"Können Sie auf SPS-Ebene direkt detektieren?"

"Nicht auf der SPS selbst — dort ist Speicher und Rechenleistung zu knapp. Wir detektieren am Network-Layer (Feldbus-Traffic) und an Engineering-Workstations (Step7, TIA). SPS-eigene Anomalie-Detection ist 2026 noch nicht Reifegrad-Standard. Stattdessen: State-Machine-Verständnis des Feldbusses + Upstream-Alerts."

"Wie patchen Sie OT ohne Produktionsstillstand?"

"Mit Ihnen, in Ihren Wartungsfenstern. Wir bringen Patch-Plan und strukturiertes Testverfahren (Staging, Rollback-Plan, Checkpoint-Management). Sie entscheiden Zeitpunkt und Reihenfolge. Ein Patch pro SPS-Generation pro Fenster ist Standard — keine Überraschungen."

"Brauchen wir Air-Gapped Netze?"

"Selten. Hybrid mit strikten Firewall-Regeln oder Diode-Konzepten (One-Way-Datenfluss für Logging) ist Standard. True Air-Gap ist teuer und unpraktisch — wir zeigen Alternativen auf."

"Was, wenn wir noch keine OT-Inventur haben?"

"Wir starten damit — passive Discovery aus Network-Telemetrie, dann aktive Scans in koordinierten Wartungsfenstern. 30–60 Tage bis zu einer zuverlässigen Liste. Parallel können wir bereits erste Detection bauen."

Zurück zu Branchen

BRANCHEN · INDUSTRIE & IIOT

Manufacturing-Realität. OT-IT-Konvergenz. NIS2-essential.

TL;DR. Wir kennen Fertigungs-Realitäten — auch dort, wo IT und OT historisch nicht miteinander geredet haben. NIS2-essential, ICS-Detection, IEC-62443-konforme Segmentation. KI-native Operations, die OT-Sicherheit nicht bricht.

NIS2-essential IEC 62443 OT-IT-Konvergenz

Branchen-Briefing anfragen Zurück zur Branchen-Übersicht

Was diese Branche typischerweise belastet

Die NIS2-Umsetzungsfrist im Oktober 2024 ist vorbei — seit 2025 führt die BaFin/BSI Aufsichts-Audits mit Schärfe durch. OT-Detection ist nicht länger Bonus, sondern Pflicht. Doch klassische EDR funktioniert auf SPS, HMI oder Feldbussen (Modbus, Profinet, S7) nicht. Gleichzeitig marschiert Ransomware in Fertigungshallen ein — Industroyer-Familie, Pipedream, Triton-Attacken zeigen: OT ist bevölkert.

Die Lieferketten-Realität verstärkt den Druck. Ein Werk-Ausfall durch Ransomware macht nicht nur intern Schlagzeilen — OEM-Kunden und Großhändler spüren sofort Lieferengpässe. Versicherer verlangen IEC-62443-Reifegrad als Bedingung für Cyber-Police. Und der Personalmangel ist real: OT-Security-Skills sind am Markt kaum zu kaufen. Ein durchschnittliches Großwerk hat eine Handvoll IT-Leute und einen einzelnen Automatisierungsingenieur — mit Patch-Management für 200 verschiedene SPS-Typen beauftragen funktioniert nicht.

Wartungsfenster sind selten und teuer. Ein Produktionsstillstand kostet mehrere tausend Euro pro Stunde. Deshalb wird Patching zur politischen Entscheidung, nicht zu einer technischen. Es braucht einen Partner, der versteht, dass OT-Härtung und Produktion parallel laufen — nicht sequenziell.

Wie wir typischerweise helfen

Wir bauen IT/OT-segmentierte Detection mit ICS-Protokoll-Verständnis: Modbus, Profinet, S7, OPC-UA sind für uns keine Fremdwörter. Endpoint Agents sitzen auf der IT-Seite (Büro, Engineering, MES). Network-Sensing überwacht die OT-Grenzen — nicht mit klassischer IDS (zu viele False Positives), sondern mit Protocol-State-Machine-Verständnis. Das ist der Unterschied zwischen echtem OT-Risk und Alarm-Müdigkeit.

Jeder OT-Alert wird vom LLM Gateway analysiert — Kontext = OT-relevante Beobachtung (unerwarteter PLC-Reset, ungewöhnliche Feldbuss-Lasten, Engineering-Toolchain-Anomalien). Business Agents routieren Eskalationen an die richtige Person (nicht an den Datenschützer, sondern an den Schichtleiter oder den BSI-Meldungsverantwortlichen). On-Prem oder Hybrid ist typisch — die meisten Werk-Netze sind offline oder haben strengste Firewall-Regeln.

Wir bauen mit Ihnen IEC-62443-Zonen-Architektur: Defense-in-Depth mit kritischen Conduits verschlüsselt und authentifiziert. Klon-Übergabe ist zwingend — wir trainieren Ihr OT-Team mit einem klonbaren Mandat.

