OT-Cybersicherheits-FAQs

Cybersicherheit in der Operational Technology (OT) bezeichnet den Schutz von Hardware- und Softwaresystemen, die physische Prozesse in industriellen Umgebungen überwachen und steuern – darunter Produktionsanlagen, Energieversorgungsunternehmen, Wasseraufbereitungsanlagen, Öl- und Gas-Pipelines sowie Transportsysteme. Anders als die IT-Sicherheit, die sich primär auf den Schutz von Daten und Geschäftssystemen konzentriert, muss die OT-Sicherheit auch physische Prozesse und Maschinen schützen. Die Folgen eines OT-Sicherheitsvorfalls gehen über Datenverlust hinaus und umfassen Geräteschäden, Produktionsausfälle, Umweltereignisse sowie Gefährdungen der menschlichen Sicherheit. OT-Systeme arbeiten unter strengen Echtzeitbedingungen, verwenden proprietäre Protokolle und können Sicherheitskontrollen, die in IT-Umgebungen routinemäßig eingesetzt werden, häufig nicht tolerieren.

OT-Sicherheitsbewertungen in Live-Umgebungen müssen mit passiven Verfahren durchgeführt werden, wobei Network Taps oder SPAN-Ports eingesetzt werden, um den Datenverkehr zu erfassen und zu analysieren, ohne Pakete in das OT-Netzwerk einzuspeisen. Die Asset-Erkennung erfolgt durch passive Traffic-Analyse statt durch aktives Scanning, da dieses PLCs und RTUs zum Absturz bringen oder ein unvorhersehbares Verhalten verursachen kann. Physische Begehungen, Konfigurationsprüfungen, die Analyse von Dokumentationen sowie Mitarbeiterinterviews ergänzen die technische Datenerhebung. Architekturprüfungen bewerten Netzwerksegmentierung, Zugriffskontrollen und Konfigurationen des Remote-Zugriffs. Schwachstellenbewertungen konzentrieren sich auf bekannte CVEs, die für die identifizierten OT-Assets relevant sind. Alle Bewertungsaktivitäten werden mit den Betriebsteams abgestimmt; während der Vor-Ort-Arbeiten gilt in der Regel eine Änderungssperre oder ein Sicherheitsbeobachter-Protokoll.

Ransomware-Angriffe auf Industrieunternehmen zielen selten direkt auf OT-Systeme ab; typischerweise beginnen sie in der IT und gelangen aufgrund unzureichender Netzsegmentierung in die OT. Zu den häufigsten Einstiegspunkten zählen Phishing-E-Mails, die IT-Endpunkte kompromittieren, gefolgt von lateraler Bewegung in Richtung Engineering-Workstations, Historian-Server oder Fernzugriffsinfrastruktur. Auch die Ausnutzung ungepatchter Schwachstellen in VPN-Appliances, RDP-Diensten und internetseitig exponierten Anwendungen wird häufig beobachtet. Sobald Angreifer in der IT Fuß gefasst haben, bewegen sie sich über flache oder unzureichend segmentierte Netzwerke, gemeinsam genutzte Anmeldedaten zwischen IT und OT sowie Legacy-Windows-basierte HMI-Systeme ohne Endpoint-Schutz in Richtung OT. Der Angriff auf Colonial Pipeline im Jahr 2021, der die Kraftstoffversorgung der US-Ostküste zum Erliegen brachte, folgte genau diesem IT-zu-OT-Vorgehen.

Die am weitesten verbreiteten Frameworks für OT-Sicherheit sind IEC 62443 (für industrielle Automatisierungs- und Steuerungssysteme), NIST SP 800-82 (Leitfaden für ICS-Sicherheit) und das NIST Cybersecurity Framework. IEC 62443 ist besonders umfassend — es adressiert Sicherheit auf System-, Komponenten- und Organisationsebene und definiert Security Levels (SL 1-4), die Organisationen dabei unterstützen, Sicherheitsinvestitionen am Risiko auszurichten. Für Organisationen im Energiesektor ist NERC CIP ein verpflichtendes Compliance-Framework. Die meisten ausgereiften OT-Sicherheitsprogramme nutzen eine Kombination — IEC 62443 für technische Architektur und Lifecycle-Management sowie das NIST CSF für Governance und Programmmessung. Die Wahl des passenden Frameworks hängt vom Branchensektor, den regulatorischen Verpflichtungen und dem Reifegrad der Organisation ab.

