NERC CIP-015 & Internal Network Security Monitoring (INSM): Ihr Leitfaden für eine robustere OT-Sicherheit

Stellen Sie sich Folgendes vor: Ein hochentwickelter Angreifer schlüpft an Ihrer Firewall vorbei, Ihre Perimeterschutzmaßnahmen halten stand, doch in Ihrer vertrauenswürdigen Netzwerkzone kartiert Malware leise Ihre PLCs, verändert Sollwerte und wartet ab. Kein Alarm ertönt – denn Sie überwachen nur die Ränder.

Dieses Szenario ist längst nicht mehr hypothetisch. Die heutigen Bedrohungen für die OT-Sicherheit leben von „East-West“-Traffic – also von Kommunikation, die innerhalb Ihres Electronic Security Perimeter (ESP) stattfindet. Genau deshalb hat die North American Electric Reliability Corporation (NERC) CIP-015-1 eingeführt, mit dem Fokus auf Internal Network Security Monitoring (INSM).

Wie immer gilt: Bevor Sie weitermachen, vergessen Sie nicht, sich auch unseren vorherigen Blogbeitrag zu Handalas nächstem Schachzug anzusehen: Von „hack-and-leak“ zu „cognitive siege“ hier.

Als Werkleiter, OT-Ingenieur oder CISO mit Verantwortung für kritische Infrastrukturen kennen Sie die Risiken bereits: Ausfallzeiten kosten Millionen, regulatorische Geldbußen summieren sich schnell, und ein einzelner Sicherheitsvorfall kann zu Blackouts oder Sicherheitsereignissen führen. In diesem ausführlichen Leitfaden erläutern wir Ihnen, was NERC CIP-015 wirklich bedeutet, welche Risiken für den ICS-Netzwerkschutz Sie aktuell am stärksten betreffen, welche praktischen Schritte zur Implementierung von INSM erforderlich sind und – am wichtigsten – wie die agentenbasierte KI-gestützte Plattform von Shieldworkz die Einhaltung der Vorgaben unkompliziert macht und zugleich einen Echtzeit-Schutz kritischer Infrastrukturen liefert.

Warum traditionelle Perimetersicherheit in OT-Umgebungen nicht ausreicht

Über Jahre hinweg verließen sich OT-Teams auf den „Burg-und-Graben“-Ansatz: starke Firewalls am ESP, strenge Regeln für externe routbare Konnektivität und die Hoffnung, dass nichts Schädliches hineingelangt. Doch moderne Angreifer klopfen nicht nur an die Haustür. Sie nutzen IT-Kompromittierungen, Supply-Chain-Vektoren oder Insider-Aktivitäten, um in Ihre vertrauenswürdigen Zonen zu gelangen – und bewegen sich dann lateral weiter.

East-West-Traffic – die Kommunikation zwischen PLCs, RTUs, HMIs, SCADA-Systemen und IoT-Sensoren – ist zur neuen Angriffsfläche geworden. Und da diese Geräte häufig Legacy-Protokolle mit nur begrenzter integrierter Sicherheit nutzen, können Angreifer, sobald sie einmal im Inneren sind, leicht im normalen Betrieb untergehen.

Aktuelle Daten unterstreichen dies deutlich. Im Jahr 2025 gingen 96 % der OT-Sicherheitsvorfälle auf IT-seitige Kompromittierungen zurück, und 60 % der Organisationen erlebten mindestens einen OT-Vorfall. Angriffe von Nationalstaaten und Hacktivisten auf kritische Infrastrukturen haben sich im Vergleich zu 2024 verdoppelt; gleichzeitig verursacht Ransomware weiterhin reale Betriebsstörungen in den Sektoren Energieversorgung, Fertigung und Energie.

Perimeter-Tools können schlicht nicht sehen, was innerhalb Ihres Netzwerks geschieht. Genau diese Transparenzlücke sollte NERC CIP-015 schließen.

