Start · Blog · Cyber-Physical Konvergenz
17. Mai 2026 · 11 Min Lesezeit · OT Security

Cyber-Physical Konvergenz:
Warum IT, OT und Video zusammengehören.

Stellen Sie sich vor: Im Umspannwerk bei Wolfratshausen wird um 14:32 Uhr ein verdächtiges Modbus-Kommando an PLC #47 gesendet. Zur gleichen Sekunde erkennt die Außenkamera am Schaltschrank-Käfig Bewegung — ohne dass ein Zutritts-Event geloggt wurde. Drei Sekunden später läuft der Lastregler 15 % unter Sollwert. Das ist kein Cyber-Vorfall. Das ist kein physischer Vorfall. Es ist ein Vorfall.

Das Szenario aus der Realität

Was im SOC und in der Werkschutz-Leitstelle als zwei getrennte Events aufschlägt, ist in Wirklichkeit eine koordinierte Angriffskette:

14:32:06.890📹 Außenkamera Schaltschrank 3 — Person im Wartungs-Käfig — kein gültiges Zutritts-Event — Anomaly Score 0.94
14:32:07.218🔌 Modbus-Write auf PLC #47 — Register 4002 → Sollwert -15 % — nicht vom HMI-Operator — IDS Severity HIGH
14:32:10.044⚡ Lastregler unter Sollwert — Frequenz-Drift +0.3 Hz

In einer typischen Organisation laufen diese drei Signale in drei verschiedenen Systemen auf: die Kamera in der Sicherheits-Videoverwaltung, der Modbus-Alarm im OT-Monitoring, die Frequenz-Anomalie in der SCADA-Übersicht. Der CISO sieht den Modbus-Alarm. Der Werkschutz sieht die Kamera. Beide haben keinen Zugriff auf das jeweils andere Signal. Bis jemand die Verbindung herstellt, sind Stunden vergangen.

Was Gartner mit „Cyber-Physical Security" meint

Seit 2022 spricht Gartner explizit von Cyber-Physical Systems Security (CPSS). Die Definition: alle sicherheitsrelevanten Vorfälle in Systemen, die digitale Steuerung mit physischer Aktion verbinden — Energie-, Wasser-, Verkehrs-, Produktions-Infrastruktur — müssen in einem konsolidierten Lagebild betrachtet werden. Die Trennung von „IT-Security" und „physischer Sicherheit" ist veraltet.

Der KRITIS-Dachgesetz-Entwurf in Deutschland greift das auf: er fordert integrierte Resilienz statt isolierter Schutzschichten. NIS2 Art. 21 nennt die zehn Mindestmaßnahmen ohne Trennung von Cyber/Physik.

Warum die Trennung historisch ist

Bis vor 10–15 Jahren waren OT-Netze tatsächlich „Air-Gapped" — physisch getrennt vom IT-Netz, kein Internet-Anschluss, keine externen Datenströme. Cyber-Angriffe auf OT waren selten. Die getrennte Organisation (IT-Abteilung vs. Werkschutz) war praktisch funktional.

Heute: jede SPS wird über Modbus/TCP, OPC-UA oder MQTT erreichbar gemacht — für Predictive Maintenance, Remote-Diagnose, Energie-Optimierung. Die Air-Gap ist illusorisch geworden. Stuxnet (2010), Triton (2017), Industroyer2 (2022) — alle bewiesen: OT ist Cyber.

Was die Konvergenz technisch erfordert

Vier Säulen, ohne die Cyber-Physical-Lagebild nicht funktioniert:

  1. Zeit-synchrone Daten-Erfassung aller drei Telemetrie-Ströme (IT, OT, Video) — NTP/PTP-genau auf der gleichen Plattform
  2. Event-Korrelation in Echtzeit — ein Event hier + ein Event dort innerhalb eines Sekunden-Fensters = automatisch ein verknüpfter Incident
  3. Asset-Inventar über alle drei Domänen — die Kamera-Position muss mit der PLC-Position geo-referenziert sein
  4. Audit-Trail revisionssicher — kryptografisch signiert, weil Cyber-Physical-Incidents oft Strafverfolgung nach sich ziehen

Warum das kein Cloud-Tool lösen kann

Die meisten Cyber-Physical-Plattformen am Markt sind Cloud-only. Für KRITIS-Betreiber ist das aus drei Gründen problematisch:

KIONOVA® PULSE ist genau hierfür gebaut: Cyber, OT (Modbus, OPC-UA, Profinet read-only) und Video (RTSP-Ingest, ONNX-Anomaly) auf einer On-Premise-Appliance. Zeit-synchron, korrelations-fähig, Hash-signiert. Mehr zur Plattform →

Was Stadtwerke, Pharma und Datacenter konkret tun sollten

  1. Audit der bestehenden Trennung: Wer sieht was? Welche Events bleiben unkorreliert?
  2. Asset-Discovery über alle drei Domänen — wenn die Inventare getrennt sind, ist Korrelation unmöglich
  3. Pilot mit einer einzigen Site: ein Standort, drei Telemetrie-Ströme, ein Lagebild. Wenn das funktioniert, skaliert es
  4. Audit-Trail von Anfang an: jeder korrelierte Incident wird signiert dokumentiert — BSI- und ISO-Audit anerkennen das

Die Marktlage 2026

In den USA sind Cyber-Physical-Lösungen (Claroty, Dragos, Nozomi) bereits Industriestandard für große KRITIS-Betreiber. In Deutschland fehlt das Äquivalent — und vor allem fehlt eine Lösung, die on-premise statt cloud-only läuft. Diese Lücke ist real. Und sie wird von Audit-Beratern (HiSolutions, SySS, usd AG) regelmäßig adressiert.

Ein Lagebild für Cyber, OT und Video — auf eurer Hardware, ohne Cloud.

Auf die Warteliste