Network Intrusion Detection Systems (NIDS) #1: Mit Microsoft Defender for IoT aktives und passives Monitoring kombinieren

Industrial IoT

by josheph bell

October 20, 2025

Obwohl sich die tatsächliche Verbreitung von IoT-Umgebungen im Kontext von Industrie und produzierendem Gewerbe – das sogenannte IIoT (Industrial Internet of Things) – kaum genau ermitteln lässt, ist die Zahl vermutlich signifikant. Inder aktuellen IIoT-Studie, die CIO und COMPUTERWOCHE in Zusammenarbeit mit Avanade und A1 Digital durchgeführt haben, gehen die Partner davon aus, dass rund die Hälfte der befragten Unternehmen das Potenzial von IIoT bereits anwenden und jeweils rund ein Fünftel der befragten Unternehmen die Einführung von IIoT-Anwendungen konkret oder mittelfristig plant.

Dass IIoT-Anwendungen auf dem Vormarsch sind, überrascht wenig, denn die Vorteile für Unternehmen reichen von mehr Betriebseffizienz durch Echtzeit-Datenanalyse aus Maschinen und Prozessen über effektive Predictive Maintenance bis hin zu effizienterer Energie, Ressourcen- und Personalplanung sowie effizienterenLieferketten- und Logistikprozessen durch automatisierte Lager- undMaterialflüsse. Kurz gesagt: IIoT-Anwendungen, wenn sie korrekt implementiert und in alle relevanten Prozesse integriert sind, bieten für fast alle der fürIndustrie und produzierendem Gewerbe wichtigen Stellen signifikanteVerbesserungsmöglichkeiten.

IoT-und OT-Sicherheit mit Microsoft Defender for IoT

IIoT-Umgebungen müssen jedoch noch eine weitere wichtige Anforderung außer „korrekt implementiert“ und „umfassend integriert“ erfüllen: Sie müssen sicher sein. Wie jede andere Software-Lösung, die ein Unternehmen an Bord holt, vergrößern auchIIoT-Anwendungen zunächst die Angriffsfläche für Angreifer und andere Cyberbedrohungen, vor allem Operational Technology-Netzwerken (OT), die üblicherweise weniger umfassend geschützt sind als IT-Netzwerke.

Um dieses Risiko effektiv zu minimieren, stehen Unternehmen eine Reihe an Werkzeugen zur Verfügung. Microsoft Defender for IoT ist eine der am häufigsten für diesen Zweck genutzten Lösungen, die eine umfassendeBedrohungserkennung für IoT-/OT-Umgebungen mit mehreren Bereitstellungsoptionen bietet, von Cloud über Hybrid- bis zu On-Premises-Modellen. Wie viele andereIoT-Sicherheitslösungen bietet Microsoft Defender for IoT sowohl dieMöglichkeit zum aktiven als auch zum passiven Monitoring. Beide dieser Ansätze bieten ihre eigenen Vorteile und eine Kombination aus beiden ist ideal, um eineffektives Network Intrusion Detection System (NIDS) zu schaffen.

Was ist passives Monitoring?

Beim passiven Monitoring wird die ein- und ausgehende Netzwerkkommunikation überwacht, ohne dass dabei aktiv in den Datenverkehr eingegriffen wird oderzusätzliche Datenpakete in das Netzwerk übertragen werden. Dabei werden nicht nur alle Datenpakete erfasst, die über das Netzwerk fließen, sondern auchNetzwerkprotokolle analysiert und Assets im Netzwerk automatisch identifiziert, sodass Anomalien, Schwachstellen oder nicht autorisierte Geräte – und damit potenzielle Bedrohungen – erkannt werden können, ohne dass der reguläreNetzwerkbetrieb gestört oder unterbrochen wird.

Dies bedeutet, dass es beim passiven Monitoring kein Risiko von Ausfallzeiten oderLeistungseinbußen aufgrund von zusätzlicher Bandbreitenauslastung gibt. Damit eignet sich das passive Monitoring ideal zur Überwachung von Umgebungen, in denen die Betriebskontinuität höchste Priorität hat, beispielsweise fürFertigungsanlagen oder kritische Infrastruktur. IoT-/OT-Sicherheitslösungen wieMicrosoft Defender for IoT nutzen üblicherweise diesen Ansatz.

Was ist aktives Monitoring?

Im Gegensatz zum passiven Monitoring werden beim aktiven Monitoring Testanfragen, Pings oder speziell für diesen Zweck konzipierte Datenpakete in das Netzwerkübertragen, um beispielsweise Reaktionen zu testen und Schwachstellen oderFehlkonfigurationen zu identifizieren. Unter anderem lassen sich so spezifischeFirewall-Aktionen auf Grundlage von Bedrohungen auslösen,Konfigurationsinformationen von Geräten im Netzwerk abfragen oder durch dieInteraktion mit Netzwerkgeräten Schwachstellenbewertungen durchführen.

So lassen sich auch Schwachstellen identifizieren, die beim passiven Monitoring unter Umständen nicht auffallen. Außerdem können IT-Sicherheitsverantwortliche ganz im Sinne einer proaktiven Verteidigung Warnmeldungen auf diese Weise direkt validieren, um potenzielle Bedrohungen schneller zu erkennen und Gegenmaßnahmen einzuleiten. Aktives Monitoring kann in Microsoft Defender for IoT durchIntegrationen und erweiterte Konfigurationen ermöglicht werden.

Passiv+ Aktiv = NIDS

Den umfassendsten Schutz bietet selbstverständlich eine Kombination aus passivem und aktivem Monitoring, die es Unternehmen ermöglicht, potenziell schädliche Anomalien im Netzwerk – beispielsweise aufgrund von unbefugtem Zugriff, Malware oder nicht autorisierte oder unbekannte Endgeräte – frühzeitig zu erkennen. Auf diese Weise wird eine schnellere Reaktion auf Vorfälle undSicherheitsverletzungen möglich und die gewonnenen forensischenÜberwachungsdaten erleichtern eine Untersuchung dieser im Nachgang.

Dieses Prinzip umfassender Netzwerküberwachung ist auch als Network Intrusion Detection System (NIDS) bekannt. NIDS-Lösungen wie Microsoft Defender for IoT bieten die entsprechenden Möglichkeiten zur passiven und aktiven Überwachung und sind auf IIoT- und OT-Anwendungsszenarien angepasst und bieten weitere nützlicheIntegrationen, beispielsweise, um bei der Erkennung von Bedrohungen automatischFirewall-Regeln auszulösen. Nicht nur lassen sich so zahlreiche Risiken minimieren, noch bevor diese zum Risiko werden, sondern auch die Einhaltung von in vielen Branchen erforderlichen, komplexen Vorschriften wie NIST, ISO 27001oder ISA/IEC 62443 sicherstellen.

  • Dieser Beitrag ist der Auftakt einer dreiteiligen Serie – die nächsten beiden Artikel folgen in Kürze.