Wie SPS funktionieren – und warum Hacker sie ins Visier nehmen

Die unsichtbaren Computer, die die Zivilisation am Laufen halten

Jedes Mal, wenn Sie einen Wasserhahn aufdrehen, einen Lichtschalter betätigen oder an einer Fabrik vorbeifahren, ist es sehr wahrscheinlich, dass eine speicherprogrammierbare Steuerung (SPS) im Hintergrund die Arbeit erledigt. Diese robusten Industriecomputer steuern Fertigungsstraßen, Wasseraufbereitungsanlagen, Umspannwerke und Ölraffinerien. Sie öffnen Ventile, starten Motoren, lesen Sensoren aus und halten kritische Prozesse rund um die Uhr am Laufen – oft jahrelang ohne Neustart.

Dennoch haben die meisten Menschen noch nie von ihnen gehört. Diese Unbekanntheit ist ein Grund dafür, dass SPS eines der wichtigsten – und anfälligsten – Ziele in der Cybersicherheit sind.

Was eine SPS tatsächlich tut

Eine SPS ist ein Spezialcomputer, der so konzipiert ist, dass er rauen Industrieumgebungen standhält – extremen Temperaturen, Staub, Vibrationen und elektrischen Störungen, die einen Standard-Laptop zerstören würden. SPS wurden erstmals in den späten 1960er Jahren für die Automobilindustrie entwickelt und ersetzten sperrige, relaisbasierte Schalttafeln durch kompakte, umprogrammierbare Einheiten.

Das Gerät arbeitet in einem kontinuierlichen Scan-Zyklus und schließt jede Schleife typischerweise in Millisekunden ab. Während jedes Zyklus liest die SPS alle Eingangssignale (von Sensoren, Schaltern und Messwertgebern), führt ihr gespeichertes Steuerungsprogramm aus und aktualisiert Ausgabegeräte wie Motoren, Aktuatoren und Alarme. Diese Echtzeit-Schleife sorgt dafür, dass eine Wasserpumpe mit dem richtigen Druck läuft oder ein Förderband sich mit der richtigen Geschwindigkeit bewegt.

Ingenieure programmieren SPS mit speziellen Sprachen – am häufigsten mit Kontaktplan (engl. ladder logic), einem grafischen Format, das alten elektrischen Relaisschaltplänen ähnelt. Die Programmiernorm IEC 61131-3 definiert auch strukturierten Text, Funktionsbausteine und andere Formate. Einmal geladen, kann eine SPS jahrelang autonom laufen.

Warum SPS anfällig sind

SPS wurden in einer Zeit entwickelt, als industrielle Netzwerke physisch vom Internet isoliert waren. Sicherheit spielte kaum eine Rolle – man ging davon aus, dass kein Außenstehender diese Geräte erreichen konnte. Diese Annahme gilt nicht mehr.

Da Fabriken und Versorgungsunternehmen das Industrial Internet of Things eingeführt haben, werden SPS zunehmend mit Unternehmensnetzwerken und sogar dem öffentlichen Internet verbunden, um sie fernzuüberwachen und zu verwalten. Viele Geräte verwenden immer noch jahrzehntealte Kommunikationsprotokolle ohne Verschlüsselung oder Authentifizierung. Standardpasswörter sind üblich. Firmware-Updates sind selten.

Das Ergebnis ist eine massive Angriffsfläche. Laut Cybersicherheitsforschern von UpGuard sind Tausende von SPS weiterhin direkt dem Internet ausgesetzt, oft ohne das Wissen der Organisationen, die sie betreiben.

Stuxnet: Der Angriff, der alles veränderte

Die Welt wurde 2010 auf die Schwachstellen von SPS aufmerksam, als Forscher Stuxnet entdeckten – einen hochentwickelten Wurm, der weithin einer gemeinsamen US-amerikanisch-israelischen Operation zugeschrieben wird. Stuxnet zielte auf die Siemens Step 7 Software ab, die zur Programmierung von SPS in der iranischen Nuklearanlage Natanz verwendet wurde. Er veränderte heimlich die Geschwindigkeit von Urananreicherungszentrifugen, während er den Bedienern normale Messwerte anzeigte. Der Angriff infizierte über 200.000 Computer und zerstörte physisch etwa 1.000 Zentrifugen.

Stuxnet bewies, dass Cyberangriffe auf industrielle Steuerungen reale physische Schäden verursachen können – eine Lektion, die seitdem nur noch dringlicher geworden ist.

Eine wachsende Bedrohung

Im April 2026 gaben sechs US-Bundesbehörden – darunter das FBI, CISA und die NSA – eine gemeinsame Warnung heraus, dass mit dem Iran verbundene Hacker internetexponierte Rockwell Automation SPS in US-amerikanischen Wasser-, Energie- und Regierungseinrichtungen ausgenutzt hatten. Die Angreifer verwendeten legitime Konfigurationssoftware, um sich mit CompactLogix- und Micro850-Steuerungen zu verbinden, SCADA-Anzeigedaten zu verändern und den Betrieb zu stören.

Die Warnung unterstreicht ein anhaltendes Problem: Viele Organisationen lassen SPS immer noch über das Internet zugänglich und verstoßen damit gegen das grundlegendste Prinzip der industriellen Sicherheit – die physische Trennung (engl. air-gapping) von Betriebstechnik von öffentlichen Netzwerken.

Wie man SPS schützt

Cybersicherheitsexperten und Behörden wie CISA empfehlen mehrere Kernverteidigungen:

• Trennen Sie SPS vom Internet. Geräte, die physische Prozesse steuern, sollten niemals direkt online erreichbar sein.
• Segmentieren Sie Netzwerke. Trennen Sie betriebstechnische (OT-)Netzwerke von unternehmensinternen IT-Netzwerken mithilfe von Firewalls und entmilitarisierten Zonen.
• Ändern Sie Standardanmeldeinformationen und aktivieren Sie die Authentifizierung, wo dies unterstützt wird.
• Überwachen Sie auf Anomalien. Ungewöhnliche Konfigurationsänderungen oder unerwartete Netzwerkverbindungen sollten Alarme auslösen.
• Aktualisieren Sie die Firmware regelmäßig und wenden Sie Sicherheitsupdates des Herstellers an.

SPS werden auch in den kommenden Jahrzehnten das Rückgrat der industriellen Zivilisation bleiben. Ihre Sicherheit ist keine nachträgliche technische Überlegung mehr – sie ist eine Frage der nationalen Sicherheit.