SICHERHEIT OHNE PRODUKTIONSSTOPP

OT/ICS Industrielle Sicherheit

Wir schützen SCADA-, PLC- und DCS-Systeme vor Cyberbedrohungen; die IT-/OT-Grenze wird geschärft und Sicherheitsebenen entstehen, ohne die Produktionskontinuität zu gefährden.

ISO 27001KVKKNIS2DORA
01 Ist-Zustand Sichtbarkeit von Topologie, Traffic und Abhängigkeiten.
02 Zielarchitektur Segmentierung, Kapazität und Verfügbarkeit im Design.
03 Kontrollierter Übergang Änderungsfenster, Validierung und Rollback-Plan.
04 Hypercare Monitoring, Feinabstimmung und operative Übergabe.
POSITION

Wo dieser Service im Portfolio steht

Fähigkeitskarten-Infografik für OT/ICS Industrielle Sicherheit
LEISTUNGSUMFANG

Was diese Leistung abdeckt

Die kritischen Themen, die diese Leistung adressiert, und das Ergebnis, das wir in jedem Bereich liefern.

Verbesserung ohne Produktionsausfall

vertraglich geregelt

Wir setzen alle Änderungen innerhalb geplanter Wartungsfenster um und verbessern die Sicherheit mit passiven Monitoring-Werkzeugen, ohne die Produktion zu beeinträchtigen.

Vollständige OT-Asset-Sichtbarkeit

Nachweisbereitschaft

Durch passive Netzwerkerkennung inventarisieren wir SCADA-, PLC-, DCS-, HMI- und RTU-Assets und erstellen eine Risikokarte.

Kontrollierter IT-OT-Datenfluss

vertraglich geregelt

Mit einem Purdue-Modell-referenzierten IT-OT-DMZ-Design etablieren wir einen kontrollierten und sicheren Datenfluss an der Grenze.

IEC-62443-Compliance-Bereitschaft

gemessenes Ziel

Durch Reifegradbewertung und Gap-Analyse erstellen wir eine an IEC 62443 ausgerichtete Compliance-Roadmap und überlassen das formale Audit und die Freigabe einem akkreditierten Dritten.

Liefermodell

Vorgehensmodell

Wie wir die Leistung über Delivery, Governance und verbundene Service-Pillars phasieren.

  1. Erkennung und Inventar: Mit passivem Netzwerk-Listening (SPAN/TAP) und Asset Profiling inventarisieren wir OT-Assets und bauen eine Risikokarte.

  2. Segmentierung: Wir entwerfen eine Purdue-Modell-Level-0-5-referenzierte IT-OT-DMZ und OT-spezifische Zugriffskontrolle.

  3. Monitoring und Compliance: Wir richten Threat Monitoring mit OT-IDS/IPS und verhaltensbasierter Anomalieerkennung ein und erstellen eine Compliance-Roadmap mit IEC-62443-Gap-Analyse.

Einsatzkontexte

Beispielhafte Einsatzkontexte

Typische operative Flächen, auf denen diese Leistung aktiviert wird.

Schutz von Legacy-OT-Systemen

Anlagen, die nicht direkt patchbare Legacy-PLC- und SCADA-Systeme durch Segmentierung und Anomalieerkennung schützen wollen.

Schärfung der IT-OT-Grenze

Fertigungsorganisationen, die einen kontrollierten Datenfluss und eine klare Sicherheitsgrenze zwischen IT- und OT-Netzwerken wollen.

Industrielle Compliance-Bereitschaft

Betreiber kritischer Infrastrukturen, die Reifegradbewertung und Gap-Analyse für die Compliance mit Standards wie IEC 62443 wünschen.

TIEFE

Technische und Compliance-Tiefe

Die Tiefe dieser Leistung bei branchenspezifischen technischen und Compliance-Themen.

OT-Asset-Erkennung

Mit passivem Netzwerk-Listening und Asset Profiling inventarisieren wir SCADA-, PLC-, DCS-, HMI-, Historian- und RTU-Assets, ohne die Produktion zu beeinträchtigen.

Purdue-Modell-Segmentierung

Wir strukturieren die IT-OT-Grenze mit einer Purdue-Modell-Level-0-5-referenzierten industriellen DMZ und einer OT-spezifischen Firewall.

OT-spezifisches Monitoring

Mit Werkzeugen wie Nozomi Networks, Claroty oder Dragos bieten wir Anomalieerkennung passend zu den Protokollen Modbus, OPC-UA, S7 und DNP3.

Was wird gelöst

Betreiber kritischer Infrastrukturen stehen vor einer konvergierenden Bedrohungslandschaft, in der IT-seitige Kompromittierungen zunehmend in operative Technologienetzwerke übergehen und physische Prozesse, Sicherheitssysteme und den Kontinuierlichen Betrieb bedrohen. Ältere OT-Umgebungen wurden für Zuverlässigkeit und Verfügbarkeit ausgelegt, nicht für Cybersicherheit, was SCADA-Systeme, PLCs und HMIs modernen Bedrohungsakteur-Techniken aussetzt. Unsere OT/ICS-Industriesicherheits-Practice bietet Transparenz-, Segmentierungs- und Monitoring-Fähigkeiten, die operative Technologie schützen, ohne die Zuverlässigkeitsanforderungen zu beeinträchtigen, die Produktionsumgebungen fordern.

