Microsoft Defender for IoT: OT- und IoT-Sicherheit für kleine Unternehmen in Berlin

Industrielle Steuerungssysteme, Gebäudeautomation, vernetzte Fertigungsanlagen und Consumer-IoT-Geräte teilen eine Sicherheitseigenschaft, die sie von klassischen IT-Endpunkten unterscheidet: Sie können in der Regel keine Endpoint-Detection-Agenten ausführen, werden nicht in regelmäßigen Patch-Zyklen aktualisiert, betreiben proprietäre oder veraltete Betriebssysteme und sind für den Dauerbetrieb ausgelegt – nicht für geplante Neustarts. Dennoch sind sie zunehmend vernetzt und zunehmend Angriffsziel. Microsoft Defender for IoT schließt diese Lücke mit agentenloser Überwachung, protokollbewusster Datenverkehrsanalyse und Integration in das Microsoft Defender XDR-Ökosystem – Sichtbarkeit und Bedrohungserkennung für OT- (Operational Technology) und IoT-Umgebungen, ohne Änderungen an den Geräten selbst vorzunehmen.

Warum OT- und IoT-Sicherheit anders ist

Die Unterschiede zwischen IT- und OT/IoT-Sicherheitsanforderungen sind nicht oberflächlich. Sie bestimmen die Architektur jeder Überwachungslösung:

• Keine Agenten-Bereitstellung: SCADA-Systeme, SPSen, Gebäudemanagement-Controller, IP-Kameras, Industriesensoren und Medizinprodukte können keine Sicherheitsagenten ausführen. Die Überwachung muss passiv erfolgen – auf Basis der Netzwerkverkehrsanalyse statt host-basierter Telemetrie.
• Legacy-Protokolle: OT-Umgebungen verwenden Protokolle wie Modbus, DNP3, BACnet, PROFINET, OPC-UA sowie Dutzende von proprietären herstellerspezifischen Protokollen. Eine Überwachungslösung muss diese Protokolle auf Anwendungsebene verstehen, um aussagekräftige Anomalien zu erkennen.
• Verfügbarkeit vor Patching: OT-Geräte sind häufig für bestimmte Firmware-Versionen zertifiziert. Das Patching erfordert Herstellerbeteiligung, umfangreiche Tests und geplante Ausfallzeiten – Zyklen, die in Jahren gemessen werden. Die Überwachungsstrategie muss dauerhaft ungepatchte Geräte voraussetzen.
• Physische Konsequenzen: In OT-Umgebungen kann ein kompromittiertes System physische Folgen haben – Produktionsunterbrechungen, HVAC-Ausfälle, Geräteschäden. Erkennung und Reaktion werden durch betriebliche Kontinuitätsanforderungen bestimmt.

Was Microsoft Defender for IoT überwacht

Defender for IoT deckt zwei Bereitstellungsszenarien ab, die architektonisch ähnlich sind, aber unterschiedlichen Zwecken dienen:

Enterprise IoT: Konzipiert für IT-verwaltete Netzwerke, in denen IoT-Geräte (IP-Kameras, Drucker, Gebäudezugangssysteme, Smart-TVs, VoIP-Telefone, Medizinprodukte in Büroumgebungen) neben Standard-IT-Endpunkten verbunden sind. Defender for IoT integriert sich in Microsoft Defender for Endpoint, um die Geräteerkennung und Überwachung auf nicht verwaltete IoT-Geräte im selben Netzwerksegment zu erweitern. Dieses Szenario ist für die meisten Berliner KMU mit vernetzten Geräten jenseits von Standard-PCs und -Servern relevant.

OT/ICS (Operational Technology / Industrial Control Systems): Konzipiert für dedizierte OT-Netzwerke – Fertigungsanlagen, Energieinfrastruktur, Wasseraufbereitung, Gebäudeautomationssysteme. Dies erfordert die Bereitstellung von Netzwerksensoren (physische oder virtuelle Appliances) in OT-Netzwerksegmenten zur Erfassung und Analyse von Industrieprotokoll-Datenverkehr. Dieses Szenario ist für Berliner KMU in der Fertigung, im Facility Management oder in Branchen mit dedizierter operativer Infrastruktur relevant.

Bereitstellungsarchitektur: Sensoren und zentrale Verwaltung

Das Kernbereitstellungsmodell für Defender for IoT OT-Monitoring:

• Netzwerksensoren: Software-Appliances (als VMs oder physische Appliances bereitstellbar), die über SPAN-Port oder Netzwerk-TAP in OT-Netzwerksegmenten platziert werden. Der Sensor analysiert passiv den gesamten Datenverkehr im Segment, ohne selbst Datenverkehr zu erzeugen – keine Auswirkung auf das überwachte Netzwerk.
• Geräteinventar: Der Sensor erkennt automatisch alle Geräte im überwachten Segment – IP-Adresse, MAC-Adresse, Hersteller, Gerätetyp, Betriebssystem-Fingerprint, offene Ports und Protokollnutzungsmuster – ohne Agenten oder Anmeldedaten.
• Verhaltens-Baseline: Nach einer Lernphase erstellt der Sensor eine Verhaltens-Baseline für das Netzwerk. Abweichungen von dieser Baseline generieren Warnungen.
• Cloud-verbunden vs. Air-Gapped: Sensoren können Warnungen an Microsoft Defender for IoT in Azure weiterleiten. In Air-Gapped-Bereitstellungen verwalten Sensoren Warnungen lokal über eine lokale Verwaltungskonsole.

Bedrohungserkennungsfähigkeiten

Defender for IoT erkennt sowohl bekannte Bedrohungen (über Microsoft Threat Intelligence für ICS-spezifische Malware und Schwachstellen) als auch Verhaltensanomalien:

• Nicht autorisierte Kommunikationspfade zwischen OT-Geräten, die bisher nicht kommuniziert haben
• Protokollverletzungen – Befehle, die syntaktisch gültig, aber betrieblich abnormal sind
• Neue Geräteverbindungen zu OT-Segmenten
• Firmware-Update-Versuche auf OT-Geräten
• Bekannte ICS-Malware-Signaturen (Triton, Industroyer, BlackEnergy-Varianten)
• Laterale Bewegungen aus IT- in OT-Netzwerksegmente

Integration mit Microsoft Sentinel

Defender for IoT integriert sich nativ mit Microsoft Sentinel und leitet OT-Warnungen als Sentinel-Incidents weiter. Für Berliner KMU, die Sentinel als SIEM nutzen, bedeutet dies, dass OT/IoT-Warnungen neben IT-Sicherheitswarnungen in einer einheitlichen Ansicht erscheinen – was die Korrelation zwischen einem Phishing-Angriff, der eine IT-Workstation kompromittiert, und einer anschließenden lateralen Bewegung in Richtung OT-Segment ermöglicht.

Lizenzierung für KMU

Defender for IoT verwendet ein gerätebasiertes Lizenzierungsmodell für OT-Bereitstellungen, wobei der Preis auf der Anzahl der überwachten OT-Geräte basiert. Enterprise IoT (für IT-Netzwerke mit nicht verwalteten IoT-Geräten) ist in Microsoft Defender for Endpoint P2-Lizenzen enthalten. Für Berliner KMU mit kleinen OT-Umgebungen bietet Microsoft eine kostenlose Testversion und eine Community-Edition mit begrenzter Geräteanzahl an. Aktuelle Preise sollten bei Microsoft oder einem Lizenzierungspartner verifiziert werden.