Die Sicherheit von SCADA (Supervisory Control and Data Acquisition) umfasst die Richtlinien, Technologien und Prozesse, die zum Schutz von Leit- und Überwachungssystemen eingesetzt werden, welche kritische industrielle Prozesse überwachen und steuern – von der Verteilung im Stromnetz und der Wasseraufbereitung bis hin zu Ölpipelines und Fertigungslinien. Ein erfolgreicher Cyberangriff auf SCADA-Infrastrukturen kann zu physischen Schäden, Produktionsstillständen, Sicherheitsvorfällen und sogar zum Verlust von Menschenleben führen. Anders als IT-Systeme, bei denen die Vertraulichkeit im Vordergrund steht, priorisieren SCADA-Umgebungen die Verfügbarkeit und die Betriebssicherheit; daher sind herkömmliche IT-Sicherheitsansätze nicht ausreichend. Unternehmen müssen zweckgerichtete OT-Sicherheitsstrategien implementieren, die Altsysteme, Echtzeit-Anforderungen im Betrieb sowie die möglichen physischen Folgen eines Sicherheitsvorfalls berücksichtigen.

Moderne SCADA-Umgebungen sehen sich einem breiten Spektrum von Bedrohungen gegenüber. Ransomware-Gruppen wie ALPHV und LockBit haben Interesse an OT-Umgebungen gezeigt und verschlüsseln häufig Engineering-Workstations, um die Produktion zum Stillstand zu bringen. Akteure aus dem staatlichen Umfeld, darunter Volt Typhoon und Sandworm, zielen auf SCADA-Systeme für Spionage und Vorpositionierung. Bedrohungen durch Insider, die Ausnutzung von Remote-Zugängen (VPN-Schwachstellen, exponiertes RDP), eine Kompromittierung der Lieferkette über Software-Updates von Drittanbietern sowie Phishing-Kampagnen gegen Mitarbeitende mit SCADA-Zugriff sind ebenfalls weit verbreitete Angriffsvektoren. Die Ausnutzung von Altprotokollen wie Modbus, DNP3 und OPC-DA bleibt in Umgebungen, die ihre Kommunikationsarchitektur noch nicht modernisiert haben, weiterhin hochrelevant.

Der grundlegende Unterschied liegt in Prioritäten und Konsequenzen. In der IT wird die CIA-Triade – Vertraulichkeit, Integrität, Verfügbarkeit – in dieser Reihenfolge angewendet. In SCADA/OT-Umgebungen haben Verfügbarkeit und Integrität Vorrang vor Vertraulichkeit, da Ausfallzeiten Produktionsverluste, Sicherheitsrisiken oder Verstöße gegen regulatorische Vorgaben nach sich ziehen können. OT-Systeme laufen häufig auf proprietären Protokollen (Modbus, DNP3, EtherNet/IP), auf Legacy-Hardware, die sich ohne betrieblichen Einfluss weder patchen noch neu starten lässt, und weisen Lebenszyklen von mehreren Jahrzehnten auf. OT-Umgebungen verfügen über direkte cyber-physische Schnittstellen – ein kompromittierter PLC kann ein Ventil öffnen, ein Sicherheitssystem auslösen oder Maschinen zerstören – wodurch Risikotoleranz und Sicherheitskonzeption sich grundlegend von der herkömmlichen IT-Sicherheit unterscheiden.