OT-Asset-Entdeckung und Inventarisierung mittels passivem Monitoring zur Vermeidung von Prozessunterbrechungen
IT/OT-Netzwerksegmentierungsdesign ausgerichtet an IEC 62443 und NIST SP 800-82
OT-spezifisches Bedrohungsmonitoring und Anomalieerkennung
Industrielle Incident-Response-Planung und OT-fähige Forensik-Kapazität

Vorteile

Nutzen

Operative Durchlaufzeit gegenüber vereinbarten Messzielen und Abnahmekriterien verkürzen

Nutzen

Qualitätsindikatoren durch Basislinien, Abnahmekriterien und geprüfte Nachweise verbessern

Nutzen

Das Ergebnis in ein messbares Ziel mit Basislinie, Eigentümer und Evidenz-Review-Rhythmus umwandeln

Kriterium
Claroty, Dragos Platform, Nozomi Networks Guardian, Tenable OT
Standards
IEC 62443, NIST SP 800-82 Rev 3, NERC CIP, NIS2 Anhang
Kriterium
Modbus, DNP3, IEC 61850, EtherNet/IP, PROFINET, OPC UA
Segmentierung
Purdue-Modell, DMZ-Architektur, unidirektionale Sicherheitsgateways

Umfang

Unser OT/ICS-Sicherheits-Engagement deckt das vollständige Programm ab, von der initialen Risikobewertung und Asset-Inventarisierung bis hin zur Segmentierungsarchitektur, Monitoring-Bereitstellung, Incident-Response-Planung und Bedienerschulung. Wir arbeiten mit Ihren Engineering- und Betriebsteams zusammen, um sicherzustellen, dass Sicherheitskontrollen für Ihre spezifischen industriellen Prozesse geeignet sind und kein operatives Risiko einführen. Der Umfang umfasst sowohl ältere SCADA-Umgebungen als auch moderne IIoT-Bereitstellungen.

OT-spezifische Cybersicherheits-Risikobewertung ausgerichtet an IEC 62443-3-2 Sicherheitsstufenzielen
Fernzugriffssicherheit für Wartungs- und Lieferantenkonnektivität
Integration des OT Security Operations Centre (OT-SOC) und Alert-Routing
Sicherheitsbewusstseinsschulung für Bediener und Ingenieure in industriellen Umgebungen

Vorteile

Nutzen

NIS2- und NERC-CIP-Compliance-Pflichten mit dokumentierten OT-Sicherheitsprogramm-Nachweisen erfüllen

Nutzen

Risiko- und Response-Indikatoren durch gemessene Kontrollen, eingeübte Playbooks und Evidenzprüfung sichtbar machen

Nutzen

OT-fähige Incident Response mit dokumentierten Playbooks ermöglichen, die OT MTTC von Tagen auf Stunden reduzieren

Kriterium
Claroty SRA, Cyolo, Secomea (OT-spezifisches PAM mit Sitzungsaufzeichnung)
Kriterium
AWS IoT Device Defender, Azure Defender for IoT
Netzwerkkontrollen
Unidirektionale Gateways (Waterfall Security), industrielle Firewalls (Tofino)
Training
SANS ICS-Lehrpläne, CISA ICS-CERT-Training, herstellerspezifisches Bedienerschulung

Liefergegenstände

OT/ICS-Sicherheits-Liefergegenstände sind für die einzigartige Zielgruppe industrieller Cybersicherheit konzipiert: Sie müssen sowohl Cybersicherheitsfachleuten als auch operativen Engineering-Teams dienen, die möglicherweise einen begrenzten Sicherheitshintergrund haben. Die Dokumentation ist in prozessbewusster Sprache verfasst, und alle empfohlenen Kontrollen werden vor der Aufnahme in Liefergegenstände auf operative Durchführbarkeit bewertet.

OT-Asset-Inventar mit Netzwerktopologie-Diagrammen und Zonen-/Kanal-Dokumentation
IEC-62443-Gap-Bewertungsbericht mit Sicherheitsstufenzielen und Behebungs-Roadmap
OT-Incident-Response-Plan mit industriespezifischen Playbooks für häufige Angriffsszenarien
Vierteljährlicher OT-Sicherheitsposture-Bericht mit Anomalietrendanalyse

Vorteile

Nutzen

NIS2-Artikel-21- und NERC-CIP-Audit-Anforderungen mit vollständiger IEC-62443-ausgerichteter Dokumentation erfüllen

Nutzen

Risiko- und Response-Indikatoren durch gemessene Kontrollen, eingeübte Playbooks und Evidenzprüfung sichtbar machen

Nutzen

Cyber-Versicherungsdeckung für OT-Assets mit dokumentierten Sicherheitsprogramm-Nachweisen erhalten

Kriterium
IEC 62443-3-2 Zonen- und Kanalmodell, Purdue-Modell-Diagramme
Kriterium
NERC-CIP-Incident-Reporting-Vorlagen, ICS-CERT-Benachrichtigungsverfahren
Compliance-Nachweis
IEC-62443-Kontroll-Checkliste, NERC-CIP-Nachweispakete
Reporting-Takt
Monatliches OT-SOC-Digest, vierteljährliche Posture-Bewertung, jährliche IEC-62443-Neubewertung

Häufig gestellte Fragen

Können Cybersicherheitswerkzeuge in OT-Umgebungen bereitgestellt werden, ohne Produktionsunterbrechungen zu riskieren?

