Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Vulnerability Management für OT/SCADA: Was Produktionsbetriebe anders machen müssen
Active Scans legen SPSen lahm. Wie passive Erkennung, Asset-Discovery und IEC 62443 in Produktionsumgebungen funktionieren.
Edouard Jacques
Managing Director, Cyber Culture
In der Produktions-IT (OT) gilt: Verfügbarkeit schlägt Vertraulichkeit. Ein active Vulnerability Scan, der eine SPS in Pause schickt, kann eine Produktionslinie für Stunden stilllegen – mit Schäden in fünfstelliger Höhe pro Stunde. Klassische IT-Vulnerability-Tools sind hier nicht einsetzbar oder müssen massiv umkonfiguriert werden.
Drei Prinzipien für OT-VM
- Passiv vor aktiv: Asset-Discovery und Schwachstellen-Identifikation erfolgen durch Mithören des OT-Netzwerks (Network Sensors), nicht durch aktive Scans.
- Asset-Inventory zuerst: Bevor Schwachstellen gemanagt werden können, muss das Asset-Inventory mit Hersteller, Modell und Firmware-Stand vollständig sein.
- Patch nur im Wartungsfenster: Patches in OT folgen Hersteller-Freigaben (Siemens, Rockwell, Schneider) und werden in geplanten Stillständen ausgerollt – nicht spontan.
Toollandschaft
Spezialisierte Plattformen wie Tenable.ot, Claroty, Nozomi Networks und Dragos haben sich etabliert. Sie kombinieren passive Asset-Discovery, OT-Schwachstellen-Datenbanken (ICS-CERT, Siemens ProductCERT) und Anomalie-Detection für SCADA-Protokolle wie Modbus, Profinet und OPC UA.
IEC 62443 als Rahmen
Die IEC 62443 ist der internationale Standard für OT-Sicherheit. Sie definiert Zonen, Conduits und Security Levels. Vulnerability Management ist ein expliziter Bestandteil – allerdings mit anderen SLAs als in der IT (typisch: Critical < 90 Tage statt < 7 Tage). NIS2 verweist für KRITIS-Sektoren explizit auf IEC 62443.
Organisatorische Trennung
In den meisten Mittelständlern sind IT- und OT-Sicherheit organisatorisch getrennt. Produktionsleiter und IT-Leiter sprechen oft nicht dieselbe Sprache. Erfolgreiche OT-VM-Programme starten mit einem gemeinsamen Lenkungskreis und einem klaren Verantwortungsmodell.
Wir begleiten OT-VM-Einführungen
Wir haben OT-Vulnerability-Programme bei produzierenden Unternehmen aus Maschinenbau, Lebensmittel und Chemie aufgebaut. Inklusive Tool-Auswahl, IEC-62443-Konformitätsprüfung und NIS2-Dokumentation. Sprechen Sie uns an, wenn Sie eine Produktionsumgebung verantworten.
Ihre nächsten Schritte
Jetzt selbst prüfen - oder direkt mit uns sprechen
CyberRisikoCheck für KMU
In 90 Minuten wissen Sie, welche Risiken in Ihrem Unternehmen die größten sind und was als Nächstes zählt.
Risiko-Check startenLieber direkt sprechen?
Buchen Sie 30 Min mit uns und besprechen Sie Ihre Situation 1:1.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen