OT-Cybersecurity · Risikoanalyse · KI-gestützte Compliance

Die Art und Weise, wie heute Cybersecurity-Audits im OT-Bereich durchgeführt werden, wurde entwickelt, bevor es eine toolbasierte Automatisierung von Risikoanalysen gab. Dieser Systemunterschied zeigt sich bei jedem Projekt. Folgendes muss sich ändern.

Fragen Sie einen beliebigen Experten für OT-Sicherheit, was der mühsamste Teil seiner Arbeit ist. Meistens lautet die Antwort nicht „das Finden der Schwachstellen“, sondern „die Risikoanalyse“. Das wochenlange Zusammentragen von Dokumenten. Berater, die dieselbe Klausel eines Standards auf drei verschiedene Arten interpretieren. Der 200-seitige Bericht, der sechs Wochen nach dem Vor-Ort-Termin eintrifft und bereits teilweise veraltet ist, wenn er im Posteingang landet.

Dies ist kein Kompetenzproblem. Es ist ein Prozessproblem – und eines, das darauf beruht, dass die dominierende Methode zur Durchführung von OT-Risikoanalysen in einer Welt ohne Large Language Models, ohne dokumentenbasierte KI und ohne Plattformen entwickelt wurde, die in der Lage sind, die analytische Schwerstarbeit im Hintergrund zu erledigen, während sich Ihr Team auf Entscheidungen konzentriert, die nur Ihr Team treffen kann.

Diese Welt existiert nicht mehr. Und dennoch werden die meisten Risikoanalysen immer noch so durchgeführt, als ob es sie gäbe.

Die realen Kosten heutiger Risikoanalysen

Traditionelle OT-Risikoanalysen, ob intern oder durch ein Beratungshaus durchgeführt, weisen dieselben strukturellen Mängel auf. Dies sind keine Einzelfälle oder Anzeichen für ein schlecht geführtes Projekt. Sie sind systemisch in der Methodik selbst begründet.

Sie dauern Wochen, nicht Tage

Eine standardmäßige GAP-Analyse nach IEC 62443 für eine mittelgroße Industrieanlage dauert vom Kick-off bis zum Abschlussbericht in der Regel zwei bis vier Wochen. Dieser Zeitrahmen wird nicht durch Expertenanalysen dominiert, sondern durch Prozessreibung: Terminabstimmungen für Interviews, Dokumentenbeschaffung, Warten auf Rückmeldungen der Asset-Owner, manuelles Zuordnen von Nachweisen zu den Anforderungen des Standards und ständige Abstimmungen zum Scope. Die eigentliche Analyse, die nur ein Experte durchführen kann, macht nur einen Bruchteil dieser Zeit aus.

Die unangenehme Wahrheit: Bei den meisten traditionellen Risikoanalysen werden rund 70–80 % der Zeit für das Sammeln von Dokumenten, das Zuordnen von Nachweisen und das Formatieren von Berichten aufgewendet – nicht für die Expertenbewertung, für die Sie eigentlich bezahlen.

Nachweise sind permanent verstreut

Industrielle Umgebungen akkumulieren Dokumentationen wie Flüsse Schlamm. Netzwerkdiagramme liegen im SharePoint eines Teams. Asset-Register werden in Excel-Tabellen von einem Projektingenieur gepflegt, der diesen Monat vielleicht gar nicht erreichbar ist. Konfigurationsdateien befinden sich auf dem Laptop eines Beraters aus dem Projekt von 2019. Richtlinien sind im ISMS hinterlegt, das von einem anderen Team in einem anderen Land verwaltet wird.

Jede Risikoanalyse beginnt mit derselben archäologischen Ausgrabung. Und jedes Audit-Team erstellt eine etwas andere Karte desselben Terrains, weil bisher niemand das Gesamtbild an einem Ort zusammengeführt hat.

Ergebnisse sind nicht aussagekräftig vergleichbar

Dies ist der vielleicht am wenigsten diskutierte, aber schädlichste Fehler traditioneller Audits. Wenn verschiedene Auditoren oder sogar derselbe Auditor zu unterschiedlichen Zeiten die Anforderungen eines Standards unterschiedlich streng auslegen, sind die resultierenden Bewertungen nicht vergleichbar. Sie bewerten einen Standort sechs Monate nach der Behebung einer wesentlichen Schwachstelle erneut und schneiden schlechter ab als zuvor – nicht weil die Sicherheit abgenommen hat, sondern weil der zweite Auditor „dokumentierte Prozesse“ strenger ausgelegt hat.

