Aus meiner Ingenieurspraxis und den realen Bedürfnissen der Industrie habe ich ein eigenes Werkzeug entwickelt: eine tragbare, rein passive Appliance, die man für Sicherheits- und Compliance-Audits an ein Anlagennetz hängt. Sie erkennt automatisch alle Geräte, überwacht den industriellen Datenverkehr, meldet Auffälligkeiten verständlich — und liefert den fertigen Audit-Nachweis. Komplett vor Ort, ohne Cloud.
In der Beratung sehe ich immer wieder dasselbe Grundproblem: Bevor über Maßnahmen, Compliance oder Architektur gesprochen werden kann, fehlt das Fundament — ein vollständiges, belastbares Bild davon, was im OT-Netz überhaupt existiert und miteinander kommuniziert. Klassische IT-Werkzeuge passen dafür nicht, weil sie in einer Produktionsanlage Schaden anrichten können. Also habe ich als Ingenieur selbst ein Werkzeug gebaut, das genau diese Lücke schließt.
Aktive Scans sind in der OT tabu — jeder Eingriff ins Netz kann eine Steuerung stören oder einen Anlagenstillstand auslösen. Gleichzeitig verlangen IEC 62443 und NIS2 ein vollständiges Asset-Inventar und nachweisbares Risikomanagement. Viele Unternehmen stehen vor genau diesem Widerspruch: Sie sollen Sichtbarkeit schaffen, dürfen die Anlage dabei aber nicht anfassen.
Eine Appliance, die ausschließlich mithört — eine Kopie des Netzwerkverkehrs über einen SPAN-Port und die Log-Meldungen von Firewalls, Switches und Servern. Aus diesem reinen Zuhören baut sie ein vollständiges Lagebild: Geräte, Kommunikationsbeziehungen, Schwachstellen, Auffälligkeiten. Sie sendet selbst nichts ins OT-Netz und kann die Produktion technisch nicht stören.
Die Box hört nur zu und sendet niemals Pakete ins OT-Netz. Sie kann die Produktion technisch nicht stören, blockieren oder auslösen — der wichtigste Grundsatz in jeder Anlage.
Kein Cloud-Backend, kein „Phone-Home". Alle Daten bleiben im Werk. Internet ist nur optional, um Schwachstellen- und Bedrohungslisten zu aktualisieren — und auch das geht offline.
Ein automatisches Inventar, ein fertiger PDF-Report, gezielte Audit-Vorbereitung — nutzbar für IEC 62443, NIS2, TISAX und weitere Rahmenwerke gleichzeitig.
Der vorzeigbare Nachweis auf Knopfdruck: Executive Summary, Vorfälle, kritische Meldungen, MITRE-Übersicht und Zonen-Status — statt tagelanger Handarbeit in Excel.
Versteht die industrielle Sprache der Maschinen (Modbus, S7, EtherNet/IP, DNP3 …), erkennt Prozess-Anomalien und ordnet jedes Gerät dem Purdue-Modell zu — nicht nur den IT-Verkehr drumherum.
Kein Konkurrent zu bestehenden Sicherheitssystemen, sondern der OT-Zulieferer: Die Box leitet ihre Erkenntnisse per Syslog, CEF, LEEF oder Webhook an das zentrale SIEM weiter.
Jede einzelne Beobachtung durchläuft dieselbe Kette. Das ist der Kern: Aus einem rohen Ereignis wird Schritt für Schritt ein verständlicher, eingeordneter Vorfall — angereichert mit Asset-Rolle, offenen Schwachstellen und Bedrohungs-Kontext.
Unterschiedliche Log-Formate werden in ein einheitliches Ereignis übersetzt (Normalisierung).
Baseline (was ist normal?), Regeln (was ist verboten?) und Prozess-Anomalien prüfen jedes Ereignis.
Auffälliges wird zum Alert — mit Asset-Rolle, Schwachstellen, Bedrohungs-Treffern und Priorität.
Zusammenhängende Alerts werden zu einem Vorfall gebündelt und in MITRE ATT&CK for ICS eingeordnet.
Die Appliance bündelt mehrere spezialisierte Module — jedes ist eine eigene Perspektive auf dieselben mitgehörten Daten.
Das automatische Verzeichnis aller Geräte im Netz — die Grundlage jedes Audits. Aus jedem Ereignis werden Geräte erkannt und eingetragen, pflegbar mit Zone, Kritikalität und Owner.
Eine interaktive Landkarte: Wer spricht mit wem? Umschaltbar in die Purdue-Modell-Ansicht. Verbotene Zonenübergänge werden sofort rot hervorgehoben — der Klassiker im OT-Audit.
Die Sicht auf die industrielle Sprache der Maschinen. Erkennt Protokolle und Funktionscodes — etwa Lese- gegenüber Schreibbefehl an eine Steuerung oder Programm-Downloads im Netz.
