Warum reicht unser EDR oder Virenschutz nicht für die Produktion?

Endpoint-Schutz braucht einen Agenten auf dem Gerät. Auf Steuerungen, SPS und vielen Produktionsmaschinen lässt sich kein Agent installieren — aus Verfügbarkeits-, Garantie- und Kompatibilitätsgründen. Diese Systeme lassen sich nur über das Netzwerk überwachen. Der Standard IEC 62443 nennt passive Netzwerk-Erkennung deshalb ausdrücklich als die richtige Methode.

Was bedeutet „passive" Überwachung genau?

Passiv heißt: mitlesen, ohne zu senden. Die Appliance hängt an einem Spiegel-Port oder Netzwerk-TAP und sieht den Verkehr, speist aber selbst keine Pakete ein. Dadurch wird der Betrieb nicht beeinflusst — entscheidend in einer Umgebung, in der Millisekunden zählen.

Greift AEGYS Monitor in unsere Produktion ein?

Nein. Kein Agent auf der Maschine, keine Änderung an Steuerungen, kein Eingriff in laufende Prozesse. Ausschließlich passives Mitlesen.

Deckt AEGYS die ganze IEC 62443 ab?

Nein. IEC 62443 umfasst unter anderem Segmentierung, Fernzugangs-Härtung, Patch-Management und Prozess-Governance. AEGYS deckt die Sichtbarkeit (Schritt 1) und die laufende Überwachung (Schritt 4) ab und macht beides belegbar. Die übrigen Schritte leisten andere Bausteine und Partner.

Sehen wir damit, ob unsere IT/OT-Trennung hält?

Ja. Der Monitor zeigt, welcher Verkehr über die Grenze zwischen IT- und OT-Netz läuft. Damit lässt sich erkennen, ob die Trennung in der Praxis funktioniert oder ob unerwarteter Verkehr auftritt.

Hilft uns das bei NIS2?

IEC 62443 gilt als Referenzrahmen auch im NIS2-Kontext, und Sichtbarkeit sowie Überwachung sind dort wiederkehrende Anforderungen. AEGYS liefert den Sicht- und Überwachungsbaustein. Eine vollständige NIS2-Einordnung für Ihren konkreten Fall gehört in eine rechtliche Prüfung — das leisten wir nicht.

Wo werden die Daten verarbeitet?

Für Kunden im DACH-Raum ausschließlich in Deutschland — keine Drittstaaten, keine Hyperscaler.

Ressourcen › OT-Sicherheit im Maschinenbau

IT-SICHERHEIT IM MASCHINEN- UND ANLAGENBAU

OT-Sicherheit im Maschinenbau: 5 Schritte, mit denen Sie sehen, was Endpoint-Schutz übersieht

Im Maschinen- und Anlagenbau hängt der Umsatz an der Verfügbarkeit der Produktion. Ein Vorfall in der IT legt E-Mails lahm — ein Vorfall in der Produktion stoppt die Linie. Und genau dort, wo es am teuersten wird, greift klassischer Endpoint-Schutz nicht: Auf einer Steuerung läuft kein Agent. Dieser Leitfaden zeigt in fünf Schritten, wie OT-Sicherheit im Mittelstand praktisch aufgebaut wird — entlang des internationalen Standards IEC 62443 — und an welcher Stelle die durchgehende Netzwerksicht der entscheidende, oft fehlende Baustein ist.

Veröffentlicht: 30. Juni 2026 · Achim Kraus, AEGYS DATALYTICS · ca. 9 Min. Lesezeit

Das Wichtigste in Kürze

OT-Systeme (SPS, Steuerungen, CNC-Maschinen) lassen sich nicht mit Endpoint-Agenten schützen — der internationale Standard IEC 62443 nennt passive Netzwerk-Erkennung über SPAN-Port oder TAP als die korrekte Methode.
IT-Sicherheit priorisiert Vertraulichkeit, OT-Sicherheit priorisiert Verfügbarkeit. Ein OT-Vorfall kann die Produktion stoppen oder Anlagen beschädigen.
Bei 4 von 5 OT-Umgebungen fehlt eine saubere IT/OT-Trennung (Dragos OT Cybersecurity Report 2026). Fast 9 von 10 Industrieunternehmen managen OT-Sicherheit intern, ohne eigenes Security-Team (VDMA Industrial Security 2025).
Der Aufbau folgt fünf Schritten: (1) Sichtbarkeit schaffen, (2) Zonen und Conduits bilden, (3) Fernzugänge absichern, (4) laufend überwachen, (5) als Prozess verankern.
AEGYS Monitor deckt Schritt 1 und Schritt 4 ab — die passive Sicht und die laufende Anomalie-Erkennung. Segmentierung, Firewalls und Fernzugangs-Härtung leisten andere Bausteine. Auswertung ausschließlich in Deutschland.

Warum sich OT nicht wie IT schützen lässt

In der klassischen IT schützt man Endgeräte mit Agenten: Antivirus, EDR, Verwaltungssoftware. Auf der Produktionsebene funktioniert das nicht. Auf einer speicherprogrammierbaren Steuerung, einer CNC-Maschine oder einem jahrzehntealten Industrie-PC läuft kein moderner Schutz-Agent — und er darf es oft auch nicht, weil jeder Eingriff Verfügbarkeit oder Maschinengarantie gefährdet.

