Sie können nicht schützen, was Sie nicht sehen. Dieses Prinzip steht im Mittelpunkt jedes bedeutenden Cybersecurity-Frameworks für die Industrie – und es war noch nie so dringlich wie heute.

Angriffe auf die Lieferkette (Supply Chain Attacks) haben sich von einem theoretischen Risiko zu einer operativen Realität entwickelt. Wenn Angreifer Upstream-Lieferanten, Schwachstellen in vernetzten Systemen oder unerkannte Drittanbieter-Assets kompromittieren, reicht die Schadenswirkung weit über ein einzelnes Unternehmen hinaus. Eine Sicherheitsverletzung bei einem Komponentenzulieferer kann sich auf Fertigungsanlagen, Wasserwerke und Stromnetze auswirken.

Hier liegt die Herausforderung: Den meisten Industrieunternehmen fehlt die vollständige Transparenz über ihre OT-Asset-Landschaft (Operational Technology). Viele Anlagen verlassen sich immer noch auf manuelle Tabellenkalkulationen, veraltete Netzwerkdiagramme oder unvollständige Lieferantenlisten. Bei Compliance-Audits – oder schlimmer noch, im Ernstfall – wird diese mangelnde Transparenz zu einem kritischen Haftungsrisiko.

Dieser Blog-Beitrag zeigt Ihnen, was Asset Discovery für das Risikomanagement in der Lieferkette wirklich bedeutet, wie es mit NIST 800-161, IEC 62443-4-1 und NIS2 (CIP-013) übereinstimmt und wie Sie ein praxisnahes Programm aufbauen, das in Ihrer Umgebung tatsächlich funktioniert. Ob Werksleiter, OT-Ingenieur oder CISO – hier finden Sie konkrete Maßnahmen, die Sie noch heute umsetzen können.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blog-Beitrag zur detaillierten Analyse: Der Gentlemen-Ransomware-Angriff auf Mackay Sugar hier zu lesen.

Warum Asset Discovery für das Risikomanagement in der Lieferkette kritisch ist

Asset Discovery ist kein optionales Extra. Es ist das Fundament für alle weiteren Sicherheitsmaßnahmen.

Wenn Sie jedes Asset erfassen – industrielle Steuerungen, Netzwerkknoten, Drittanbieter-Integrationen, Fernzugriffspunkte, Funksensoren –, erhalten Sie die Möglichkeit, folgende Punkte umzusetzen:

• Abhängigkeiten in der Lieferkette identifizieren. Verstehen Sie, welche Lieferanten, Komponenten und Systeme in Ihre kritischen Prozesse einfließen.

• Unbefugte Zugriffspunkte erkennen. Finden Sie nicht genehmigte Verbindungen zu Dritten, Wartungskomponenten oder Cloud-Integrationen, die formell nicht freigegeben wurden.

• Schwachstellenexposition bewerten. Wissen Sie, welche Assets bekannten CVEs, End-of-Life-Software oder nicht unterstützten Firmware-Versionen ausgesetzt sind.

• Compliance-Status überprüfen. Weisen Sie Auditoren nach, dass Sie Ihre Systeme ordnungsgemäß inventarisiert und deren Risiken bewertet haben.

• Schneller auf Vorfälle reagieren. Bei einem Sicherheitsvorfall kostet eine unvollständige Asset-Datenbasis wertvolle Stunden. Vollständige Sichtbarkeit ermöglicht es Ihnen, betroffene Systeme sofort zu isolieren.

Das Risikomanagement in der Lieferkette erfordert diese Transparenz. Sie können die Sicherheitsmaßnahmen von Lieferanten nicht bewerten, wenn Sie nicht jeden Anschlusspunkt an Ihr Netzwerk kennen. Sie können Datenzugriffe von Dritten nicht beurteilen, wenn Sie nicht dokumentiert haben, wer über legitime Verbindungen verfügt.

NIST 800-161: Das Framework für das Risikomanagement in der Lieferkette

NIST SP 800-161 (Supply Chain Risk Management Practices for Federal Information Systems and Organizations) bietet den maßgeblichen Standard zur Bewertung und Steuerung von Lieferantenrisiken. Obwohl ursprünglich für staatliche Systeme entwickelt, sind seine Prinzipien mittlerweile branchenweit anerkannt.

