Das industrielle Air-Gap-Konzept ist gescheitert. Angesichts der rasanten IT/OT-Konvergenz sind die Grenzen zwischen Unternehmensnetzwerken und der Werkshalle vollständig verschwunden. Diese Vernetzung steigert zwar die betriebliche Effizienz, ermöglicht vorausschauende Wartung und Ferndiagnosen, setzt Ihre kritischste Infrastruktur jedoch gleichzeitig Ransomware, Supply-Chain-Angriffen und hochentwickelten Angreifern aus. 

Seit Jahrzehnten verlassen sich Security-Teams auf periodische Schwachstellenscans, um Netzwerkschwachstellen zu finden und zu beheben. Wendet man jedoch traditionelle IT-Scanmethoden auf die Betriebstechnik Operational Technology (OT) und Industrial Control Systems (ICS) an, sind die Ergebnisse oft fatal. Aktive Pings und aggressive Abfragen können Legacy-Systeme überlasten, speicherprogrammierbare Steuerungen (PLCs) zum Absturz bringen und die Produktion vollständig lahmlegen. 

Sie benötigen einen neuen Ansatz. In diesem umfassenden Leitfaden stellen wir Ihnen die moderne Alternative vor: Continuous Threat Exposure Management (CTEM). Wir definieren den Begriff, analysieren, warum traditionelles Scannen in der Werkshalle fehlschlägt, und liefern Ihnen konkrete, sofort umsetzbare Präventionsmaßnahmen, die Sie noch heute mit Shieldworkz implementieren können, um Ihre Anlage zuverlässig zu sichern, ohne die Betriebszeit (Uptime) zu gefährden. 

Was ist Continuous Threat Exposure Management (CTEM)? 

Der Begriff Continuous Threat Exposure Management (CTEM) wurde von Branchenanalysten geprägt, um ein proaktiveres Sicherheitsmodell zu beschreiben. Es handelt sich um einen strukturierten, kontinuierlichen Ansatz zur Identifizierung, Validierung, Priorisierung und Behebung von Sicherheitsrisiken (Exposures), bevor Angreifer diese ausnutzen können. 

CTEM verlagert die IT-Sicherheit von der reaktiven Brandbekämpfung hin zu einer kontinuierlichen, bedrohungsorientierten und am Geschäft orientierten Risikominderung. Im industriellen Kontext bedeutet CTEM, dass Sie in Echtzeit und ohne jegliche Beeinträchtigung der Systeme ein präzises Bild von jedem Asset, jeder Schwachstelle und jedem Angriffspfad in der gesamten Produktionsumgebung haben. 

Der Ansatz basiert nicht auf periodischen Scans oder statischen Excel-Inventuren. Stattdessen analysiert CTEM kontinuierlich die Angriffsfläche – einschließlich externer Assets, interner Fehlkonfigurationen, Identitätsbeziehungen und des Netzwerkverhaltens –, um genau jene Pfade zu identifizieren, die Angreifer ausnutzen könnten. Dabei wird verstärkt auf passives Schwachstellenscanning gesetzt, um sicherzustellen, dass empfindliche PLCs und Fernwirksysteme (RTUs) niemals durch aggressive Abfragen gestört werden. 

Mehr als nur grundlegende Transparenz-Tools 

Viele Unternehmen glauben fälschlicherweise, sie würden bereits CTEM betreiben, nur weil sie ein Tool zur Asset-Erkennung im Einsatz haben. CTEM vereint jedoch mehrere Disziplinen zu einem dynamischen, anpassungsfähigen Programm. Hier sehen Sie, wie sich CTEM im Vergleich zu älteren Modellen zur Erhöhung der Transparenz verhält: 

Der tatsächliche Nutzen von Continuous Threat Exposure Management ergibt sich aus der Kontinuität und der strategischen Ausrichtung am Geschäftsbetrieb. Ihr Sicherheitsteam jagt nicht mehr jeder einzelnen Warnmeldung hinterher. Stattdessen priorisieren Sie jene ICS-Bedrohungsrisiken, die wirklich relevant sind – also Schwachstellen, die nachweisbare Angriffspfade zu sensitiven Systemen aufweisen, aus dem IT-Unternehmensnetzwerk erreichbar sind oder aktuell von Angreifern aktiv attackiert werden. 

