Erstellung eines funktionierenden OT-Asset-Inventars: Die Gründe und Methoden
Prayukth K V
6. Juni 2025
Aufbau eines funktionierenden OT-Asset-Inventars: Die Gründe und Vorgehensweisen
In der heutigen, von Bedrohungen geprägten Betriebslandschaft sind industrielle Umgebungen, von Kraftwerken bis hin zu Raffinerien, von Wasseraufbereitungssystemen bis zu smarten Fabriken, zunehmend vernetzt, komplex und anfällig. Inmitten dieser Komplexität hat sich die Entdeckung und Verwaltung von OT-Assets als eine der grundlegendsten Komponenten der Cybersicherheit in der Betriebstechnologie (OT) herauskristallisiert.
Dennoch ist die Asset-Entdeckung in vielen Industrieunternehmen entweder unvollständig, statisch oder völlig ausgeblendet. Ohne ein Echtzeit-Inventar an Assets ist es nahezu unmöglich, diese zu sichern. Angesichts der wachsenden Cyberbedrohungen, von Ransomware, die auf SPSs abzielt, bis hin zu staatsgesponserter ICS-Espionage, ist das nicht länger akzeptabel.
Dieser Artikel untersucht, warum die Entdeckung und Verwaltung von OT-Assets entscheidend ist, wie OT-Betreiber und Cybersicherheitsteams dies effektiv angehen können, und bietet eine praktische Checkliste für die Implementierung.
Warum die Entdeckung und Verwaltung von OT-Assets wichtig ist
1. Cyberrisiken beginnen mit dem, was Sie nicht wissen
Sie können nicht schützen, was Sie nicht sehen können. Unbekannte oder unverwaltete Assets, wie z.B. nicht autorisierte Ingenieurlaptops, Schatten-SPSen, veraltete Windows-Systeme oder sogar vom Anbieter installierte Hintertüren, stellen blinde Flecken in Ihrem Netzwerk dar. Diese werden häufig zu Einstiegspunkten für Angreifer.
2. Ermöglicht effektives Vulnerabilitätsmanagement
Viele ICS-Komponenten haben bekannte Schwachstellen (z.B. CVEs, die Siemens S7 SPSen, GE DCS-Controller usw. betreffen). Die Entdeckung von Assets ermöglicht es, Schwachstellen spezifischen Assets zuzuordnen, Prioritäten basierend auf Kritikalität zu setzen und Patching- oder Segmentierungsstrategien entsprechend zu planen.
3. Unterstützt Segmentierung und Netzwerkdesign
Zu wissen, welche Rolle, welches Verhalten und welche Kommunikationsmuster jedes Asset hat, hilft, Zonen und Kanäle gemäß IEC 62443 zu definieren. Dies ist entscheidend für die Isolierung kritischer Assets von der Unternehmens-IT-Ebene und zur Reduzierung der Angriffsfläche.
4. Essentiell für die Incident Response
Während eines Vorfalls, wie z.B. einem Malware-Ausbruch oder einem Ransomware-Ereignis, ermöglicht es Echtzeit-Asset-Daten den Reagierenden, effektiver einzugreifen, zu isolieren und zu beheben. Sie bieten Klarheit darüber, was gefährdet ist, was betroffen ist und was noch funktionieren kann.
5. Compliance und Governance
Regulierungen wie NIS2, CEA-Richtlinien (Indien) und IEC 62443 verlangen zunehmend genaue Asset-Inventare, Vulnerabilitätsmanagement und dokumentierte Kontrollen. Entdeckungstools vereinfachen die Compliance und reduzieren die Prüfungsbelastung.
OT-Asset-Discovery vs. IT-Asset-Discovery
Die Asset-Verwaltung in OT ist völlig anders als in IT. Hier sind einige der wichtigsten Unterschiede:
Kategorie | IT-Umgebungen | OT-Umgebungen |
Entdeckungsansatz | Agentenbasiert, aktives Scannen | Passiv, agentenlos, protocol-aware, risikobasiert |
Systeme | Standardisiert (Windows/Linux) | Gemischt und heterogen (SPS, RTU, HMI, IED) |
Risikotoleranz | Kann aktive Scans leicht tolerieren | Aktive Scans können zu Prozessstörungen führen |
Update-Zyklen | Häufiges Patching ist möglich | Patching ist oft eingeschränkt aufgrund von Betriebsanforderungen und/oder Stabilitätsbedenken |
Lebenszyklus | 3–5 Jahre | 10–30 Jahre oder mehr |
Daher erfordert die OT-Asset-Discovery zweckgebundene Tools und Prozesse, die mit den Realitäten von ICS-Umgebungen übereinstimmen.
