Sie können nicht schützen, was Sie nicht sehen können. In der schnelllebigen Welt der industriellen Cybersicherheit ist diese alte Weisheit die absolute Wahrheit. Da Fabrikhallen immer vernetzter werden und sich die Kluft zwischen IT und Operational Technology (OT) schließt, ist die Aufrechterhaltung einer robusten OT-Assetvisibilität kein rein optionaler Zusatz mehr. Sie ist das kritische Fundament für jede sichere, widerstandsfähige Fertigungs- oder KRITIS-Umgebung. 

Wenn Sie Betriebsleiter, OT-Ingenieur oder CISO sind, spüren Sie wahrscheinlich den Druck. Sie haben die Aufgabe, den kontinuierlichen Betrieb der Systeme zu gewährleisten und gleichzeitig die Abwehr gegen eine immer komplexere Bedrohungslandschaft sicherzustellen. Gleichzeitig wächst der Druck, die Compliance nach IEC 62443 zu erreichen. 

Wir bei Shieldworkz verstehen, dass die Überbrückung der Kluft zwischen Legacy-Systemen und moderner Cyber-Abwehr überwältigend wirken kann. Dieser umfassende Leitfaden führt Sie durch die absolute Notwendigkeit der Visibilität industrieller Netzwerke, die Feinheiten der Normenreihen ISA/IEC 62443 und die konkreten Schritte, die Sie in diesem Jahr unternehmen können, um ein konformes, sicheres Industrial Control System (ICS) aufzubauen. 

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag zum neuen Entwurf des NIST SP 1800-41 zu lesen: Stärkung der Cyber-Resilienz in OT-Geräteumgebungen der Fertigung hier

Was genau ist OT-Assetvisibilität? 

OT-Assetvisibilität bedeutet ein umfassendes Echtzeit-Lagebild über jedes Gerät, jedes System und jede Komponente innerhalb Ihres OT-Netzwerks zu haben. Dies umfasst Ihre Industrial Control Systems (ICS), Legacy-IT-Geräte in der Produktionshalle sowie moderne IIoT-Sensoren. 

Echte Visibilität geht weit über eine einfache Tabellenkalkulation mit IP-Adressen hinaus. Sie bedeutet zu verstehen: 

• Was das Asset ist (Hersteller, Modell, Firmware-Version). 

• Wo es sich im Netzwerk befindet. 

• Wie es konfiguriert ist. 

• Mit wem oder was es im täglichen Betrieb kommuniziert. 

Eine effektive Visibilität liefert eine Baseline des Normalbetriebs. Indem Sie verfolgen, wie Ihre Speicherprogrammierbaren Steuerungen (PLCs), Human-Machine-Interfaces (HMIs) und Remote Terminal Units (RTUs) interagieren, können Sie Anomalien, die auf eine Fehlkonfiguration, eine fehlerhafte Komponente oder einen böswilligen Eindringling hindeuten, sofort erkennen. 

Warum IT-Asset-Tools in der OT scheitern 

Sie fragen sich vielleicht, warum Sie nicht einfach Ihre IT-Asset-Discovery-Tools der Unternehmens-IT nutzen können, um die Fabrikhalle zu kartieren. 

IT-Umgebungen priorisieren die Vertraulichkeit von Daten, während in OT-Umgebungen die Sicherheit und die Verfügbarkeit an oberster Stelle stehen. Die traditionelle IT-Asset-Discovery basiert auf aktivem Scannen – dem ständigen Anpingen von Geräten, um zu sehen, wer antwortet. Wenn Sie eine 15 Jahre alte PLC, die einen kritischen Fertigungsprozess steuert, aktiv scannen, kann der plötzliche Anstieg des Netzwerkverkehrs zum Absturz des Geräts führen. Dies führt zu ungeplanten Ausfallzeiten, physischen Schäden an den Anlagen oder sogar zu schwerwiegenden Sicherheitsrisiken für Leib und Leben. 