Warum periodisches Scannen im OT-Bereich scheitert (und Systeme beschädigt) 

Nachdem wir den kontinuierlichen Charakter von CTEM betrachtet haben, müssen wir analysieren, warum der herkömmliche Ansatz so risikoreich ist. In einer Standard-IT-Umgebung prüfen aktive Scanner aggressiv IP-Adressen, fragen offene Ports ab und testen Exploit-Payloads. Im schlimmsten Fall startet ein Server im Büronetz neu. In einer industriellen Umgebung hingegen werden die Folgen in Form von Umweltschäden, finanziellen Verlusten in Millionenhöhe oder Gefahren für Leib und Leben gemessen. 

Ein rein IT-zentrierter Ansatz für die OT-Sicherheit führt zu drei massiven operativen Hürden: 

1. Die Gefahr von Systemausfällen 

Ältere PLCs, RTUs und Distributed Control Systems (DCS) wurden für maximale Ausfallsicherheit ausgelegt, nicht für moderne Netzwerke. Ihre IP-Stacks sind oft instabil. Die dichten Datenstrom-Pakete aktiver IT-Scanner können die CPU einer älteren Steuerung mühelos überlasten. Ein routinemäßiger Schwachstellenscan kann einen Denial-of-Service-Zustand (DoS) auslösen, der zum Ausfall von Sicherheitsinstrumenten oder zum vollständigen Stillstand von Montagelinien führt. 

2. Die Zeitverzögerung (Timing Gap) 

Industrielle Abläufe sind hochdynamisch. Externe Partner wählen sich für Notfallwartungen ein, temporäre Patches werden eingespielt und neue Edge-Devices zur Datenanalyse angebunden. Wenn Sie Schwachstellenscans nur einmal im Monat – oder gar nur einmal im Jahr während eines Wartungsfensters – durchführen, agieren Sie mit massiven blinden Flecken. Ein Angreifer kann eine unbemerkte Konfigurationsänderung ausnutzen, sich dauerhaften Zugriff verschaffen und sich lateral im Netz bewegen, lange bevor Ihr nächster geplanter Scan diese Schwachstelle überhaupt erfasst. 

3. Die Falle des CVSS-Systems 

Traditionelles Schwachstellenmanagement liefert eine unhandliche Liste von Fehlern, die nach dem Common Vulnerability Scoring System (CVSS) sortiert sind. CVSS berücksichtigt jedoch nicht den spezifischen OT-Kontext. Eine „kritische“ Schwachstelle auf einem isolierten HMI (Human-Machine Interface), das von außen nicht erreichbar ist, stellt oft ein geringeres reales Risiko dar als eine als „mittelschwer“ eingestufte Schwachstelle an einer direkt mit dem Internet verbundenen Sicherheitssteuerung. Das bloße Abarbeiten von CVSS-Werten verschwendet wertvolle Zeit Ihrer OT-Ingenieure für theoretische Risiken, während hochgradig ausnutzbare Angriffspfade ungeschützt bleiben. 

IT-Scanning vs. modernes OT Exposure Management 

Die 5 Phasen des industriellen CTEM-Zyklus 

Der Übergang zu einem CTEM-Programm erfordert ein strukturiertes Vorgehen, das die Sensibilität der Produktionsumgebung berücksichtigt. Der Prozess läuft als kontinuierlicher Kreislauf ab, nicht als lineare Checkliste. Jede Phase liefert Erkenntnisse für die nächste und optimiert zeitgleich die vorangegangenen Schritte. 

Phase 1: Bestimmung des Geltungsbereichs (Scoping) 

Beim Scoping werden die betrieblichen Grenzen definiert. Während dies in einer IT-Umgebung meist die Definition von IP-Bereichen bedeutet, steht in der OT der physische Prozess im Fokus. Sie müssen die kritischsten Assets – die Turbinen, Mischtanks, Stromnetze oder Montagelinien – identifizieren, deren Ausfall unter allen Umständen verhindert werden muss. 

Ein effektives Scoping unterscheidet präzise zwischen dem IT-Netzwerk und Ihren physisch getrennten (air-gapped) oder nach dem Purdue-Modell segmentierten OT-Netzwerken. Es muss unregulierte IT-Systeme (Schatten-IT), unmanaged Edge-Geräte, temporäre Cloud-Ressourcen sowie externe Fernwartungszugänge von Dienstleistern abdecken. 

Taktische Checkliste für das Scoping: 

• Identifizieren Sie geschäftskritische physische Prozesse und bilden Sie diese auf die zugrunde liegende digitale Infrastruktur ab. 

• Definieren Sie die exakten Grenzen zwischen Ihrer Unternehmens-IT und der industriellen OT-Umgebung. 

