Cybersecurity-Leitfaden für Zuführsysteme: Schutz industrieller Zuführausrüstung

Ein verbundener Zuführer ist eine Angriffsfläche

Vor zehn Jahren war ein Vibrationszuführschüssel ein elektromechanisches Gerät mit einem Stromkabel und einem Ein/Aus-Schalter. Heute werden viele Zuführer mit Ethernet-fähigen Controllern, Modbus-TCP- oder Profinet-Schnittstellen, Remote-Monitoring-Dashboards und Firmware ausgeliefert, die über das Netzwerk aktualisiert werden kann. Diese Funktionen verbessern die betriebliche Transparenz und reduzieren die Inbetriebnahmezeit, führen aber auch eine Cybersecurity-Angriffsfläche ein, die es zuvor nicht gab.

Die Bedrohung ist nicht theoretisch. 2023 verlor ein deutsches Fertigungswerk 72 Stunden Produktion, nachdem ein Ransomware-Angriff vom IT-Netzwerk über einen gemeinsamen Ethernet-Switch auf das OT-Netzwerk propagierte und PLCs und Zuführercontroller über drei Montagelinien hinweg deaktivierte. Die Zuführer selbst waren nicht das Ziel — sie waren Kollateralschaden unzureichender Netzwerksegmentierung. Aber die Wirkung war dieselbe: Die Linie stand, und die Kosten beliefen sich auf Hunderttausende Euro.

Dieser Leitfaden behandelt die Cybersecurity-Aspekte, die spezifisch für industrielle Zuführausrüstung sind: die Bedrohungslage, Netzwerksegmentierungsstrategien, Controller-Härtung, IEC 62443-Konformität und praktische Schritte für kleine und mittlere Hersteller, die möglicherweise kein dediziertes OT-Sicherheitsteam haben. Er baut auf unserem PLC-Integrationsleitfaden und unserem HMI- und Alarmdesign-Leitfaden für Zuführer auf, die die funktionalen Aspekte verbundener Zuführsysteme abdecken.

Industrieller Zuführercontroller mit Netzwerksicherheitskonfiguration und Firewall-Einrichtung — Netzwerkverbundene Zuführercontroller benötigen die gleiche Sicherheitsdisziplin wie jedes andere OT-Asset.

Bedrohungslage für industrielle Zuführausrüstung

Zuführsysteme sind keine hochwertigen Ziele für anspruchsvolle staatliche Angreifer. Aber sie sind niedrigwertige Ziele, die als Einstiegspunkte ausgenutzt oder als Nebeneffekt breiterer Angriffe beschädigt werden können. Die relevanten Bedrohungen fallen in vier Kategorien:

Kollateralschaden durch IT-Netzwerk-Kompromittierung. Dies ist das häufigste Szenario. Ein Angreifer erhält Zugriff auf das Unternehmens-IT-Netzwerk durch Phishing oder eine Schwachstelle in einem öffentlich zugänglichen Server und bewegt sich dann lateral zum OT-Netzwerk, da die beiden Netzwerke nicht richtig segmentiert sind. Die Zuführercontroller sind nicht das Ziel, werden aber gestört, wenn der Angreifer Dateifreigaben verschlüsselt, PLCs deaktiviert oder das Netzwerk mit Traffic überflutet.

Lieferkettenangriffe auf Controller-Firmware. Zuführercontroller laufen mit eingebetteter Firmware, oft auf einer Linux- oder RTOS-Basis. Wenn der Firmware-Update-Mechanismus nicht gesichert ist (keine Code-Signierung, keine Transportverschlüsselung), könnte ein Angreifer, der den Controller erreichen kann, bösartige Firmware injizieren. Dies ist ein niedrig-wahrscheinliches, aber hoch-impact-Szenario — ein kompromittierter Controller könnte Teile falsch zuführen, Sicherheitsverriegelungen ignorieren oder eine persistente Hintertür ins OT-Netzwerk bereitstellen.

Remote-Zugriff-Ausnutzung. Viele Zuführeranbieter bieten Remote-Monitoring und Fehlerbehebung über VPN, TeamViewer oder cloudbasierte Dashboards an. Wenn diese Remote-Zugriffskanäle nicht ordnungsgemäß gesichert sind (geteilte Anmeldeinformationen, keine MFA, Always-on-Verbindungen), bieten sie einen direkten Pfad vom Internet zum Zuführercontroller.