Wichtige Säulen der OT-Asset-Discovery und -verwaltung
1. Passive Netzwerküberwachung
Tools wie Nozomi Networks, Claroty, Dragos oder Cisco Cyber Vision überwachen den Netzwerkverkehr passiv über SPAN-Ports oder Netzwerk-Taps. Diese Tools:
· Identifizieren Assets basierend auf ICS-Protokollen (z.B. Modbus, DNP3, Profinet, EtherNet/IP)
· Kartieren Kommunikationsflüsse
· Erkennen Änderungen im Verhalten von Assets
· Bieten ein aktuelles Inventar
2. Aktives Probing (Selektiv)
Sorgfältig und in begrenztem Umfang eingesetzt, hilft aktives Scannen, schlafende Assets zu entdecken oder fehlende Datenfelder (z.B. Firmware-Version) zu vervollständigen. Dies sollte jedoch niemals unüberlegt durchgeführt werden und nur während geplanter Ausfallzeiten oder in Testumgebungen.
3. Integration mit CMDB und ITAM
Entdeckte OT-Assets sollten in eine zentrale Konfigurationsmanagementdatenbank (CMDB) oder ein Asset-Management-System (ITAM) eingespeist werden, mit separater Kennzeichnung für Kritikalität, Zone und Funktion.
4. Kontextuelle Anreicherung
Es reicht nicht aus, nur zu wissen, dass „Gerät A eine SPS ist“. Sie benötigen angereicherte Metadaten:
· Hersteller, Modell, Seriennummer
· Installierte Firmware-Version
· Laufende Protokolle
· Kommunikationspartner
· Status des Ingenieurzugriffs
Diese kontextuellen Details ermöglichen die Priorisierung von Schwachstellen, die Wartungsplanung und die Änderungsüberwachung.
5. Lebenszyklusmanagement
Asset-Management ist kein einmaliges Projekt. Es erfordert:
· Kontinuierliche Überwachung
· Änderungsüberwachung und Validierung
· Regelmäßige Audits
· Nachverfolgung der Deinstallation
In reifen OT-Umgebungen werden Assets von der Beschaffung bis zur Stilllegung, einschließlich Ersatzteilen und Staging-Systemen, gekennzeichnet.
Häufige Herausforderungen im OT-Asset-Management
Herausforderung | Beschreibung |
Anbieter-Schwarzkästen | Systeme, bei denen Anbieter keinen Zugang oder keine Dokumentation gewähren, wodurch das Inventar schwierig wird |
Veraltete Geräte | Viele ältere Assets unterstützen keine modernen Protokolle oder haben bekannte Schwachstellen |
Flache Netzwerke | Mangel an Segmentierung macht die Isolierung und Klassifizierung von Assets schwierig |
Manuelles Inventar | Excel-basierte Nachverfolgung ist fehleranfällig und schnell veraltet |
Änderungsblindheit | Ohne automatische Benachrichtigungen bleiben neue oder geänderte Assets unbemerkt |
Organisatorische Silos | Schlechte Zusammenarbeit zwischen IT, OT, Wartung und Cybersicherheitsteams |
Best Practices für OT-Asset-Discovery und -Management
1. Beginnen Sie mit einer Analyse der Kronjuwelen
Identifizieren Sie Ihre kritischsten Prozesse und Systeme. Priorisieren Sie die Sichtbarkeit und Überwachung dieser Assets zuerst.
2. Setzen Sie passive Entdeckungstools frühzeitig ein
Nutzen Sie passive Überwachung mit Tools wie Shieldworkz als Ihren grundlegenden Ansatz; dies minimiert Risiken und maximiert die Sichtbarkeit. Stellen Sie sicher, dass das Tool in der Lage ist, eine vollständige und genaue Liste der Assets bereitzustellen.
3. Binden Sie Betreiber und Wartung ein
Betreiber kennen oft die veralteten Geräte besser als jeder andere. Nutzen Sie ihr Wissen zur Unterstützung der Entdeckungsbemühungen, wenn nötig.
4. Verlassen Sie sich nicht auf Tabellenkalkulationen oder Anbieter von Asset-Discovery, die Tabellenkalkulationen oder manuelle Asset-Identifizierung anbieten
Implementieren Sie eine OT-spezifische Asset-Inventarplattform wie Shieldworkz, die unterstützt:
· Echtzeit-Updates
· Visualisierung (Topologiekarten)
· Integration von Schwachfalldaten
· Benutzerdefinierte Tags und Asset-Gruppen
· Alle Details sollten automatisiert verwaltet werden
Jeder OT-Sicherheitsanbieter, der manuelle Aktualisierungen von Asset-Inventaren fordert, ist kein reifer oder zuverlässiger Anbieter.
5. Definieren Sie Eigentum
Weisen Sie klar die Verantwortung für die Genauigkeit des Asset-Inventars zusätzlich zu den Betriebsaufgaben zu. Dies könnte beim OT-Cybersicherheitsteam liegen oder in der Zuverlässigkeit/Wartung eingebettet sein.