Die Cybersicherheit von Industrial Control Systems (ICS) erfordert spezialisierte, zerstörungsfreie Methoden, die wir später in diesem Leitfaden näher betrachten werden. 

Die eskalierende Herausforderung in OT-Umgebungen 

Die Absicherung der Betriebstechnologie bringt ganz eigene Hürden mit sich, die in IT-Sicherheits-Frameworks schlichtweg nicht berücksichtigt werden. Aktuelle Daten zeigen, dass über 60 % der Industrieunternehmen Schwierigkeiten haben, ihre kritischen Assets effektiv zu überwachen. Warum ist das so schwierig? 

1. Komplexe, proprietäre Protokolle 

Im Gegensatz zur standardisierten IT-Welt von HTTP und TCP/IP sprechen industrielle Umgebungen Hunderte von verschiedenen Sprachen. Modbus, DNP3, CIP und PROFINET sind nur einige Beispiele. Viele davon sind ältere, proprietäre Protokolle, die herkömmliche Sicherheitstools schlichtweg nicht dekodieren oder überwachen können. 

2. Das unerbittliche Gebot der Hochverfügbarkeit 

Industrial Control Systems laufen kontinuierlich. Ein Stahlwerk oder ein kommunales Wasserwerk kann nicht einfach für das Einspielen eines geplanten Patches oder einen Netzwerkscan offline gehen. Sicherheitsmaßnahmen müssen während des laufenden Betriebs der Anlagen durchgeführt werden, ohne Latenzen in den Prozess einzubringen. 

3. Extreme Heterogenität der Anlagen 

Eine typische Fabrikhalle gleicht einem Technologiemuseum. Hier finden Sie vielleicht einen brandneuen IIoT-Vibrationssensor direkt neben einer Windows-XP-Engineering-Workstation und einem im Jahr 1998 installierten Roboterarm. Die Verwaltung dieser enormen Varianz an Herstellern, Baujahren und Leistungsmerkmalen ist eine logistische Herausforderung. 

4. Legacy-Schachstellen 

Viele OT-Systeme wurden vor Jahrzehnten entwickelt, lange bevor Cyber-Bedrohungen eine Rolle spielten. Den Systemen fehlen oft grundlegende Sicherheitsfunktionen wie Verschlüsselung, Authentisierung oder die Möglichkeit, modernen Endpoint-Schutz auszuführen. 

Warum Assetvisibilität der Kern zur Reduzierung von OT-Cyberrisiken ist 

Wenn Industriesysteme, Unternehmens-IT und Cloud-Technologien konvergieren, vergrößert sich die Angriffsfläche exponentiell. Ohne ein klares Bild Ihrer Umgebung agieren Sie im Dunkeln. 

Aus diesen Gründen ist die OT-Assetvisibilität Ihre wichtigste strategische Initiative: 

• Risikomanagement: Sie können keine Sicherheitslücke auf einem Gerät patchen, von dessen Existenz Sie nichts wissen. Visibilität ermöglicht es Ihnen, die tatsächliche Risikolandschaft Ihres Werks zu bewerten. 

• Schnelle Bedrohungserkennung: Die kontinuierliche Bedrohungsüberwachung für ICS basiert vollständig auf der Erstellung einer Baseline. Wenn Sie genau wissen, wie der normale Datenverkehr aussieht, fällt ein Angreifer, der versucht, eine PLC-Logikdatei zu ändern, sofort auf. 

• Operative Effizienz: Assetvisibilität dient nicht nur der Sicherheit, sondern ist auch ein Gewinn für den Betrieb. Wenn Ingenieure genau wissen, welche Firmware auf einer Maschine läuft, können sie Fehler schneller beheben und Wartungszyklen effizienter planen. 

• Beschleunigte Vorfallreaktion (Incident Response): Bei einem Sicherheitsvorfall ist Zeit Ihre wertvollste Ressource. Ein umfassendes, automatisiertes Asset-Inventar erspart stundenlange manuelle Recherchen und ermöglicht es den Incident Respondern, kompromittierte Systeme sofort zu isolieren. 