Insider-Bedrohungen und versehentliche Fehlkonfiguration. Ein Bediener oder Wartungstechniker ändert einen Controller-Parameter, öffnet einen Port aus Bequemlichkeit oder verbindet ein persönliches Gerät mit dem OT-Netzwerk. Diese Handlungen sind nicht bösartig, schaffen aber Schwachstellen, die von externen Angreifern ausgenutzt werden können oder Betriebsstörungen verursachen.

Kollateralschaden ist das wahrscheinlichste Szenario: schützen Sie Zuführer durch OT-von-IT-Segmentierung, nicht durch Härtung jedes einzelnen Zuführers.
Remote-Zugang ist der am leichtesten ausnutzbare Pfad: geteilte VPN-Anmeldeinformationen und Always-on-Verbindungen sind das schwächste Glied.
Firmware-Integrität ist wichtig: fordern Sie code-signierte Firmware-Updates von Ihrem Zuführeranbieter.

Netzwerksegmentierungsstrategien

Netzwerksegmentierung ist die wirksamste Cybersecurity-Maßnahme für OT-Umgebungen. Das Ziel ist sicherzustellen, dass eine Kompromittierung des IT-Netzwerks das OT-Netzwerk nicht erreichen kann und dass eine Kompromittierung einer OT-Zone nicht auf andere propagieren kann.

Das Purdue-Modell, das in der Prozessindustrie weit verbreitet ist, definiert hierarchische Netzwerzzonen. Für diskrete Fertigung mit Zuführsystemen ist ein vereinfachtes Drei-Zonen-Modell praktikabel:

Zone	Inhalt	Sicherheitsniveau	Zugriffskontrolle
Zone 3: Unternehmens-IT	ERP, E-Mail, Dateiserver, Benutzerarbeitsplätze	Standard-IT-Sicherheit	Domain-Authentifizierung, MFA, Endpunktschutz
Zone 2: OT-DMZ	Historian, Daten-Diode, Remote-Zugriff-Gateway, Jump-Server	Hoch — kein direkter IT-zu-OT-Traffic	Firewall-Regeln, Proxy, MFA für alle Zugriffe
Zone 1: OT-Produktion	PLCs, Zuführercontroller, HMIs, Vision-Systeme	Sehr hoch — kein Internetzugang	Nur Whitelist-Verbindungen, kein direkter Benutzerzugriff

Die kritische Regel lautet: keine direkte Verbindung zwischen Zone 3 (IT) und Zone 1 (OT). Der gesamte Traffic zwischen ihnen muss durch die DMZ (Zone 2) geleitet werden, wo er inspiziert, protokolliert und kontrolliert werden kann. Ein Zuführercontroller in Zone 1 sollte das Internet nicht erreichen können, und ein Arbeitsplatz in Zone 3 sollte den Zuführercontroller nicht direkt erreichen können.

Für kleine Hersteller mit einem flachen Netzwerk (alles auf einem Switch) ist die Implementierung des vollständigen Purdue-Modells unpraktisch. Ein erreichbarerer Ansatz ist, mit VLAN-Trennung zu beginnen: Alle OT-Geräte auf ein separates VLAN mit Firewall-Regeln setzen, die den gesamten eingehenden Traffic vom IT-VLAN blockieren, außer spezifischen, dokumentierten Ausnahmen (z.B. der Historian-Server, der PLC-Daten auf Port 502 für Modbus TCP abfragt).

Beginnen Sie mit VLAN-Trennung: selbst ein grundlegendes VLAN-Split zwischen IT und OT verhindert die häufigste laterale Bewegung.
Allen OT-Eingangstraffic standardmäßig blockieren: nur spezifische, dokumentierte Ausnahmen durch die Firewall zulassen.
Kein Internetzugang aus OT: Zuführercontroller sollten aus keinem Grund das Internet erreichen müssen.