NIST 800-161 Kernprinzipien

NIST 800-161 fordert von Organisationen:

1. Das Ökosystem der Lieferkette abbilden. Identifizieren Sie alle Lieferanten, Komponenten, Dienstleister und Integrationspunkte.

2. Lieferantenrisiko bewerten. Evaluieren Sie den Sicherheitsreifegrad, Zertifizierungen und die Vorfallshistorie jedes Lieferanten.

3. Schutzmaßnahmen definieren. Verpflichten Sie Lieferanten vertraglich zur Einhaltung bestimmter Sicherheitsstandards und zur Meldung von Vorfällen.

4. Lieferantensicherheit überwachen. Führen Sie regelmäßige Audits durch, fordern Sie Sicherheitsdokumente an und prüfen Sie die Einhaltung.

5. Reaktionsprozesse entwickeln. Bereiten Sie Eskalationspläne, Anforderungen für Vorfallsmeldungen und Fristen zur Behebung vor.

Wie Asset Discovery die Einhaltung von NIST 800-161 ermöglicht

Asset Discovery ist der erste Schritt zur NIST-Compliance. Sie müssen wissen:

• Welche Drittanbieter-Komponenten in Ihre OT-Umgebung integriert sind.

• Wohin Daten an externe Systeme fließen (Cloud-Analysen, Überwachungsplattformen von Lieferanten etc.).

• Welche Lieferanten über Fernzugriff auf Ihre Netzwerke verfügen.

• Welche Altsysteme oder veraltete Software vorhanden sind, die von gefährdeten Partnern in der Lieferkette abhängen könnten.

Ohne Asset Discovery führen Sie Risikobewertungen in der Lieferkette im Blindflug durch.

Praktische Aufgaben zur Asset Discovery nach NIST 800-161:

• Katalogisieren Sie sämtliche in den OT-Systemen verwendete Hard- und Software sowie Dienstleistungen.

• Dokumentieren Sie alle vom Lieferanten bereitgestellten Integrationen (APIs, Fernwartungstools, Firmware-Updates).

• Identifizieren und erfassen Sie alle Netzwerkverbindungen zu externen Stellen.

• Kennzeichnen Sie alle Assets oder Lieferanten ohne dokumentierte Sicherheitszertifizierungen oder Vorfallshistorie.

• Erstellen Sie ein „Lieferantenrisikoregister“, das jedes identifizierte Asset mit seinem Anbieter und den damit verbundenen Risiken verknüpft.

IEC 62443-4-1: Der Industriestandard für Sicherheit in der Lieferkette

Die Normenreihe IEC 62443 ist der international und vom BSI anerkannte Standard für OT-Sicherheit. Während NIST stark governance-orientiert ist, bietet die IEC 62443 detaillierte technische Vorgaben für die Sicherheitsbewertung auf Asset-Ebene sowie für Lebenszyklus-Anforderungen bei Produktentwicklungen im industriellen Umfeld.

IEC 62443 und Anforderungen an das Asset-Inventar

Die Sicherheitsstandards fordern von Organisationen explizit die Pflege eines umfassenden Asset-Inventars, das Folgendes beinhaltet:

• Identifikation und Klassifizierung von Assets. Jede Steuerung (SCADA/PLC), jeder Sensor, jedes Gateway und jedes Netzwerkgerät muss katalogisiert und nach Sicherheitskritikalität klassifiziert werden.

• Hersteller- und Lieferanteninformationen. Verknüpfen Sie Assets mit ihren Herstellern und Lieferanten.

• Lebenszyklus-Status (Lifecycle). Dokumentieren Sie, wann jedes Asset in Betrieb genommen wurde, wann der Support endet (End-of-Support) und wann es außer Betrieb genommen werden soll.

• Sicherheitseigenschaften. Erfassen Sie Patch-Status, Authentifizierungsfunktionen, Verschlüsselungsunterstützung und bekannte Schwachstellen.

• Konnektivität und Datenfluss. Bilden Sie ab, wie jedes Asset mit anderen kommuniziert und welche Daten es verarbeitet.

Das Sicherheitszonen-Modell

IEC 62443 nutzt einen zonenbasierten Sicherheitsansatz (Zones and Conduits). Assets werden nach Funktion und Sicherheitsanforderungen gruppiert:

Für jede Zone muss die Asset Discovery Folgendes identifizieren:

• Physisch vorhandene Geräte und Systeme.

