Expertenberatung
Identifizieren Sie den Bedrohungsakteur.
Maximale Verfügbarkeit, volle Asset-Transparenz, resiliente Infrastruktur: Unsere OT-Sicherheitslösungen erfüllen IEC 62443, NIS2, NIST SP 800-82 und CISA-Standards.
Gesamtbild
Kontextbezogene OT-Bedrohungsinformationen.
Nicht auf Ihre Branche zugeschnitten oder nach Relevanz gefiltert. Sie erhalten das vollständige OT-Bedrohungsbild und entscheiden, was für Sie relevant ist.
Experte
Fachberatung inklusive.
Spezialisierte OT-Bedrohungsinformationen, verfasst von Analysten, die industrielle Angriffsverfahren verstehen. Keine automatisierten Zusammenfassungen.
OT-Sicherheitsbetrieb
Speisen Sie akteurzugeordnete Bedrohungsindikatoren in Ihre SIEM-, SOAR- und Threat-Hunting-Plattformen ein. Suchen Sie nach Kampagnen, die gezielt OT-Umgebungen angreifen. Priorisieren Sie Abwehrmaßnahmen anhand der TTPs der Akteure und der Kampagnenzeitachsen.
Teams für die Reaktion auf Sicherheitsvorfälle
Wenn während des IR ein Indikator auftaucht, müssen Sie sofort wissen, ob er Teil einer bekannten Kampagne ist, welchem Akteur er zugeordnet ist und was dieser typischerweise als Nächstes tut. OThello liefert Ihnen diesen Kontext in Echtzeit.
Führung in der Informationssicherheit
Verfolgen Sie Veränderungen in der OT-Bedrohungslage. Verstehen Sie, welche Akteure aktiv sind, auf welche Sektoren sie abzielen und welche TTPs sich herausbilden. Vierteljährliche Trendberichte und Management-Zusammenfassungen halten die Führungsebene auf dem Laufenden.
OT-Angreifer sind hochentwickelt.
Kampagnen erstrecken sich über Monate. Die Infrastruktur wird im Vorfeld platziert. Die Aufklärung ist umfassend. Das Angriffsprofil stimmt nicht mit generischen IOC-Datenbanken überein. OThello verfolgt das Verhalten von OT-Akteuren gezielt und nicht als Teilmenge der IT-Threat Intelligence.
Generische Werkzeuge erzeugen generische Ergebnisse
Eine markierte IP-Adresse sagt Ihnen nahezu nichts. Eine IP-Adresse, die einem Akteur mit dokumentierter Historie von Angriffen auf die Energieinfrastruktur zugeordnet wird, sagt Ihnen, worauf Sie sich vorbereiten sollten.
Monate vergehen unbemerkt
OT-Sicherheitsvorfälle bleiben im Durchschnitt 287 Tage lang unentdeckt. Die Zeitspanne zwischen der ersten Kompromittierung und der Entdeckung wird in Quartalen statt in Stunden gemessen. Die Zuordnung zu einem Akteur (Actor Attribution) hilft, diese Lücke zu schließen, indem Kampagnen bereits in der Aufklärungsphase identifiziert werden.
OT-Bedrohungsdaten-Feed
Echtzeit-Feed akteurszugeordneter Bedrohungsindikatoren, IP-Adressen, Domains, Malware-Hashes und Angriffssignaturen auf Protokollebene. Jeder Indikator enthält den vollständigen Akteurskontext. STIX-formatiert. Auf MITRE ATT&CK für ICS abgebildet. Strukturiert für die Aufnahme in SIEM-, SOAR- und Threat-Hunting-Plattformen.
Vollständige Akteurszuordnung
Jeder Bedrohungsindikator wird dem verantwortlichen Akteur oder der jeweiligen Kampagne zugeordnet. Akteurprofile umfassen bekannte TTPs, Zielsektoren, Infrastrukturmuster und zeitliche Abläufe von Kampagnen. Sobald ein Indikator auftaucht, wissen Sie, wem er zuzuordnen ist und welche Schritte dieser Akteur typischerweise als Nächstes unternimmt.
Spezialisierte Beratungsdienstleistung
Schriftliche Lagehinweise zu aktiven OT-Kampagnen, aufkommenden Bedrohungen und den TTPs von Akteuren. Keine automatisierten Zusammenfassungen. Fachliche Analyse durch Analysten, die das OT-Angriffshandwerk verstehen. Bereitgestellt als strukturierte Berichte mit umsetzbaren Empfehlungen zur Abwehr.
Frühwarnmeldungen
Wenn eine neue Kampagne auftaucht, die auf OT-Umgebungen abzielt, erhalten Sie eine Frühwarnmeldung. Nicht erst, wenn die Kampagne bereits öffentlich bekannt ist, sondern sobald erste Indikatoren im OThello-Honeypot-Netzwerk sichtbar werden. Frühwarnung bedeutet Vorlauf von Stunden oder Tagen, nicht wochenlanges Hinterherlaufen.
Trendanalyse von Kampagnen und TTPs
Quartalsweise Trendanalyse, die Verschiebungen im Verhalten von OT-Akteuren, neu auftretende TTPs, protokollspezifische Angriffsmuster und Trends bei der Sektorzielauswahl aufzeigt.
Management-Reporting
Berichterstattung auf Führungsebene zu Veränderungen in der OT-Bedrohungslandschaft, Trends bei der Akteursaktivität und Kampagnenentwicklungen. Aufbereitet für Vorstand und Geschäftsführung. Zeigt, was sich geändert hat, was sich abzeichnet und worauf Sie achten sollten.
01
Globales Honeypot-Netzwerk.
OThello betreibt ein globales Netzwerk von OT-Honeypots sowie realen industriellen Steuerungsgeräten (PLCs, HMIs, RTUs, IEDs), die an mehreren geografischen Standorten eingesetzt werden.
02
Automatisierte Erfassung.
Vom Honeypot-Netzwerk erfasste Angriffsaktivitäten werden automatisch aufgenommen, strukturiert und mit bekannten TTPs von Bedrohungsakteuren sowie Infrastrukturmustern korreliert. Das Mapping auf MITRE ATT&CK for ICS erfolgt automatisch. Protokollspezifische Indikatoren werden extrahiert und nach industriellem Protokolltyp markiert.
03
Validierung und Attribution.
Die automatisierte Erfassung fließt in die Validierung durch Analysten ein. Jeder Indikator wird vor der Freigabe von einer Fachkraft geprüft. Die Akteursattribution erfolgt durch den Abgleich beobachteter TTPs, von Infrastrukturmustern und Kampagnenmerkmalen mit bekannten Akteursprofilen.
04
Strukturierung von Beratungsleistungen.
Validierte Informationen werden zu strukturierten Threat Advisories zusammengestellt. Jedes Advisory umfasst eine Executive Summary, technische Details, eine vollständige TTP-Mapping-Tabelle und einen IOC-Anhang und wird für die Verteilung auf der jeweils angemessenen TLP-Stufe klassifiziert. Advisories werden nach Branchenrelevanz, Zielgeografie und betroffenem industriellem Protokoll getaggt.
05
Handlungsrelevante Bedrohungswarnung.
Die fertige Advisory erreicht die OThello-Plattform als einsatzbereites operatives Ergebnis. Jede Advisory umfasst drei Elemente: priorisierte Minderungsmaßnahmen, die den IEC 62443-Controls zugeordnet sind, Handlungsempfehlungen zur Detektion in Form sofort einsetzbarer SIEM-, EDR- und OT NDR-Regeln sowie empfohlene Controls der Sicherheitsarchitektur mit Bezug auf die jeweils beobachteten TTP.