Controller-Härtung

Zuführercontroller sind eingebettete Geräte mit begrenzter Rechenleistung und Speicher. Sie können keine Endpunktschutz-Software ausführen, und ihre Betriebssysteme erhalten möglicherweise keine regelmäßigen Sicherheitspatches. Härtung bedeutet, die Angriffsfläche auf das für den Betrieb notwendige Minimum zu reduzieren.

Passwortrichtlinien

Das Standardpasswort auf vielen Zuführercontrollern ist „admin", „1234" oder leer. Dies ist das Erste, was während der Inbetriebnahme geändert werden muss, und es ist der am häufigsten übersprungene Schritt. Jeder Controller sollte ein einzigartiges, starkes Passwort haben (12+ Zeichen, Groß-/Kleinschreibung, Zahlen, Symbole). Dokumentieren Sie die Passwörter in einem sicheren Passwort-Manager — nicht in einer Tabelle auf einem gemeinsamen Laufwerk und nicht an die Seite des Controllers geklebt.

Wenn der Controller mehrere Benutzerkonten unterstützt, erstellen Sie separate Konten für Bediener (nur Lesezugriff oder eingeschränkte Kontrolle), Ingenieure (volle Kontrolle) und Administratoren (Konfigurationsänderungen). Dies begrenzt den Schadensradius, wenn Bediener-Anmeldeinformationen kompromittiert werden.

Firmware-Updates

Controller-Firmware sollte während der Inbetriebnahme auf die neueste stabile Version aktualisiert und dann nach Zeitplan (vierteljährlich oder halbjährlich) werden. Vor dem Anwenden eines Updates die Firmware-Integrität anhand der vom Hersteller bereitgestellten Prüfsumme oder digitalen Signatur verifizieren. Wenn der Hersteller keine code-signierte Firmware bereitstellt, nachfragen warum — und dies als Risikofaktor in der Lieferantenbewertung berücksichtigen.

Firmware-Updates sollten von einem vertrauenswürdigen USB-Laufwerk oder einer dedizierten Engineering-Workstation im OT-Netzwerk angewendet werden, niemals von einem Gerät, das auch mit dem Internet oder dem IT-Netzwerk verbunden ist. Der Update-Prozess sollte im Wartungs-SOP dokumentiert werden, einschließlich des Rollback-Verfahrens, falls das Update Probleme verursacht.

Port- und Dienstverwaltung

Deaktivieren Sie jeden Netzwerkdienst, der für den Betrieb des Zuführers nicht erforderlich ist. Häufig unnötige Dienste auf eingebetteten Controllern umfassen: Telnet (Port 23), FTP (Port 21), HTTP-Admin-Oberfläche (Port 80/443, falls nicht für HMI verwendet) und UPnP. Jeder offene Port ist ein potenzieller Einstiegspunkt. Wenn der Zuführer mit der PLC über Modbus TCP auf Port 502 kommuniziert, sollte nur Port 502 offen sein und nur von der IP-Adresse der PLC aus erreichbar sein.

Wenn der Controller eine webbasierte Verwaltungsoberfläche hat, den Zugriff über Firewall-Regeln auf die IP-Adresse der Engineering-Workstation beschränken. Die Verwaltungsoberfläche nicht dem gesamten OT-VLAN aussetzen — nur den spezifischen Geräten, die sie benötigen.

Standardpasswörter sofort ändern: „admin/1234" auf einem netzwerkverbundenen Controller ist eine offene Tür.
Code-signierte Firmware einfordern: wenn der Lieferant sie nicht bereitstellen kann, das Risiko dokumentieren und Gegenmaßnahmen planen.
Jeden nicht erforderlichen Port schließen: jeder offene Dienst ist eine Angriffsfläche, die verteidigt werden muss.

IEC 62443-Überblick für Zuführsysteme

IEC 62443 ist der internationale Standard für Sicherheit von industriellen Automatisierungs- und Steuerungssystemen (IACS). Er definiert einen Rahmen zur Risikobewertung, Etablierung von Sicherheitszonen und Spezifikation von Sicherheitsanforderungen für Komponenten und Systeme. Während die volle IEC 62443-Konformität typischerweise durch die Sicherheitsrichtlinie des Endanwenders vorangetrieben wird, sollten Zuführeranbieter die Anforderungen verstehen, die ihre Produkte betreffen.

