Eine Mitteilung an unsere Kunden und Partner im Nahen Osten
Weitere Informationen
Akademie
Laboratorien
Karriere
Partner-Anmeldung
Unterstützung
FAQ ZUR CYBERSICHERHEIT

Was ist der Unterschied zwischen der Erkennung von Bedrohungen und der Erkennung von Anomalien in der OT?

Der vielleicht größte Unterschied zwischen IT- und OT besteht darin, dass wir in industriellen Umgebungen sowohl das Cyber- als auch das Betriebsrisiko, einschließlich des Prozessrisikos, berücksichtigen müssen. Tatsächlich sind betriebliche Anomalien, die nichts mit einer Cyber-Bedrohung zu tun haben, viel häufiger.

In industriellen Umgebungen, insbesondere in kritischen Infrastrukturen, sorgen groß angelegte Cyberangriffe für Schlagzeilen, doch sind es vielmehr Dinge wie Geräteausfälle, Fehlkonfigurationen, Spitzen bei der Ressourcenauslastung und gefährliche Prozessabweichungen, die die Produktion gefährden oder sogar noch Schlimmeres bewirken können. In einer Chemiefabrik könnte beispielsweise ein Alarm ausgelöst werden, wenn ein Drucksensor Werte außerhalb der sicheren Betriebsgrenzen erfasst, was eine sofortige Abschaltung zur Verhinderung einer Explosion zur Folge hat. Bis die Ursache geklärt ist, könnte dies darauf hindeuten, dass ein böswilliger Akteur den Wert manipuliert hat, oder es könnte sich um einen Bedienungsfehler handeln. In beiden Fällen ist die Bedrohung real. Betreiber und Manager müssen in der Lage sein, sowohl Bedrohungen als auch Anomalien – Eindringversuche, unerwünschtes Verhalten und Geräteausfälle – zu erkennen und schnell zu reagieren.  

Allgemein gesagt ist eine Anomalie alles, was von der normalen Leistung oder dem normalen Erscheinungsbild abweicht. In der Fertigung und anderen industriellen Umgebungen können dies instabile Prozesswerte, fehlerhafte Prozessmessungen oder Fehlkonfigurationen sein, die zu Fehlfunktionen oder Ausfallzeiten führen können. Aus diesem Grund überwacht ein pharmazeutisches Werk in der Regel die Kommunikation zwischen Steuerungssystemen und Feldgeräten, um abnormale Messwerte oder Befehle zu erkennen, die die Produktion oder Sicherheitsprotokolle stören könnten, und um die Chargenqualität sicherzustellen. Solche Prozessanomalien können auch auf eine Cyberbedrohung hindeuten.

Um Sicherheit, Zuverlässigkeit und hohe Verfügbarkeit zu gewährleisten, benötigen industrielle Umgebungen eine umfassende Risikoüberwachung, die regelbasierte Bedrohungserkennung mit verhaltensbasierter Anomalieerkennung kombiniert. 

Regelbasierte Erkennung

Die regelbasierte Erkennung ist effizient für die Erkennung von Bedrohungen, bei denen die Indikatoren leicht beobachtbar und identifizierbar sind. Diese Methode kann auch zur Erkennung bekannter, nicht bösartiger Anomalien verwendet werden, wie z. B. Spitzen in der Ressourcennutzung oder ein unerwarteter Anstieg des Datenverkehrs.

Die signaturbasierte Erkennung ist eine Unterform der regelbasierten Erkennung und stellt eine schnelle, effiziente Methode dar, um böswillige Aktivitäten oder unbefugte Zugriffe im Netzwerkverkehr zu erkennen. Sie stützt sich auf vordefinierte Regeln oder Bedingungen, um eindeutige, bekannte Angriffsmuster im Netzwerkverkehr – sogenannte Signaturen – zu identifizieren und diese mit einer Datenbank bekannter Bedrohungen abzugleichen. Jede Signatur enthält Indikatoren für Kompromittierung (IOCs) wie Dateinamen, Hashtags, URLs und IP-Adressen. Die signaturbasierte Erkennung ist zwar effizient, funktioniert jedoch nur bei bekannten Bedrohungen (wie dokumentierten CVEs) und nur dann, wenn die Indikatoren leicht zu erkennen und als potenzielle Übereinstimmung identifizierbar sind. 

Um bekannte Malware zu identifizieren, verwenden signaturbasierte Erkennungsmethoden YARA-Regeln und Paketregeln, um Datei- bzw. Paketsignaturen abzugleichen und eine Warnung auszulösen, wenn eine Übereinstimmung festgestellt wird. 

Verhaltensbasierte Erkennung von Anomalien

Betriebliche Anomalien - sowie unbekannte Bedrohungen, einschließlich Zero-Day-Bedrohungen - können nicht durch Regeln erkannt werden. Der beste Weg, sie zu erkennen, ist eine kontinuierliche Überwachung mit Deep Packet Inspection (DPI), um Industrieprotokolle im Netzwerkverkehr zu lesen und das aktuelle Verhalten mit einer Baseline zu vergleichen.

ICS-Netzwerke sind im Vergleich zu Unternehmensnetzwerken, in denen ständig Geräte hinzugefügt und entfernt werden, relativ statisch, so dass es viel einfacher ist, genaue Basislinien zu erstellen und Abweichungen davon zu erkennen. Dies ist jedoch nicht ohne ausgeklügeltes maschinelles Lernen möglich, um das normale Verhalten von Prozessvariablen zu erlernen, die aus dem Netzwerkverkehr gesammelt werden. Sobald die Basislinien festgelegt sind, kann die verhaltensbasierte Anomalieerkennung verwendet werden, um Verkehrsmuster, die außerhalb der festgelegten Schwellenwerte liegen, sowie anormale Sensormesswerte und Flussparameter zu erkennen.