Weicht Ihr Sicherheitsniveau allein durch den Wechsel des Auditpartners um 15 Punkte ab, anstatt durch eine Änderung Ihrer technischen Maßnahmen (Controls), ist Ihre Messmethodik fehlerhaft. Und zwar grundlegend.

Der Expertenmangel ist strukturell, nicht zufällig

Qualifizierte OT-Sicherheitsprüfer sind Mangelware. Die Kombination aus Prozesswissen der Industrie, ICS-Sicherheitsexpertise und der Vertrautheit mit Standards, die für eine fundierte Risikoanalyse erforderlich ist, benötigt Jahre der Entwicklung. Dies führt zu einem Engpass, der sich kaum skalieren lässt: Mehr Standorte müssen analysiert werden, mehr Compliance-Zyklen stehen an, aber es gibt keinen proportionalen Zuwachs an qualifizierten Fachkräften. Das aktuelle Modell skaliert nicht. Das hat es nie getan.

Stichtags-Compliance erzeugt eine trügerische Sicherheit

Das tückischste Problem traditioneller Risikoanalysen ist ihre Zeitgebundenheit. Eine abgeschlossene Risikoanalyse ist eine Momentaufnahme eines bereits vergangenen Zeitpunkts. OT-Umgebungen verändern sich kontinuierlich – Firmware-Updates, neue Fernwartungszugänge, Konfigurationsänderungen (Configuration Drift), Änderungen der Netzwerktopologie nach Wartungsarbeiten. Eine Schwachstelle, die im März als „behoben“ markiert wurde, kann im Juli unbemerkt wieder aufgetreten sein. Ohne ein kontinuierliches oder leicht wiederholbares Verfahren zur Risikoanalyse haben Sie keine Möglichkeit, dies festzustellen.

OThello Assess: Wie eine KI-gestützte Risikoanalyse in der Praxis aussieht

OThello Assess von Shieldworkz ist eine KI-gestützte Plattform für Risikoanalysen, die speziell für industrielle OT-Umgebungen entwickelt wurde. Ihr zentrales Versprechen ist präzise und messbar: Verkürzung eines vollständigen, an der IEC 62443 ausgerichteten Analysezyklus auf unter 24 Stunden, bei ca. 85 Minuten manuellem Aufwand für Ihr Team – ohne Verzicht auf die Experteneinschätzung, die eine Risikoanalyse belastbar macht.

Dies wird durch OneIQ erreicht, die KI-Engine der Plattform. Sie übernimmt die Analyse- und Dokumentenprüfungsarbeiten, die sonst herkömmliche Projektlaufzeiten dominieren. Dadurch kann Ihr Team genau das beitragen, was nur Menschen leisten können: die genaue Kenntnis der eigenen Betriebsumgebung, Entscheidungen zur Risikotoleranz und den betrieblichen Kontext, den keine KI abbilden kann.

< 24 Std.: Vollständiger Analysezyklus, vom Dokumentenupload bis zum prüfbereiten Bericht

~ 85 Minuten: Manueller Gesamtaufwand über den gesamten Prozess hinweg

7+ Standards abgedeckt: IEC 62443, NIS2, NERC CIP, OTCC, CENELEC TS 50701

So funktioniert es in der Praxis: Fünf Schritte, drei davon für Sie

1.     Projekt-Setup und Dokumentenupload

Benennen Sie das zu prüfende System (System under Assessment), wählen Sie Ihren Compliance-Standard und laden Sie Ihre Dokumente hoch. OneIQ beginnt sofort mit der Extraktion – Asset-Listen, Netzwerktopologie, bestehende Controls, Konfigurationsdaten – alles direkt aus den Dokumenten, die Sie bereits haben.

~ 5 Min. manueller Aufwand

2.     Überprüfung der ersten Risikoanalyse

OneIQ erstellt aus Ihren Dokumenten einen vollständigen Entwurf der Risikoanalyse: ein Asset-Register, zugeordnete Bedrohungen und Schwachstellen, Auswirkungsanalysen, identifizierte schützenswerte Kronjuwelen (Crown Jewels) und ein erstes GAP-Bild im Vergleich zum gewählten Standard. Sie prüfen, bestätigen und korrigieren, wo nötig.