Was sich in dieser Branche oft als erstes lohnt

Starten Sie mit einer OT-Inventur und Risiko-Kategorisierung. Die meisten Werke haben keine aktuelle Liste ihrer SPS-Generationen, Telematik-Gateways oder Engineering-Workstations. Passive Discovery und aktive Scans zeigen, was tatsächlich läuft.

IT/OT-Segmentation-Audit: Wie sind Zone 1 und Zone 2 (MES/Office) heute getrennt? Wo sind Schwachstellen?
ICS-Detection-Engineering: Modbus/Profinet/S7-Baseline verstehen, Anomalien definieren, ohne Engineering zu stören.
NIS2-Evidence-Sammlung: Audit-Trail für BSI, falls Reporting nötig wird. Vollständig in EU, Retention nach Vorgabe.
IEC-62443-Reifegrad-Bewertung: Wo stehen Sie nach SL-Modell (Security Level 1–4)? Welche Low-Hanging-Fruits erhöhen Reifegrad ohne Produktionsstopp?
Backup-Strategie für Engineering-Workstations: CAD, Siemens Step7, ABB-Tools sind oft ungesichert. Ransomware im Engineering-Netzwerk = Produktionsdesign-Diebstahl + Stillstand.
Cyber-Versicherer-Readiness: Dokumentation sammeln, die Ihre Police-Bedingungen erfüllt.

Konkrete Angebote

Was Sie übernehmen lassen können

IT/OT-Segmentation-Assessment

Zone-Architektur auditieren, Schwachstellen in Conduit-Designs finden.
ICS-Detection für Ihre Protokolle

Modbus, Profinet, S7, OPC-UA basierend. Protokoll-State verstehen, nicht roh loggen.
SOC-Integration mit OT-Layer

Alerts korrekt categorisieren und an richtige Eskalations-Pfade routieren.
IEC-62443-Reifegrad-Bewertung

Aktuellen SL messen, Härtungsplan mit minimaler Produktion-Störung erstellen.
NIS2-Evidence-Pack

Audit-Logs, Detection-Traces, Incident-Reports für BSI-Meldung in vorgeschriebener Form.
Backup & Recovery für Engineering

CAD, Siemens Step7, ABB-Datenbanken verschlüsselt und versioniert, Restore in Minuten.

Regulatorischer Rahmen

Pflichten, die wir adressieren

Industrie und IIoT stehen 2026 in einem dichten Regulatory-Stack: NIS2 mit Aufsichts-Audits, IEC 62443 als technische Norm, KRITIS-Verordnung für betroffene Betriebe, plus sektor-spezifische Pflichten von TISAX bis Cyber Resilience Act.

NIS2 §10

NIS2-Umsetzungsgesetz · §10 Risikomanagementmaßnahmen

Schreibt Detection, Continuity, Lieferketten-Sicherheit und Pen-Tests verbindlich vor. Aufsicht (BSI) prüft Reifegrad und Umsetzung; Bußgelder bis 10 Mio EUR / 2% Konzernumsatz. Wir bauen OT-Detection-Engineering, dokumentieren BCM-Pläne und richten Lieferanten-Reviews ein — alles auditierbar im Nova9-Audit-Mirror.
NIS2 §11

NIS2-Umsetzungsgesetz · §11 Berichtspflichten

Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden initial, binnen 72 Stunden ausführlich und binnen 1 Monat abschließend an BSI gemeldet werden. Wir liefern den Workflow: Incident-Trigger aus der Detection, automatisch vorausgefülltes BSI-Formular, dokumentierter Eskalationspfad mit GF-Sign-off.
NIS2 §12

NIS2-Umsetzungsgesetz · §12 Geschäftsleitungspflichten

Geschäftsleitung haftet persönlich für Compliance — Wissens-Nachweis und regelmäßige Schulungen sind Pflicht. Wir liefern den Schulungs-Plan, dokumentieren Teilnahmen und führen jährliche Tabletop-Übungen mit der GF durch. Reporting-Format ist Aufsichts-tauglich.
IEC 62443-2-1

IEC 62443-2-1 · Cybersecurity Management System für OT

Fordert ein dokumentiertes Cybersecurity-Management-System speziell für OT-Umgebungen — separat vom klassischen ISO 27001-ISMS, weil OT-Risiko anders profiliert ist. Wir bauen das CSMS auf Basis von Nova9, mit OT-spezifischen Detections und Wartungsfenster-konformen Patch-Prozessen.
IEC 62443-3-3

IEC 62443-3-3 · System Security Requirements und Security Levels

Definiert Security Levels (SL 1–4) für OT-Systeme nach Schadenspotenzial. Reifegrad-Bewertung erfolgt pro Zone und Conduit. Wir führen den Reifegrad-Assessment durch, planen die Härtung pro Zone und dokumentieren die Übereinstimmung mit dem Ziel-SL für jeden Bereich.
IEC 62443-4-1