OT-Asset-Management: Sicherheitsanwendungsfälle
Anwendungsfall | Wie die Asset-Discovery helfen kann |
Ransomware-Schutz | Identifizieren und isolieren Sie veraltete Windows-Maschinen, die häufig angegriffen werden |
Zero Trust Segmentierung | Verstehen Sie die Flüsse, um genaue Zugriffsregeln zu erstellen |
Patch-Management | Identifizieren Sie nicht gepatchte Geräte mit bekannten CVEs |
Lieferkettenrisiko | Erkennen Sie nicht autorisierte Änderungen, die während der Dienstleistung durch den Anbieter oder während der Bereitstellung vorgenommen wurden |
Intrusionserkennung | Beobachten Sie anomalen Verkehr, Abweichungen vom Verkehrsbaseline durch neue oder nicht autorisierte Assets |
Checkliste für die Entdeckung und Verwaltung von OT-Assets
CISOs und Sicherheitsleiter können die folgende Checkliste aus der Perspektive der OT-Cybersicherheit nutzen:
Hier ist eine strukturierte Checkliste aus der Perspektive der OT-Cybersicherheit:
A. Planung und Festlegung des Umfangs
· Definieren Sie den vollständigen Umfang im Detail: anlagenweit, zonenbasiert oder nur kritische Systeme
· Listen Sie alle verwendeten OT-Protokolle auf (Modbus, DNP3, OPC-UA usw.)
· Identifizieren Sie wichtige Interessengruppen: OT-Betrieb, Cybersicherheit, OEMs
· Definieren Sie Kritikalitätsstufen für Assets (Hoch, Mittel, Niedrig)
B. Tool-Bereitstellung
Wählen Sie ein passives Entdeckungstool wie Shieldworkz mit umfassender ICS-Protokollunterstützung
Konfigurieren Sie Port-Spiegelung (SPAN-Port) oder setzen Sie TAPs ein, ohne Live-Systeme zu unterbrechen
Validieren Sie die Ergebnisse des Tools mit den Ingenieuren vor Ort
C. Aufbau des Inventars
Man sollte sicherstellen, dass die Metadaten Folgendes umfassen:
· Asset-Typ (SPS, RTU, HMI, IED)
· Anbieter/Hersteller/Modell/Version/anderer Identifikator
· Firmware-Version
· IP/MAC-Adresse
· Kommunikationsprotokolle
· Taggen Sie Assets nach Zone/Kanal (ausgerichtet an IEC 62443)
Darüber hinaus sollten Ingenieurzugangspunkte und Hintertürkanäle identifiziert und vermerkt werden
Erstellen Sie eine erste Asset-Topologiekarte
D. Kontextualisierung von Schwachstellen und Risiken
· Integrieren Sie CVE-Datenbanken oder Anbieterhinweise
· Kartieren Sie bekannte Schwachstellen zu Assets
· Heben Sie Geräte am Ende ihrer Lebensdauer oder nicht unterstützte Firmware hervor
· Priorisieren Sie Schwachstellen für die Behebung
· Identifizieren Sie offene Angriffswege und schließen Sie sie
Taggen Sie nicht gepatchte oder ausnutzbare Geräte zur Handlung
E. Laufende Verwaltung
· Planen Sie regelmäßige Inventar-Audits
Richten Sie Alarme für Folgendes ein:
· Neue Geräte im Netzwerk
· Konfigurationsänderungen
· Unbefugter Ingenieurzugang
· Geräte, die offline gehen
· Integrieren Sie mit Incident-Response-Playbooks auf Geräteebene
· Verknüpfen Sie das Inventar mit der CMDB oder der SOC-Visualisierungsplattform
F. Governance und Compliance
· Halten Sie die Dokumentation der Entdeckungssystematik und Ergebnisse aktuell
· Berichten Sie über das Asset-Inventar zur Einhaltung von Vorschriften (z.B. NIS2, CEA)
· Definieren Sie Rollen und Verantwortlichkeiten für Aktualisierungen des Inventars
· Stellen Sie sicher, dass das Inventar die OT-Cyber-Risikobewertungen unterstützt
Zusammenfassend
In der Welt der OT-Cybersicherheit ist Sichtbarkeit entscheidend für Sicherheit und Betrieb. Die Entdeckung und Verwaltung von Assets ist nicht nur eine IT-Hygienemaßnahme, sondern das Rückgrat aller Risikominderungs-, Resilienz- und Compliance-Initiativen in industriellen Steuerungssystemen.
Für OT-Betreiber ist dies nicht optional, sondern existenziell und verpflichtend. Ein unvollständiges Inventar heute könnte leicht zu einem Einfallstor für zukünftige Angriffe werden. Durch die Annahme intelligenter, passiver Entdeckung Methoden, den Einsatz der richtigen Lösung zur Entdeckung und Verwaltung von Assets wie Shieldworkz und die Einbettung des Asset-Managements in den täglichen OT-Workflow können industrielle Unternehmen endlich sicher in einer vernetzten Welt tätig werden.
Wenn Sie bis hierher gelesen haben, sollten Sie auf jeden Fall mit uns sprechen, wie wir Ihnen auf Ihrer OT-Sicherheitsreise, insbesondere in Bezug auf das Management von OT-Assets, die OT-Sicherheit und die OT-Risikobewertung helfen können. Kontaktieren Sie uns hier.
