Industrielle Netzwerke sind eine Angriffsfläche. Wir sichern sie ab.
Die meisten OT- und „IoT“-Implementierungen wurden konzipiert, bevor Sicherheit eine Beschaffungsanforderung war. TRACIO bewertet, wo sich Ihr Datenverkehr von „RTLS“, „AGV“, Sensoren und SPS im Purdue-Modell befindet, was tatsächlich exponiert ist und was zuerst behoben werden muss. Herstellerunabhängig, auf Rahmenwerke abgestimmt (IEC 62443, NIS2, NIST CSF, ISO 27001). Wir verkaufen keine Tools – wir entwerfen die Architektur und den Abhilfemaßnahmenplan und überprüfen diese anschließend.
Drei Fehlermodi auf der OT-Ebene, die wir immer wieder beobachten.
Die Ergebnisse wiederholen sich branchenübergreifend. Sie zu benennen ist der erste Schritt, um sie zu schließen.
PLCs und Tags teilen sich das Büro-VLAN
Das ursprüngliche Netzwerk war flach, da dies der schnellste Weg zur Inbetriebnahme war. Heute sind ein RFID-Lesegerät, ein PLC, ein TV im Besprechungsraum und ein Laptop der Finanzabteilung alle nur eine Broadcast-Domäne voneinander entfernt. Ein einziger kompromittierter Endpunkt reicht aus, um die Leitung zu erreichen.
Keine Segmentierung zwischen OT und IT
Purdue-Ebenen existieren im Architekturdiagramm, aber nicht in der Firewall. Der Ost-West-Verkehr zwischen dem MES und dem BI-Warehouse fließt ungefiltert. Seitliche Bewegung ist kostenlos für jeden, der eine Phishing-Payload in der Personalabteilung platziert.
Der Fernzugriff ist eine Hintertür
OEM-Anbieter verfügen über permanente VPN-Zugangsdaten, damit sie die Maschinen warten können. Niemand weiß, wer gerade angemeldet ist, was diese Person letzte Woche angefasst hat oder ob das gemeinsame Dienstkonto noch von dem Ingenieur genutzt wird, der das Unternehmen verlassen hat.
Sechs Arbeitsstränge. Gemeinsam durchgeführt. Rahmenwerk-konform.
Jeder Arbeitsstrang entspricht einer grundlegenden Anforderung der IEC 62443 und liefert Nachweise, die sowohl Ihr Auditor als auch Ihr CISO akzeptieren werden.
Bewertung der OT-Cybersicherheit
Erfassen Sie jedes E/A-Gerät (IoT), jedes SPS-Gerät (RTLS) und jedes PLC-Gerät, klassifizieren Sie diese nach Kritikalität, dokumentieren Sie die tatsächlichen Datenflüsse und identifizieren Sie die Lücken zu IEC 62443-3-3 SL2 oder SL3.
Zonen- und Leitungsdesign
Segmentierung nach Purdue-Level, Definition der Leitwege zwischen den Zonen und Festlegung von Firewall-Regeln in herstellerneutraler Form, damit jede beschaffte Firewall diese umsetzen kann.
Identität für Dinge und Personen
Geräteidentität (zertifikatsbasiert), Hygiene der Dienstkonten, Integration mit Ihrem IdP (Entra, Okta, Ping) für die menschliche Seite.
Abgesicherter Fernzugriff für Anbieter
Jump-Host, MFA, Sitzungsaufzeichnung, zeitlich begrenzter Zugriff für OEM-Anbieter, die Maschinen warten müssen, ohne über ein permanentes VPN zu verfügen.
OT-fähige SOC-Integration
Spiegeln Sie den Datenverkehr an ein SOC, das Modbus, OPC UA, MQTT, S7 und EtherNet/IP versteht – nicht an ein generisches IT-SIEM ohne Protokollkontext.
OT-Runbook für die Reaktion auf Vorfälle
Vorgefertigte Runbooks für Ransomware, Kompromittierung von Tag-Flotten und Fehlfunktionen von „AGV“. Im Tabletop-Test geprüft, bevor Sie sie benötigen.
Drei Möglichkeiten, uns einzubinden.
Abgestimmt auf den tatsächlichen Stand Ihrer OT-Infrastruktur – von einer erstmaligen Sicherheitsüberprüfung bis hin zu integrierten Korrekturmaßnahmen gemeinsam mit Ihrem IT/OT-Team.
Sicherheitsaudit · 4–6 Wochen
Vollständige Bestandsaufnahme, Lückenanalyse, priorisierte Maßnahmen-Roadmap. Festpreis.
Architektur & Design · 8–12 Wochen
Zonen-/Leitungsdesign, Identitätsmodell, Überwachungsspezifikation, Ausschreibung für Tooling.
Integrierte Abhilfemaßnahmen · 4–9 Monate
Wir begleiten Ihr IT-/OT-Team während der tatsächlichen Behebung. Wir steigen aus, sobald die KPIs erreicht sind.