~ 25 Min. manueller Aufwand

3.     Risikomatrix konfigurieren und Zonen bestätigen

Definieren Sie Ihre Risikomatrix. Bestätigen Sie die Zonen und Conduits, die OneIQ aus Ihrer Dokumentation entworfen hat. Beantworten Sie 10 bis 20 zonenspezifische Fragen. Weisen Sie jeder Zone Soll-Sicherheitsstufen (Target Security Levels) zu. Hier formt Ihre betriebliche Einschätzung die Analyse-Methodik.

~ 25 Min. manueller Aufwand

4.     Controls bewerten und kritische Abweichungen aufdecken

OneIQ generiert zonenspezifische Anforderungen. Sie bewerten Ihre bestehenden Controls anhand dieser Vorgaben. Die Plattform zeigt das erreichte Sicherheitsniveau im Vergleich zum Soll-Niveau, wobei GAPs nach Kritikalität priorisiert und den erforderlichen Abhilfemaßnahmen (Remediations) zugeordnet werden. Dies ist der wesentliche Arbeitsschritt – und er dauert 30 Minuten statt drei Wochen.

~ 30 Min. manueller Aufwand · der wertvollste Schritt

5.     Erhalt des auditfähigen Berichts

Ein Executive Summary, der System-Scope, eine Heatmap des Sicherheitsniveaus über alle Zonen, eine GAP-Liste nach Kritikalität, empfohlene Behebungsmaßnahmen und ein Umsetzungsplan – jede Erkenntnis mit Verweis auf die Quelldokumente. Bereit für Ihr nächstes Audit, noch bevor ein traditioneller Analysezyklus überhaupt begonnen hätte.

Automatisch generiert · < 24 Std. ab Upload

Die entscheidende architektonische Erkenntnis sollte hierbei betont werden: OThello versucht nicht, das Urteilsvermögen von Experten zu ersetzen. Es eliminiert die Routinetätigkeiten, die Experten bisher daran gehindert haben, effizient zu arbeiten. Jede wesentliche Risikoentscheidung wird nach wie vor von Ihrem Team getroffen. OneIQ nimmt Ihnen lediglich die wochenlange Vorarbeit ab, die im alten Modell diesen Entscheidungen vorausgehen musste.

OThello Assess im Vergleich zum traditionellen Ansatz: Ein direkter Vergleich

Der Kontrast zwischen KI-gestützter und traditioneller Methodik wird im direkten Vergleich besonders deutlich.

Traditionelle Risikoanalyse

• 2–4 Wochen vom Kick-off bis zum finalen Bericht

• Manuelle Nachweissuche in isolierten Systemen

• Abweichende Ergebnisse je nach Standort und Analysezeitpunkt

• Ressourcen- und zeitintensiv

• Methodik variiert je nach Auditor und Projekt

• Ergebnisse über Zyklen oder Standorte hinweg nicht vergleichbar

• Stichtagesbezogene Momentaufnahme; Erkennung von Configuration Drift nicht möglich

• Expertenzeit wird für administrative Tätigkeiten aufgewendet

• Bericht trifft Wochen nach der Änderung der Gegebenheiten vor Ort ein

OThello Assess

• Unter 24 Stunden vom Dokumentenupload zum Bericht

• Compliance mit IEC 62443, NIST CSF, NIS2, OTCC und regionalen regulatorischen Vorgaben

• KI liest alle Dokumente automatisch ein und ordnet sie zu

• Granulare Betrachtung der Analyseergebnisse

• Einheitliche OneIQ-Methodik bei jedem Durchlauf

• Bewertungen über Zyklen und Standorte hinweg präzise vergleichbar

• Erneute Analyse nach Behebungsmaßnahmen; kontinuierliche Verfolgung von Sicherheitsänderungen

• Skaliert über die gesamte OT-Infrastruktur ohne lineare Kostensteigerung

• Expertenfokus bleibt auf Bewertung und Entscheidungsfindung gerichtet

• Auditfähiger Bericht, bei dem jede Erkenntnis mit Quellenverweisen belegt ist

Der Leistungsunterschied allein beim Zeitaufwand ist bemerkenswert. Der strategisch wichtigere Unterschied ist jedoch die Vergleichbarkeit. Wenn konsistent dieselbe Methodik angewendet wird – dieselbe Standardinterpretation, dieselbe Logik zur Nachweisextraktion, dasselbe Bewertungsmodell –, erhalten Sie etwas, das traditionelle Audits nie bieten konnten: ein verlässliches Signal darüber, ob sich Ihr Sicherheitsniveau verbessert, verschlechtert oder stabil bleibt.