Die realen Auswirkungen mangelnder Visibilität 

Unternehmen, denen es an Visibilität im industriellen Netzwerk fehlt, drohen schwerwiegende Konsequenzen. Sie sind anfälliger für Ransomware, die sich oft vom IT-Netzwerk in den unzureichend geschützten OT-Bereich ausbreitet. Sie verschwenden wichtige Budgetressourcen für den Schutz der falschen Assets. Vor allem aber riskieren sie das Scheitern bei Compliance-Audits und empfindliche regulatorische Strafen. 

Dekodierung der ISA/IEC 62443-Normen für die Assetvisibilität 

Wenn Sie eine robuste, widerstandsfähige ICS-Umgebung aufbauen wollen, sind die Normen der Reihe ISA/IEC 62443 der globale Maßstab. Diese umfassende Normenreihe bietet ein flexibles Framework zur Adressierung und Entschärfung von Sicherheitsrisiken in Systemen der industriellen Automatisierung und Steuerung (IACS). 

Das Erreichen der Compliance nach IEC 62443 ist jedoch ohne eine grundlegende Assetvisibilität völlig unmöglich. Lassen Sie uns aufschlüsseln, wie eine präzise Asset-Erfassung direkt mit den Kernkomponenten des Standards korrespondiert. 

IEC 62443-2-1: Einrichtung eines CSMS 

Dieser Teil schreibt die Einrichtung eines Cyber Security Management Systems (CSMS) vor. Um Sicherheit managen zu können, müssen Sie den Geltungsbereich definieren. Dies erfordert eine hochpräzise, dokumentierte und kontinuierlich aktualisierte Asset-Baseline. Wenn Sie sich auf veraltete Excel-Tabellen verlassen, werden Sie diese Anforderung nicht erfüllen können. 

IEC 62443-3-2: Risikoanalyse und Zonen-/Conduit-Design 

Dies ist die vielleicht wichtigste architektonische Anforderung. Die Norm verlangt von Unternehmen, ihre Netzwerke in „Zonen“ (Gruppierungen von Assets mit ähnlichen Sicherheitsanforderungen) und „Conduits“ (die Kommunikationspfade zwischen diesen Zonen) zu segmentieren. 

Tabelle 1: Die Zonen- und Conduit-Visibilität als Grundvoraussetzung 

IEC 62443-3-3: System-Sicherheitsanforderungen 

Dieser Teil definiert die technischen Sicherheitskontrollen, die zum Erreichen verschiedener Security Levels (SL) erforderlich sind. 

• Systemintegrität (Grundlegende Anforderung 3): Um sicherzustellen, dass Geräte nicht manipuliert wurden, ist eine kontinuierliche Überwachung von Konfigurationen und Programmlogiken erforderlich. 

• Eingeschränkter Datenfluss (Grundlegende Anforderung 5): Sie können Firewalls nicht effektiv konfigurieren und Datenströme einschränken, ohne zuvor zu wissen, wie die freigegebenen Datenströme eigentlich aussehen sollen. 

Der Aufbau einer konformen Sicherheitsarchitektur erfordert den Übergang von manueller, periodischer Dokumentation zu automatisierter Echtzeit-Asset-Erfassung. 

Die 4 Säulen eines IEC 62443-konformen Asset-Inventars 

Um die Anforderungen der IEC 62443 an das Asset-Inventar zu erfüllen, ohne Prozessunterbrechungen zu verursachen oder empfindliche Sicherheitssysteme zu stören, müssen Sie die richtigen Methoden anwenden. Wir bei Shieldworkz empfehlen eine Strategie, die auf diesen vier Säulen aufbaut. 

Säule 1: Passives Netzwerk-Monitoring 

Da aktives Scannen für Legacy-Geräte gefährlich ist, müssen Sie auf eine passive OT-Assetvisibilität setzen. Dies beinhaltet den Einsatz von industrieller Deep Packet Inspection (DPI). 