• Netzwerkabhängigkeiten zwischen den Zonen.

• Datenflüsse, die in die Zone eintreten oder diese verlassen.

• Externe Verbindungen zu Lieferanten oder Cloud-Diensten.

NIS-2 CIP-013: Die europäische Vorgabe für die Lieferkette

Die EU-NIS-2-Richtlinie und die damit verbundenen nationalen Umsetzungen (z. B. das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz in Deutschland) legen besonderen Wert auf die Sicherheit von Lieferketten. Betreiber Kritischer Infrastrukturen (KRITIS) sowie andere wichtige Einrichtungen müssen die Cybersicherheit in ihren Lieferbeziehungen streng regulieren.

NIS-2 Anforderungen an das Risikomanagement in der Lieferkette

Die Richtlinie verpflichtet Betreiber zu Folgendem:

1. Identifikation und Katalogisierung aller Lieferanten und Dienstleister, die Auswirkungen auf die Vertraulichkeit, Integrität oder Verfügbarkeit kritischer Systeme haben könnten.

2. Durchführung von Sicherheitsbewertungen von Lieferanten vor der Integration ihrer Produkte oder Dienstleistungen.

3. Etablierung von Sicherheitsanforderungen für Lieferanten durch vertragliche Vereinbarungen.

4. Fortlaufende Überwachung der Compliance von Lieferanten.

5. Implementierung von Meldepflichten für Vorfälle, damit Lieferanten Sicherheitsvorfälle unverzüglich melden.

Im Gegensatz zu NIST 800-161 (Karakter von Leitlinien) oder IEC 62443 (technischer Standard) ist NIS-2 gesetzlich bindend. Bei Nichteinhaltung drohen empfindliche Sanktionen und Bußgelder.

Wie Asset Discovery die Einhaltung von NIS-2 unterstützt

Asset Discovery unterstützt die NIS-2-Compliance direkt durch:

• Erstellung des Audit Trails. Dokumentieren Sie jedes OT-Asset und seinen Lieferanten, um die Erfüllung der Erfassungspflichten nachzuweisen.

• Ermöglichung von Lieferantenbewertungen. Erkennen Sie, welche Lieferanten formelle Sicherheitsbewertungen benötigen und welche das größte Risiko darstellen.

• Unterstützung der Vertragsdurchsetzung. Nutzen Sie Asset-Daten, um zu überprüfen, ob Lieferanten ihre vertraglichen Sicherheitsverpflichtungen tatsächlich einhalten.

• Nachweis der Sorgfaltspflicht. Zeigen Sie den Aufsichtsbehörden (wie dem BSI), dass Sie eine umfassende Due-Diligence-Prüfung in Ihrer gesamten Lieferkette durchgeführt haben.

Reale Bedrohungen für Lieferketten in OT-Umgebungen

Um zu verstehen, warum Asset Discovery so wichtig ist, muss man die tatsächlichen Bedrohungen kennen:

Angriffsvektoren in der Lieferkette

Kompromittierte Hardware: Gefälschte Komponenten, manipulierte Firmware mit Backdoors oder absichtlich manipulierte Mikrochips können in die Lieferkette gelangen. Ohne Asset Discovery wissen Sie unter Umständen nicht einmal, dass Sie bei einem nicht autorisierten Händler eingekauft haben.

Anfällige Drittanbieter-Software: Viele Betriebe nutzen veraltete Industriesoftware mit ungepatchten Schwachstellen. Wenn diese Software von einem übernommenen Anbieter stammt oder Open-Source-Bibliotheken mit bekannten Sicherheitslücken nutzt, hilft Ihnen Asset Discovery, diese aufzufinden.

Unbefugter Fernzugriff: Lieferanten fordern häufig Fernzugriff für „Überwachung“ oder „Support“ an. Ohne Sichtbarkeit aller Netzwerkverbindungen können unbefugte VPN-Tunnel, Modems oder Cloud-Integrationen unentdeckt bestehen bleiben.

Kompromittierung über Dienstleister: Ein externer Wartungstechniker, ein Engineering-Dienstleister oder ein Cloud-Anbieter könnte kompromittiert werden, was Angreifern ein Hintertür in Ihr Netz öffnet. Asset Discovery deckt diese Verbindungspunkte auf.

