmen stellen wir regelmäßig fest, dass SPS-Härtung oft auf Widerstand von Produktionsingenieuren stößt, die Betriebsstörungen befürchten. Ein schrittweiser Ansatz - erst Netzwerksegmentierung, dann sukzessive SPS-Härtung in Wartungsfenstern - überwindet diesen Widerstand.

[UNIQUE INSIGHT] Unternehmen, die einen Prozess für "SPS-Sicherheitsacceptance-Testing" nach Wartungseinsätzen etablieren, entdecken unautorisierte Konfigurationsänderungen signifikant häufiger. Wartungstechniker wissen, dass ihre Arbeit überprüft wird, was die Sorgfalt erhöht und unbeabsichtigte Sicherheitsprobleme reduziert.

Häufig gestellte Fragen

Kann ich alle SPS gleichzeitig härten oder muss ich priorisieren?

Priorisierung ist unerlässlich. Härten Sie zuerst SPS, die direkt sicherheitskritische Prozesse steuern (Safety Instrumented Systems, Wasseraufbereitung, Stromversorgung). Dann kommen SPS in kritischen Produktionslinien, gefolgt von weniger kritischen Anlagen. Die Priorisierung sollte auf einer formalen Risikoanalyse basieren.

Wie gehe ich mit SPS-Schwachstellen um, für die kein Patch existiert?

Kompensierende Kontrollen sind die Antwort: Netzwerksegmentierung isoliert die anfällige SPS, Application-Layer-Firewalls filtern bekannte Exploit-Muster, Netzwerkmonitoring erkennt Ausnutzungsversuche. Dokumentieren Sie alle Schwachstellen und kompensierende Kontrollen formal. Planen Sie Geräteerneuerung langfristig ein.

Fazit: SPS-Sicherheit als Fundament der OT-Sicherheit

SPS-Sicherheit ist das Fundament der OT-Sicherheit, weil SPS die physischen Prozesse direkt steuern. Ohne gehärtete SPS ist jede andere OT-Sicherheitsmaßnahme unvollständig. Der 8-Punkte-Härtungsplan bietet einen strukturierten Einstieg, der schrittweise und ohne Produktionsunterbrechung umgesetzt werden kann.

Erfahren Sie mehr über unsere OT-Sicherheitsservices und wie wir SPS-Härtungsprojekte durchführen.

Verwandte Artikel

Über den Autor

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments

View all articles →LinkedIn

Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.