Was ist NERC CIP-015? Der Standard, der alles verändert

Am 26. Juni 2025 von der Federal Energy Regulatory Commission (FERC) genehmigt (wirksam ab dem 2. September 2025) ist NERC CIP-015-1 der erste Zuverlässigkeitsstandard, der Internal Network Security Monitoring (INSM) für Cyber-Systeme des Bulk Electric System (BES) mit hoher und mittlerer Auswirkung vorschreibt.

Anstatt sich nur auf den North-South-Traffic zu konzentrieren, der Ihre Perimetergrenze überschreitet, verlangt CIP-015-1, dass Sie Aktivitäten innerhalb vertrauenswürdiger Netzwerkzonen überwachen, erkennen und analysieren. Das Ziel ist einfach, aber wirkungsvoll: Anomales Verhalten frühzeitig zu erkennen, damit Sie reagieren können, bevor physische Auswirkungen eintreten.

Kernanforderungen von CIP-015-1 (R1–R3)

Der Standard lässt sich auf drei klare Vorgaben für die betroffenen BES-Cybersysteme reduzieren:

• R1: Erfassung, Erkennung und Analyse Sie müssen Netzwerkdaten-Feeds implementieren, um Informationen über Verbindungen, Geräte und Kommunikation zu erfassen. Verwenden Sie einen risikobasierten Ansatz, um Aktivitäten zu erkennen, die von Ihrer normalen Baseline abweichen. Bewerten Sie anschließend die Anomalien, um festzustellen, ob eine Reaktion oder Eindämmung erforderlich ist.

• R2: Datenspeicherung Bewahren Sie INSM-Daten, die mit erkannten Anomalien verknüpft sind, so lange auf, bis Untersuchungen oder Maßnahmen abgeschlossen sind.

• R3: Datenschutz Schützen Sie alle erfassten und aufbewahrten Monitoring-Daten vor unbefugtem Löschen oder Verändern.

Diese Anforderungen sind bewusst ergebnisorientiert formuliert. NERC schreibt keine konkreten Werkzeuge vor – nur, dass Ihre Lösung eine kontinuierliche, passive Überwachung ohne Beeinträchtigung zeitkritischer OT-Prozesse ermöglichen muss.

Die Stärke des Internal Network Security Monitoring (INSM)

INSM ist keine weitere Punktlösung – es ist eine Fähigkeit. Es verlagert Ihre OT-Sicherheitslage von reaktiver Perimeterverteidigung hin zu proaktiver Transparenz innerhalb des Netzwerks.

Im Gegensatz zu signaturbasierten Tools, die nach bekannter Malware suchen, setzt INSM auf Baselining: Es lernt, wie „normal“ in Ihrer spezifischen Umgebung aussieht – bis hin zum Protokollverkehr zwischen bestimmten PLCs. Sobald die Baseline etabliert ist, löst jede Abweichung (neues Gerät, ungewöhnlicher Befehl, unerwarteter Datenfluss) eine Erkennung aus.

Dieser Ansatz ist für OT ideal, weil er passiv ist. Keine Agenten auf empfindlichen Legacy-Geräten. Kein Risiko, die Produktion zu beeinträchtigen. Stattdessen erhalten Sie tiefe, kontextbezogene Transparenz in den East-West-Traffic über Ihre gesamte ICS-Umgebung hinweg.

Die aktuellen Top-Bedrohungen für ICS- und IoT-Netzwerke

Sie spüren den Druck bereits. Hier ist, was in der Praxis tatsächlich passiert:

• Lateral Movement nach IT-Kompromittierung: Angreifer gelangen über Phishing oder einen Laptop eines Lieferanten ins Netz und bewegen sich dann unauffällig innerhalb Ihrer OT-Zone weiter.

• Supply-Chain- und Firmware-Angriffe: Kompromittierte Updates oder Drittanbietergeräte bringen persistente Backdoors ein.

• Insider-Bedrohungen und Fehlkonfigurationen: Ein unzufriedener Mitarbeiter oder ein einfacher menschlicher Fehler kann Türen öffnen, die Perimeter-Tools nie sehen.

