Definition und Funktionsweise:
Compensating Controls (kompensierende Maßnahmen oder Ersatzmaßnahmen) kommen zum Einsatz, wenn eine identifizierte Sicherheitslücke nicht direkt an der Quelle behoben werden kann. Dies ist im klassischen IT-Bereich selten, in der Automatisierung jedoch an der Tagesordnung, da Maschinen oft Lebenszyklen von 15 bis 30 Jahren haben.
Relevanz für SPS und Automatisierungstechnik:
- Absicherung von Legacy-SPS: Wenn eine ältere SPS (Legacy System) eine bekannte Schwachstelle besitzt, der Hersteller aber kein Firmware-Update (Patch) mehr anbietet, muss eine Ersatzmaßnahme her.
- Praktische Umsetzung: Statt die SPS selbst zu patchen, wird als Compensating Control beispielsweise eine Industrial Firewall direkt vor die SPS gesetzt, die gezielt nur den absolut notwendigen Datenverkehr zulässt (Virtual Patching). Alternativ kann die Steuerung komplett vom Netzwerk isoliert werden (Air Gapping).
- Normenkonformität: Normen wie die IEC 62443 erlauben explizit den Einsatz solcher Ersatzmaßnahmen, um das geforderte Security Level einer Anlage zu erreichen, wenn native Security-Funktionen fehlen.
→ Siehe auch: IEC 62443, Patch-Management (für OT), Industrial Firewall