Anstatt Geräte aktiv abzufragen, lauschen DPI-Tools geräuschlos im Netzwerk und analysieren den über SPAN-Ports oder Netzwerk-TAPs fließenden Datenverkehr. Durch die Analyse der Kommunikationspakete zwischen Ihren Engineering-Workstations und den PLCs kann das Tool Hersteller, Modell und Zustand der Geräte ermitteln, ohne jemals ein einziges aktives Paket zu senden. 

Säule 2: Kombinierte Erkennungsmethoden (Multi-Method Discovery) 

Passives Mitlesen ist extrem leistungsfähig, übersieht jedoch unter Umständen Assets, die nur sehr selten kommunizieren. Um ein vollständiges Bild zu erhalten, kombinieren Sie DPI mit sicheren, alternativen Erkennungsmethoden: 

• Log-Analyse: Erfassen und analysieren Sie DHCP- und DNS-Logs, um neue Geräte zu identifizieren, die IP-Adressen anfordern. 

• Switch-Abfrage: Fragen Sie verwaltete industrielle Switches sicher ab, um deren ARP-Tabellen auszulesen. Dies zeigt genau, welche MAC-Adressen an welchen physischen Ports angeschlossen sind. 

• Parsing von Konfigurationsdateien: Analysieren Sie Projektdateien und Konfigurationen von Ihren Engineering-Workstations, um die geplante Architektur aufzudecken und mit der Realität im Netzwerk abzugleichen. 

Säule 3: Kontinuierliche Nachverfolgung & Baselines 

Die Fabrikhalle ist nicht statisch. Dienstleister bringen Laptops mit, Ingenieure tauschen fehlerhafte PLCs aus und neue Sensoren werden installiert. Ein Inventar, das heute präzise ist, kann morgen bereits veraltet sein. 

Sie müssen OT-Asset-Management-Tools implementieren, die eine kontinuierliche Nachverfolgung ermöglichen. Wenn sich ein neues, nicht autorisiertes Hardware-Gerät mit Ihrem Netzwerk verbindet oder eine PLC beginnt, über ein nicht genehmigtes Protokoll zu kommunizieren, sollten Ihre Systeme die Baseline automatisch aktualisieren und eine Echtzeit-Warnung ausgeben. 

Säule 4: Tiefgehende Datenanreicherung (Contextual Enrichment) 

Zu wissen, dass eine IP-Adresse existiert, reicht für die Einhaltung von Sicherheitsstandards in kritischen Infrastrukturen (KRITIS) nicht aus. Sie benötigen tiefen Kontext, um Risiken bewerten zu können. Ihre Visibilitätsstrategie muss wesentliche Attribute für jedes einzelne Gerät erfassen. 

Checkliste: Wesentliche Asset-Attribute für die Compliance 

• [ ] Hardware-Marke und Hersteller 

• [ ] Modellnummer des Geräts 

• [ ] Aktuelle Firmware und Betriebssystemversion 

• [ ] IP-Adresse und MAC-Adresse 

• [ ] Physischer Standort (Rack, Switch-Port, Gebäude/Halle) 

• [ ] Offene Ports und aktive Dienste 

• [ ] Erwartete Kommunikationspartner (die Baseline) 

• [ ] Aktuell bekannte Schwachstellen (CVEs) 

Der Schritt von der reinen Visibilität zum resilienten Sicherheitsniveau 

Das Erlangen von Visibilität ist nur der erste Schritt. Das ultimative Ziel ist die Reduzierung von OT-Cyberrisiken. Sobald Sie eine glasklare Echtzeit-Karte Ihrer Umgebung haben, ist es Zeit für entschlossenes Handeln. 

So nutzen Sie Ihre neu gewonnene Visibilität, um ein reifes, konformes ICS-Sicherheitsniveau aufzubauen. 