• Ransomware mit OT-Auswirkung: Gruppen verstehen industrielle Protokolle inzwischen und zielen gezielt auf Prozesse ab, um maximale Störungen zu verursachen.

• Vorpositionierung durch Nationalstaaten: Hochentwickelte Akteure kartieren heute Ihre Steuerkreise, um morgen handeln zu können.

Die Zahlen sind ernüchternd. Über 3.300 Industrieunternehmen waren in den letzten Jahren von Ransomware betroffen, und neue OT-bewusste Ransomware-Varianten nehmen weiter zu. Allein IoT-Geräte verzeichnen 820.000 Angriffe pro Tag. Ohne INSM können solche Bedrohungen monatelang unentdeckt bleiben.

Schritt für Schritt: So implementieren Sie INSM für Compliance und echten Schutz

Die Implementierung von INSM muss nicht überwältigend sein. Hier ist ein praxisnaher Leitfaden:

1. Ihre Umgebung erfassen Beginnen Sie mit einer vollständigen Bestandsaufnahme aller Assets – jedes PLC, RTU, jeden Switch und jeden IoT-Sensor. Was Sie nicht sehen, können Sie nicht baselinen.

2. Risikobasierte Baselines festlegen Erfassen Sie über Wochen (oder bei saisonalen Betrieben über Monate) die normalen Traffic-Muster. Konzentrieren Sie sich zunächst auf BES-Cybersysteme mit hoher Auswirkung.

3. Passive Überwachung einsetzen Verwenden Sie Network Taps oder SPAN-Ports, um Daten an eine dedizierte INSM-Lösung zu übergeben. Stellen Sie sicher, dass industrielle Protokolle unterstützt werden, ohne Latenzen einzuführen.

4. Anomalieerkennung und -analyse aktivieren Richten Sie automatisierte Warnmeldungen für Abweichungen ein. Erstellen Sie Workflows, damit Ihr Team schnell bewerten kann, ob eine Anomalie eine Untersuchung erfordert.

5. Datenspeicherung und -schutz sicherstellen Automatisieren Sie die sichere Speicherung und Manipulationssicherheit für anomalierelevante Daten, um R2 und R3 zu erfüllen.

6. In bestehende Prozesse integrieren Leiten Sie INSM-Erkenntnisse an Ihren SOC, Ihren Incident-Response-Plan und Ihre Compliance-Berichterstattung weiter.

7. Kontinuierlich testen und feinjustieren INSM ist ein Programm und kein einmaliges Projekt. Überprüfen Sie Baselines vierteljährlich, während sich Ihr Netzwerk weiterentwickelt.

Implementierungszeitplan: Warten Sie nicht mit dem Start

• 1. Oktober 2028: BES-Cybersysteme mit hoher Auswirkung und Systeme mit mittlerer Auswirkung sowie External Routable Connectivity (ERC) müssen konform sein.

• 1. Oktober 2030: Alle übrigen betroffenen BES-Cybersysteme mit ERC.

CIP-015-2 ist bereits in Vorbereitung. Die endgültige Abstimmung wurde im März 2026 angenommen und erweitert die INSM-Anforderungen auf Electronic Access Control and Monitoring Systems (EACMS) und Physical Access Control Systems (PACS), die sich außerhalb des ESP befinden. Rechnen Sie mit erweiterten Compliance-Anforderungen um September 2029.

Strategische Überlegungen, die Erfolg von Scheitern trennen

• Baseline statt Signatur: Signaturen übersehen Zero-Day-Bedrohungen. Baselines erkennen das Unbekannte.

• Passiv ist nicht verhandelbar: Alles, was Latenzen einführen oder Agenten auf OT-Geräten erfordern könnte, birgt das Risiko betrieblicher Störungen.

• Programm, kein Projekt: Sie werden Terabytes an Telemetriedaten verwalten. Behandeln Sie INSM als laufende Fähigkeit mit Menschen, Prozessen und Technologie.