Schwachstellen in Firmware und Patch-Ketten: Wenn Sie nicht wissen, auf welchen Assets veraltete Firmware oder ungepatchte Betriebssysteme laufen, können Sie nicht beurteilen, ob diese für bekannte Exploits anfällig sind – oder ob solche Schwachstellen über kompromittierte Lieferketten eingeschleust wurden.

Szenario aus der Praxis

Stellen Sie sich einen lebensmittelverarbeitenden Betrieb vor, der veraltete SCADA-Systeme betreibt, die über eine alte, unverschlüsselte VPN-Verbindung mit einem externen Logistikdienstleister kommunizieren. Ohne Asset Discovery wusste niemand, dass diese Verbindung existiert – oder dass sie seit drei Jahren nicht mehr gepatcht wurde. Als Prüfer nach Drittanbieter-Integrationen fragten, konnte das Werk keine vollständige Liste vorlegen. Als Monate später ein Vorfall auftrat, stellten Forensiker fest, dass der VPN-Tunnel bereits seit Monaten kompromittiert war.

Mit einer funktionierenden Asset Discovery wäre dies sofort aufgefallen.

Aufbau eines effektiven OT-Asset-Discovery-Programms

Asset Discovery ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess. So bauen Sie es auf:

Phase 1: Das Fundament für Ihr Inventar schaffen

Schritt 1: Manuelle Dokumentation zusammentragen Beginnen Sie mit der Erfassung bestehender Aufzeichnungen: Netzwerkdiagramme, Einkaufsbelege für Geräte, Lieferantenlisten, Systemdokumentationen und Sicherheitsaudits. Selbst unvollständige Daten bieten eine hervorragende Ausgangsbasis.

Schritt 2: Werksbegehung (Site Walk) Lassen Sie Ihre OT-Ingenieure kritische Bereiche physisch begehen und dokumentieren, was sie sehen. Machen Sie Fotos. Erfassen Sie Seriennummern. Notieren Sie alle nicht dokumentierten Verbindungen oder Modifikationen.

Schritt 3: Stakeholder interviewen Sprechen Sie mit Anlagenbedienern, Instandhaltungsteams und Lieferanten. Diese wissen oft von Workarounds, alten Legacy-Verbindungen und inoffiziellen Integrationen, die in keiner offiziellen Dokumentation auftauchen.

Schritt 4: Master-Asset-Liste erstellen Erstellen Sie eine zentrale Tabelle oder Datenbank, die mindestens folgende Daten erfasst:

• Name und Typ des Assets (PLC, HMI, Gateway, Sensor etc.)

• Hersteller und Modell

• IP-Adresse oder Netzwerkkennung

• Firmware-/Softwareversion

• Inbetriebnahmedatum

• Lieferant/Hersteller

• Kritikalitätsstufe (sicherheitskritisch, essenziell, unkritisch)

• Letzter Patch/letztes Update

• Bekannte Schwachstellen

Phase 2: Abhängigkeiten in der Lieferkette identifizieren

Schritt 1: Lieferantenbeziehungen abbilden Dokumentieren Sie für jedes Asset den zugehörigen Lieferanten bzw. Hersteller. Erfassen Sie:

• Name und Standort des Lieferanten

• Sicherheitszertifizierungen (ISO 27001, SOC 2, IEC 62443 etc.)

• Verfügbarkeit von Support und Patches

• Anforderungen für den Fernzugriff

Schritt 2: Drittanbieter-Integrationen katalogisieren Dokumentieren Sie jeden Punkt, an dem sich externe Parteien mit Ihrem OT-Netzwerk verbinden:

• Fernzugriff für Lieferanten (Modems, VPN, Cloud-Tools)

• Cloud-basierte Analyse- oder Überwachungsdienste

• Ausgelagerte Wartungs- oder Engineering-Dienstleistungen

• Datenströme von Lieferanten oder Kunden

Schritt 3: Lieferantenrisiken bewerten Bewerten Sie für kritische Lieferanten folgende Kriterien:

• Stabilität des Unternehmens (ist der Anbieter langfristig am Markt?)

• Sicherheitsniveau (gibt es einen CISO, einen Vorfallsreaktionsplan?)

• Sicherheitsvorfälle in der Vergangenheit (wurde das Unternehmen bereits kompromittiert?)

• Regulatorische Compliance (werden einschlägige Standards erfüllt?)