Erkennung von Bedrohungen und Anomalien mit der Nozomi Networks Plattform

Die Plattform von Nozomi Networks verfügt über die anspruchsvollste Erkennungs-Engine, die für IoT verfügbar ist. Sie kombiniert regelbasierte und verhaltensbasierte Techniken, um die Auswirkungen jeder Bedrohung in Ihrer Umgebung zu erkennen und zu begrenzen, von Ressourcenspitzen über Zero-Days bis hin zu "Living-off-the-Land"-Techniken, die sich oft signaturbasierten Ansätzen entziehen, ohne Analysten und Betreiber mit False Positives zu überfordern.  

Um bekannte Bedrohungen zu erkennen, wird das Nozomi Threat Intelligence Feed bietet aggregierte Bedrohungsforschung und -analyse sowie detaillierte Informationen über Bedrohungsindikatoren, einschließlich YARA-Regeln, Paketregeln, STIX-Indikatoren, Bedrohungsdefinitionen, eine Wissensdatenbank und Schwachstellensignaturen. Unsere Sensoren und unsere Plattform werden kontinuierlich mit der neuesten Malware und IOCs aktualisiert, die speziell für industrielle Prozesse und IoT entwickelt wurden. Dazu gehören unsere eigene IoT Forschung sowie die Integration des CISA-Katalogs für bekannte und ausgenutzte Schwachstellen, der MITRE ATT&CK®-Matrix für ICS-Zuordnungen und der threat intelligence von Mandiant.

Nozomi Threat Intelligence

Um Anomalien zu erkennen, stützt sich die Nozomi Networks auf maschinelles Lernen, um die Kommunikationsmuster Ihres industriellen Netzwerks zu erlernen und eine Basislinie für normales Verhalten zu erstellen. Anschließend wird Ihre Umgebung kontinuierlich überwacht, um Veränderungen in der Kommunikation oder in den Werten der Prozessvariablen zu erkennen, die auf eine Cyber-Bedrohung oder ein Risiko für die Zuverlässigkeit hinweisen könnten.

Unsere Sensoren nutzen DPI, um mehr als 250 Industrieprotokolle zu analysieren und die für eine robuste Verhaltensanalyse erforderlichen granularen Daten zu liefern. Mit dieser Methode können wir detaillierte Asset-Informationen wie Marke, Modell, Seriennummer und Firmware-/OS-Version von Geräten wie Industriesteuerungen, Workstations und Servern extrahieren. Unsere Sensoren können erkennen:

  • Richtlinienverstöße wie das Herunterladen, Hochladen und Ändern von SPS-Programmen/Firmware sowie die Ausführung eines SPS-Start-/Stoppbefehls im Netzwerk
  • Gerätefehlfunktionen wie Verlust von Kommunikationsverbindungen, Zurücksetzen von Verbindungen, Fehler bei der erneuten Übertragung und Gesundheitszustand von SNMP-konfigurierten Geräten
  • Fehlkonfigurationen wie nicht autorisierte Protokolle, SPS-Lesefehler aufgrund ungültiger Registeradressen und fehlerhafte SCADA-Pakete

Zurück zu den FAQs

Verwandte Ressourcen

Die Sicherung des Unsichtbaren: KI-gesteuertes IoT
Ressource anzeigen
Erkennung von Insider-Bedrohungen: Die undiskutierte, zu wenig beachtete OT
Ressource anzeigen
Unvorhersehbar, unvorbereitet: So optimieren Sie Ihre Risikomanagementstrategie fürIoT
Ressource anzeigen
NeueOT erkennen: Wie man proaktiv vorgeht 
Ressource anzeigen
Erkennung von OT Cybersicherheitsbedrohungen mit Hilfe der Matrix "Bekannt-Unbekannt".
Ressource anzeigen

Abonnieren

LinkedIn

Demo

PLATFORM

Überblick über die PlattformVantageCentral Management ConsoleGuardianGuardian AirArcAsset IntelligenceThreat IntelligenceSmart PollingIntegrationenPSIRT

Professionelle Dienstleistungen

Professionelle DienstleistungenBeauftragter IngenieurFast Track DienstleistungenGesundheitscheck-ServiceOptimierung der Dienstleistung

Lösungen: Geschäftsanforderungen

Erkennung von und Reaktion auf BedrohungenKontinuierliche NetzwerküberwachungVerwaltung des AnlagenbestandsRisiko- und SchwachstellenmanagementIoT SicherheitCybersecurity im Rechenzentrum

Lösungen: Einhaltung der Vorschriften

NERC CIPNIS2-RichtlinieTSA-Sicherheitsrichtlinien

Lösungen: Industrie

FlughäfenStromversorgungsunternehmenGesundheitswesenFöderale RegierungHerstellungMaritimBergbauÖl und GasPharmazeutischeSchieneEinzelhandelIntelligente StädteWasser/Abwasser

Lernen Sie

AkademieKarriereUnternehmenKundengeschichtenKontaktPartnerRessourcenLaboratorienRechtlichesTrust Center
LinkedIn-Logo
© 2026 Nozomi Networks . Alle Rechte vorbehalten. Datenschutzerklärung und Zertifizierungen. Systemstatus.