Im Januar 2026 führte AV-Comparatives seinen jährlichen Test zur Zertifizierung des Schutzes von Betriebstechnologie durch. Bei der Zertifizierung wird geprüft, ob Sicherheitsprodukte ausführungsbasierte Angriffe in vollständig offline geschalteten Umgebungen, die für den Einsatz von Betriebstechnologie (OT) typisch sind, wirksam verhindern können.

Operative Technologieumgebungen sind in kritischen Infrastrukturen und Sektoren wie der Fertigung, der Energieerzeugung, dem Transportwesen, den Versorgungsbetrieben, der Öl- und Gasindustrie und dem Gesundheitswesen weit verbreitet. In diesen Umgebungen arbeiten die Systeme häufig ohne Internetverbindung und müssen sich ausschließlich auf lokal erzwungene Schutzmechanismen verlassen. Cloud-basierte Reputationssysteme, externe Informationsquellen oder eine kontinuierliche Online-Validierung sind oft nicht verfügbar.

Aus diesem Grund stellt die Ausführungskontrolle unter vollständigen Offline-Bedingungen eine kritische Sicherheitsanforderung dar.

Schwerpunkt der Zertifizierung

Die OT-Zertifizierung wurde entwickelt, um den ausführungsbasierten Schutz in Szenarien nach einem Einbruch zu bewerten. Der Test geht davon aus, dass ein Angreifer bereits lokalen Zugriff auf das System erlangt hat, z. B. durch Insider-Aktivitäten, physischen Zugriff oder Wechselmedien.

Unter diesen Bedingungen muss das Produkt die Ausführung von nicht vertrauenswürdigem Binärcode verhindern, ohne sich auf eine Internetverbindung zu stützen, die den Zugang zum Internet verhindert:

• Cloud-gestützte Intelligenz
• Externe Reputationsdienste

Die Tests wurden auf Windows 10-Systemen durchgeführt, die in einem vollständig offline geschalteten Zustand konfiguriert waren. Alle bösartigen und legitimen Komponenten wurden über Wechselmedien bereitgestellt, um realistische OT-Workflows widerzuspiegeln.

Getestete Angriffsszenarien

Im Zertifizierungszyklus 2026 wurden fünf ausführungsbasierte Angriffsszenarien bewertet:

• Binary Impersonation unter Verwendung legitimer Metadaten
• Binärdatei mit legitimen Metadaten und einem ungültigen Zertifikat
• Binärsigniert mit einem geleakten, aber gültigen Zertifikat
• DLL-Sideloading über eine vertrauenswürdige ausführbare Datei
• Ausführung einer modifizierten oder manipulierten legitimen Binärdatei

Zusätzlich zu diesen bösartigen Szenarien wurde ein legitimes Offline-Anwendungsupdate getestet, das über ein USB-Medium bereitgestellt wurde. In diesem Szenario wird bewertet, ob das Produkt korrekt zwischen bösartigen Ausführungsversuchen und gültigen administrativen Prozessen unterscheiden kann, ohne den Betrieb zu stören.

Um die Zertifizierung zu erhalten, muss ein Produkt:

• Erfolgreiche Verhinderung aller definierten bösartigen Ausführungsversuche zur Ausführungszeit
• Aktive Durchsetzung, nicht nur Aufdeckung nach der Ausführung
• Korrektes Abschließen der legitimen Offline-Aktualisierung ohne Unterbrechung der Anwendung

Nur Produkte, die alle festgelegten ökologischen und technischen Kriterien erfüllen, kommen für öffentliche Zertifizierungsberichte in Frage.

2026 Ergebnis der Zertifizierung

Im Prüfzyklus 2026 erfüllten zwei Produkte erfolgreich alle Anforderungen der Zertifizierung für den Schutz der Betriebstechnik:

• Kaspersky Industrial CyberSecurity für Nodes 4.5
• Trellix Endpoint Security 10.7

Beide Produkte verhinderten alle definierten Offline-Ausführungsszenarien nach dem Einbruch und behandelten die legitime Offline-Aktualisierung unter den getesteten Konfigurationen korrekt.

Die Zertifizierungsergebnisse gelten ausschließlich für die getesteten Produktversionen und Konfigurationen. Andere Konfigurationen können zu anderen Ergebnissen führen.

OT-Zertifizierung vs. Zero-Trust-Zertifizierung

Die OT-Zertifizierung unterscheidet sich vom Zero-Trust-Zertifizierungsprogramm von AV-Comparatives. Während beide den ausführungsbasierten Schutz in Post-Breach-Szenarien bewerten, verlangt der OT-Track speziell eine effektive Durchsetzung in vollständig offline geschalteten, luftgekapselten Umgebungen.

Produkte, die für Vertrauensentscheidungen auf eine aktive Cloud-Konnektivität angewiesen sind, kommen für eine OT-Zertifizierung nicht in Frage und müssen sich stattdessen im Rahmen der Zero-Trust-Schiene bewerben. Im Testzyklus 2026 erreichte keines der ZT-Produkte, die für die Zero-Trust-Schiene eingereicht wurden, eine Zertifizierung.

Detaillierte Zertifizierungsberichte, einschließlich Methodik, Konfigurationsinformationen und technische Ergebnisse, sind für beide zertifizierten Produkte einzeln über die oben genannten Links erhältlich.