Der Standard ist in vier Teile gegliedert:

IEC 62443-1 (Allgemein): Definitionen, Konzepte und der gesamte Sicherheitslebenszyklus.
IEC 62443-2 (Anlagenbetreiber): Risikobewertung, Sicherheitsrichtlinie und Zonen/Leitungs-Modell — Verantwortung des Anlagenbetreibers.
62443-3 (System): Systemsicherheitsanforderungen und Security-Level-(SL)-Ziele für Zonen und Leitungen.
62443-4 (Komponente): Sicherheitsanforderungen für einzelne Komponenten (Controller, HMIs, Sensoren) — Verantwortung des Lieferanten.

Für Zuführsysteme ist der relevanteste Teil IEC 62443-4-2, der Security Level 1 bis 4 für Komponenten definiert. Die meisten Zuführercontroller zielen auf SL 1 (zufällige oder versehentliche Verletzung) oder SL 2 (einfache Mittel, geringe Ressourcen, geringe Motivation). SL 3 und SL 4 (anspruchsvolle, absichtliche Angriffe) sind typischerweise nur in kritischer Infrastruktur erforderlich, nicht in diskreter Fertigung.

Wesentliche IEC 62443-4-2-Anforderungen, die das Zuführercontroller-Design betreffen, umfassen: Identifikations- und Authentifizierungskontrolle (eindeutige Benutzerkonten, Passwortkomplexität), Nutzungskontrolle (rollenbasierter Zugriff), Datenintegrität (Firmware-Verifizierung, Protokollierung von Konfigurationsänderungen) und deterministische Ausgabe (der Controller muss sicher ausfallen, wenn er kompromittiert wird). Wenn Ihr Zuführeranbieter IEC 62443-Konformität behauptet, fragen Sie, welche Teile und welches Sicherheitslevel — „IEC 62443-konform" ohne Spezifizierung ist bedeutungslos.

Remote-Zugang-Sicherheit

Remote-Zugang zu Zuführercontrollern ist ein legitimes betriebliches Bedürfnis — Lieferanten benötigen ihn zur Fehlerbehebung und Werksingenieure zur Überwachung. Aber er ist auch der am häufigsten ausgenutzte Angriffspfad. Die Sicherung des Remote-Zugangs erfordert einen mehrschichtigen Ansatz:

1. Ein dediziertes Remote-Zugang-Gateway in der DMZ verwenden. Keine direkten VPN-Verbindungen vom Internet zum OT-Netzwerk zulassen. Stattdessen ein Remote-Zugang-Gateway (wie einen Bastion Host oder eine kommerzielle OT-Remote-Zugang-Plattform) in der DMZ platzieren. Das Gateway authentifiziert den Remote-Benutzer, protokolliert die Sitzung und leitet die Verbindung zum OT-Gerät weiter.

2. Multi-Faktor-Authentifizierung erforderlich machen. Jede Remote-Zugang-Sitzung muss MFA erfordern — nicht nur ein Passwort. Ein Hardware-Token, eine Push-Benachrichtigung an ein registriertes Mobilgerät oder ein Einmalcode aus einer Authenticator-App sind alle akzeptable Methoden. Geteilte VPN-Anmeldeinformationen ohne MFA sind eine kritische Schwachstelle.

3. Verbindungen On-Demand, nicht Always-on. Der VPN-Tunnel oder die Remote-Zugang-Sitzung sollte nur bei Bedarf hergestellt und beim Sitzungsende getrennt werden. Eine Always-on-VPN-Verbindung vom Lieferantenbüro zum OT-Netzwerk ist eine persistente Angriffsfläche, die niemandem nützt, wenn keine aktive Fehlerbehebungssitzung stattfindet.

4. Alle Remote-Sitzungen protokollieren und überwachen. Erfassen, wer sich verbunden hat, wann, mit welchem Gerät und welche Aktionen durchgeführt wurden. Dieses Protokoll ist essenziell für die Vorfallsuntersuchung und zur Demonstration der Konformität bei Audits. Viele kommerzielle OT-Remote-Zugang-Plattformen bieten Sitzungsaufzeichnung als integrierte Funktion.