• Die Wahl des Anbieters zählt: Suchen Sie nach Lösungen, die gezielt für breiten OT-Protokollsupport, KI-gestützte Anomalieerkennung und nahtlose Compliance-Berichterstattung entwickelt wurden.

Wie Shieldworkz NERC CIP-015 & INSM unkompliziert macht

Bei Shieldworkz haben wir unsere Plattform speziell für Umgebungen wie Ihre entwickelt. Unsere Lösung für Network Detection and Response (NDR) liefert genau das, was CIP-015-1 verlangt – und noch mehr.

• Passive, agentenlose Überwachung über Legacy-PLCs, moderne IoT-, SCADA- und alle Systeme dazwischen hinweg.

• Automatisiertes Baselining, das die einzigartige „Normalität“ Ihrer Anlage in Stunden statt in Wochen lernt.

• Anomalieerkennung in Echtzeit mit kontextbezogener Risikobewertung gemäß IEC 62443 und NERC CIP.

• Integrierte Compliance-Automatisierung – Beweissicherung, revisionssichere Berichte und Datenschutz sind bereits enthalten.

• 24/7 Managed Security Services, damit sich Ihr Team auf den Betrieb konzentrieren kann, während wir Monitoring, Threat Hunting und Reaktion übernehmen.

Ganz gleich, ob Sie ein Umspannwerk eines Versorgungsunternehmens, eine Produktionsanlage oder eine Öl- und Gasanlage betreiben: Shieldworkz bietet Ihnen die breiteste OT-Abdeckung, die schnellste Bereitstellung ohne Ausfallzeit und prädiktive Einblicke, die Rohtelemetrie in verwertbare Intelligence verwandeln. Wir helfen Ihnen nicht nur, ein Compliance-Kriterium abzuhaken – wir stärken Ihren ICS-Netzwerkschutz und den Schutz kritischer Infrastrukturen nachhaltig.

Vorbereitung auf CIP-015-2 und den weiteren Weg

Die Erweiterung auf EACMS und PACS bedeutet, dass noch umfassendere Transparenzanforderungen bevorstehen. Die gute Nachricht? Wenn Sie Ihr INSM-Programm heute mit dem richtigen Partner starten, sind Sie der Entwicklung einen Schritt voraus – ohne später kostspielige Komplettumstellungen.

Fazit: Machen Sie Compliance zu einem Wettbewerbsvorteil

NERC CIP-015 & Internal Network Security Monitoring (INSM) ist nicht nur ein weiteres Häkchen auf einer Checkliste – es ist die Weiterentwicklung, die Ihre OT-Umgebung braucht, um den heutigen Bedrohungen voraus zu bleiben. Indem Sie sich von reiner Perimeterverteidigung zu tiefer interner Transparenz verlagern, erkennen Sie Anomalien schneller, reagieren souveräner und schützen die physischen Prozesse, die unsere Gesellschaft am Laufen halten.

Bereit, von „konform“ zu „zuversichtlich“ zu wechseln?

Laden Sie unser kostenloses NERC CIP-015-1 Compliance-Playbook auf shieldworkz.com herunter oder fordern Sie noch heute eine personalisierte Demo an. Unser Team analysiert Ihre Umgebung, zeigt Ihnen Live-Anomalieerkennung in einer sicheren Umgebung und skizziert einen klaren Weg zu vollständiger INSM-Fähigkeit – ohne auch nur einen einzigen Prozess zu beeinträchtigen.

Zusätzliche Ressourcen

Leitfaden zur Behebung und Vermeidung solcher OT-Sicherheitsvorfälle 
Leitfaden zur Behebung von NIS2-Sicherheitslücken
NERC CIP ZUVERLÄSSIGKEITSSTANDARDS – Behebung von Lücken nach der Bewertung
Playbook zur Behebung von PLC-Sicherheitslücken (gemäß den neuesten CISA-Empfehlungen)
Wie Sie IEC 62443-Kontrollen implementieren