Multi-Standard-Zertifizierung ohne administrativen Mehraufwand

Für Unternehmen, die in mehreren regulatorischen Jurisdiktionen agieren – was für Industrieunternehmen mit europäischen Standorten, US-amerikanischen Anforderungen an kritische Infrastrukturen (KRITIS) und regulatorischen Vorgaben im Golfraum zunehmend üblich ist –, multiplizieren sich traditionelle Risikoanalysen proportional zu den beteiligten Standards. Eine Analyse pro Standard, ein Zeitplan pro Analyse, ein Beraterteam pro Projekt.

OThello Assess deckt fünf Standards in einem einzigen Analysezyklus ab:

IEC 62443 NIS2-Richtlinie NERC CIP OTCC (Saudi-Arabien) CENELEC TS 50701

Multi-Standard-Compliance auf Basis eines einzigen Nachweissatzes, eines einzigen Upload-Prozesses und eines einzigen Analysezyklus. Für Organisationen, die parallele Compliance-Programme betreiben – insbesondere jene, die NIS2 mit einem bestehenden IEC 62443-Programm in Einklang bringen –, bedeutet dies einen erheblichen Effizienzgewinn, der sich mit jedem Re-Assessment-Zyklus multipliziert.

Das Argument für kontinuierliche Risikoanalysen statt periodischer Compliance

Eine der am meisten unterschätzten Fähigkeiten von OThello Assess zeigt sich nach der ersten Analyse. Traditionelle Audits liefern einen Bericht, der in einer Excel-Mappe zur Mängelverfolgung abgelegt und erst beim nächsten Jahresturnus wieder hervorgeholt wird. Die Zeitspanne zwischen den Analysen ist ein blinder Fleck – in dem Konfigurationen abweichen, neue Assets hinzukommen und Behebungen als abgeschlossen gemeldet werden, ohne dass eine unabhängige Überprüfung stattfindet.

OThello verändert diese Dynamik grundlegend. Da ein Analysezyklus weniger als 24 Stunden dauert und nur 85 Minuten manuellen Aufwand erfordert, wird eine erneute Überprüfung nach einer Behebungsmaßnahme zu einem praktikablen Standard statt zu einem Wunschdenken. Der Workflow wird kontinuierlich:

Baseline-Analyse

Ermitteln Sie Ihr Ausgangssicherheitsniveau über alle Zonen hinweg. Verstehen Sie, wo Sie stehen, wo GAPs vorhanden sind und was sich zuerst ändern muss.

Mitigation

Beheben Sie die prioritären Schwachstellen. Aktualisieren Sie Dokumentationen, implementieren Sie Controls und schließen Sie offene Punkte. Nutzen Sie dazu den von der KI generierten Behebungsplan aus dem Baseline-Bericht.

Re-Assessment

Führen Sie OThello Assess erneut aus. Dieselbe Methodik, derselbe Standard. Das Delta zwischen Ihrer Baseline und dem aktuellen Score ist real, dokumentiert und belastbar – und nicht das Ergebnis der abweichenden Auslegung eines anderen Auditors.

Drift-Tracking

OThello verfolgt, was sich über die Zyklen hinweg verbessert oder verschlechtert hat und was konstant geblieben ist. Betriebsumgebungen ändern sich – Firmware-Updates, neue Fernwartungszugänge, Konfigurationsänderungen nach Wartungsarbeiten. Kontinuierliche Sichtbarkeit bedeutet das Ende blinder Flecken zwischen den jährlichen Audits.

Dies wandelt die OT-Compliance von einer periodischen Pflichtaufgabe in eine kontinuierliche betriebliche Fähigkeit um – was im Übrigen genau das ist, was Behörden im Rahmen von NIS2 und Best-Practice-Frameworks wie die IEC 62443 zunehmend von Anlagenbetreibern verlangen.

Warum Unternehmen jetzt handeln müssen

Die Argumente für die Einführung KI-gestützter Risikoanalysen betreffen nicht nur die Effizienz. Sie spiegeln strukturelle Veränderungen in der Bedrohungslage und der Regulatorik wider, die das traditionelle Modell für das Jahr 2026 und darüber hinaus unzureichend machen.

