OT Security für Produktionsanlagen und Industrie
Operational Technology ist anders als IT — andere Protokolle, andere Risikomodelle, andere Patchzyklen. Ich bewerte Ihre industriellen Steuerungssysteme nach IEC 62443 und entwickle Schutzkonzepte, die den Betrieb nicht gefährden.
Warum OT-Security eigene Methoden braucht
Produktionsanlagen waren jahrzehntelang isoliert — kein Internet, kein Remote-Zugriff, keine Angriffsfläche. Das hat sich geändert. Fernwartung, Predictive Maintenance, ERP-Integration — moderne Fertigungsumgebungen sind vernetzt. Und damit angreifbar.
Das Problem: Die Systeme selbst sind es nicht. SPS-Steuerungen laufen auf veralteten Betriebssystemen ohne Patch-Unterstützung. Protokolle wie Modbus oder Profibus kennen keine Authentifizierung. Und ein Patch, der in der IT zehn Minuten dauert, erfordert in der OT einen geplanten Produktionsstillstand.
Klassische IT-Security-Werkzeuge funktionieren in dieser Umgebung nicht. Wer einen Schwachstellenscanner auf eine SPS loslässt, riskiert den Ausfall der Anlage. OT-Security braucht eigene Methoden, eigene Tools, eigenes Risikoverständnis.
OT Security — was ich für Sie tue
OT Asset-Inventarisierung
Vollständige Bestandsaufnahme aller OT-Assets: SPS, HMI, Sensoren, Gateways, Netzwerkkomponenten. Passiv, ohne Produktionseingriff. Grundlage für jede weitere Maßnahme.
Netzwerkanalyse & Segmentierung
Analyse der Kommunikationsflüsse zwischen IT und OT. Zonen- und Konduit-Modell nach IEC 62443-3-3. Empfehlungen für Segmentierung und kontrollierte IT/OT-Übergänge.
Risikobeurteilung nach IEC 62443
Strukturierte Bewertung von Bedrohungen und Schwachstellen für jede Sicherheitszone. Security Level Assessment. Priorisierter Maßnahmenplan nach Risikorelevanz.
Schutzkonzept & Policy
OT-spezifische Sicherheitsrichtlinien: Remote-Zugriff, Patch-Management in der OT, Zutritts- und Zugriffssteuerung, Backup-Strategie für Steuerungssysteme.
Incident Response für OT
Notfallkonzept für Cyberangriffe auf Produktionsumgebungen: Erkennung, Eindämmung, Wiederherstellung — ohne unnötige Produktionsunterbrechung.
NIS2 OT-Compliance
Für KRITIS-Betreiber und Wichtige Einrichtungen: OT-spezifische NIS2-Maßnahmen, BSI-Registrierung, Meldeprozesse für OT-Sicherheitsvorfälle.
IEC 62443 — der Standard für industrielle Cybersicherheit
ISMS für Betreiber
Sicherheitsmanagementsystem für Betreiber industrieller Automatisierungsanlagen
Sicherheits-Risikobeurteilung
Risikobeurteilung und Systemdesign — Grundlage für das Zonen-Konduit-Modell
Systemsicherheitsanforderungen
Security Levels 1–4 · Foundational Requirements · Systemsicherheitsspezifikation
Komponentenanforderungen
Sicherheitsanforderungen für SPS, HMI, Feldgeräte und Netzwerkkomponenten
OT Security — was Betreiber und Hersteller fragen
Was ist der Unterschied zwischen IT-Security und OT-Security?
IT-Security schützt Büro-IT, Server und Netzwerke — primär Daten und Verfügbarkeit. OT-Security schützt Operational Technology: SPS, SCADA, DCS, Feldgeräte in Produktions- und Prozessanlagen. Der entscheidende Unterschied: In der OT stehen physische Sicherheit und Verfügbarkeit im Vordergrund, Patches können nicht einfach eingespielt werden, und Systeme laufen oft 20+ Jahre. Klassische IT-Security-Maßnahmen funktionieren in der OT nicht ohne Anpassung.
Was fordert IEC 62443 konkret?
IEC 62443 ist eine Normenreihe — keine einzelne Norm. Die wichtigsten Teile: IEC 62443-3-3 (Systemsicherheitsanforderungen, Security Levels), IEC 62443-2-1 (ISMS für Betreiber), IEC 62443-4-2 (Komponentenanforderungen). Kern ist das Zonen-und-Konduit-Modell: Industrieanlagen werden in Sicherheitszonen unterteilt, die Kommunikation zwischen Zonen wird kontrolliert. Security Level 1–4 definiert den Schutz gegen unterschiedliche Angreifer-Kategorien.
Welche OT-Branchen haben das größte Risikopotenzial?
Aus meiner Beratungspraxis: Fertigungsunternehmen mit vernetzten Produktionsanlagen, Energieversorger, Wasserversorgung, Chemie und Pharmaunternehmen. Kritisch sind alle Umgebungen, in denen ein Cyberangriff physische Schäden, Produktionsausfälle oder Umweltfolgen verursachen kann. KRITIS-Betreiber haben zusätzliche gesetzliche Pflichten nach NIS2 und BSIG.
Wie läuft eine OT-Security-Bewertung ab?
Eine strukturierte OT-Security-Bewertung nach IEC 62443 umfasst: Asset-Inventarisierung (welche OT-Assets existieren?), Netzwerkanalyse (Zonen, Übergänge, offene Verbindungen), Schwachstellenbewertung (bekannte CVEs, Konfigurationsschwächen), Risikobeurteilung und Maßnahmenplan. Für eine mittelgroße Produktionsanlage dauert das drei bis sechs Wochen. Keine Produktionsunterbrechung notwendig.
Kann ich IT- und OT-Security gemeinsam angehen?
Ja — und das ist der sinnvolle Ansatz. IT und OT müssen getrennt betrachtet werden (andere Protokolle, andere Risikomodelle, andere Patchzyklen), aber in einem gemeinsamen Sicherheitskonzept zusammengeführt werden. Netzwerksegmentierung an der IT/OT-Grenze, kontrollierte Datenpunkte zwischen den Netzen, gemeinsames Incident-Response-Konzept — das ist der Stand der Technik.