Industriefotografie, industrial photography
© Fraunhofer IEM / Wolfram Schroll

Wo IoT-Systeme Cyberangriffe erkennen sollten: it’s OWL Projekt zeigt die entscheidenden Überwachungspunkte

Das Internet of Things, kurz IoT, meint die Vernetzung physischer Geräte über das Internet. Vernetzte Geräte steuern heute Maschinen in der Fabrik, Geldautomaten im öffentlichen Raum und Haushaltsgeräte in der Küche. Jede neue Verbindung macht Abläufe bequemer, öffnet aber auch ein weiteres Einfallstor für Angriffe. Das it’s OWL Projekt IoT-ScuBA setzt genau dort an. Fraunhofer IEM, Diebold Nixdorf und Miele haben gemeinsam ein Regelwerk und passende Werkzeuge entwickelt. Damit leiten Unternehmen aus ihrer Bedrohungsanalyse konkrete Überwachungspunkte für Angriffsdetektionssysteme ab. Entwicklungsteams erkennen Schritt für Schritt, wo sie Sensoren zum Monitoring platzieren, um Angriffe in vernetzten Systemen früh zu bemerken. Aus dem Projekt entsteht ein Lösungsbaustein, den Unternehmen auf der it’s OWL Innovationsplattform finden.

 

„Vor Cyberangriffen kann man sich nicht 100-prozentig präventiv schützen. Deshalb ist die Angriffserkennung ein wichtiges Mittel, um Angriffe wenigstens zu erkennen und darauf zu reagieren. Eine Herausforderung ist dabei, zu entscheiden, wo und mit welchem Ressourceneinsatz eine Angriffserkennung sinnvoll ist. Mit IoT-ScuBA wollen wir genau dabei unterstützen“, sagt Dr. Markus Fockel vom Fraunhofer IEM.

Security by Design: Sicherheit von Anfang an mitdenken

Viele Sicherheitskonzepte setzen spät an. Produkte stehen bereits kurz vor der Markteinführung, Systeme laufen im Feld, und dann kommen Security-Anforderungen on top. Änderungen kosten viel Geld und bleiben oft halbherzig.

Security by Design folgt einem anderen Ansatz. Entwicklungsteams denken Sicherheit von Anfang an mit, wenn sie Architektur, Komponenten und Schnittstellen planen.

IoT-ScuBA nutzt die Bedrohungsanalyse als Startpunkt. Bedrohungsanalyse bedeutet: Teams erfassen systematisch, welche Arten von Cyberangriffen ein System bedrohen, wo Daten fließen und welche Komponenten besonders schützenswert sind. Aus dieser Analyse leitet das Projekt automatisch konkrete Überwachungspunkte ab. Dort setzt später die Angriffsdetektion an, also die Erkennung verdächtiger Aktivitäten im oder am System.

Vom Datenflussdiagramm zum Sicherheitskonzept: Vertrauensgrenzen richtig nutzen

Die Grundlage bildet ein Datenflussdiagramm. Es zeigt, welche Komponenten eines Systems miteinander sprechen, welche Daten sie austauschen und über welche Schnittstellen dieser Austausch läuft. So entsteht ein anschauliches Bild des Gesamtsystems.

In diesem Diagramm markieren Vertrauensgrenzen die Übergänge zwischen Bereichen mit unterschiedlicher Vertrauenswürdigkeit. Ein Beispiel ist der Schritt vom internen Firmennetz ins Internet. Ein anderes Beispiel ist die Grenze zwischen einer abgeschotteten Steuerungsebene und einem Serviceportal für externe Partner.

IoT-ScuBA nutzt diese Struktur als Fahrplan für die Angriffserkennung. Die Idee dahinter: Überall dort, wo Daten eine Vertrauensgrenze überschreiten, lohnt sich ein genauer Blick. Das Regelwerk empfiehlt, alle grenzüberschreitenden Datenflüsse gezielt zu beobachten und schlägt automatisch generiert vor, dass Teams Sensoren für die Angriffsdetektion an Punkten platzieren, an denen viele dieser Datenflüsse zusammenlaufen. So erreichen Unternehmen mit wenigen Überwachungspunkten eine hohe Abdeckung, statt kostenintensiv überall zu überwachen oder Überwachungspunkte unsystematisch oder gar willkürlich zu wählen.