Ja. OT-Sicherheit ist speziell nach dem Prinzip des passiven, nicht-intrusiven Monitorings ausgelegt. Asset-Entdeckungs- und Bedrohungserkennungswerkzeuge arbeiten durch Analyse des Netzwerkverkehrs über einen Tap- oder SPAN-Port, ohne Probes oder Pakete in das OT-Netzwerk zu senden. Dies eliminiert jedes Risiko der Störung von PLCs, RTUs oder Sicherheitssystemen, die empfindlich auf unerwarteten Netzwerkverkehr reagieren könnten.

Wie gehen Sie mit dem Patchen in OT-Umgebungen um, in denen Systeme nicht für Updates offline genommen werden können?

OT-Patch-Management erfordert einen grundlegend anderen Ansatz als IT. Wir implementieren eine kompensierende Kontrollstrategie, bei der Systeme, die nicht gepatcht werden können, durch Netzwerksegmentierung, Application Whitelisting und erweitertes Monitoring geschützt werden. Patches werden in einer Offline-Testumgebung validiert, die die Produktions-OT-Konfiguration spiegelt, bevor sie in einem geplanten Wartungsfenster eingesetzt werden, um durch Patches verursachte Prozessunterbrechungen zu minimieren.

Wie verwalten Sie den Zugriff von Drittanbieterlieferanten auf OT-Umgebungen sicher?

Wir implementieren eine OT-spezifische Privileged-Access-Management-Lösung, die zeitlich begrenzten, sitzungsaufgezeichneten Fernzugriff über ein sicheres Gateway ermöglicht. Lieferantenverbindungen werden per Richtlinie auf spezifische Assets und Protokolle beschränkt, Sitzungsaufzeichnungen werden für forensische Zwecke aufbewahrt, und jeder Zugriff erfordert Multi-Faktor-Authentifizierung und Genehmigung eines OT-Sicherheitsadministrators, bevor die Sitzung hergestellt wird.

Wie ist Ihr Ansatz zur Absicherung älterer PLCs, auf denen keine Sicherheits-Agenten ausgeführt werden können?

Ältere PLCs und andere agenten-feindliche Geräte werden über die Netzwerkschicht statt über das Gerät selbst abgesichert. Wir implementieren Netzwerk-Mikrosegmentierung zur Beschränkung der Kommunikation auf autorisierte Protokoll- und Adresspaare, setzen passive Anomalieerkennung zur Identifizierung von Abweichungen von normalen Kommunikationsmustern ein und nutzen Application Whitelisting auf Netzwerkebene, um nicht autorisierte Befehle oder Firmware-Updates zu blockieren.

Wie werden OT-Sicherheits-Liefergegenstände für Compliance-Zwecke von der IT-Sicherheitsdokumentation getrennt gehalten?

Wir pflegen separate Dokumentations-Repositories für OT- und IT-Sicherheitsprogramme, ausgerichtet an den jeweils geltenden regulatorischen Frameworks. OT-Dokumentation folgt der IEC-62443-Struktur, während IT-Dokumentation ISO 27001 folgt. Ein Querverweisindex wird gepflegt, um gemeinsame Kontrollen zu identifizieren und Duplikationen zu vermeiden, während die von jedem Framework geforderte Unabhängigkeit erhalten bleibt.

Kann der OT-Incident-Response-Plan in unser bestehendes unternehmensweites Incident-Response-Programm integriert werden?

Ja. Wir konzipieren OT-Incident-Response als Anhang zum unternehmensweiten IRP, unter Verwendung derselben Eskalationsstruktur und Schweregrad-Taxonomie, jedoch mit OT-spezifischen Entscheidungspunkten und Eindämmungsverfahren. Die Integration stellt sicher, dass bei Ausrufung eines OT-Incidents das unternehmensweite IR-Team die standardmäßigen Krisenkommunikations- und Geschäftskontinuitätsverfahren aktiviert, während OT-Spezialisten die technische Response unabhängig verwalten.

STARTPUNKT

Wo soll das Gespräch beginnen?

Dieses kurze Formular leitet Ihre Anfrage in die passende Support-Spur. Zuerst klären wir den Kontext, dann den sicheren Austauschweg.

  1. Wir erfassen den Kontext
  2. Wir wählen den sicheren Kanal
  3. Wir klären die erste Richtung

Datenschutzbewusster Erstkontakt; sicherer Austausch bei Bedarf; kein Verkaufsdruck.

Hauptthema der Anfrage