Kurz vorweg: Wer Produktion, Spital, Logistik oder Gebäudeautomation betreibt, kommt 2026 nicht mehr um ein OT-Security-Programm herum.
- • Standard: IEC 62443 für industrielle Cybersecurity – Zone-&-Conduit-Modell, Reifegrad-Stufen SL1–SL4.
- • Pflicht: NIS2 (über ISG umgesetzt), CRA ab 11.12.2027, FINMA-Vorgaben, Cyber-Versicherer.
- • Erste Massnahmen: Asset-Inventur, Netzwerk-Segmentierung (Purdue-Modell), passives OT-Monitoring.
- • Top-Tools 2026: Microsoft Defender for IoT, Claroty, Nozomi, Dragos, Tenable OT.
- • Kosten: CHF 80'000–250'000 erstes Jahr für 100-Personen-KMU, danach CHF 30'000–60'000/Jahr.
Was OT-Security von IT-Security trennt
OT umfasst alles, was nicht klassische Office-IT ist: SPSen (Siemens, Beckhoff, Rockwell), HMI-Panels, SCADA-Server, Building Management Systeme (Siemens Desigo, Honeywell), Medizingeräte, Sicherheits-Schliesssysteme, Energie-Steuerungen, Fertigungsroboter, AGVs in der Logistik. Diese Systeme haben 15–25 Jahre Lebenszyklus, laufen häufig auf Windows XP/7/Server 2003 oder proprietären Echtzeit-OS, dürfen nicht ohne Wartungsfenster gepatcht werden, sprechen Protokolle wie Modbus, S7, Profinet, EtherNet/IP, BACnet und DNP3 – und sind in der Regel weder von einem Endpoint-Agent noch von einem klassischen Vulnerability-Scanner zu adressieren.
Die Konsequenz: IT-Security-Werkzeuge richten in OT-Netzen mehr Schaden an als sie verhindern. Ein aktiver Nessus-Scan auf einen Modbus-Slave kann eine Maschine in Schutzabschaltung schicken. Was OT braucht, ist passive Sichtbarkeit (Asset-Discovery aus dem Netzwerktraffic), saubere Segmentierung und Wartungsplan-konformes Patching – nicht "EDR everywhere".
Purdue-Modell & IEC 62443
| Level | Bereich | Beispiele | Schutzfokus |
|---|---|---|---|
| L5 | Enterprise | ERP, CRM, Mail | Klassische IT-Security |
| L4 | Site Business | MES, Historian | Firewall, EDR, Patch |
| DMZ | OT-DMZ | Jump-Server, Patch-Repos | Zone-Brücke, Reverse Proxy |
| L3 | Site Operations | SCADA, Asset Server | OT-EDR, Whitelisting |
| L2 | Supervisory | HMI, Engineering WS | Hardened OS, USB-Block |
| L1 | Control | SPS, PLC, DCS | Konfig-Integrität, ACL |
| L0 | Process | Sensoren, Aktoren | Physische Sicherheit |
IEC 62443 definiert mit dem Zone-&-Conduit-Modell die saubere Trennung dieser Ebenen: Zonen mit ähnlichem Schutzbedarf, dazwischen Conduits mit kontrolliertem, dokumentiertem Verkehr. Die Security Levels SL1 (Schutz vor Zufall) bis SL4 (gegen staatliche Angreifer) erlauben eine pragmatische Reifegrad-Planung. Für die meisten KMU ist SL2 das ehrliche Ziel.
OT-Monitoring-Tools 2026 im Vergleich
| Tool | Stärke | Integration | Eignung |
|---|---|---|---|
| Microsoft Defender for IoT | Passives Monitoring, Anomalie-Erkennung | Sentinel SIEM, M365 Defender | KMU mit Microsoft-Stack |
| Claroty xDome / CTD | Marktführer, breite Protokoll-Abdeckung | SIEM-agnostisch, eigenes Risk-Modell | Mittelstand bis Konzern |
| Nozomi Vantage / Guardian | Cloud + On-Prem, gute UX | API-first, gut mit Splunk/Elastic | Verteilte Standorte |
| Dragos Platform | KRITIS, Threat-Intel-Tiefe | Eigenes IR-Team, viele Playbooks | Energie, Wasser, Pharma |
| Tenable OT Security | Vulnerability-Mapping, IT-OT-Brücke | Tenable.io, Tenable.sc | Wer IT-VM schon mit Tenable macht |
| Honeywell Forge (SCADAfence) | Building & Industrial | Eigene Cloud, Honeywell-Stack | Gebäudeautomation |
12-Wochen-Roadmap: OT-Programm starten
Woche 1–3: OT-Asset-Inventur
Passives Sniffing am Switch-Mirror-Port (z. B. mit GreyMatter, Defender for IoT-Sensor) für 4 Wochen. Resultat: vollständige Liste aller OT-Geräte mit Firmware-Stand, Protokollen und Kommunikations-Mustern. Erfahrungsgemäss sind 20–40% mehr Geräte im Netz, als die Werks-Liste sagt.
