Carlos Buenano, CTO für OT bei Armis
Neben kontinuierlichem Exposure Management braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für Legacy-Systeme. Gleichzeitig rückt die Lieferkette als Angriffs- und Compliance-Faktor in den Mittelpunkt.
Zugriffe managen und das Prinzip der minimalen Privilegien
Eine zentrale Säule der modernen OT-Resilienz im Jahr 2026 ist die Durchsetzung des Zugriffs mit minimalen Privilegien. Da wir Lieferketten und Betriebsnetzwerke absichern, muss die Verwaltung der Zugriffe dynamisch, überprüfbar und kontextsensitiv gestaltet sein. Jeder Mensch, jede Maschine, jedes Anbieter-Tool und jedes Firmware-Update sollte als Identität behandelt werden, die nur die erforderlichen Rechte erhält, und zwar nur für die erforderliche Zeit und nur auf den erforderlichen Systemen.
Das bedeutet, dass rollen- und attributbasierte Zugriffskontrollen (RBAC und ABAC) innerhalb der Kontrollumgebungen durchgesetzt werden müssen, wobei Just-in-Time-Erweiterungen (JIT) für Wartungsaufgaben, kurzlebige Anmeldedaten für Anbieter-Sitzungen und hardwarebasierte Identitäten für Geräte verwendet werden. Firmware-Updates sollten vor der Bereitstellung immer digital signiert und überprüft werden, und der Zugriff von Anbietern muss über vermittelte, überwachte Jump-Hosts mit Sitzungsaufzeichnung und automatischer Sperrung der Anmeldedaten nach Abschluss der Arbeiten erfolgen.
Wenn diese Zugriffsvalidierung in CTEM (Continuous Threat Exposure Management) einfließt, wird die Risikobewertung wesentlich präziser, da das Risiko nicht nur mit den Schwachstellen der Assets verknüpft wird, sondern auch damit, wer oder was tatsächlich mit diesen Assets interagieren kann. Mit anderen Worten: Die Identität wird zu einer aktiven Risikovariable. Diese Verlagerung hilft Unternehmen, übermäßig bereitgestellte Konten, ungeschützte Anmeldedaten von Anbietern und unsichere Wartungsprozesse zu erkennen, bevor Angreifer sie ausnutzen können. Auch die Lieferkette profitiert davon: Lieferantenverträge verlangen zunehmend Zugangstransparenz, Sitzungsprotokollierung und Bestätigungen der geringsten Privilegien. In der OT wird Vertrauen erworben und kontinuierlich validiert.
Digitale Zwillinge sind die neuen Cyber-Übungsplätze
Eine der spannendsten Entwicklungen im Jahr 2026 ist die weit verbreitete Einführung von digitalen Zwillingen oder virtuellen Nachbildungen industrieller Umgebungen, die für Tests, Simulationen und Resilienz Trainings verwendet werden. Diese Zwillinge sind nicht mehr auf Forschung und Entwicklung beschränkt, sondern werden nun auch verwendet, um reale Cybervorfälle in sicheren Sandbox-Umgebungen zu proben. Sie erweisen sich auch als unschätzbar wertvoll für das Testen von Zugriffsrichtlinien und Berechtigungsmodellen. Bevor eine neue Zugriffsrichtlinie oder Segmentierungsregel für Lieferanten eingeführt wird, können Unternehmen diese in ihrem digitalen Zwilling validieren, um die Betriebsstabilität sicherzustellen. Diese Simulationen helfen Sicherheits- und Engineering-Teams dabei, Prinzipien der geringsten Berechtigungen sicher anzuwenden, ohne die Produktion zu unterbrechen.
Mit digitalen Zwillingen können Teams Ransomware-Ausbrüche, laterale Bewegungen oder Fehlkonfigurationen simulieren, ohne die Live-Produktion zu gefährden. Sie bieten auch eine ideale Umgebung, um Firmware-Updates zu validieren, Segmentierungsrichtlinien zu testen und Szenarien mit gegnerischen Angriffen durchzuspielen. Ich habe gesehen, wie Unternehmen durch ihre Zwillinge entdeckt haben, dass ein scheinbar geringfügiges Firmware-Update einen kritischen Regelkreis destabilisiert hätte. Aber über die Sicherheitsvalidierung hinaus verändern digitale Zwillinge auch die Art und Weise, wie wir Menschen schulen. In vielen Einrichtungen führen IT- und OT-Incident-Responder nun gemeinsame Tabletop-Übungen durch, bei denen simulierte Angriffe nachgeahmt werden, die realen Angreifern nachempfunden sind. Die Ergebnisse sind messbar: schnellere Entscheidungsfindung, bessere Kommunikation und weniger Überraschungen, wenn ein echter Vorfall eintritt.
