Definition und Funktionsweise:
Ein Intrusion Detection System (IDS) fungiert als „Alarmanlage“ für das Netzwerk. Es greift passiv (meist über einen Mirror-Port am Switch) den Datenverkehr ab, ohne diesen zu bremsen oder zu blockieren. OT-spezifische IDS-Lösungen scannen die Datenpakete nach bekannten Schadcode-Signaturen oder nutzen Anomalieerkennung, um Abweichungen vom normalen Maschinenbetrieb festzustellen.
Relevanz für SPS und Automatisierungstechnik:
- Sichtbarkeit (Visibility): Ein OT-IDS zeigt dem Anlagenbetreiber genau an, welche SPS mit welchem Sensor oder HMI spricht und ob unautorisierte Programmiergeräte (PGs) im Netz auftauchen.
- Früherkennung: Wenn ein Hacker versucht, einen neuen, schadhaften Funktionsbaustein auf die SPS zu laden (z.B. über das S7-Kommunikationsprotokoll), löst das IDS sofort einen Alarm aus, noch bevor der Prozess gestört wird.
- Unterschied zur Firewall: Während die Firewall aktiv blockiert, überwacht das IDS lediglich passiv und meldet Auffälligkeiten, was in der OT oft bevorzugt wird, um unbeabsichtigte Produktionsausfälle durch fälschlich blockierte Pakete zu vermeiden.
→ Siehe auch: Anomalieerkennung, Industrial Firewall, Asset-Inventarisierung