• Erfassen Sie alle bekannten Verbindungen von Drittanbietern und Remote-Access-Pfade. 

• Richten Sie die Kriterien für den Geltungsbereich an den geschäftlichen Auswirkungen aus (z. B. Arbeitssicherheit, Umsatz, Compliance/KRITIS). 

Phase 2: Erkennung (Discovery) 

Sie können nur das schützen, was Sie auch sehen. Die Erkennung in der OT muss jedoch völlig störungsfrei ablaufen. Manuelle, punktuelle Audits müssen durch ein kontinuierliches, passives Netzwerk-Verhaltungsmonitoring ersetzt werden. 

Eine hochpräzise Erkennung nutzt Deep Packet Inspection (DPI), um industrielle Protokolle (wie Modbus, DNP3, IEC 104 oder CIP) direkt aus dem Datenstrom auszulesen. Dies ermöglicht es Ihnen, OT-Assets passiv zu katalogisieren, Firmware-Versionen zu erfassen und unautorisierte Netzwerkverbindungen in Echtzeit zu identifizieren – ohne ein einziges störendes Datenpaket an ein empfindliches Gerät zu senden. 

Taktische Checkliste für die Erkennung: 

• Implementieren Sie passive Monitoring-Sensoren an den Core-Switchen (über SPAN/Mirror-Ports), um den OT-Netzwerkverkehr sicher zu erfassen. 

• Bauen Sie ein automatisiertes Echtzeit-Inventar aller PLCs, HMIs und Engineering-Workstations auf. 

• Identifizieren Sie Schatten-OT-Geräte, wie beispielsweise nicht autorisierte WLAN-Access-Points, die an Fabrik-Switche angeschlossen sind. 

• Erfassen Sie alle Kommunikationsflüsse, um eine Baseline für den normalen Betriebsverkehr zu definieren. 

Phase 3: Priorisierung (Prioritization) 

Die Erkennungsphase wird eine enorme Datenmenge hervorbringen. Die Priorisierung hilft Ihnen, das Rauschen zu filtern. CTEM gewichtet Bedrohungsrisiken basierend auf den geschäftlichen Auswirkungen, der tatsächlichen Ausnutzbarkeit und der Modellierung von Angriffspfaden – nicht nur auf Basis des CVSS-Score-Werts. 

Sie müssen die Kritikalität eines Assets mit aktuellen Bedrohungsinformationen verknüpfen. Kann ein Angreifer diese verwundbare PLC überhaupt aus dem IT-Unternehmensnetzwerk erreichen? Gibt es einen aktiven Exploit im Web? Durch die Beantwortung dieser Fragen filtern Sie theoretische Schwachstellen heraus und fokussieren sich auf jene Risiken, die eine unmittelbare Gefahr für Ihre Produktion darstellen. 

Taktische Checkliste für die Priorisierung: 

• Ordnen Sie bekannte Schwachstellen aktiven Angriffspfaden zu, die aus dem Internet oder dem IT-Netzwerk kommen. 

• Erhöhen Sie die Priorität von Schwachstellen auf Assets, die für die Anlagensicherheit oder die kontinuierliche Produktion essenziell sind. 

• Stufen Sie die Priorität von Schwachstellen mit hohem CVSS-Wert herab, wenn diese durch eine bestehende Netzwerksegmentierung bereits wirksam isoliert sind. 

• Integrieren Sie Live-Bedrohungsdaten, um Schwachstellen zu markieren, die aktuell von Angreifern ausgenutzt werden. 

Phase 4: Validierung (Validation) 

Die Validierung trennt theoretische Risiken von realen, hochgradig ausnutzbaren Schwachstellen. Während in der IT hierfür automatisierte Penetrationstests oder Red Teaming genutzt werden, verbietet sich dies in der OT an einem aktiven Stromnetz oder einem chemischen Mischprozess. 

Stattdessen erfordert die Validierung sichere, zerstörungsfreie Methoden. Hierzu gehören digitale Zwillinge, Offline-Testumgebungen oder sichere BAS-Tools (Breach and Attack Simulation), welche die Wirksamkeit Ihrer Firewalls und Segmentierung prüfen, ohne die Endgeräte direkt zu beeinträchtigen. 

Taktische Checkliste für die Validierung: 

• Testen Sie Ihre Firewall-Regeln zur Netzwerksegmentierung um sicherzustellen, dass kein schädlicher Datenverkehr die IT/OT-Grenze überschreiten kann. 

• Nutzen Sie digitale Zwillinge oder Offline-Testsysteme, um die Auswirkungen von Exploits gefahrlos zu simulieren. 

