Eine 20 Jahre alte SPS, die unter Windows XP Embedded läuft, unterstützt keine Verschlüsselung, kann keinen Endpoint-Agenten ausführen und lässt sich nicht patchen. Dennoch verlangt NIS2, dass sie inventarisiert, überwacht und geschützt wird. Darin liegt die grundlegende Spannung zwischen Legacy-OT-Geräten und NIS2-Compliance: Die Anforderungen der Richtlinie setzen Fähigkeiten voraus, die die meisten Legacy-Systeme schlicht nicht besitzen. Dieser Beitrag beschreibt konkrete Strategien, um diese Lücke zu schließen.
Die Herausforderung durch Legacy-Geräte
Legacy-Systeme sind zwar oft zuverlässig, aber bekannt für veraltete Sicherheitsmaßnahmen und fehlende Integrationsmöglichkeiten mit modernen Sicherheitsprotokollen. Solche Systeme – von alten PLCs bis hin zu veralteten SCADA-Installationen – verfügen häufig nicht über integrierte Sicherheitsfunktionen wie Verschlüsselungstunnel oder erweiterte Authentifizierungsverfahren. Das macht sie zu bevorzugten Angriffszielen, mit erheblichen betrieblichen und finanziellen Folgen.
OT-Umgebungen sind auf lange Betriebsdauern ausgelegt, und der Austausch von Legacy-Geräten ist in vielen Fällen weder praktikabel noch wirtschaftlich. Ihr weiterer Betrieb kann jedoch mit den strengen Sicherheitsanforderungen der NIS2-Richtlinie kollidieren.
Auswirkungen auf die NIS2-Compliance
Die NIS2-Richtlinie schreibt erweiterte Sicherheitsmaßnahmen für wesentliche Dienste vor, darunter in den Bereichen Energie, Verkehr und Gesundheit. Zu den zentralen Anforderungen gehören Risikobewertung, Meldung von Sicherheitsvorfällen und die Umsetzung von Cybersicherheitsmaßnahmen, die den Risiken angemessen sind. Für Organisationen, die auf Legacy-Systeme angewiesen sind, ist die Erreichung der NIS2-Compliance besonders anspruchsvoll, unter anderem wegen:
- Unzureichender Sicherheitsfunktionen: Viele Legacy-Systeme unterstützen keine Verschlüsselung und keine erweiterte Authentifizierung – beides ist für den Datenschutz und die Erfüllung der NIS2-Anforderungen erforderlich.
- Integrationsproblemen: Legacy-Geräte lassen sich oft nicht ohne Weiteres mit modernen Sicherheitswerkzeugen verbinden, was die Umsetzung umfassender Sicherheitsstrategien erschwert.
- Eingeschränktem Herstellersupport: Hersteller unterstützen ältere Systeme häufig nicht mehr, sodass notwendige Updates oder Patches schwer zu beschaffen sind.
Die Lücke mit modernen Lösungen schließen
Um diesen Herausforderungen zu begegnen, müssen Organisationen Strategien umsetzen, die die Sicherheit von Legacy-Systemen verbessern, ohne den Betrieb zu unterbrechen. Die folgenden Maßnahmen sind empfehlenswert:
Verschlüsselungstunnel einrichten
Verschlüsselungstunnel – etwa VPNs oder SSL/TLS – sichern Daten während der Übertragung, auch für Systeme ohne native Verschlüsselungsunterstützung. Diese zusätzliche Sicherheitsschicht schützt die Kommunikation zwischen Legacy-Geräten und modernen IT-Systemen.
Netzwerksegmentierung einsetzen
Netzwerksegmentierung unterteilt ein Netzwerk in mehrere Segmente oder Subnetze und begrenzt so die laterale Bewegung von Angreifern. Durch die Isolierung von Legacy-Systemen in eigenen Segmenten können Organisationen potenzielle Sicherheitsverletzungen eindämmen und kritische Infrastrukturen schützen.
Protokoll-Gateways nutzen
Protokoll-Gateways ermöglichen die Kommunikation zwischen Legacy-Systemen und modernen Netzwerken und erlauben einen sicheren Datenaustausch. Sie übersetzen veraltete Kommunikationsprotokolle in sichere, moderne Entsprechungen und verbessern so die Gesamtsicherheit.
OT-Sicherheitsüberwachung implementieren
Die kontinuierliche Überwachung von OT-Umgebungen schafft Transparenz gegenüber potenziellen Bedrohungen und hilft, Anomalien zu erkennen. Fortschrittliche Überwachungslösungen – etwa für OT ausgelegte IDS/IPS-Systeme – ermöglichen eine frühzeitige Erkennung und Reaktion auf Bedrohungen.
NIS2-Compliance und Legacy-Systeme: Ein Weg nach vorn
Legacy-Systeme stellen zwar erhebliche Herausforderungen dar, doch NIS2-Compliance ist mit dem richtigen Ansatz erreichbar. Wer die Sicherheit dieser Systeme gezielt verbessert, erfüllt nicht nur regulatorische Anforderungen, sondern stärkt auch die Abwehr gegen Cyberbedrohungen.
Regelmäßige Sicherheitsaudits und -bewertungen
Regelmäßige Sicherheitsaudits und Risikobewertungen decken Schwachstellen auf und stellen sicher, dass Sicherheitsmaßnahmen wirksam sind. Diese Audits sollten sowohl technische Prüfungen als auch Compliance-Checks anhand der NIS2-Anforderungen umfassen.
Zusammenarbeit mit Herstellern
Die Einbindung von Herstellern für Support und Updates ist wichtig. Selbst wenn Hersteller bestimmte Modelle nicht mehr offiziell unterstützen, bieten sie möglicherweise Lösungen oder Alternativen zur Sicherheitsverbesserung an.
Schulung und Sensibilisierung
Mitarbeitende über bewährte Cybersicherheitspraktiken und die spezifischen Schwachstellen von Legacy-Systemen aufzuklären, ist unerlässlich. Schulungen sollten darauf ausgerichtet sein, potenzielle Bedrohungen zu erkennen und die Bedeutung von Sicherheitsprotokollen zu verstehen.
Fazit
Eine Legacy-SPS lässt sich nicht eigenständig NIS2-konform machen. Stattdessen gilt es, sie einzuhegen: in eine eigene Netzwerkzone segmentieren, den Datenverkehr am Gateway verschlüsseln, mit passiver Netzwerkerkennung überwachen und die kompensierenden Maßnahmen in der Risikobewertung dokumentieren. NIS2 lässt verhältnismäßige Maßnahmen zu – eine gut dokumentierte kompensierende Maßnahme für ein Legacy-Gerät, das nicht aufgerüstet werden kann, ist ein zulässiger Compliance-Pfad. Beginnen Sie mit den Legacy-Assets mit dem höchsten Risiko und arbeiten Sie sich von dort aus vor.
Weitere NIS2-Ressourcen, Optionen für souveräne Bereitstellung und Compliance-Leitfäden finden Sie im NIS2-Compliance-Hub für On-Premise-OT.
