OWASP OT Top 10: Die häufigsten OT-Security Schwachstellen

Womit bringen Sie die OWASP Top 10 spontan in Verbindung, wenn Sie davon hören? An die zehn häufigsten Schwachstellen bei Webapplikationen? Dann sind Sie in bester Gesellschaft, denn nicht umsonst gehören die OWASP Top 10 schon seit Jahren zu den meistreferenzierten Standards im Bereich Web Security. Aber auch abseits davon hat sich in den letzten Jahren viel bei OWASP getan. Neben zahlreichen Projekten gibt es mittlerweile auch Top 10 Listen für andere Bereiche wie IoT, API Security, Machine Learning oder Anwendungen mit LLM-Integration. Diese Entwicklung begrüßen wir natürlich und doch hat sich bei uns immer wieder das Gefühl breit gemacht, dass hier noch ein entscheidender Baustein fehlt. Da OT‑Security angesichts immer häufiger auftretender Angriffe und steigender regulatorischer Anforderungen zunehmend in den Fokus rückt und wir seit mehr als einem Jahrzehnt unsere Cyber Security Expertise genau in diesem Bereich bündeln, war es uns bei Limes Security ein besonderes Anliegen, gemeinsam mit Partnern aus Wirtschaft und Forschung und unter der Schirmherrschaft von OWASP aktiv zu werden. Und damit wären wir bei den OWASP OT Top 10, die damit im Oktober 2025 ihren Geburtstag feierten.

Diese haben das Ziel, Awareness für die wichtigsten sicherheitsrelevanten Risiken in OT‑Umgebungen zu schaffen und Leserinnen und Leser praxisnahe, direkt umsetzbare Empfehlungen an die Hand zu geben. Die Top 10 sind für das gesamte Spektrum der OT anwendbar. Von funktionszentralen Systemen wie CNC‑Maschinen, SCADA‑Anlagen, Zentrifugen, HVAC‑Systemen oder medizinischen Geräten bis hin zu unterstützenden Komponenten wie HMIs, Barcodescannern oder Shopfloor‑Überwachungskameras, wird ein sehr breites Spektrum berücksichtigt. Klassische Office-IT-Geräte und nicht OT-relevante Edge-Geräte wurden dagegen bewusst ausgeklammert.

Hauptziel und zentraler Gedanke bei der Entwicklung der Top 10 war es, einen Mehrwert durch klare Maßnahmenempfehlungen für Design, Implementierung und den sicheren Betrieb der berücksichtigten Komponenten zu schaffen, von dem vor allem folgende Berufsgruppen profitieren können:

• Entwickler von Softwarekomponenten für den OT-Bereich
• Mitarbeiter in der Qualitätssicherung
• Architekten für OT-Lösungen
• Administratoren und allgemein Betreiber von OT-Lösungen
• Automatisierungstechniker
• OT-Projektmitarbeiter
• (IT-)Sicherheitsverantwortliche, die auch OT mitbetreuen
• OT-Sicherheitsverantwortliche, die einen schnellen Überblick über die relevantesten Risiken erhalten möchten

Security for OT People – OT for Security People

Ein weiteres Ziel der Top 10 ist die Schärfung des Bewusstseins für OT-Security. Gleichzeitig folgen OT und die damit verbundenen Sicherheitsanforderungen, oft eigenen Regeln, die für Verantwortliche mit IT-Hintergrund oft nur schwer zu fassen sind. Um diese Welten zu vereinen und mehr gegenseitiges Verständnis zu fördern, inkludieren die OT Top 10 jeweils einen „Crashkurs“ für IT und OT. Kurz gesagt: OT Know-how für IT-Sicherheitsspezialisten und Security Know-how für OT-Spezialisten.

Warum ist das notwendig? Weil für eine ganzheitliche Security-Strategie dieses gegenseitige Verständis essenziell ist. Dazu ein paar Beispiele: Die inhärente Trägheit von OT-Systemen ist oft schwer greifbar, während IT-Systeme hier durchaus agil anmuten und meist einem relativ kurzen Lebenszyklus unterliegen. Die erwähnte „Schwerfälligkeit“ von OT-Systemen zeigt sich vor allem im oftmals Jahrzehnte umfassenden Betrieb etablierter Komponenten. Zudem können sie aus finanziellen und betrieblichen Gründen meist nicht einfach beliebig für ein Sicherheitsupdate neugestartet werden. Die Beseitigung bekannter Schwachstellen muss deshalb meist lange im Voraus in Wartungszeiträumen eingeplant werden – sofern sie von Integratoren überhaupt vorgesehen sind und unterstützt werden. Die häufige Alternative: mitigierende Maßnahmen, die die unmittelbaren Gefahren durch Workarounds zwar reduzieren, jedoch die Ursachen nicht beheben. Die unmittelbare Sicherheit wird damit zwar erhöht, die Gesamtfragilität des Systems bleibt dennoch bestehen – schlussendlich muss ein Angreifer diese Maßnahmen nur umgehen (z.B. durch eine fehlerhafte Netzsegmentierung), um auf unsichere Geräte zu treffen! Hinzu kommen erhöhte Performance-Anforderungen, Schwerpunkte auf Verfügbarkeit und Safety (im Gegensatz zu Vertraulichkeit in der IT) und zum Teil komplett unterschiedliche Arbeitskulturen zwischen IT und OT.

