Shieldworkz, Ihre Experten für OT-Sicherheit in kritischen Infrastrukturen
Komplettschutz für Cyber-Physical Systems (CPS) – Lösungen und Services aus einer Hand
Komplettschutz für Cyber-Physical Systems (CPS) – Lösungen und Services aus einer Hand
Eine Datei, die nicht geprüft wurde, wurde auch nicht als vertrauenswürdig eingestuft. Sie wurde lediglich ignoriert.
Wir schützen Ihre kritische Infrastruktur mit proaktiven OT-Sicherheitsdiensten, fundierten Risikoanalysen, verwertbarer Threat Intelligence und fachkundiger Beratung. Ob Aufbau neuer Security Operations Center oder SOC-as-a-Service – unser Team implementiert führende Technologien für maximale Betriebskontinuität und Sicherheit.
Wir schützen Ihre kritische Infrastruktur mit proaktiven OT-Sicherheitsdiensten, fundierten Risikoanalysen, verwertbarer Threat Intelligence und fachkundiger Beratung. Ob Aufbau neuer Security Operations Center oder SOC-as-a-Service – unser Team implementiert führende Technologien für maximale Betriebskontinuität und Sicherheit.
Demo anfordern →
Prüfarchitektur anzeigen
Das Problem
Detektion ist keine Steuerung.
Die meisten OT-Umgebungen verfügen über das eine, aber nicht über das andere.
Traditionelle Security-Tools erkennen Bedrohungen. Sie markieren verdächtige Dateien, geben Warnmeldungen aus und veranlassen eine Prüfung. In einer IT-Umgebung, in der Fehlmeldungen korrigierbar sind, ist das akzeptabel. In einer OT-Umgebung, in der ein einziges infiziertes Firmware-Update eine Produktionslinie für Wochen außer Betrieb setzen kann, ist es das nicht. Kontrolle erfordert etwas, das Erkennung nicht leisten kann: ein deterministisches Ergebnis für jede Datei, jedes Mal, ohne Ausnahmen und ohne Umgehungsmöglichkeit.
Detektion zeigt Ihnen, was sie erkannt hat. Nicht, was sie übersehen hat.
Ein Scanning-Tool, das 99 % der Bedrohungen erkennt, lässt dennoch 1 % durch. In einer Umgebung, in der täglich Tausende von Dateien über die Systemgrenze hinweg bewegt werden, stellt dieses 1 % ein reales und wiederkehrendes Risiko dar. Eine probabilistische Erkennung ist keine Richtlinie. Sie ist ein Best-Effort-Ansatz.
Wechselmedien sind der häufigste OT-Angriffsvektor.
USB-Sticks, Laptops, externe Festplatten – jedes Gerät, das ein Techniker, Auftragnehmer oder Lieferant vor Ort mitbringt, ist ein potenzieller Einstiegspunkt. Vom Netz getrennte OT-Umgebungen sind nur so lange vom Netz getrennt, bis jemand etwas anschließt. Eine Prüfung direkt am Anschlusspunkt ist die einzige Kontrollmaßnahme, die zuverlässig wirksam bleibt.
Compliance erfordert Nachweise, nicht bloße Anstrengungen.
IEC 62443, NIST SP 800-82, NIS2 und NCA OTCC verlangen allesamt nachweisbare Kontrolle über Dateiübertragungen an den OT-Grenzen. Ein Scanning-Tool, das lediglich Warnmeldungen ausgibt, erfüllt keine Compliance-Anforderung. Eine deterministische Pipeline mit Audit-Logs pro Datei schon.
Vier Formfaktoren
Eine Inspektions-Pipeline.
Vier Möglichkeiten, sie bereitzustellen.
Jede Bauform durchläuft dieselbe Prüfpipeline, liefert dieselben Ergebnisarten und erzeugt dasselbe Audit-Protokoll. Der Unterschied liegt darin, wo und wie sie in Ihrer Umgebung eingesetzt werden.
Medien-Scanfeld
Tragbarer USB
Geht dorthin, wohin Ihr Techniker geht.
Eine tragbare, USB-basierte Prüfeinheit für Servicetechniker vor Ort, Instandhaltungsteams und Standortbesucher. Jede Datei auf dem USB-Stick wird geprüft, bevor sie das Netzwerk erreicht – direkt am Endgerät, vor dem Anschluss. Keine Infrastruktur erforderlich. Keine Netzwerkabhängigkeit. Ergebnis vor dem Kontakt.
—
Wartungsbesuche vor Ort
—
Lieferung von Hersteller-Firmware
—
Zutritt für Auftragnehmer zum Standort
—
Entfernte und temporäre Standorte
Medien-Scan-Arbeitsplatz
Tabletop-Übung
Unbefristete Festanstellung. Ständige Wachsamkeit.