Phase 3: Automatische Discovery implementieren

Die manuelle Asset Discovery ist ein guter Anfang, lässt sich jedoch nicht skalieren. Setzen Sie Tools ein, die:

• Ihr Netzwerk scannen, um aktive Geräte, deren IP-Adressen und offene Ports zu identifizieren (vorzugsweise passiv, um OT-Systeme nicht zu stören).

• Den Netzwerkverkehr analysieren, um nicht dokumentierte Datenflüsse, Cloud-Integrationen und externe Verbindungen aufzudecken.

• Veränderungen überwachen, damit Sie sofort alarmiert werden, wenn sich neue Geräte verbinden oder bestehende Assets modifiziert werden.

• Compliance-Berichte generieren, die Ihre Asset-Daten direkt mit den Anforderungen von NIST 800-161, IEC 62443 und NIS-2 abgleichen.

Phase 4: Pflege und Aktualisierung

Asset Discovery ist eine Daueraufgabe:

• Führen Sie vierteljährliche Überprüfungen Ihres Asset-Inventars durch.

• Aktualisieren Sie Kritikalitätsbewertungen bei Produktionsänderungen oder System-Upgrades.

• Bewerten Sie Lieferantenrisiken jährlich neu.

• Dokumentieren Sie Änderungen mit Datum, Grund und Genehmigungsvermerk.

• Archivieren Sie ausgemusterte Assets, um eine lückenlose Historie zu gewährleisten.

Praktische Checkliste für Asset Discovery

Nutzen Sie diese Checkliste, um Ihr Programm zu starten:

Checkliste: Grundlagen der Discovery

• [ ] Alle OT-Geräte inventarisieren (PLCs, RTUs, IEDs, HMIs, Gateways, Sensoren)

• [ ] Netzwerktopologie dokumentieren (Netzwerkdiagramme, VLAN-Zuordnungen, Firewalls)

• [ ] Software- und Firmware-Versionen katalogisieren für jedes Asset

• [ ] Alle internetfähigen Geräte identifizieren (direkt oder über Brücken)

• [ ] Alle Fernzugriffspunkte auflisten (Modems, VPN-Geräte, Cloud-Anbindungen)

• [ ] Datenströme kartieren zwischen Zonen und externen Systemen

• [ ] Standard-Passwörter (Default Credentials) identifizieren, die noch aktiv sind, und Behebung planen

• [ ] Drahtlose Netzwerke (WLAN/Wireless) und deren Sicherheitskontrollen dokumentieren

Checkliste: Risiken in der Lieferkette

• [ ] Lieferanten-Matrix erstellen (jedes Asset mit dem jeweiligen Lieferanten verknüpfen)

• [ ] Sicherheitszertifizierungen von Lieferanten prüfen (Einhaltung von ISO 27001, NIST, IEC 62443)

• [ ] Vorfallshistorie von Lieferanten analysieren (gab es dort bereits Sicherheitsvorfälle?)

• [ ] Fernzugriffsanforderungen von Lieferanten dokumentieren (VPN, Cloud-Tools, Modems)

• [ ] Vertragliche Anforderungen festlegen (Service Level Agreements, Meldepflichten, Sicherheitskontrollen)

• [ ] Jährliche Risikobewertungen der Lieferanten durchführen

• [ ] Protokoll für alle Datenzugriffe von Dritten erstellen (welche Daten, wie oft, wie lange)

Checkliste: Ausrichtung an Compliance-Standards

Für NIST 800-161:

• [ ] Dokumentierte Risikobewertung der Lieferkette vorhanden

• [ ] Formular zur Sicherheitsbewertung für alle kritischen Lieferanten ausgefüllt

• [ ] Vertragsklauseln zu Sicherheitskontrollen der Lieferanten implementiert

• [ ] Nachweise zur Lieferantenüberwachung vorhanden (Auditberichte, Sicherheitsbewertungen)

Für IEC 62443-4-1:

• [ ] Alle Assets nach Security Level (SL 1–4) klassifiziert

• [ ] Asset-Kritikalität und wechselseitige Abhängigkeiten dokumentiert

• [ ] Lebenszyklus-Status für jedes Asset erfasst (aktiv, End-of-Support, abgekündigt)

• [ ] Zonenbasiertes Inventar gepflegt (Safety, Control, Information, Third-Party)

