Modbus (sowohl RTU als auch TCP) bietet keinerlei native Sicherheit: keine Authentifizierung, keine Verschlüsselung, keine Signaturen. Bewährte Praxis: strikte VLAN-Trennung im OT-Bereich, industrielle Firewall, keine Exposition zum Internet.

Modbus wurde 1979 entworfen, Sicherheit war damals kein Thema. Bei Internetexposition entstehen typische Risiken: Spoofing (jeder im Netz kann einen WriteRegister-Befehl senden), Sniffing (alles unverschlüsselt) und DoS (Anfragenflut saturiert die Slaves). Es gibt zwar Modbus Secure (TCP mit TLS, 2018 verabschiedet), die Verbreitung ist jedoch sehr gering, weil viele Feldgeräte TLS nicht unterstützen. Industriestandard ist daher die Netzwerkebene: industrielle Firewall (Hirschmann, Phoenix mGuard, Siemens SCALANCE), keine Internet-Exposition, Monitoring (Claroty, Nozomi).

Praxistipp: Niemals den Port 502 per Portweiterleitung ins WAN öffnen - eine kurze Shodan-Suche zeigt, wie schnell so etwas weltweit angreifbar wird.