Eine am Arbeitsplatz platzierte Prüfeinheit für Engineering-Workstations, IT-OT-Übergangsstationen und Betriebszentren mit kontinuierlichem Dateieingang. Media Scan Desk ist fest in den Workflow eingebunden; Dateien passieren diese Station, bevor sie an anderer Stelle weiterverarbeitet werden. Kompakte Bauform, kompromissloser Prozess.
—
Aufnahme der Engineering-Workstation
—
IT-OT-Übergangsstationen
—
Dateiannahme im Operations Center
—
Konfiguration und Patch-Staging
Media Scan Gate
Kiosk
Hält die Schutzlinie an jedem Eintrittspunkt.
Ein fest installierter Inspektionskiosk, positioniert an der physischen Grenze der OT-Umgebung, am Werkseingang, am Zugang zum Leitstand oder im Engineering-Bereich. Bediener und Besucher legen ihre Datenträger am Kiosk vor. Nichts gelangt hinein ohne eindeutige Entscheidung. Erzwingbarer Ablauf, jedes Mal.
—
Zutrittskontrolle für den Leitstand
—
Zugang zum Technikbereich
—
Durchsetzung von Grenzvorgaben auf dem Shopfloor
—
Stark frequentierte Zugangspunkte
Inline-Medienscan
Vollständig virtuell
Jede Übertragung. Jede Richtung. Immer verfügbar.
Eine reine Software-Bereitstellung, die jede Datei prüft, die die IT-OT-Grenze in beide Richtungen passiert. Keine physische Hardware. Keine zusätzlichen Arbeitsschritte für Bediener. Media Scan Inline arbeitet unsichtbar im Hintergrund und erzwingt dieselbe Prüf-Pipeline bei jeder Dateiübertragung, die die Netzgrenze passiert.
—
Inline-Inspektion der IT-OT-Grenze
—
OT-IT-Datenextraktionssteuerung
—
Cloud-verbundene OT-Umgebungen
—
Groß angelegte standortübergreifende Bereitstellung
Inspektions-Pipeline
Fünf Stufen. Ein Urteil. Keine Ausnahmen.
Jede Datei – unabhängig von Quelle, Format oder Formfaktor – durchläuft dieselbe feste Prüfreihenfolge. Die Pipeline ist deterministisch: Dieselben Eingaben erzeugen stets dieselben Ausgaben. Es gibt keine Abkürzung, keinen Bypass für vertrauenswürdige Quellen und keine Ausnahmeliste.
1
Statische Analyse
Musterbasierte Prüfung der Dateistruktur vor jeder Ausführung. Erkennt bekannte Malware-Signaturen, verdächtige Kodierungen und eingebettete Bedrohungen in Dateikopf und Metadaten.
2
Scanning mit mehreren Engines
Parallele Prüfung durch mehr als 17 unabhängige Scan-Engines gleichzeitig. Keine einzelne Engine ist die maßgebliche Instanz. Der Konsens über mehrere Erkennungsansätze eliminiert einzelne Ausfallpunkte.
3
Content Disarm and Reconstruction (CDR)
Dateien werden nicht nur gescannt, sondern neu aufgebaut. Aktive Inhalte, Makros, eingebettete Objekte und Exploit-Vektoren werden entfernt. Das Ergebnis ist eine sichere, funktionsfähige Datei, die keine Schadnutzlast enthält. Die ursprüngliche Bedrohung wird zerstört und nicht in Quarantäne verschoben.
Alleinstellungsmerkmal
4
Validierung der Reputation
Hash-Validierung gegen globale Threat-Intelligence-Datenbanken, OT-spezifische Malware-Repositories und Bibliotheken für Angriffsmuster industrieller Steuerungssysteme. Jede Datei wird gegen bereits bekannte Inhalte geprüft.
5
Deterministisches Urteil
Ein Ergebnis. Sauber. Zurückhalten. Blockiert. Keine probabilistische Bewertung. Keine Unklarheit. Dieselbe Datei erhält immer dasselbe Urteil. Jedes Ergebnis wird protokolliert, ist nachvollziehbar und revisionssicher.
SAUBER
HALTEN
GESPERRT
Konstruktiv fehlersicher geschlossen.
Wenn Media Scan kein eindeutiges Ergebnis erzielen kann – etwa bei Verbindungsproblemen, einem nicht erkannten Format oder einem Fehler der Prüf-Engine –, wird die Datei zurückgehalten und nicht freigegeben. Der Standard ist Kontrolle, nicht Bequemlichkeit. Eine Datei, die nicht geprüft werden kann, gelangt nicht in Ihre Umgebung.