IEC 62443 ist eine Reihe internationaler Normen, die von ISA entwickelt und von der IEC übernommen wurden und einen umfassenden Rahmen für die Absicherung von Industrial Automation and Control Systems (IACS) bereitstellen. Sie ist entlang von drei Stakeholder-Rollen strukturiert — Anlagenbetreiber, Systemintegratoren und Produktlieferanten — und adressiert Cybersicherheit auf vier Ebenen: Richtlinien und Verfahren, Systemanforderungen, Komponentenanforderungen und Systemintegration. Die Norm definiert Security Levels (SL 1–4), die einem steigenden Bedrohungsgrad entsprechen und es Organisationen ermöglichen, Sicherheitsinvestitionen am tatsächlichen Risiko auszurichten. IEC 62443 hat sich zur maßgeblichen globalen Referenz entwickelt, weil sie speziell für OT-Umgebungen konzipiert wurde, technologieunabhängig ist, regulatorische Anforderungen sektorübergreifend unterstützt und einen Lebenszyklusansatz für Security von der Entwicklung bis zur Außerbetriebnahme bietet.

IEC 62443 Security Levels definieren den erforderlichen Schutzgrad gegen zunehmend ausgefeilte Bedrohungsakteure. SL 1 schützt vor zufälligen oder unbeabsichtigten Bedrohungen. SL 2 adressiert vorsätzliche Verstöße durch Akteure mit geringer Sophistication unter Einsatz öffentlich verfügbarer Werkzeuge. SL 3 richtet sich an anspruchsvolle Angreifer mit ICS-spezifischen Ressourcen und Fachwissen. SL 4 — nur selten erforderlich — adressiert Bedrohungen auf Staatsebene mit umfangreichen Ressourcen. Asset Owner verwenden Security Level-Ziele (SL-T), um auf Basis der Risikobewertung festzulegen, welcher Schutz erforderlich ist, und messen anschließend die erreichten Security Levels (SL-A) gegen diese Ziele. Dieser Rahmen verhindert eine Über- oder Unterinvestition in Security, indem Controls direkt an die Bedrohungsszenarien gekoppelt werden, die für jede Zone und jeden Conduit innerhalb der industriellen Umgebung relevant sind.

Das Zone-and-Conduit-Modell ist ein zentrales Architekturkonzept in IEC 62443, das eine Methodik zur Segmentierung von OT-Systemen bereitstellt, um die Ausbreitung von Cyber-Bedrohungen zu begrenzen. Eine Zone ist eine Gruppierung von Assets mit ähnlichen Sicherheitsanforderungen und betrieblichen Funktionen — beispielsweise eine PLC-Zone, eine HMI-Zone, eine Historian-Zone und eine Safety-System-Zone. Ein Conduit ist ein definierter Kommunikationspfad zwischen Zonen, der spezifischen Sicherheitskontrollen unterliegt. Die Umsetzung des Modells beginnt mit der Erstellung eines Netzwerktopologiediagramms und der Identifizierung aller Assets sowie ihrer Kommunikationsabhängigkeiten. Assets werden auf Basis der Sicherheitsanforderungen Zonen zugeordnet, und Conduits werden mit geeigneten Kontrollen — Firewalls, Access Control Lists, unidirectional gateways — entsprechend den Sicherheitsniveaus der verbundenen Zonen definiert.

Eine IEC 62443-Zertifizierung ist gesetzlich nicht allgemein vorgeschrieben, wird jedoch zunehmend von Industriekunden, Betreibern Kritischer Infrastrukturen und Regulierungsbehörden als Voraussetzung für Geschäftsabschlüsse oder für den Erhalt von Betriebsgenehmigungen verlangt. In der Europäischen Union verweisen die NIS2-Richtlinie und der bevorstehende Cyber Resilience Act auf IEC 62443 als empfohlene Norm für die Sicherheit von OT- und Embedded-Systemen. In Branchen wie Öl und Gas, der Chemie- und der Pharmaindustrie verlangen große Betreiber im Rahmen der Lieferantenqualifizierung routinemäßig eine IEC 62443-Zertifizierung von Systemintegratoren und Ausrüstungslieferanten. Auch wenn sie rechtlich nicht vorgeschrieben ist, bietet die Zertifizierung erhebliche kommerzielle Vorteile sowie Vorteile im Risikomanagement.