Schutz der Legacy-Systeme
Trotz der Fortschritte hat sich eines nicht geändert: OT-Umgebungen sind nach wie vor voller Legacy-Systeme, die nicht gepatcht, nicht ersetzt und oft nicht einmal sicher überwacht werden können. Viele laufen mit Firmware, die älter ist als moderne kryptographische Standards oder vom Hersteller nicht mehr unterstützt wird. Im Jahr 2026 bleibt es dabei und die vorherrschende Verteidigungsstrategie ist der Schutz statt der Ersatz. Virtuelles Patching, Deep Device Fingerprinting und anwendungsorientierte Mikrosegmentierung sind mittlerweile Standard. Mit Exposure-Management-Tools lassen sich endlich „nicht patchbare“ Assets sicher inventarisieren, verfolgen und quantifizieren, wobei automatisch Business-Impact-Scores zugewiesen und kompensierende Kontrollen empfohlen werden. Anstatt einer unrealistischen Modernisierung nachzujagen, werden Unternehmen anwendungsorientierte Firewalls implementieren und gegebenenfalls sichere aktive Abfragen vollständig einführen und OT als eine Umgebung behandeln, die ein Hacking-Ziel ist, unabhängig davon, ob sie “air gapped” ist oder nicht.
Absicherung der Lieferkette
Wenn 2024 und 2025 die Jahre der KI-gesteuerten Angriffe waren, dann ist 2026 das Jahr der Absicherung der Lieferkette. Wir haben schmerzhafte Lektionen aus Vorfällen gelernt, bei denen kompromittierte Firmware-Updates oder manipulierte Anbieter-Tools ihren Weg in Produktionsumgebungen gefunden haben. In der OT riskieren Unternehmen nicht nur Daten, sondern auch kinetische Auswirkungen.
In diesem Jahr ist mit strengeren Beschaffungs- und Compliance-Anforderungen für kritische Infrastrukturen zu rechnen. Secure-by-Design-Vorgaben, SBOM-Transparenz, signierte Firmware und Herstellerbescheinigungen werden schnell zur Selbstverständlichkeit. Armis unterstützt Unternehmen dabei, diese Kontrollen in ihre CTEM-Workflows zu integrieren, beispielsweise durch die Überprüfung von Firmware-Signaturen, die Pflege von Registern mit Herstellerzertifikaten und die automatische Kennzeichnung von Geräten, die aus risikoreichen Lieferketten stammen. Dieselben Workflows erstrecken sich nun auch auf die Zugriffsvalidierung, indem sichergestellt wird, dass Anbieter im Rahmen ihres Zertifizierungsprozesses Kontrollen mit minimalen Berechtigungen, die Überprüfbarkeit von Sitzungen und Zeitpläne für die Sperrung von Berechtigungen einhalten. Die harte Wahrheit ist, dass kein Unternehmen seine OT-Umgebung vollständig sichern kann, ohne seine Lieferanten zu sichern. Transparenz, Herkunftsnachweis und schnelle Reaktionszeiten müssen Teil jedes Lieferantenvertrags werden.
Ausblick
Im Jahr 2026 werden die Grenzen zwischen IT, OT und cyber-physischen Systemen praktisch verschwunden sein. Die Umgebungen, die Sicherheitsteams verteidigen, sind lebendige, miteinander verbundene Ökosysteme, die unser Leben bestimmen und ständig Angriffen ausgesetzt sind. Die Konvergenz von KI-gesteuerten Angriffen, zunehmendem regulatorischem Druck und steigenden Sicherheitserwartungen bedeutet, dass Transparenz, Kontext und kontinuierliches Cyber Exposure Management die operative Grundlage der modernen OT-Sicherheit bilden.
Aber Transparenz allein reicht nicht aus. Minimaler Zugriff, dynamische Autorisierung und Verantwortlichkeit in der Lieferkette entscheiden heute darüber, ob ein Unternehmen den KI-gestützten Bedrohungen der nächsten Generation standhalten kann. Die gemeinsame Mission, Betriebszeit, Menschen und Vertrauen zu schützen, hat sich nicht verändert, aber die Art und Weise, wie wir dies erreichen, hat sich weiterentwickelt. Unternehmen müssen schneller automatisieren als Angreifer, Risiken in der Sprache der Wirtschaft messen und jedes Gerät, jeden Lieferanten und jeden Prozess als Teil einer einheitlichen Risikolandschaft behandeln.