Der Kern: IT-Sicherheit priorisiert Vertraulichkeit, OT-Sicherheit priorisiert Verfügbarkeit. Ein Ransomware-Angriff auf die IT legt E-Mails lahm. Ein Angriff auf die OT kann eine Produktionslinie stoppen oder eine Anlage beschädigen. In einer Branche, die sich über Liefertreue definiert, kann ein einziger erfolgreicher OT-Vorfall existenzbedrohend werden.

Hinzu kommt ein strukturelles Risiko: Produktionsanlagen werden häufig per Fernzugang durch Maschinenbauer und Wartungsfirmen betreut. Diese Zugänge liegen oft außerhalb der Kontrolle der IT-Abteilung, werden selten überwacht und sind teils nicht vollständig bekannt. Rund die Hälfte der ICS-Vorfälle geht auf solche Fernzugriffe zurück.

KURZ ERKLÄRT: IT VS. OT

IT (Information Technology): Systeme, die Daten verarbeiten — Server, Arbeitsplätze, E-Mail. Schutzziel: Vertraulichkeit.

OT (Operational Technology): Systeme, die physische Prozesse steuern — SPS, CNC, SCADA, Sensorik. Schutzziel: Verfügbarkeit und Sicherheit. Hier hat ein Ausfall physische Folgen.

Wo der Maschinenbau heute steht

Befund	Quelle
Bei 4 von 5 OT-Umgebungen fehlt eine saubere IT/OT-Trennung	Dragos OT Cybersecurity Report 2026
Das produzierende Gewerbe stellt die Mehrheit der OT-Ransomware-Opfer weltweit	Dragos OT Cybersecurity Report 2026
Fast 9 von 10 Industrieunternehmen managen OT-Sicherheit ausschließlich intern	VDMA Industrial Security 2025
Rund 50 % der ICS-Vorfälle gehen auf Fernzugriffe zurück	it-sa OT-Security 2026
24 % mehr täglich neu entdeckte Schwachstellen	BSI Lagebericht 2025

Das Bild ist eindeutig: Der Maschinenbau ist ein bevorzugtes Ziel, die meisten Unternehmen managen ihre OT-Sicherheit selbst, und an der entscheidenden Stelle — der durchgehenden Sicht auf das, was im Netzwerk zwischen IT und OT passiert — fehlt es am häufigsten. Angreifer in OT-Netzen bewegen sich oft über Wochen unentdeckt, kartieren Steuerungskreisläufe und sammeln Informationen über physische Prozesse, bevor sie etwas auslösen. Sichtbarkeit ist deshalb kein Komfort, sondern die Grundlage.

OT-Sicherheit in fünf Schritten — entlang IEC 62443

IEC 62443 ist der international anerkannte Standard für industrielle Cybersicherheit. Er ist kein Checklisten-Standard, sondern fordert ein risikobasiertes, durchgängiges Vorgehen — vom ersten Überblick bis zum laufenden Betrieb. Die folgenden fünf Schritte fassen dieses Vorgehen für den Mittelstand zusammen. Bei jedem Schritt ist markiert, welchen Teil AEGYS abdeckt und welchen andere Bausteine leisten.

KURZ ERKLÄRT: IEC 62443

IEC 62443 ist die internationale Normenreihe für die IT-Sicherheit industrieller Automatisierungs- und Steuerungssysteme (IACS). Unterscheidet die Rollen Betreiber, Integrator und Hersteller und arbeitet mit einem risikobasierten Zonen-Modell. Gilt als Referenz auch im Kontext von NIS2.

Schritt 1: Sichtbarkeit schaffen — wissen, was im Netzwerk läuft

Jedes OT-Sicherheitsprogramm beginnt mit einer Bestandsaufnahme: Welche Geräte gibt es, wie sind sie verbunden, welche Protokolle sprechen sie, mit wem kommunizieren sie? Ohne diesen Überblick ist jeder weitere Schritt auf Sand gebaut.

Entscheidend ist das Wie. In der OT darf die Bestandsaufnahme den Betrieb nicht stören. Der Standard ist deshalb eindeutig: Die Erkennung erfolgt passiv über einen Spiegel-Port (SPAN) oder Netzwerk-TAP, der den Verkehr mitliest und Geräte daraus identifiziert — ohne ein einziges Paket aktiv ins OT-Netz einzuspeisen (IEC 62443-3-2, §4.2). So entstehen Geräteinventar, erkannte Protokolle und Kommunikationsbeziehungen, ohne dass eine Steuerung angefasst wird.

AEGYS-Rolle: Dies ist ein Kernbereich von AEGYS Monitor. Die Appliance wird passiv angebunden und liest mit — kein Agent auf der Maschine, kein Eingriff. So entsteht die Sicht, auf der alle weiteren Schritte aufbauen.