Eine sichere industrielle Netzwerkarchitektur basiert auf mehreren grundlegenden Komponenten. Die Netzwerksegmentierung — unter Verwendung des Purdue Model oder der Zone-and-Conduit-Methodik nach IEC 62443 — trennt OT-Zonen von der Unternehmens-IT und vom Internet. Industrielle Firewalls, die speziell für OT-Protokolle (Modbus, DNP3, EtherNet/IP, PROFINET) ausgelegt sind, steuern den Verkehr zwischen den Zonen auf Grundlage von Deep Packet Inspection, das die Semantik von ICS-Protokollen versteht. Eine industrielle DMZ hostet Datenaustauschdienste, die IT und OT miteinander verbinden, ohne direkte Verbindungen herzustellen. Unidirektionale Security Gateways erzwingen bei Bedarf einen einseitigen Datenfluss. OT-aware Netzwerküberwachungslösungen bieten passive Transparenz über den gesamten Datenverkehr, erkennen Anomalien und identifizieren unautorisierte Kommunikationsversuche.

IT/OT-Netzsegmentierung sollte als Defense-in-Depth-Architektur und nicht als einzelne Firewall-Grenze umgesetzt werden. Das Standarddesign sieht einen mehrschichtigen Ansatz vor: Eine industrielle DMZ trennt das OT-Netzwerk vom Unternehmens-IT-Netzwerk, mit separaten Firewalls auf der IT-seitigen und der OT-seitigen Seite der DMZ. Innerhalb des OT-Netzwerks sorgt eine weitere Segmentierung für die Trennung funktionaler Zonen – Leitsysteme, Feldgeräte, Sicherheitssysteme und Engineering-Workstations –, um seitliche Bewegungen zu begrenzen, falls eine Zone kompromittiert wird. Die Kommunikation zwischen den Zonen ist auf das betrieblich unbedingt Erforderliche beschränkt; die Regeln werden in einer Netzwerk-Zugriffssteuerungsmatrix dokumentiert. Bidirektionale Firewall-Regeln sollten regelmäßig überprüft und auf Basis tatsächlicher Traffic-Baseline-Daten weiter verschärft werden.

OT-protokollbewusste Deep Packet Inspection (DPI) ist eine Firewall- und Monitoring-Funktionalität, die Inhalte industrieller Kommunikationsprotokolle wie Modbus, DNP3, EtherNet/IP, OPC UA und PROFINET auf der Anwendungsschicht analysieren und prüfen kann. Standard-IT-Firewalls können industriellen Datenverkehr nur auf IP-/Port-Ebene inspizieren, was unzureichend ist, da viele OT-Angriffe gültige Protokollbefehle nutzen, um Geräte zu manipulieren. Ein Modbus-Schreibbefehl an ein nicht autorisiertes Speicherregister erscheint einer herkömmlichen Firewall als legitimer Datenverkehr. OT-protokollbewusste DPI kann anhand einer erlernten Baseline des Normalbetriebs spezifische Funktionscodes, Adressbereiche und Datenwerte erkennen und blockieren, die anomal oder nicht autorisiert sind – essenziell für den Schutz von PLC-Kommunikation und zur Verhinderung von Command-Injection-Angriffen.

Drahtlose Kommunikation in Industrieumgebungen birgt erhebliche Sicherheitsrisiken, wenn sie nicht fachgerecht geplant und betrieben wird. Nicht autorisierte Wireless Access Points — die von Wartungspersonal oder Auftragnehmern aus Gründen der Bequemlichkeit installiert werden — schaffen unüberwachte Eintrittspunkte in OT-Netze, die sämtliche Perimeter-Schutzmechanismen umgehen können. Industrielle Wireless-Systeme sind Risiken wie Rogue-Access-Point-Angriffen, Denial-of-Service-Angriffen auf Wireless-Verbindungen, die kritische Prozesse steuern, schwacher Authentifizierung sowie Man-in-the-Middle-Angriffen auf unverschlüsselte industrielle Wireless-Protokolle ausgesetzt. Organisationen sollten Wireless-Site-Surveys durchführen, um nicht autorisierte Access Points zu erkennen, WPA3 mit zertifikatsbasierter Authentifizierung durchsetzen, drahtlose OT-Segmente von kabelgebundenen OT-Netzen isolieren und industrielle Wireless-Assets in kontinuierliche Überwachungsprogramme einbeziehen.