Woche 4–6: Zone-&-Conduit-Design
Logische Zonen definieren (Produktion, Engineering, Gast, OT-DMZ), Conduits zwischen Zonen mit definierten Protokollen. Quick-Wins: Engineering-Workstation aus dem Office-LAN herausnehmen, USB-Sticks blockieren, Default-Passwörter ändern.
Woche 7–9: Monitoring & SIEM-Anbindung
Defender for IoT, Claroty oder Nozomi vor jedes Werk stellen, Alerts in Sentinel/Splunk routen. Eskalations-Pfad zwischen IT-SOC und OT-Wartung definieren. Erste Tabletop-Übung "Produktion steht, weil SCADA streikt".
Woche 10–12: Patch-Programm & Lieferanten-Hygiene
Wartungsfenster für SPS-/HMI-Patches festlegen (oft pro Maschine 1×/Jahr), Lieferanten-Verträge auf CRA-Verpflichtungen ergänzen (SBOM, Vulnerability-Disclosure, Patch-SLA). Mitarbeiter-Awareness mit OT-spezifischen Inhalten.
NIS2, ISG, CRA und FINMA für OT
NIS2 verlangt für "wesentliche" und "wichtige" Einrichtungen (auch produzierende KMU ab 50 MA / 10 Mio. Umsatz) ein umfassendes Risikomanagement, das OT explizit einschliesst. In der Schweiz greift parallel das Informationssicherheitsgesetz (ISG) mit Meldepflicht ans BACS. Der Cyber Resilience Act betrifft Hersteller vernetzter Produkte – wer SPSen, HMIs oder Sensoren in der EU verkauft, muss ab 11.12.2027 Sicherheits-Anforderungen, SBOM und Vulnerability-Disclosure liefern. Details: unser Beitrag zum EU Cyber Resilience Act.
FINMA-Rundschreiben 2023/1 ("Operationelle Risiken") verlangt für Finanzinstitute ein Inventar aller kritischen ICT-Komponenten inklusive OT-naher Systeme (Tresor-Steuerung, Klima, USV). Spitäler sind über das BAG und Kantone analog gebunden. Cyber-Versicherer (Zurich, AXA, Helvetia, Hiscox) fragen 2026 OT-Inventar und Segmentierungs-Nachweis als Voraussetzung für volle Deckung ab. Wer fehlende OT-Sicherheit hat, riskiert Deckungsausschluss.
Praxis-Tipp: Den OT-Incident-Response-Plan in den allgemeinen IR-Plan integrieren, statt einen Parallel-Prozess zu führen – siehe auch unser Incident-Response-Leitfaden.
Häufige Stolpersteine in der Praxis
- Aktive Scans auf OT: Klassischer Nessus-Scan kann eine Maschine in Schutzabschaltung schicken. OT-Scanning nur mit OT-spezifischen Tools im Wartungsfenster.
- Wartungs-Modem mit Standardpasswort: Hersteller-Service-Modems hängen direkt am Internet. Inventar, abschalten oder VPN-Tunnel mit MFA.
- Engineering-Notebook ohne Hardening: Verbindet Office-LAN, OT-LAN und USB-Stick aus Auslandseinsatz – primärer Ransomware-Einfallstor. Dediziertes, hardened-Engineering-Notebook ist Pflicht.
- Lieferanten-Fernzugriff offen: TeamViewer, AnyDesk oder Hersteller-Tunnel mit ständigem Zugriff. Ersetzen durch Jump-Server, MFA, zeitlich begrenzte Sitzungen.
- USB-Sticks als Patch-Medium: Klassischer Stuxnet-Pfad. USB nur per genehmigter Wechselplatte oder über zentrale Patch-Schleuse.
- Kein Backup der SPS-Programme: Wer keinen Konfigurations-Stand der SPS hat, ist nach Ransomware aufgeschmissen. Tägliches Backup über Engineering-Tool ist Pflicht.
- Keine OT-Logs im SIEM: Wenn Sentinel/Splunk nur IT-Events sieht, fehlt der OT-Kontext bei einem Vorfall. Connector pflegen und Use Cases dokumentieren.
Fazit: OT-Security ist 2026 KMU-Standard, nicht KRITIS-Sonderfall
Was vor fünf Jahren noch ausschliesslich Energieversorger und Pharmariesen betraf, ist 2026 für jeden produzierenden, logistik- oder gesundheitsnahen Schweizer KMU Pflicht. Die regulatorische Front (NIS2/ISG, CRA, FINMA, Cyber-Versicherer) sorgt dafür, dass kein Geschäftsführer mehr "noch nicht relevant" sagen kann.
Der pragmatische Weg geht über Sichtbarkeit (Asset-Inventur), Segmentierung (Zonen & Conduits) und Lieferanten-Hygiene – nicht über teure Tool-Stacks am Anfang. Wer in 12 Wochen einen SL2-Baseline-Stand erreicht, ist regulatorisch sicher und kann das Programm danach Schritt für Schritt zu SL3 ausbauen.
OT-Security für Ihr KMU
Wir machen passive OT-Asset-Inventur, designen Zone-&-Conduit-Architektur nach IEC 62443, deployen Defender for IoT/Claroty/Nozomi und integrieren OT in Ihr Sentinel/Splunk-SIEM. Erste Sichtbarkeit in 6 Wochen.
Beratung anfragen