Für NIS-2 / KRITIS-Vorgaben:

• [ ] Master-Lieferantenliste aktiv, die alle Stellen mit Zugriff auf kritische Systeme ausweist

• [ ] Berichte zur Sicherheitsbewertung von Lieferanten archiviert

• [ ] Vertragliche Vereinbarungen mit klaren Meldepflichten für Sicherheitsvorfälle abgeschlossen

• [ ] Audit Trail zur Überwachung der Einhaltung von Lieferantenvorgaben vorhanden

Roadmap zur Implementierung von Asset Discovery

Hier ist ein bewährter Zeitplan für die Einführung der Asset Discovery:

Herausforderungen erfolgreich meistern

Herausforderung 1: Veraltete oder proprietäre Systeme Viele Industrieanlagen betreiben Systeme, die älter als 20 Jahre sind. Herkömmliche IT-Sicherheitstools erkennen veraltete Protokolle oder proprietäre Systeme oft nicht.

Lösung: Kombinieren Sie automatisierte, passive Scans mit manueller Verifizierung. Arbeiten Sie eng mit den OT-Ingenieuren vor Ort zusammen, die diese Systeme im Detail kennen.

Herausforderung 2: Vorbehalte gegenüber Veränderungen Bediener befürchten oft, dass Netzwerk-Scans die Produktion stören oder dass die Pflicht zur Dokumentation zu viel bürokratischen Mehraufwand bedeutet.

Lösung: Machen Sie deutlich, dass Asset Discovery Ausfälle verhindert, indem Sicherheitsrisiken erkannt werden, bevor sie zu ungeplanten Stillständen führen.

Herausforderung 3: Ressourcenmangel In vielen Werken fehlt es an dediziertem Personal für die OT-Sicherheit.

Lösung: Beginnen Sie mit den Systemen, die das höchste Risiko bergen. Priorisieren Sie sicherheitskritische Zonen und externe Verbindungen. Setzen Sie auf eine schrittweise Einführung.

Herausforderung 4: Widerstand von Lieferanten Einige Anbieter reagieren zögerlich, wenn sie nach detaillierten Sicherheitsnachweisen oder ihrer Vorfallshistorie gefragt werden.

Lösung: Verankern Sie die Sicherheits- und Transparenzanforderungen von vornherein in den Verträgen und Vergabeunterlagen.

Verknüpfung von Asset Discovery mit Ihren Security Operations

Asset Discovery ist keine isolierte Compliance-Aufgabe – sie bildet das Fundament für Ihre gesamte Verteidigungsstrategie:

• Das Vulnerability Management basiert zwingend darauf, zu wissen, welche Assets vorhanden und wo sie verwundbar sind.

• Die Angriffserkennung (Threat Detection) erfordert das Verständnis normaler Datenströme, was erst nach der Erfassung aller Assets möglich ist.

• Die Vorfallsreaktion (Incident Response) läuft um ein Vielfaches schneller ab, wenn exakt bekannt ist, welches Gerät betroffen ist und wer Zugriff darauf hat.

• Der Nachweis gegenüber Regulierungsbehörden (z. B. dem BSI im Rahmen von KRITIS) ist ohne eine saubere Dokumentation unmöglich.

Asset Discovery steuert zudem folgende Prozesse:

• Zugriffssteuerungsrichtlinien (Wer darf wann und auf welche Systeme per Fernzugriff zugreifen?)

• Patch-Management-Pläne (Welche Assets sind kritisch und müssen vordringlich aktualisiert werden?)

• Backup- und Recovery-Prozesse (Welche Systeme müssen im Ernstfall zuerst wiederhergestellt werden?)

• Lieferantenverträge (Festlegung spezifischer Sicherheitsvorgaben, die Vertragspartner einhalten müssen)

Richtig umgesetzt wird die Asset Discovery zu einem dynamischen Instrument, das alle nachgelagerten Sicherheitsentscheidungen steuert.

Starten Sie noch heute

Sie benötigen weder perfekte Werkzeuge noch ein unbegrenztes Budget, um anzufangen. Entscheidend sind Struktur und Verbindlichkeit.

Diese Woche:

• Planen Sie ein Kick-off-Meeting mit Ihren OT-, IT- und Compliance-Teams.

• Ernennen Sie einen Verantwortlichen für die Asset Discovery, der das Programm vorantreibt.