Das Change Management für Netzwerke in produktiven OT-Umgebungen erfordert einen formalen, risikobasierten Prozess, der der betrieblichen Sensibilität industrieller Systeme Rechnung trägt. Alle Änderungen – einschließlich Anpassungen von Firewall-Regeln, Switch-Konfigurationen, VLAN-Änderungen und der Hinzufügung neuer Geräte – müssen durch ein Change Advisory Board geprüft und freigegeben werden, dem sowohl OT-Security- als auch Betriebspersonal angehören. Änderungen sollten vor der Überführung in die Produktion in einer Testumgebung validiert und innerhalb geplanter Wartungsfenster umgesetzt werden. Die Validierung nach der Änderung sollte bestätigen, dass alle betrieblichen Kommunikationsverbindungen wiederhergestellt wurden und keine unbeabsichtigten Datenverkehrsflüsse eingeführt wurden. Alle Änderungen sollten in einer Configuration Management Database (CMDB) dokumentiert und in aktualisierten Netzwerkdiagrammen berücksichtigt werden. NERC CIP-010 schreibt ein formales Change Management für BES Cyber Systems vor.

Die Incident-Response in OT unterscheidet sich in mehreren wesentlichen Dimensionen von der Incident-Response in IT. Die oberste Priorität in OT-Umgebungen ist die physische Sicherheit — jede Reaktion, die die Prozessstabilität, den Betrieb von Safety-Systemen oder die Sicherheit von Mitarbeitenden beeinträchtigen könnte, muss vor der Umsetzung von Verfahrensingenieuren geprüft werden. Eindämmungsmaßnahmen, die in IT routinemäßig sind — ein kompromittiertes System isolieren, Netzwerkverkehr blockieren, einen Host herunterfahren — können in OT Produktionsausfälle, Anlagenschäden oder gefährliche Zustände verursachen. Die in OT-Umgebungen verfügbaren forensischen Beweisdaten sind häufig begrenzter: Viele PLCs und RTUs führen keine detaillierten Protokolle. Die Wiederherstellung in OT erfordert nicht nur die Wiederherstellung von Software und Daten, sondern auch verifizierte und getestete Konfigurationen von Steuerungssystemen auf der physischen Hardware. Unternehmen sollten OT-spezifische Incident-Response-Pläne mit klar definierten Rollen sowohl für Cybersecurity- als auch für Betriebspersonal vorhalten.

Ein wirksamer OT-Incident-Response-Plan folgt einem strukturierten Lebenszyklus: Vorbereiten, Erkennen, Analysieren, Eindämmen, Beseitigen, Wiederherstellen und Nachbereitung nach dem Vorfall. Die Vorbereitung umfasst die Erstellung OT-spezifischer Runbooks, den Aufbau eines Kontaktverzeichnisses für OT-Lieferanten und Systemintegratoren, die Festlegung von Kommunikationsprotokollen mit der Betriebsleitung sowie das Vorhalten forensischer Fähigkeiten. Die Erkennung stützt sich auf OT-Netzwerküberwachungslösungen, Anomalieerkennung und die Meldung von abnormalem Prozessverhalten durch das Betriebspersonal. Die Analyse erfordert Einsatzkräfte mit OT-Know-how, die industrielle Protokolle, Steuerungslogik und Prozessverhalten verstehen. Eindämmungsentscheidungen müssen gemeinsam mit dem Betrieb getroffen werden, um nicht mehr Schaden zu verursachen als der Angriff selbst. Die Wiederherstellung erfordert die Validierung von Prozessstabilität und Sicherheit, bevor Systeme wieder in den Betrieb zurückgeführt werden.