Lückenloser Audit-Trail für jede Datei.
Jede Datei erzeugt einen zeitgestempelten Audit-Datensatz: Quelle, Format, abgeschlossene Prüfschritte, erteiltes Ergebnis und angewendete Behandlung. Das Protokoll ist vollständig, unveränderbar und exportierbar. Der Compliance-Nachweis wird automatisch erzeugt, nicht nachträglich zusammengestellt.
Warum Media Scan
Kontrolle ist nicht einfach Erkennung mit einem strengeren Schwellwert.
Der Unterschied zwischen Media Scan und herkömmlichen AV- oder Scan-Tools liegt nicht in der Sensitivität, sondern in der Architektur. Media Scan wurde entwickelt, um eine Richtlinie durchzusetzen, nicht um eine Bedrohung zu erkennen.
Medien-Scan
Traditionelle AV-/Scanning-Tools
Bewertungstyp
Deterministisch, dieselbe Datei führt immer zum gleichen Ergebnis
Probabilistisch, scorebasiert, je nach Engine-Version variabel
Ausfallmodus
Fail-closed: Unbekannte Dateien werden zurückgehalten
Fail-open: Unbekannte werden häufig durchgelassen.
Inhaltsverarbeitung
CDR rekonstruiert Dateien, aktive Inhalte werden zerstört
Dateien werden am Speicherort gescannt; Bedrohungen können eingebettet verbleiben.
Unterstützung für OT-Protokolle
Native Unterstützung für OT-Dateiformate (.bin, .s7p, .acd, .dat und weitere)
IT-orientierte Formate, OT-Unterstützung variiert
Audit-Trail
Vollständiges dateiweises Audit-Protokoll mit Zeitstempeln
Nur teilweise, nur ereignisbezogene Protokollierung
Bereitstellung
Air-Gap, On-Premises, inline virtuell – alles unterstützt
Cloud oder On-Premises, Air-Gap wird typischerweise nicht unterstützt
Durchsetzung von Workflows
Erzwungen: Dateien können die Prüfung nicht umgehen
Eine beratende Inspektion wird empfohlen, ist jedoch nicht verpflichtend.
Technische Spezifikationen
Für industrielle Umgebungen konzipiert. Nicht an sie angepasst.
Unterstützung von Dateiformaten
500+
Einschließlich nativer OT-Formate: .bin, .s7p, .acd, .rsp, .prj, .dat, .cfg, .xml sowie Engineering-Dateitypen von Siemens, Rockwell, Schneider, ABB und anderen. IT-Formate vollständig abgedeckt.
Durchsatz
10.000+ Dateien/Tag
Durchschnittliche Prüfzeit von unter 5 Sekunden. Die Pipeline wird über alle 17+ Engines parallel und gleichzeitig verarbeitet, nicht sequenziell. Unterstützt Hochvolumen-Betriebsumgebungen ohne Workflow-Engpässe.
Bereitstellungsmodelle
4 Optionen
On-Premise. Air-gapped. IT-OT-Grenze inline (Media Scan Inline). Alle vier Formfaktoren (Field, Gate, Desk, Inline) werden unterstützt. Gemischte Bereitstellungen sind Standard.
Integration
Vollständige API
Active Directory, SIEM-Integration, ITSM-Workflow-Integration, SFTP/MFT für den sicheren Dateitransfer. Vollständige API für die kundenspezifische Integration. Audit-Logs in Standardformaten exportierbar.
Compliance
IEC 62443+
Ausgelegt gemäß IEC 62443, NIST SP 800-82, ISO 27001 und NIS2. Dateiweise Audit-Protokolle erfüllen die Anforderungen an den Compliance-Nachweis.
Verfügbarkeit
99,9 %+
Eine Fail-Closed-Architektur bedeutet, dass der Fehlermodus ein Haltezustand ist und nicht ein Durchschaltzustand. Die Kern-Inspektionsfunktionen sind nicht von externer Konnektivität abhängig. Air-gapped-Deployments arbeiten vollständig offline.
Kontrollieren Sie, was in Ihre Umgebung gelangt. Und was sie verlässt.
Deterministische Inspektion. Vier Bauformen. Eine Pipeline.
Demo anfordern →
Prüfarchitektur anzeigen
Über uns
Wir sichern Umgebungen der Betriebstechnologie und schützen Unternehmen mit erstklassigen Dienstleistungen und Lösungen für Cybersicherheit.
Ressourcen
Module
Urheberrecht © 2026, Shieldworkz - Alle Rechte vorbehalten.