Praktische Schritte für kleine und mittlere Hersteller

Nicht jeder Hersteller hat ein dediziertes OT-Sicherheitsteam, eine SIEM-Plattform oder eine vollständige Purdue-Modell-Netzwerkarchitektur. Für Werke mit begrenzten Ressourcen bieten die folgenden Schritte das höchste Sicherheitsrendite für die geringste Investition:

Schritt 1: Inventarisierung jedes netzwerkverbundenen Zuführercontrollers. Sie können nicht sichern, was Sie nicht kennen. Begehen Sie die Halle, erfassen Sie IP-Adresse, Firmware-Version und Standard-Anmeldeinformationen-Status jedes Controllers. Diese Inventarisierung dauert einige Stunden und ist die Grundlage für alles Weitere.

Schritt 2: Alle Standardpasswörter ändern. Dies ist die Maßnahme mit dem höchsten Impact. Heute tun. Eindeutige Passwörter pro Controller verwenden, in einem Passwort-Manager gespeichert.

Schritt 3: OT-Geräte auf ein separates VLAN setzen. Die meisten Managed Switches unterstützen VLANs. Ein VLAN für IT-Geräte und eines für OT-Geräte erstellen. Eine einfache Firewall-Regel hinzufügen: OT-VLAN kann das Internet nicht erreichen; IT-VLAN kann OT-VLAN nicht erreichen außer über dokumentierte Ausnahmen.

Schritt 4: Unnötige Dienste auf jedem Controller deaktivieren. Telnet, FTP, HTTP-Admin-Oberflächen — wenn Sie sie nicht nutzen, schalten Sie sie ab. Dies dauert 10 Minuten pro Controller.

Schritt 5: Remote-Zugang sichern. Geteilte VPN-Anmeldeinformationen durch individuelle Konten und MFA ersetzen. Wenn Ihr aktuelles Remote-Zugang-Setup kein MFA unterstützt, zu einer Plattform wechseln, die es tut. Die Kosten einer kommerziellen OT-Remote-Zugang-Lösung ($2.000-5.000/Jahr) sind vernachlässigbar im Vergleich zu den Kosten eines einzigen Ransomware-Vorfalls.

Schritt 6: Firmware-Updates planen. Vierteljährlich nach Controller-Firmware-Updates suchen. Von einer vertrauenswürdigen Engineering-Workstation anwenden, Prüfsumme verifizieren und das Update im Wartungsprotokoll dokumentieren.

Inventarisierung zuerst: Sie können Geräte nicht sichern, die Sie nicht kennen.
Standardpasswörter sind die niedrig hängenden Früchte: ändern Sie sie, bevor Sie etwas anderes tun.
VLAN-Trennung ist die Netzwerkänderung mit dem höchsten ROI: sie blockiert 80% der lateralen Bewegung mit 5% des Aufwands.
Remote-Zugang-MFA ist nicht verhandelbar: geteilte VPN-Anmeldeinformationen sind eine kritische Schwachstelle.

Häufig gestellte Fragen

Sind eigenständige Zuführer ohne Netzwerkverbindungen gefährdet?

Nicht durch Remote-Angriffe. Ein Zuführer ohne Ethernet-Port, ohne Wi-Fi und ohne für Bediener zugänglichen USB-Port ist effektiv air-gapped. Das einzige Cybersecurity-Risiko ist physischer Zugang — jemand könnte einen Laptop an den seriellen Port des Controllers anschließen oder die Firmware über eine Service-Schnittstelle ersetzen. Für die meisten Anwendungen ist dieses Risiko vernachlässigbar. Die Cybersecurity-Bedenken in diesem Leitfaden gelten spezifisch für Zuführer mit Netzwerkkonnektivität (Ethernet, Wi-Fi oder Cloud-verbundene Controller).

Was, wenn mein Zuführeranbieter auf Remote-Zugang für Support besteht?