Die OT-Bedrohungserkennung stützt sich primär auf netzwerkbasiertes Monitoring und nicht auf Endpunkt-Agenten, da die Bereitstellung von Software-Agenten auf PLCs, RTUs und vielen eingebetteten OT-Systemen technisch nicht realisierbar und betrieblich riskant ist. Die netzwerkbasierte Erkennung erfasst sämtliche Kommunikationen auf OT-Netzwerksegmenten mittels passiver Monitoring-Sensoren, die über Netzwerk-TAPs oder SPAN-Ports bereitgestellt werden, und analysiert den Verkehr mit OT-spezifischen Inspektions-Engines, die Industrieprotokolle auf Anwendungsschicht verstehen. Zu den Erkennungsmodellen gehören signaturbasierte Erkennung (Abgleich bekannter schädlicher Muster und Indicators of Compromise), verhaltensbasierte Anomalieerkennung (Identifizierung von Abweichungen von etablierten Baselines normaler Kommunikationsmuster) und richtlinienbasierte Erkennung (Alarmierung, wenn Kommunikationen definierte Sicherheitsrichtlinien verletzen). Wo Endpunkt-Agenten eingesetzt werden können — auf Engineering Workstations, Historian-Servern und Windows-basierten HMIs — bieten sie zusätzliche Transparenz, die die netzwerkbasierte Erkennung ergänzt.

OT-Threat-Hunting ist eine proaktive Sicherheitsmaßnahme, bei der erfahrene Analysten gezielt nach Anzeichen von Aktivitäten von Bedrohungsakteuren suchen, die automatisierte Erkennung umgangen haben. Anders als bei der reaktiven Alarmtriagierung beginnt Threat Hunting mit einer Hypothese – basierend auf Threat Intelligence, bekannten TTPs von Angreifern oder beobachteten Anomalien, die keine automatisierten Alarme ausgelöst haben – und sucht systematisch nach Belegen, um diese zu bestätigen oder zu widerlegen. In OT-Umgebungen nutzt Threat Hunting Netzwerkverkehrsdaten, Protokolle aus Engineering-Software, OT-Historian-Daten und Protokolle für den Fernzugriff. Hunting-Hypothesen für OT könnten beispielsweise lauten: "Gibt es Hinweise auf Scanning-Aktivitäten gegen PLC-Adressen im Steuerungsnetzwerk?"; "Gibt es Verbindungen von Engineering-Workstations zu externen IPs, die in früheren Zeiträumen nicht vorhanden waren?"; "Wurden Ladder-Logic-Downloads auf PLCs durchgeführt, die nicht mit freigegebenen Änderungsprotokollen übereinstimmen?" OT-Threat-Hunting erfordert Analysten mit sowohl Expertise in der Cybersicherheit als auch Kenntnissen industrieller Prozesse.

Ein OT-Cybersecurity-Servicesvertrag sollte mehrere OT-spezifische Regelungen ausdrücklich adressieren. Die Definition des Geltungsbereichs sollte die im Scope enthaltenen OT-Systeme, Netzwerksegmente und geografischen Standorte klar benennen und ausdrücklich festlegen, welche aktiven Tests oder Sondierungen zulässig sind und was ausschließlich passiv erfolgen muss. Regelungen zur Betriebssicherheit sollten verlangen, dass der Anbieter sämtliche Aktivitäten mit dem Operationsmanagement abstimmt. Anforderungen an die Qualifikation des Personals sollten die erforderlichen OT-Sicherheitszertifizierungen und Erfahrungsstufen spezifizieren. Retainer-Vereinbarungen für Incident Response sollten Verpflichtungen zu Reaktionszeiten, den Umfang der OT-spezifischen Forensik-Fähigkeiten sowie die Frage regeln, ob die Kosten pauschal oder variabel sind. Vertraulichkeitsregelungen sollten die Sensibilität von OT-Netzwerkdiagrammen, Asset-Inventaren und Schwachstellenbefunden berücksichtigen. Regelungen zur Einhaltung regulatorischer Vorgaben sollten festlegen, wie die Meldepflichten bei Sicherheitsvorfällen zwischen dem Auftraggeber und dem Dienstleister gehandhabt werden.