• Sammeln Sie vorhandene Dokumente (Netzwerkpläne, Inventarlisten, Lieferantenverträge).

Nächster Monat:

• Vervollständigen Sie Ihre Master-Asset-Liste mithilfe der obigen Checkliste.

• Identifizieren Sie Ihre Top-10-Lieferanten und bewerten Sie deren Sicherheitsniveau.

• Erfassen Sie alle externen Verbindungen (VPNs, Cloud-Schnittstellen, Fernwartungszugänge).

Nächstes Quartal:

• Führen Sie automatisierte Discovery-Tools ein, um die manuelle Dokumentation abzulösen bzw. zu ergänzen.

• Führen Sie eine Risikobewertung der Lieferkette durch, die sich an NIST 800-161, IEC 62443 oder den NIS-2-Vorgaben orientiert.

• Beginnen Sie mit der Behebung der gravierendsten Schwachstellen (fehlende Patches, unbefugte Zugriffe, veraltete Systeme).

Je länger Sie warten, desto größer ist das Risiko, das Sie in Ihrer Lieferkette und Ihren Systemen unbemerkt mittragen.

Fazit:

Angriffe auf die Lieferkette sind keine theoretische Gefahr mehr. Sie finden tagtäglich statt und nutzen meist Lücken in der Sichtbarkeit von Industrieanlagen aus.

Durch die Implementierung einer umfassenden OT-Asset-Discovery nach NIST 800-161, IEC 62443 und NIS-2 erhalten Sie die nötige Transparenz, um:

• Risiken in der Lieferkette frühzeitig zu erkennen, bevor sie zu einem Sicherheitsvorfall führen.

• Die Einhaltung von Vorgaben gegenüber Auditoren und Behörden lückenlos nachzuweisen.

• Sicherheitsvorfälle schneller einzudämmen und Schaden zu minimieren.

• Fundierte Entscheidungen darüber zu treffen, welche Systeme und Lieferanten Priorität haben.

• Kritische Infrastrukturen effektiv vor Kompromittierung zu schützen.

Der Weg zur vollständigen Transparenz bringt oft unbequeme Wahrheiten über veraltete Systeme und unkontrollierte Schnittstellen ans Licht. Doch genau diese Transparenz ist es, die Sie Angreifern einen entscheidenden Schritt voraus sein lässt.

Nächste Schritte

Um Ihr Asset-Discovery-Programm zu beschleunigen, laden Sie unsere kostenlosen Vorlagen herunter:

• Checkliste für das OT-Asset-Inventar: Eine detaillierte Vorlage, die Sie an Ihre Umgebung anpassen können – abgestimmt auf NIST 800-161, IEC 62443 und NIS-2.

• Playbook zur Risikobewertung von Lieferanten: Eine Schritt-für-Schritt-Anleitung zur Überprüfung externer Sicherheitskontrollen und zum Nachweis der Sorgfaltspflicht.

• Vorlage für Netzwerkkartierung & Kritikalitätsmatrix: Ein Tabellendokument zur Strukturierung Ihrer Assets nach Zone, Kritikalität und Lieferant.

Oder fordern Sie eine Beratung durch unsere Experten an. Wir unterstützen Sie dabei, bestehende Transparenzlücken zu analysieren, Ihr Programm an gesetzliche Vorgaben anzupassen und eine praxistaugliche Roadmap für Ihre Anlagen zu entwickeln. Die Sicherheit Ihres Betriebs hängt von Ihrer Lieferkette ab. Die Sicherheit Ihrer Lieferkette beginnt mit Asset Discovery. Überlassen Sie sie nicht dem Zufall.

Weitere Ressourcen:

Umfassender Leitfaden zu Network Detection and Response (NDR) in 2026 hier
Checkliste zur Vorbereitung auf die interne Netzwerk-Sicherheitsüberwachung nach NERC CIP-015 für Energieversorger hier
Grundlagen-Leitfaden für ein OT-SOC hier
Managed SOC Services hier
OT Cyber Threat Intelligence Advisory - Middle East hier
NIS-2-Richtlinie: Erreichung der NIS-2-Compliance durch IEC 62443 hier
Was sind Wechselmedien? Risiken, Richtlinien und Sicherheitslösungen für die OT hier
Kostenlose Richtlinien-Vorlage für Wechselmedien für OT- und IT-Teams hier