Netzwerk, Gerät, Anwendung: So entsteht mehrschichtige Angriffsdetektion im IoT

Viele Jahre lang galt klassische Netzwerküberwachung als Standard. Sie beobachtet Datenpakete, die zwischen Systemen hin und her laufen. Viele moderne Angriffe bleiben dort jedoch unsichtbar, zum Beispiel bei verschlüsselten Verbindungen oder wenn Angreifer direkt auf Geräten und Anwendungen ansetzen.

IoT-ScuBA kombiniert deshalb drei Ebenen:

  • Netzwerkbasiertes Monitoring beobachtet die Datenströme zwischen Komponenten.
  • Hostbasiertes Monitoring sitzt direkt auf dem Gerät, etwa auf einem Router oder einer Steuerung, und beobachtet Prozesse oder Systemaufrufe.
  • Applikationsbasiertes Monitoring schaut in die Anwendung hinein, etwa in einen Webservice oder eine Steuerungssoftware, und verfolgt Funktionen und Schnittstellenaufrufe.

Im Zusammenspiel entsteht eine mehrschichtige Angriffsdetektion. Das Regelwerk legt fest, welche Ebene an welcher Stelle am meisten bringt.

So priorisieren Unternehmen Überwachungspunkte für Angriffsdetektion

Teams bewerten Bedrohungen nach Wahrscheinlichkeit und Auswirkung. Dazu gehören zum Beispiel Manipulationen an Firmware, unautorisierte Steuerbefehle oder der Diebstahl sensibler Kundendaten.

Das Regelwerk von IoT-ScuBA knüpft an diese Bewertungen an und setzt klare Prioritäten. Im Fokus stehen vor allem:

  • Prozesse mit erhöhtem Risiko,
  • Assets mit besonderem Wert, etwa sicherheitskritische Steuerungen oder Kundendatenbanken,
  • Datenspeicher und Komponenten in der Nähe von Vertrauensgrenzen

Auf dieser Basis richten Security-Teams ihre Überwachungspunkte auf Stellen mit hohem Hebel aus. Sie beobachten die Knoten, an denen Angriffe besonders schmerzen oder sich gut erkennen lassen. Das spart Aufwand und erhöht gleichzeitig die Chance, relevante Vorfälle rechtzeitig zu bemerken.

Threat Intelligence im IoT: Wie reale Angriffe die Überwachung nachschärfen

Sicherheit endet nicht mit dem Go-live eines Systems. Neue Schwachstellen, Angriffswerkzeuge und Taktiken entstehen laufend. IoT-ScuBA baut deshalb einen Rückkanal aus dem Betrieb in die Sicherheitsarchitektur ein.

Zwei Quellen spielen dabei eine zentrale Rolle:

  • Threat Intelligence bündelt Informationen über aktuelle Angriffe, bekannte Schwachstellen und typische Muster von Angreifern. Diese Informationen stammen aus öffentlichen Meldungen, Fachquellen oder Branchenkreisen.
  • Eigene Vorfalldaten stammen aus den eigenen Systemen, zum Beispiel aus Logdateien oder forensischen Analysen nach einem Sicherheitsvorfall.

IoT-ScuBA verknüpft diese Informationen mit dem vorhandenen Systemmodell. Neue Angriffsmuster zeigen, an welchen Stellen Unternehmen zusätzliche Sensoren einsetzen oder Regeln anpassen sollten. Entwicklung und Betrieb nutzen damit denselben Fahrplan. Was im Feld geschieht, schärft das Modell nach und verbessert Schritt für Schritt die Sicherheitsarchitektur.

Praxis bei Miele und Diebold Nixdorf: Wie IoT-ScuBA Systeme sicherer macht

Für Miele werden dank des it’s OWL Projekts die Sicherheitsaspekte der heterogenen Produktlandschaft beherrschbarer und für Diebold Nixdorf neuartige Angriffe auf Geldautomaten noch schneller erkennbar.