• Überprüfen Sie, ob kompensierende Kontrollen, wie beispielsweise Einschränkungen bei der Protokollnutzung, ordnungsgemäß funktionieren. 

• Stellen Sie sicher, dass Ihre kontinuierlichen Monitoring-Systeme bei anomalem Netzwerkverkehr zuverlässig Alarm schlagen. 

Phase 5: Mobilisierung (Mobilization) 

Die Mobilisierung überführt Erkenntnisse in konkrete Maßnahmen. Dies ist oft die schwierigste Phase, da sie eine enge Abstimmung zwischen den IT-Sicherheitsteams (die sofort patchen möchten) und den OT-Ingenieuren (für die die Anlagenverfügbarkeit oberste Priorität hat) erfordert. 

Wenn ein direktes Patchen nicht möglich ist – wie so oft in Produktionsumgebungen, die rund um die Uhr laufen –, konzentriert sich die Mobilisierung auf die Implementierung kompensierender Kontrollmaßnahmen. Dies kann das Verschärfen einer Firewall-Regel, das Deaktivieren eines ungenutzten Ports oder das temporäre Sperren einer verwundbaren Anwendung bis zum nächsten geplanten Wartungsfenster sein. Security-Teams müssen den Anlagenbetreibern klare, praktikable und sichere Handlungsschritte bereitstellen. 

Taktische Checkliste für die Mobilisierung: 

• Vereinbaren Sie gemeinsame Service Level Agreements (SLAs) zwischen der IT-Sicherheit und den OT-Engineering-Teams. 

• Definieren Sie vorab genehmigte Patch-Fenster für unkritische Edge-Geräte. 

• Implementieren Sie kompensierende Maßnahmen (z. B. strikte Netzwerksegmentierung, Virtual Patching), falls ein direktes Einspielen von Patches unmöglich ist. 

• Erfassen Sie alle Behebungsmaßnahmen in einem zentralen Ticket-System, das direkt mit Ihrer Exposure-Management-Plattform verknüpft ist. 

Die Herausforderung der IT/OT-Konvergenz meistern 

Das Streben nach Industrie 4.0 und Smart Manufacturing hat die Arbeitsweise in der Produktion grundlegend verändert. Daten müssen ungehindert von der Werkshalle in das IT-Unternehmensnetzwerk fließen, um Geschäftsanalysen zu ermöglichen. Diese IT/OT-Konvergenz ist ein massiver Treiber für die Effizienz, bildet jedoch gleichzeitig das primäre Einfallstor für moderne Cyberangriffe auf Industrieanlagen. 

Angreifer starten ihre Attacken selten direkt im OT-Netzwerk. Sie kompromittieren zunächst einen Mitarbeiter auf IT-Ebene mittels Phishing, erlangen Zugangsdaten und bewegen sich dann über schwach konfigurierte Firewalls lateral in die industrielle Steuerungsumgebung. 

Eine wirksame CTEM-Strategie adressiert diese Konvergenz direkt, indem sie Berechtigungen, Fehlkonfigurationen und die externe Angriffsfläche an der Schnittstelle zwischen IT und OT kontinuierlich überwacht. Sie stellt sicher, dass ein kompromittierter Firmen-Laptop nicht zu einem direkten Pfad zu Ihren kritischen Sicherheitssystemen wird. 

Schritt-für-Schritt-Prävention: Mehr als nur Scannen 

Wenn Sie Ihr Unternehmen von den inhärenten Risiken periodischer Scans befreien möchten, sind dies die grundlegenden Schritte zur Etablierung von CTEM in Ihrer Produktionsumgebung. 

1. Definieren Sie einen geschäftsorientierten Geltungsbereich 

Versuchen Sie nicht, alles auf einmal zu lösen. Ein zu groß gewählter Geltungsbereich zu Beginn wird Ihr Team in einem Datenrauschen ersticken und die Akzeptanz der operativen Teams gefährden. Starten Sie mit der kritischsten, regulierten oder am stärksten exponierten Infrastruktur. Durch die Konzentration der ersten CTEM-Implementierung auf eine wertschöpfende Produktionslinie können Sie Ihre Detektionslogik und Behebungsworkflows präzise abstimmen, bevor Sie das Programm im gesamten Unternehmen skalieren. 