IEC 62443-4-1 · Secure Product Development Lifecycle

Für OEM und Anlagenbauer: Produkte müssen nach sicherem Entwicklungslebenszyklus entstehen — Threat-Modeling, Secure-Coding-Reviews, Pen-Tests, Vulnerability-Management mit Disclosure-Policy. Wir bauen die Prozess-Dokumentation und integrieren Security-Gates in CI/CD-Pipelines.
KRITIS §8a

BSI-Gesetz §8a · KRITIS-Sektor-Spezifika

Falls KRITIS-Schwellenwert überschritten (Stromerzeugung, Wasser, etc.): Stand-der-Technik-Nachweis alle zwei Jahre, dauerhaft etabliertes ISMS, BCM, 24h-BSI-Meldepflicht. Wir liefern das Evidence-Pack im BSI-akzeptierten Format und übernehmen die laufende Pflege.
TISAX

TISAX · VDA-ISA Reifegrad-Audit für Automotive-Lieferanten

OEM-Forderung für direkte und indirekte Zulieferer. Reifegrad-Niveau (AL1/AL2/AL3) abhängig von Daten-Sensibilität und Prototypen-Zugriff. Wir bereiten den TISAX-Selbstaudit vor, schließen identifizierte Lücken und begleiten den externen Auditor — typische Vorlaufzeit 60–90 Tage.
CRA

EU Cyber Resilience Act · 2024/2847 (gilt ab 2027)

Produkte mit digitalen Elementen brauchen Security-by-Design, Vulnerability-Management und Patch-Notice-Pflicht. Wir bauen den CE-Prozess inklusive SBOM-Pflege, Vulnerability-Disclosure-Policy und Patch-Distribution. Frühzeitiger Aufbau ist wirtschaftlicher als CRA-Last-Minute.
ISO 27001

ISO/IEC 27001:2022 · Information Security Management System

Branchen-übergreifender Goldstandard und Voraussetzung für viele NIS2-Audits. Wir bauen das ISMS nach Annex-A-Controls, dokumentieren Risiko-Register und Verbesserungs-Plan, bereiten externen Audit-Termin vor — typischer Zeitraum 12–18 Monate bis Zertifizierung.

Branchen-Fakten

Stand: 2026-05-27 · Quelle: dynexo Operations + BSI/NIS2-Daten
Typische Mandats-Größe	200–2.000 MA · 1–10 Standorte (meist Fabrik-Cluster)
Häufigste Trigger	NIS2-Aufsichts-Audit, OT-Incident/Ransomware, Cyber-Versicherer-Anforderung
Typisches Betriebsmodell	On-Prem oder Hybrid: OT-Layer offline, IT-Layer EU-Cloud · Grund: Netzwerk-Grenzen, Wartungsfenster, Air-Gap-Szenarien
Kernregulierung	NIS2, IEC 62443, KRITIS (sofern relevant), DSGVO
Nova9-Module im Einsatz	Endpoint Agents, Knowledge Base (Protocol-Verständnis), Observability (OT-Metrics), Message Bus (Zone-Routing)
Typisches Onboarding	60–90 Tage (Inventur, Baseline, Härtung, Training)
Audit-Mirror	Vollständig in EU · Retention: 7 Jahre (NIS2)
Klon-Übergabe	Verfügbar · Kritisch für Wissenstransfer zu OT-Team

Oft gefragt

Was vor dem Briefing oft gefragt wird

Können Sie auf SPS-Ebene direkt detektieren?

Nicht auf der SPS selbst — dort ist Speicher und Rechenleistung zu knapp. Wir detektieren am Network-Layer (Feldbus-Traffic) und an Engineering-Workstations (Step7, TIA). SPS-eigene Anomalie-Detection ist 2026 noch nicht Reifegrad-Standard. Stattdessen: State-Machine-Verständnis des Feldbusses + Upstream-Alerts.
Wie patchen Sie OT ohne Produktionsstillstand?

Mit Ihnen, in Ihren Wartungsfenstern. Wir bringen Patch-Plan und strukturiertes Testverfahren (Staging, Rollback-Plan, Checkpoint-Management). Sie entscheiden Zeitpunkt und Reihenfolge. Ein Patch pro SPS-Generation pro Fenster ist Standard — keine Überraschungen.
Brauchen wir Air-Gapped Netze?

Selten. Hybrid mit strikten Firewall-Regeln oder Diode-Konzepten (One-Way-Datenfluss für Logging) ist Standard. True Air-Gap ist teuer und unpraktisch — wir zeigen Alternativen auf.
Was, wenn wir noch keine OT-Inventur haben?

Wir starten damit — passive Discovery aus Network-Telemetrie, dann aktive Scans in koordinierten Wartungsfenstern. 30–60 Tage bis zu einer zuverlässigen Liste. Parallel können wir bereits erste Detection bauen.

Nächster Schritt

Wie sieht OT-Sicherheit für Ihr Werk konkret aus?

Das Branchen-Briefing analysiert Ihre Zone-Architektur, zeigt NIS2-Konformitäts-Gaps und liefert einen Härtungsplan für die nächsten 12 Monate — mit Zeiten, die Ihre Produktion nicht unterbrechen.

Branchen-Briefing anfragen Sicherheits-Briefing buchen