Diese und weitere Anwender profitieren auf mehreren Ebenen:

  • Sie setzen Security by Design wirtschaftlich um, weil Angriffserkennung gezielt statt flächendeckend erfolgt.
  • Sie erfüllen Sicherheitsstandards leichter, da sie Anforderungen systematisch aus der Bedrohungsanalyse ableiten.
  • Sie senken Entwicklungs- und Wartungsaufwand durch wiederverwendbare Regeln und Vorlagen.
  • Sie halten ihre Sicherheitsarchitektur aktuell und reagieren schneller auf neue Bedrohungen.

Direkt nutzbar: Regelwerk als Lösungsbaustein auf der it’s OWL Innovationsplattform

Unternehmen leiten dank der Lösungen des it’s OWL Projekts Überwachungspunkte nicht nach Bauchgefühl ab, sondern folgen klaren Regeln. Mit wenigen, gut gesetzten Sensoren behalten sie zentrale Bereiche ihrer IoT-Systeme im Blick.

Den Lösungsbaustein mit Regelwerk, Templates und Workflows finden Unternehmen auf der it’s OWL Innovationsplattform.

Unser Experte

Fockel_Markus_Fraunhofer_IEM

Dr. Markus Fockel
Fraunhofer IEM
Tel. +49 (5251) 5465 120
E-Mail senden

IoT-ScuBa-Bedrohungsanalyse-KeyVisual
Zum Projekt

Mehr zum Thema „Aus unseren Projekten“

ecotwin_abschlussbericht
Aus unseren Projekten

Twin Transition meistern: In drei Schritten zum Digitalen Grünen Zwilling

18. Dezember 2025 | Daten aus Entwicklung, Produktion und Service gibt es reichlich, doch selten eine klare Antwort darauf,...

DSC01430
Aus unseren Projekten

Von der Erklärung zur Anpassung: Wie Unternehmen KI verständlich machen und laufend verbessern

8. Dezember 2025 | Viele KI-Modelle glänzen im Test und scheitern anschließend im Alltag: Entscheidungen bleiben undurchsichtig, Modelle passen...

GoProZero_ZF_Gruppenbild
Aus unseren Projekten

Remanufacturing in der Praxis: GoProZero Projektteam besucht ZF Friedrichshafen in Bielefeld

3. Dezember 2025 | Wie sieht Kreislaufwirtschaft im industriellen Alltag konkret aus, jenseits von Strategiepapiere und Zielbildern Im it’s...

20251010_Dualstrat_Industriekreis
Aus unseren Projekten

DualStrat vor Ort: Wie Hettich Nachhaltigkeit und Digitalisierung verbindet

10. November 2025 | Holzlamellen statt Neubauglanz, leise Produktion, gute Pausenräume: In Kirchlengern zeigt Hettich, wie Nachhaltigkeit im Fabrikalltag...

20251105_FMB-24
Aus unserem Netzwerk Aus unseren Projekten Highlights

KI und Robotik: So präsentierten sich it’s OWL und Partner auf der FMB

7. November 2025 | Für Unternehmen ist es wichtiger denn je, innovative Lösungen zur Sicherung der Wettbewerbsfähigkeit zu finden....

20251104_itsShowtime-66
Aus unseren Projekten Highlights

it’s Showtime: Wie hollywoodreif sind unsere Innovationen aus OstWestfalenLippe?

4. November 2025 | Ein Roboter, der die Spülmaschine ausräumt. Ein Geldautomat, der einen Angriff selbst erkennt. Ein Staubsauger,...

Eyecatcher – Bild 1
Aus unseren Projekten

Nexus-Metamodell: So wird Nachhaltigkeit schon in der Entwicklung messbar

3. November 2025 | Mit der zunehmenden technologischen Weiterentwicklung von Produkten und Dienstleistungen wächst auch die Vielfalt und Menge...

dualstrat_quickcheck
Aus unseren Projekten

Der 20-Minuten-Check für Digitalisierung und Nachhaltigkeit: Neues it’s OWL Tool macht Transformation messbar

27. Oktober 2025 | Digitalisierung und Nachhaltigkeit gelten als die beiden zentralen Triebkräfte der industriellen Transformation. Doch viele Unternehmen...

Mehr News