Schritt 2: Zonen und Conduits bilden — das Netz sinnvoll trennen

Auf Basis der Sicht werden Anlagen in Sicherheitszonen gegliedert: Gruppen von Systemen mit gleichem Schutzbedarf. Die Verbindungen zwischen Zonen heißen Conduits und müssen dokumentiert und kontrolliert werden (IEC 62443-3-2). Eine saubere Trennung zwischen IT- und OT-Netz begrenzt, wie weit sich ein Angreifer bewegen kann, wenn er einmal drin ist. Genau hier liegt die größte verbreitete Lücke — bei vier von fünf Umgebungen fehlt diese Trennung.

AEGYS-Rolle: AEGYS baut die Segmentierung nicht — das leisten Firewalls und Netzwerktechnik. Aber AEGYS macht sichtbar, ob eine geplante Trennung in der Praxis hält: welcher Verkehr tatsächlich über die Grenze läuft, und nicht nur, was der Netzplan behauptet.

Schritt 3: Fernzugänge absichern — den häufigsten Einfallsweg schließen

Rund die Hälfte der OT-Vorfälle geht auf Fernzugänge zurück. Wartungs- und Lieferantenzugänge müssen über kontrollierte Gateways laufen, mit starker Authentifizierung, zeitlich begrenzt und protokolliert (IEC 62443-3-3). Der erste Schritt ist auch hier: überhaupt zu wissen, welche Fernzugänge existieren — viele sind nicht einmal vollständig bekannt.

AEGYS-Rolle: AEGYS stellt die Zugänge nicht bereit und ersetzt keine Zugangslösung. Die passive Sicht zeigt aber, wenn ein Fernzugang aktiv ist, von wo Verbindungen kommen und ob ein Zugang genutzt wird, der niemandem bekannt war.

Schritt 4: Laufend überwachen — auffälliges Verhalten früh sehen

Sichtbarkeit ist kein einmaliger Scan, sondern ein Dauerzustand. Angreifer kartieren OT-Netze über Wochen, bevor sie zuschlagen. In dieser Zeit ist der Verkehr auffällig: ungewöhnliche Verbindungen, Kommunikation über Zonengrenzen, Zugriffe zu untypischen Zeiten. Wer laufend mitliest, sieht diese Spuren früh. Wer nur auf den Stillstand wartet, sieht sie erst, wenn die Linie steht.

AEGYS-Rolle: Dies ist der zweite Kernbereich von AEGYS Monitor. Die Appliance überwacht kontinuierlich, erkennt auffälliges Verhalten und hält die Aufzeichnungen forensisch verwertbar und mit konfigurierbarer Langzeit-Aufbewahrung vor. Auch hier gilt: AEGYS sieht und dokumentiert — Auge, nicht Hand. Das Blockieren bleibt bei Firewall und den dafür vorgesehenen Systemen.

Schritt 5: Als Prozess verankern — nicht als einmaliges Projekt

IEC 62443 ist explizit: Sicherheit ist kein Projekt, sondern ein Prozess (PDCA-Zyklus). Rollen müssen klar sein, Maßnahmen werden regelmäßig geprüft — durch Audits, KPIs oder Penetrationstests. Pragmatisch starten und iterativ verbessern schlägt das Warten auf den perfekten Endzustand.

AEGYS-Rolle: Die laufende Sicht liefert die Datengrundlage, an der sich Fortschritt messen lässt. Für die wiederkehrende Schwachstellenprüfung bietet AEGYS zusätzlich den autonomen Pentest an — ergänzend, nicht ersetzend.

Sehen, bevor die Linie steht

Der praktische Wert liegt im Zeitvorsprung. Zwischen dem ersten unauffälligen Eindringen und dem spürbaren Schaden liegen im OT-Umfeld oft Wochen. In dieser Zeit hinterlässt ein Angreifer Spuren im Netzwerk — sichtbar für den, der mitliest, unsichtbar für den, der es nicht tut. Das ist der Unterschied zwischen „wir haben es bemerkt, als die Produktion ausfiel" und „wir haben die ungewöhnliche Aktivität gesehen, als sie begann".

Wer tiefer einsteigen will, warum die geglaubte IT/OT-Trennung in der Praxis oft nicht hält und woran das liegt: Wenn das Büro gehackt wird, steht dann auch die Produktion?

Wissen Sie, was zwischen Ihrem IT- und OT-Netz tatsächlich passiert?

Der Netzwerk-Check gibt Ihnen in rund zwei Minuten eine erste Einordnung — ohne Verpflichtung, ohne Installation, ohne Eingriff in die Produktion.

Netzwerk-Check starten

In zwei Minuten haben Sie eine erste Einordnung — kein Termin, kein Sales-Call nötig.

Lieber direkt sprechen? Mit dem Team sprechen — 15 Minuten zur Einordnung.

HÄUFIGE FRAGEN

Häufige Fragen zu OT-Sicherheit im Maschinenbau

Quellen

IEC 62443 (insb. 62443-3-2 und 62443-3-3) — internationale Normenreihe industrielle Cybersicherheit
Dragos OT Cybersecurity Report 2026
VDMA Industrial Security 2025
BSI Lagebericht 2025
it-sa OT-Security 2026 (Fernzugriff als Vorfallursache)