1. Netzsegmentierung umsetzen (Zonen und Conduits) 

Mit der etablierten Baseline können Sie endlich die Kernvorgabe der IEC 62443-3-2 umsetzen. Identifizieren Sie zunächst Ihre kritischsten Systeme („Kronjuwelen“) – die Sicherheitssteuerungen (SIS) und die primären Fertigungssysteme. 

Nutzen Sie Ihre Visibilitätsdaten, um exakt zu kartieren, wer mit diesen Geräten kommunizieren muss. Setzen Sie anschließend industrielle Firewalls ein, um strikte Grenzen zu ziehen. Trennen Sie Ihre Office-IT-Netzwerke vollständig vom OT-Netzwerk. Bewegen Sie sich in Richtung einer Zero-Trust-Architektur, bei der nur explizit genehmigter Datenverkehr ein Conduit in eine hochsichere Zone passieren darf. 

2. Schwachstellenmanagement priorisieren 

Industrielle Umgebungen weisen oft zahlreiche bekannte Schwachstellen (CVEs) auf. Der Versuch, alles zu patchen, ist unmöglich und hochgradig disruptiv für den Betrieb. 

Nutzen Sie Ihre angereicherten Asset-Daten für ein risikobasiertes Schwachstellenmanagement. Durch den Abgleich Ihrer präzisen Hardware- und Firmware-Versionen mit globalen Schwachstellendatenbanken sehen Sie genau, welche CVEs in Ihrem Netzwerk existieren. Da Sie Ihre Netzwerktopologie kennen, sehen Sie zudem, welche dieser verwundbaren Assets dem Internet ausgesetzt oder mit weniger sicheren Zonen verbunden sind. Priorisieren Sie das Patchen dieser exponierten Hochrisiko-Assets und wenden Sie kompensierende Kontrollen (wie strengere Firewall-Regeln) für verwundbare Assets an, die nicht offline genommen werden können. 

3. Kontinuierliche Bedrohungsüberwachung etablieren 

Ihre Visibilitäts-Baseline bildet das Fundament Ihres Intrusion-Detection-Systems. Sobald Sie wissen, wie der Normalzustand aussieht, können Sie Ihre Plattform zur kontinuierlichen Bedrohungsüberwachung für ICS so konfigurieren, dass sie bei Anomalien alarmiert. 

Wenn ein HMI plötzlich versucht, an einem Sonntag um 02:00 Uhr nachts eine neue Logikdatei auf eine Sicherheitssteuerung zu übertragen, sollte Ihr Team sofort benachrichtigt werden. Visibilität wandelt Ihren Sicherheitsansatz von einer reaktiven Schadensbegrenzung in eine proaktive Bedrohungserkennung um. 

4. Incident-Response-Playbooks optimieren 

Bei einer Kompromittierung zählt jede Sekunde. Geben Sie Ihrem Security Operations Center (SOC) und Ihren Projektingenieuren die Werkzeuge an die Hand, die sie für ein schnelles Handeln benötigen. 

Integrieren Sie Ihr OT-Asset-Inventar in Ihre Security-Workflows. Stellen Sie sicher, dass der Analyst bei einem Alarm sofort die Kritikalität, den Standort und den Eigentümer des betroffenen Assets sieht. Dies reduziert die mittlere Reaktionszeit (MTTR) drastisch und minimiert die Auswirkungen eines Angriffs. 

Typische Hürden auf dem Weg zur KRITIS- und Compliance-Bereitschaft überwinden 

Der Aufbau von OT-Cybersicherheits-Frameworks ist ein Prozess, bei dem Sie wahrscheinlich auf internen Widerstand stoßen werden. Wenn Sie auf diese Hürden vorbereitet sind, sichern Sie Ihren Erfolg. 

Der kulturelle Graben zwischen IT und OT: IT-Sicherheitsteams verstehen oft die Realitäten der Fabrikhalle nicht und fordern aggressives Scannen und Patchen. OT-Ingenieure priorisieren die Verfügbarkeit über alles und lehnen Sicherheitskontrollen oft als „störend“ ab. 