OT-spezifische Auffälligkeiten direkt am Produktionsprozess: plötzlicher Stillstand, langsame Drift, Aktivität außerhalb der Schicht oder ein Messwert außerhalb des erlaubten Bereichs.
Erkannte Produkte werden mit der offiziellen CVE-Datenbank und der „wird aktiv ausgenutzt"-Liste (CISA KEV) abgeglichen — priorisiert nach tatsächlicher Gefährdung.
Der fertige Nachweis als PDF auf Knopfdruck — mit Executive Summary, Vorfällen, MITRE-Übersicht und Zonen-Status. Enthält bewusst nur belegte Fakten, keine Schätzungen.
OT-Netze produzieren gewaltige Datenmengen — aber kaum ein Werk kann oder will überall mitschneiden. Tiefe Sichtbarkeit über jeden Switch, jede Steuerung und jedes Protokoll bedeutet teure Sensorik, aufwändige Deep-Packet-Inspection und Eingriffe in die Anlage. Die Realität sieht anders aus: an einem Standort eine Firewall, am nächsten nur ein Switch, am dritten ein paar NetFlow-Exporter. Übrig bleiben blinde Flecken — und die Frage „Was ist dieses Gerät eigentlich, und was tut diese Verbindung?" bleibt unbeantwortet. FlowSR dreht den Spieß um: Statt mehr Daten zu fordern, holt das Modell aus den grob verfügbaren Informationen — Bytes, Dauer, Richtung, Port, MAC, Hostname — genau die Eigenschaften heraus, die man sonst nur mit teurer Tiefenanalyse sähe.
Das Prinzip: Maximum aus Minimum. Spürbarer Mehrwert schon ab der ersten Datenquelle — und der Hebel ist genau dort am größten, wo am wenigsten vorhanden ist.
Ist das eine SPS, ein HMI, ein Historian, eine Engineering-Workstation oder ein Netzgerät? — erkannt am Kommunikations-Fingerabdruck.
Tut eine Verbindung vermutlich Lesen, Schreiben, einen Programm-Download oder einen Steuerbefehl?
Zyklische Steuerung, Massentransfer, Abfrage/Antwort oder Datenstrom — unabhängig vom verwendeten Port.
Steckt hinter einer Verbindung ein automatischer Prozess oder ein Mensch am Keyboard?
Aus einer nackten Verbindung wird eine verständliche Einordnung — etwa „vermutlich Engineering-Workstation → SPS, Programm-Download, manuell, außerhalb der Schicht — prüfenswert". Ohne neue Hardware, ohne Cloud, ohne Eingriff in die Produktion.
FlowSR macht alles Bestehende klüger. Die Baseline-, Regel- und Prozess-Anomalie-Engines der Appliance wissen, was normal und was auffällig ist — FlowSR legt die fehlende semantische Ebene darüber und sagt, was ein Gerät ist und was ein Flow tut. So wird aus „eine Verbindung ist ungewöhnlich" ein priorisierbares „Schreibzugriff auf eine vermutete SPS".
Es reichert die Netzwerk-Landkarte nach Rolle an, ergänzt Alerts und Incidents um Kontext und Blast-Radius und ermöglicht rollenbewusstes Baselining — etwa, wenn eine SPS, die sonst nur antwortet, plötzlich selbst Verbindungen aufbaut. Gleicher Ingest, opt-in, keine zusätzliche Infrastruktur.
Kurz gesagt: FlowSR verwandelt das, was Sie ohnehin schon mitschneiden, in ein vollständiges Lagebild — günstig im Einstieg, sofort im Nutzen, und mit jeder Bestätigung besser.
Eine Box, die im sensiblen OT-Netz steht, muss selbst höchsten Ansprüchen genügen. Das war von Anfang an Teil des Designs.
Die Box sendet niemals Pakete ins OT-Netz und kann die Produktion technisch nicht stören.
Kein Cloud-Backend, kein „Phone-Home". Alle Daten bleiben vollständig im Werk.
Login mit Rollen (RBAC), API-Token und ein lückenloses Audit-Log jeder einzelnen Aktion.
Lernende Schätzungen sind klar markiert, lösen keine Alarme aus und stehen nicht im Report.
Ich zeige die Appliance gerne in einer Live-Demonstration und bespreche, wie sich passive OT-Visibility konkret auf Ihre Umgebung übertragen lässt.
/* Die Appliance ist eine fortlaufende Eigenentwicklung und demonstriert meine technische Herangehensweise an OT-Security. Sie ersetzt kein etabliertes Plattformprodukt, sondern verkörpert die Prinzipien — passiv, on-premise, nachvollziehbar — die meiner Beratung zugrunde liegen. */