Auf der OT-Seite hingegen halten sich hartnäckige Muster, die in IT-Infrastrukturen meist schon aufgebrochen werden konnten. Die Ablehnung von Sicherheitsmaßnahmen aus Sorge um Verfügbarkeit und Performance von Systemen, die Fehlannahme, dass alleiniger (physischer) Perimeterschutz ausreicht und der Gedanke, dass Safety-Maßnahmen genügen, sind nur einige Beispiele. Auch wenn sich die Sicherheitskultur auch in der OT zunehmend etabliert, so braucht es auf diese zum Teil verständlichen und berechtigten Annahmen und Sorgen Antworten, um nachhaltiges Sicherheitsbewusstsein zu schaffen. Auf Basis der breiten Erfahrungen der Projektbeitragenden, behandeln die OT Top 10 deshalb auch die wichtigsten Falschannahmen und Probleme, um eine bestmögliche Orientierung im Security-Dschungel zu bieten.

Das Kernstück des Dokuments bilden dennoch die namensgebenden Top 10 Schwachstellen. Auf Basis von Expertenmeinungen aus verschiedenen Bereichen, Advisory-Auswertungen und empirischen Datenerhebungen von offensiven und defensiven OT-Security-Projekten der beteiligten Unternehmen, wurden die zehn folgenden Elemente ausgewählt. Wir von Limes Security sind  insbesondere stolz, mit unserer langjährigen OT-Pentesting-Erfahrung die Perspektive von Angreifern und das gewonnene Know-how aus zahlreichen getesteten Umgebungen eingebracht haben zu können.

Auch wenn Top-10-Dokumenten immer ein Ranking innewohnt, so sind die OT Top 10 (zumindest in der Version 1.0) eine teilweise Ausnahme hiervon: Für die ersten vier Punkte herrschte unter den Beteiligten ein Konsens hinsichtlich der fundamentalen Relevanz für die OT-Security. Die Elemente fünf bis neun werden als sehr ähnlich in Bezug auf ihre Wichtigkeit bewertet. Eintrag 10 – und somit der Abschluss der Liste – ist kein Sicherheitsproblem an sich, würde aber bei konsequenter Umsetzung zahlreiche Sicherheitsvorfälle verhindern, weshalb sich das Projektteam für eine „Ehrennennung“ entschied.

Jeder Eintrag besteht aus einer ausführliche Beschreibung und Begründung und wird gegebenenfalls mit bekannte Angriffsbeispielen und konkreten Handlungsempfehlungen ergänzt. Dies ermöglicht Betroffenen eine schnelle Übersicht über die relevantesten Gefahren und was sie dagegen tun können. Außerdem wurden sämtliche Top 10 auf Anforderungen folgender Standards und Regulatorien gemappt, sodass ein schneller Abgleich möglich ist: IEC 62443, NIST SP 800-82:v3, NIST CSF 2.0, MITRE ATT&CK, EU NIS2

What’s next?

Der erste Schritt ist nun mit der Veröffentlichung der OT Top 10 getan – allerdings hat die Reise damit erst begonnen! Das lebende Dokument wird in Zukunft auf Basis der Erfahrungen und Beiträge zahlreicherer Experten verfeinert und stetig an die aktuelle Bedrohungslandschaft angepasst.

Falls Sie Unterstützung bei der Umsetzung der bei den OWASP OT Top 10 genannten Maßnahmen benötigen oder sich allgemein fragen, welche Punkte auch bei Ihnen eine nähere Betrachtung benötigen, zögern Sie nicht uns zu kontaktieren! Egal ob im Zuge von gezieltem Consulting, Know-how-Aufbau durch unsere hauseigene Academy oder einer umfassenden Überprüfung im Zuge eines individuell angepassten Penetration Tests: wir unterstützen Sie gerne, sodass Sie die OWASP OT Top 10 ohne Sorgen in dem Wissen betrachten können, dass Sie alle Punkte bestmöglich adressiert haben.

Mehr Informationen zu den OWASP OT Top 10 finden Sie HIER.

Zudem stellen wir das Projekt im Zuge des jährlichen Security Forums am 05. und 06. Mai 2026 in Hagenberg vor. Wir freuen uns auf ein interessantes Gespräch vor Ort mit Ihnen!