Remote-Zugang ist vernünftig, muss aber gesichert sein. Verlangen Sie vom Anbieter, Ihre Remote-Zugang-Infrastruktur zu nutzen (Ihr DMZ-Gateway, Ihre MFA, Ihr Logging), nicht seine eigene. Wenn der Anbieter auf seinem eigenen TeamViewer oder VPN besteht, verlangen Sie, dass die Verbindung nur während aktiver Fehlerbehebungssitzungen hergestellt wird, mit definierter Start- und Endzeit, und dass Sie das Recht behalten, die Sitzung jederzeit zu trennen. Niemals Always-on-Remote-Zugang vom Netzwerk eines Anbieters zu Ihrem OT-Netzwerk zulassen.

Gilt IEC 62443 für Zuführsysteme?

IEC 62443 gilt für jedes industrielle Automatisierungs- und Steuerungssystem, einschließlich Zuführsysteme, wenn die Sicherheitsrichtlinie des Anlagenbetreibers dies fordert. In der Praxis werden die meisten Zuführsysteme in der diskreten Fertigung unter das werksweite IEC 62443-Konformitätsprogramm einbezogen statt individuell zertifiziert zu werden. Die Verantwortung des Zuführeranbieters ist es, Komponenten bereitzustellen, die die vom Anlagenbetreiber definierten Sicherheitsanforderungen erfüllen — typischerweise SL 1 oder SL 2 nach IEC 62443-4-2. Wenn Ihr Werk IEC 62443-Konformität anstrebt, das anwendbare Sicherheitslevel in die Zuführer-RFQ aufnehmen.

Wie sichere ich Legacy-Zuführer, die nicht aktualisiert werden können?

Legacy-Zuführer mit veralteter Firmware, ohne Passwortschutz und ohne Netzwerksegmentierungsfähigkeiten sollten auf Netzwerkebene isoliert werden. Auf einem dedizierten VLAN ohne Verbindung zu einer anderen Netzwerkzone platzieren. Wenn sie mit einer PLC kommunizieren müssen, einen Protokollwandler oder eine Firewall verwenden, die nur den spezifischen Modbus- oder Digital-I/O-Traffic zulässt, alles andere blockiert. Wenn der Legacy-Controller eine Weboberfläche oder Telnet hat, diese deaktivieren oder den Zugriff an der Firewall blockieren. Das Ziel ist es, den Legacy-Zuführer von jedem Netzwerk aus un erreichbar zu machen, das ein Angreifer kompromittieren könnte.

Was sollte ich in der RFQ für Cybersecurity aufnehmen?

Spezifizieren Sie Folgendes in der RFQ: Netzwerkkonnektivitätsanforderungen (welche Protokolle, welche Ports), Passwortverwaltungsfähigkeiten (eindeutige Konten, Passwortkomplexität, Kontosperrung), Firmware-Update-Prozess (Code-Signierung, Prüfsummenverifizierung, Rollback-Fähigkeit), Remote-Zugang-Anforderungen (Ihre Infrastruktur, MFA, Sitzungsprotokollierung) und IEC 62443-Konformitätslevel falls zutreffend. Auch den Lieferanten auffordern, ein Sicherheitsdatenblatt oder SBOM (Software Bill of Materials) für den Controller bereitzustellen, das alle Softwarekomponenten und bekannten Schwachstellen auflistet. Dies wird zur Standardpraxis in der OT-Beschaffung.

Fazit

Cybersecurity für Zuführsysteme geht nicht darum, den Zuführer selbst zu schützen — es geht darum, zu verhindern, dass der Zuführer zum Vektor für Angriffe auf das breitere OT-Netzwerk wird. Die wichtigsten Maßnahmen sind Netzwerksegmentierung (IT von OT trennen), Controller-Härtung (Standardpasswörter ändern, unnötige Ports schließen, Firmware aktualisieren) und sicherer Remote-Zugang (MFA, On-Demand-Verbindungen, Sitzungsprotokollierung). Diese Schritte sind weder teuer noch technisch komplex, erfordern aber Disziplin und Konsistenz. Beginnen Sie mit der Inventarisierung und den Standardpasswortänderungen — diese dauern Stunden, nicht Wochen — und bauen Sie von dort aus auf. Wenn Sie Hilfe bei der Spezifizierung von Cybersecurity-Anforderungen für eine neue Zuführerinstallation oder der Bewertung der Sicherheitslage Ihrer bestehenden Zuführausrüstung benötigen, kontaktieren Sie unser Engineering-Team.