← Alle Artikel

Defense in Depth für industrielle Steuerungssysteme

OT-Wiki Grundlagenartikel

Defense in Depth beschreibt einen mehrschichtigen Sicherheitsansatz, bei dem verschiedene, sich ergänzende Schutzmaßnahmen kombiniert werden, sodass der Ausfall einer einzelnen Kontrolle nicht sofort zu einer vollständigen Kompromittierung führt.

In OT-Umgebungen umfasst dies typischerweise physische Sicherheit, Netzwerksegmentierung, Zugriffskontrollen auf Geräteebene, Endpunktschutz auf Engineering-Workstations sowie organisatorische Maßnahmen wie Schulungen und Patch-Management-Prozesse.

Wichtig ist dabei, dass die einzelnen Schichten unabhängig voneinander wirken: Eine kompromittierte Firewall darf nicht automatisch bedeuten, dass auch die dahinterliegenden Steuerungen ungeschützt sind. Monitoring und Anomalieerkennung ergänzen die präventiven Maßnahmen um eine erkennende Ebene.