Prävention allein reicht nicht. Firewalls, Segmentierung, gehärtete Zugänge reduzieren die Angriffsfläche. Aber kein Schutz ist lückenlos. Wer nicht erkennt, dass jemand im Netz ist, kann nicht reagieren. Angreifer, die in OT-Umgebungen eindringen, bleiben oft monatelang unbemerkt. Klassische IT-Security-Monitoring-Lösungen können OT-Systeme nicht ausreichend überwachen. Industrielle Protokolle wie Modbus, OPC UA, S7comm oder DNP3 bleiben in den meisten SOCs unsichtbar. Was nicht sichtbar ist, kann nicht erkannt werden. Für Betreiber kritischer Infrastrukturen ist das keine theoretische Lücke, sondern ein reales Risiko.
Was ein OT SOC leistet
Sichtbarkeit. Sie wissen, welche Geräte in Ihrem OT-Netz kommunizieren, welche Protokolle genutzt werden und was normales Verhalten ist. Ohne diese Baseline ist jede Detection blind.
Detektionsfähigkeit. Sie erkennen Anomalien, bevor sie zu Incidents werden. Ein unbekanntes Gerät im Netz. Eine Firmware-Änderung an einer SPS. Modbus-Schreibbefehle um 3 Uhr nachts. Kommunikation zu externen IP-Adressen.
Alarmierung und Triage. Nicht jeder Alarm ist ein echter Incident. Das SOC bewertet, priorisiert und filtert, damit die richtigen Personen zur richtigen Zeit informiert werden. Ohne Triage erstickt jedes Team im Rauschen.
Incident Response. Wenn ein Angriff erkannt wird, muss jemand handeln. Das SOC koordiniert die Reaktion: Eindämmung, Kommunikation, Dokumentation. In OT-Umgebungen stellt das besondere Anforderungen, weil Isolation oder Abschaltung eines Systems weitreichende Folgen für die Produktion haben kann.
Kontinuierliche Verbesserung. Ein SOC, das einmal aufgebaut wird und dann stillsteht, verliert schnell an Wirksamkeit. Use Cases müssen angepasst werden, wenn sich die Umgebung ändert. False Positives müssen reduziert werden. Neue Bedrohungen erfordern neue Detection-Logik.
Reporting. Regelmäßige Berichte für Management und Compliance zeigen, was erkannt wurde, wie reagiert wurde und wo Lücken bestehen. Das ist Grundlage für fundierte Entscheidungen und Nachweise gegenüber Aufsichtsbehörden.
Wie wir unterstützen
Unser Ziel ist es, Ihr Team zu befähigen, Ihre Infrastruktur selbst zu schützen. Wir bauen auf. Den Betrieb übernehmen Sie.
Sensorik und Datenquellen Ohne die richtigen Daten keine Detection. Wir helfen bei der Auswahl und Platzierung von OT-IDS-Sensoren, die industrielle Protokolle verstehen und Anomalien erkennen können. Neben dem IDS braucht ein OT SOC weitere Datenquellen: Firewall-Logs an IT/OT-Übergängen, Telemetrie von Engineering Workstations, SCADA- und Historian-Logs sowie Remote-Access-Protokolle. Wir konzipieren das Log-Shipping und begleiten das Onboarding in Ihr SIEM.
Use Cases und Detection Rules Use Cases sind das Herzstück der Detection. Sie definieren, welche Ereignisse einen Alarm im SIEM auslösen. Wir entwickeln OT-spezifische Use Cases aus drei Quellen.
MITRE ATT&CK for ICS beschreibt Taktiken und Techniken von Angreifern in industriellen Umgebungen. Wir mappen relevante Techniken auf konkrete Detection Rules: neues Gerät im Netz, Zonenüberschreitung, Prozessmanipulation.
Bekannte ICS-Malware wie Stuxnet, Havex, Industroyer, Triton und Pipedream zeigt reale Angriffsmuster auf kritische Infrastrukturen. Wir leiten daraus Detection-Szenarien ab, die auf Ihre Umgebung zugeschnitten sind.
Aus unserer eigenen Pentest-Praxis wissen wir, welche Angriffspfade in OT-Umgebungen funktionieren und welche Spuren sie hinterlassen. Dieses Wissen fließt direkt in die Use-Case-Entwicklung ein.
Playbooks und Response-Prozesse Detection ohne Response ist nutzlos. Wir entwickeln OT-spezifische Playbooks und bauen die dazugehörigen Prozesse auf. Im Vordergrund stehen Fragen, die in IT-Playbooks fehlen: Kann das betroffene System isoliert werden, ohne die Produktion zu stoppen? Wer muss wann informiert werden? Wie sieht Containment aus, wenn ein Neustart keine Option ist? Die Playbooks werden nicht in der Schublade vergessen, sondern in Übungen getestet.
Was Sie bekommen
Sie erhalten eine vollständige Asset-Visibility in Ihrer OT-Umgebung, ein funktionierendes OT-IDS mit getunten Detection Rules und Use Cases, die an Ihre Umgebung und Bedrohungslage angepasst sind. Dazu Playbooks für die häufigsten Incident-Szenarien und ein Team, das weiß, wie es im Ernstfall reagiert.
Den Aufbau begleiten wir. Die Fähigkeit bleibt bei Ihnen.
Wann es sinnvoll ist
Wenn Sie keine Sichtbarkeit in Ihrer OT-Umgebung haben und nicht wüssten, ob gerade jemand in Ihrem Netz ist. Wenn Sie Detektionspflichten nach NIS2 oder IT-Sicherheitsgesetz erfüllen müssen. Oder wenn Sie Ihr bestehendes IT-SOC um OT-Fähigkeiten erweitern wollen.
Der SOC-Aufbau baut idealerweise auf einem OT Risk Assessment auf. Es liefert das Asset-Inventar und die Netzwerktopologie, die für Sensorplatzierung und Use-Case-Entwicklung gebraucht werden.