Die Geschwindigkeit der Bedrohungen hat sich verändert

Angreifer, die auf OT-Infrastrukturen abzielen, agieren schneller als jährliche Analysezyklen. Die Verweilzeit von Angreifern in industriellen Umgebungen kann 12 Monate überschreiten. Eine einmal im Jahr stattfindende Risikoanalyse ist keine Überwachung – sie ist Schadensarchäologie.

Regulierungsbehörden erhöhen die Anforderungen

NIS2, NERC CIP und neue branchenspezifische KRITIS-Vorgaben fordern zunehmend den Nachweis einer kontinuierlichen Verbesserung, nicht nur periodische Momentaufnahmen der Compliance. Die von OThello generierte Dokumentation – bei der jede Erkenntnis mit Quellenangaben belegt ist – entspricht genau den Anforderungen von Auditoren.

Multi-Site-Programme sind nicht skalierbar

Die Durchführung traditioneller Risikoanalysen an 10, 20 oder 50 Industriestandorten ist eine logistische Herausforderung, an der die meisten Programme scheitern. Die konsistente Methodik von OThello macht ein unternehmensweites OT-Sicherheits-Benchmarking operativ machbar.

Expertenkapazitäten sind endlich

Es gibt nicht genügend qualifizierte Auditoren für OT-Sicherheit, um den Bedarf zu decken. KI-gestützte Plattformen wie OThello ersetzen keine Experten – sie vervielfachen deren Kapazität, indem sie Tätigkeiten eliminieren, die kein Expertenwissen erfordern.

Es gibt auch ein übergeordnetes strategisches Argument. Unternehmen, die auf ein kontinuierliches, datengestütztes Analysemodell umstellen, gewinnen einen entscheidenden Vorteil: die Möglichkeit, der Geschäftsführung die Wirksamkeit von Sicherheitsmaßnahmen mit harten Fakten anstatt mit Anekdoten nachzuweisen. Wenn Ihr CISO dem Vorstand aufzeigen kann, dass sich das Sicherheitsniveau an allen Industriestandorten über sechs Monate hinweg messbar verbessert hat – basierend auf einer konsistenten Methodik, belegten Nachweisen und einem klaren Audit-Trail –, wandelt sich die OT-Sicherheit von einem reinen Kostenfaktor zu einem nachweisbaren strategischen Erfolgsfaktor.

Wichtig: Was OThello Assess leistet und was nicht

Es ist wichtig, das Wertversprechen präzise zu definieren. OThello Assess ist kein Ersatz für das menschliche Urteilsvermögen in der OT-Sicherheit. Die Plattform ist in dieser Hinsicht eindeutig: Drei der fünf Schritte liegen in der Verantwortung Ihres Teams. Die Design-Philosophie setzt auf Unterstützung (Augmentation), nicht auf vollständige Automatisierung. Ihr Team steuert den betrieblichen Kontext, Risikobereitschaftsentscheidungen und Umgebungskenntnisse bei, die keine Plattform replizieren kann. OneIQ liefert die analytische Skalierbarkeit, Systemkonformität und Nachweisextraktion, die kein menschliches Team bei großen Analyseprogrammen ohne massiven Ressourceneinsatz durchhalten kann.

Das Ergebnis ist eine Risikoanalyse, die die Geschwindigkeit und Konsistenz von KI mit der Validität und Kontextgenauigkeit menschlicher Experten kombiniert. Das erzeugte Ergebnis ist damit sowohl effizienter als auch zuverlässiger als jeder der beiden Ansätze für sich allein.

Fazit: Traditionelle OT-Risikoanalysen sind bauartbedingt langsam, teuer, inkonsistent und bieten nur Momentaufnahmen. Die Bedrohungslage in der Industrie und die regulatorischen Anforderungen im Jahr 2026 verlangen nach einer schnelleren, konsistenteren und kontinuierlichen Lösung. OThello Assess von Shieldworkz liefert eine technologisch ausgereifte Antwort auf diesen Bedarf – eine Lösung, die das primäre Urteilsvermögen von Experten respektiert und gleichzeitig den prozessualen Overhead eliminiert, der einer flächendeckenden Skalierung bisher im Weg stand.

Bereit für Ihre erste Risikoanalyse nach IEC 62443? OThello bietet Neukunden eine kostenfreie Erstanalyse an.

Testen Sie Ihre erste Risikoanalyse