2. Integrieren Sie Quellsysteme 

Bedrohungsdaten sind ohne Kontext wertlos. Integrieren Sie Ihre CTEM-Plattform in Ihre bestehende Infrastruktur. Importieren Sie Daten aus Ihren IT-Asset-Management-Systemen, von Identitätsanbietern und aus Firewall-Management-Konsolen. Erst die Korrelation von OT-Netzwerkdaten mit IT-Metadaten ermöglicht es Ihnen, domänenübergreifende Angriffspfade präzise abzubilden. 

3. Definieren Sie klare Verantwortlichkeiten 

Unklare Zuständigkeiten verzögern die Behebung von Schwachstellen. Wenn ein kritisches Risiko validiert wurde – wer ist für die Behebung verantwortlich? Definieren Sie diese Rollen, bevor ein Vorfall eintritt: 

• IT-Netzwerkteam: Verantwortlich für Firewall-Fehlkonfigurationen und die IT/OT-Segmentierung. 

• OT-Engineering: Verantwortlich für PLC-Firmware-Updates, kompensierende Kontrollen auf Prozessebene und geplante Wartungsfenster. 

• IAM-Team: Verantwortlich für überprivilegierte Zugriffsrechte von externen Partnern sowie Anomalien bei VPN-Zugängen. 

4. Setzen Sie auf sichere Automatisierung 

Auch wenn Sie Patches auf einer aktiven PLC niemals ohne menschliche Freigabe automatisieren sollten, können Sie die umliegenden Sicherheitskontrollen automatisieren. Wenn das kontinuierliche Monitoring unbefugten ausgehenden Datenverkehr von einer Engineering-Workstation erkennt, können Sie das Network-Access-Control-System (NAC) automatisch anweisen, dieses System zu isolieren. Automatisieren Sie dort, wo die Erkennungssicherheit hoch und das betriebliche Risiko minimal ist. 

5. Verankern Sie CTEM in Ihren operativen Prozessen 

CTEM ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. Integrieren Sie die Überprüfung von Sicherheitsrisiken in Ihre wöchentlichen Meetings. Berichten Sie der Geschäftsführung lieber über behobene Risiken und die durchschnittliche Behebungszeit (Mean Time to Remediate, MTTR) anstatt bloße Schwachstellenstatistiken aufzulisten. Wenn CTEM die Grundlage für die Risikobewertung bildet, wird IT-Sicherheit zu einem festen Bestandteil Ihrer Unternehmenskultur. 

Fazit

In einer Zeit, in der Angreifer gezielt industrielle Lieferketten ins Visier nehmen, um maximalen wirtschaftlichen Schaden anzurichten, ist das Warten auf den nächsten vierteljährlichen Schwachstellenscan ein unkalkulierbares Risiko. Das herkömmliche aktive Scannen erfasst die dynamischen Abläufe in der Werkshalle nicht und gefährdet empfindliche Legacy-Systeme. 

Continuous Threat Exposure Management ersetzt die störende, punktuelle Momentaufnahme durch einen fortlaufenden, angriffsorientierten Lebenszyklus. Durch die sichere Erkennung von Assets, die präzise Modellierung von Angriffspfaden, die Validierung der Ausnutzbarkeit und die gezielte Mobilisierung von Gegenmaßnahmen sichern Sie Ihre kritische Infrastruktur – ohne auch nur eine Minute Betriebszeit zu opfern. 

Der richtige Zeitpunkt, um vom reaktiven Schwachstellenmanagement zum proaktiven Bedrohungsmanagement überzugehen, ist jetzt. 

Gehen Sie den nächsten Schritt mit Shieldworkz 

Sind Sie bereit, klassische Scans hinter sich zu lassen und vollständige Transparenz über Ihre industrielle Angriffsfläche zu gewinnen? Wir unterstützen Sie dabei, die Brücke zwischen IT-Sicherheit und OT-Betrieb sicher und effektiv zu schlagen. Demo anfordern: Erleben Sie kontinuierliches OT Exposure Management in Aktion. Sprechen Sie mit unseren Experten und erfahren Sie, wie Shieldworkz Ihre Umgebung passiv überwachen und die relevantesten Risiken für Ihre Produktion priorisieren kann. 

Weitere Ressourcen      

IEC 62443 – Praxisleitfaden für OT/ICS & IIoT-Sicherheit finden Sie hier
Leitfäden zur Risikobehebung finden Sie hier 
Leitfaden für OT-Asset-Inventarisierung und Gerätemanagement zur Erhöhung der Sicherheit finden Sie hier
ICS Security Awareness Trainings-Kit für Anlagenbetreiber finden Sie hier
Checkliste für das Cyber-Risikomanagement finden Sie hier