• Die Lösung: Nutzen Sie die passive Assetvisibilität als Brücke. Sie liefert der IT die benötigten Sicherheitsdaten, ohne die von der OT geforderte Verfügbarkeit zu gefährden. 

Das Problem der Alarmmüdigkeit („Alert Fatigue“): Wenn Unternehmen die kontinuierliche Überwachung aktivieren, werden sie anfangs oft von einer Flut an Warnungen über Fehlkonfigurationen oder kleinere Richtlinienverstöße überschwemmt, die schon seit Jahren bestehen.

• Die Lösung: Aktivieren Sie Blockierungsfunktionen oder kritische Alarme nicht sofort. Nutzen Sie die ersten 30 bis 60 Tage als Tuning-Phase. Verwenden Sie diese Zeit, um Ihre Baselines zu verfeinern, Assets präzise zu kategorisieren und das Grundrauschen zu minimieren. 

Ressourcenengpässe: Vielen Industrieunternehmen fehlt es an dediziertem OT-Sicherheitspersonal.

• Die Lösung: Setzen Sie auf automatisierte Tools, die sich leicht in Ihre bestehende IT-Infrastruktur (wie Ihr SIEM- oder ITSM-System) integrieren lassen. Durch die Zentralisierung der Daten ermöglichen Sie es Ihren bestehenden Sicherheitsteams, sowohl IT- als auch OT-Umgebungen effizient zu überwachen. 

Fazit: Übernehmen Sie noch heute die Kontrolle über Ihre OT-Umgebung 

Das Erreichen der Compliance nach IEC 62443 und die Absicherung Ihrer Industrieumgebung gegen moderne Bedrohungen ist ein dringendes Mandat. Dies ist jedoch kein Ziel, das Sie über Nacht erreichen können – und erst recht nicht im Blindflug. 

OT-Assetvisibilität ist der unverzichtbare erste Schritt. Durch den Einsatz passiver Erkennungsmethoden, kontinuierlicher Nachverfolgung und tiefgehender Datenanreicherung beseitigen Sie die blinden Flecken in Ihrer Fertigung. Nur so können Sie beginnen, Ihre Zonen zu definieren, Ihre Schwachstellen zu verwalten und die strengen Schutzmaßnahmen durchzusetzen, die erforderlich sind, um Ihre kritischen Abläufe sicher und effizient aufrechterhalten zu können. 

Vollziehen Sie in diesem Jahr den Wechsel von reaktivem Rätselraten zu proaktiver Transparenz. 

Bereit, Ihre Verteidigung zu stärken? Shieldworkz unterstützt Sie. Wir bei Shieldworkz sind darauf spezialisiert, Industrieunternehmen durch die Komplexität der OT-Cybersicherheit und der IEC 62443-Compliance zu führen. Wir liefern die Werkzeuge, die Expertise und die bewährten Methoden, um Ihre kritische Infrastruktur abzusichern, ohne die operative Verfügbarkeit zu beeinträchtigen. 

Machen Sie den nächsten Schritt auf Ihrem Weg zur Compliance: Fordern Sie eine Demo bei unseren Shieldworkz OT-Experten an. Wir zeigen Ihnen genau, wie unsere Lösungen für passive Visibilität und kontinuierliche Überwachung Ihre Umgebung abbilden und Ihr industrielles Cyberrisiko drastisch reduzieren können. 

Zusätzliche Ressourcen      

IEC 62443 – Praktischer Leitfaden für OT/ICS- & IIoT-Sicherheit hier
Leitfäden zur Risikominimierung (Remediation Guides) hier 
Leitfaden für OT-Asset-Inventarisierung und Gerätemanagement zur Verbesserung der Sicherheit hier

ICS Security Awareness Training Kit für Anlagenbetreiber hier
Checkliste für das Cyber-Risikomanagement hier