Eine Reifegradbewertung eines OT-Sicherheitsprogramms bewertet den aktuellen Stand der industriellen Cybersicherheitsfähigkeiten eines Unternehmens über mehrere Domänen hinweg, gleicht ihn mit anerkannten Frameworks (IEC 62443, NIST CSF, CMMI-Cybermaturity, ES-C2M2) ab und erstellt eine priorisierte Roadmap zur Verbesserung des Programms. Die Bewertung umfasst in der Regel: Governance und Richtlinien (OT-Sicherheitsrichtlinien, Rollen, Verantwortlichkeiten und Überwachung durch das Management); Risikomanagement (OT-Risikobewertungsprozesse, Risikoregister und Nachverfolgung der Risikobehandlung); Asset-Management (Vollständigkeit und Pflege des OT-Asset-Inventars); Netzwerkarchitektur (Segmentierung, DMZ, sicherer Fernzugriff und Anbindung an IT/cloud); Identitäts- und Zugriffsmanagement; Schwachstellenmanagement; Erkennung und Reaktion auf Sicherheitsvorfälle; sowie Risikomanagement in der Lieferkette. Die Bewertungsergebnisse werden anhand einer Reifegradskala von 1 bis 5 eingestuft, wobei Fähigkeitsbeschreibungen für jede Stufe konkrete, umsetzbare Hinweise zur Verbesserung liefern.

Shieldworkz ist ein auf OT/ICS-Cybersicherheit spezialisiertes Unternehmen, das gezielt für industrielle und KRITIS-Umgebungen entwickelt wurde — und kein IT-Sicherheitsanbieter, der OT nachträglich ins Portfolio aufgenommen hat. Jeder Auftrag wird von Spezialisten geleitet, die tiefgehende Cybersecurity-Expertise mit praxisnahem Wissen über industrielle Steuerungs- und Automatisierungssysteme, Verfahrenstechnik und die betrieblichen Realitäten von Anlagenumgebungen verbinden. Die Assessments von Shieldworkz werden mit passiven, betriebssicheren Methoden durchgeführt, die sich in komplexen Industrieumgebungen bewährt haben — wir setzen niemals aktive Scans oder Probes ein, die laufende Produktionssysteme beeinträchtigen könnten. Unsere Threat Intelligence ist OT-spezifisch und basiert auf sektorspezifischen Analysen von Aktivitäten von Bedrohungsakteuren gegen industrielle Umgebungen. Unsere Managed Detection Services sind speziell für OT konzipiert und nutzen OT-Monitoring-Plattformen statt angepasster IT-SIEM-Tools. Von OT-Risikoanalysen und IEC 62443-Compliance-Programmen bis hin zu 24/7-Monitoring im industriellen SOC und Incident Response bietet Shieldworkz Cybersicherheitsservices, die Betriebskontinuität, Sicherheit und Compliance schützen.

NERC CIP stands for Critical Infrastructure Protection and refers to the mandatory reliability standards used to protect the Bulk Electric System’s cyber-related assets and related operations. NERC’s standards are part of the mandatory and enforceable Reliability Standards program.

Good practice is to treat compliance as an operating discipline, not a one-time audit project: keep asset inventories current, document every required process, track evidence continuously, review access regularly, and test incident and recovery procedures on a schedule. NERC’s 2026 CIP Roadmap also notes that the standards continue to evolve, so programs should stay adaptable.

CIP-015-1 is the Internal Network Security Monitoring standard. It requires documented processes to monitor networks inside the electronic security perimeter, detect anomalous activity, evaluate anomalies, retain relevant monitoring data, and protect that data from unauthorized deletion or modification.

Keep an always-current compliance folder or system of record for scope, policies, procedures, training, access reviews, incident records, change records, and technical evidence. Audit readiness is much easier when evidence is collected as the control runs, instead of rebuilt later.

The first step is identifying whether your organization falls under the NIS2 scope, followed by asset discovery, risk assessment, gap analysis, and implementation of cybersecurity governance and monitoring controls.

NIS2 applies to organizations categorized as Essential Entities and Important Entities operating in sectors such as energy, transport, healthcare, manufacturing, digital infrastructure, public administration, water, and telecommunications.

NIS2 expands the number of covered sectors, increases executive accountability, strengthens incident reporting requirements, and introduces tougher penalties and governance expectations compared to the original NIS Directive.