Netzwerk-Monitoring und Anomalieerkennung in OT
OT-spezifisches Netzwerk-Monitoring analysiert den Datenverkehr auf Protokollebene, etwa Modbus, PROFINET oder OPC UA, um sowohl bekannte Angriffsmuster als auch untypisches Verhalten wie neue Kommunikationsbeziehungen oder ungewöhnliche Befehlssequenzen zu erkennen.
Da klassische signaturbasierte IT-Sicherheitstools OT-Protokolle oft nicht korrekt interpretieren, setzen spezialisierte Lösungen auf tiefes Protokollverständnis (Deep Packet Inspection) und lernen zusätzlich eine Baseline des Normalbetriebs, um Abweichungen zu erkennen.
Anomalieerkennung in OT muss dabei besonders auf Fehlalarme achten, da wiederkehrende, aber seltene Betriebszustände wie Anlagenanfahrten oder Wartungsmodi leicht mit ungewöhnlichem Verhalten verwechselt werden können, wenn die Baseline nicht sorgfältig über verschiedene Betriebsphasen hinweg trainiert wird.