OT-Plattform-Auswahl ohne Vendor-Bias — worauf es ankommt
Claroty, Nozomi, Dragos, Armis, Forescout — auf den Hochglanz-Folien ähneln sich die führenden OT-Security-Plattformen bis zur Verwechslung. Jede verspricht vollständige Sichtbarkeit, jede zeigt dieselben Dashboards. Die eigentliche Frage ist nicht, welche die „beste" ist, sondern welche zu Ihrer Anlage passt.
Wer eine OT-Security-Plattform auswählt, trifft eine Entscheidung mit langer Bindung. Diese Werkzeuge werden tief in die Produktionsumgebung integriert, sie laufen über Jahre, und ein späterer Wechsel ist teuer und aufwändig. Umso erstaunlicher ist, wie oft solche Entscheidungen auf Basis von Demos, Marktanalysen und dem Bauchgefühl getroffen werden, welcher Anbieter gerade am lautesten ist.
Ich habe die führenden Plattformen im Detail verglichen — nicht aus Datenblättern, sondern aus der tatsächlichen Bewertung gegeneinander. Die wichtigste Erkenntnis daraus: Es gibt keine universell beste Plattform. Es gibt nur die, die zu einer bestimmten Architektur, einem bestimmten Risikoprofil und einem bestimmten Budget am besten passt.
Warum die Marktanalysen nur die halbe Wahrheit sind
Die großen Analysten-Quadranten und Vergleichsstudien sind ein nützlicher Ausgangspunkt, aber sie beantworten die falsche Frage. Sie ranken Anbieter auf abstrakten Achsen wie „Vollständigkeit der Vision" oder „Umsetzungsfähigkeit" — über alle Branchen und Unternehmensgrößen hinweg gemittelt. Was für einen globalen Automobilkonzern mit dreißig Werken optimal ist, kann für einen mittelständischen Chemiebetrieb mit einer Anlage völlig überdimensioniert sein.
Die Kriterien, die in der Praxis zählen
Statt auf das Gesamt-Ranking zu schauen, lohnt sich der Blick auf die Dimensionen, die im konkreten Fall den Unterschied machen:
Architektur-Fit
Wie wird die Plattform überhaupt eingebunden? Setzt sie auf passive Sensoren am SPAN-Port, auf aktive Abfragen, auf Agenten? In einer Umgebung mit sensiblen Altanlagen ist ein rein passiver Ansatz oft die einzige akzeptable Option. Manche Plattformen sind hier von Grund auf besser aufgestellt als andere.
Tiefe der OT-Protokoll-Unterstützung
Jede Plattform wirbt mit „breiter Protokollabdeckung". Entscheidend ist aber, ob genau die Protokolle und Steuerungstypen, die in Ihrer Anlage laufen, wirklich tief unterstützt werden — nicht nur erkannt, sondern bis auf die Funktionsebene verstanden.
Integration in die bestehende Landschaft
Eine OT-Plattform steht nie allein. Sie muss sich in das vorhandene SIEM, in bestehende SOC-Prozesse und in die IT-Sicherheitsorganisation einfügen. Eine Plattform, die hervorragende OT-Sichtbarkeit liefert, aber sich nicht sauber an das zentrale Monitoring anbinden lässt, schafft ein neues Silo statt es aufzulösen.
Betreibbarkeit im eigenen Team
Die mächtigste Plattform nützt wenig, wenn das eigene Team sie nicht betreiben kann. Wie steil ist die Lernkurve? Wie viel Personal bindet der laufende Betrieb? Gerade im Mittelstand ist das oft das ausschlaggebende Kriterium — und das, das auf keiner Hochglanz-Folie steht.
Viele vermeintliche Beratungsempfehlungen sind in Wahrheit Partnerschaften. Wer eine Plattform empfiehlt, an deren Verkauf er mitverdient, ist kein neutraler Berater. Eine ehrliche Auswahl setzt voraus, dass der Bewertende keine Provision vom Ergebnis hat.
Wie eine ehrliche Auswahl abläuft
Eine belastbare Plattform-Entscheidung folgt keiner Verkaufslogik, sondern einer Bewertungslogik. Sie beginnt mit den Anforderungen der konkreten Umgebung, übersetzt diese in gewichtete Kriterien und vergleicht die Kandidaten strukturiert dagegen. Das Ergebnis ist keine pauschale Empfehlung, sondern eine nachvollziehbare Shortlist — idealerweise mit zwei Kandidaten für einen Proof of Concept, in dem sich beide an der realen Anlage beweisen müssen.
Genau hier liegt der Wert eines unabhängigen Blicks: Wer alle Plattformen kennt, aber an keine gebunden ist, kann die Frage beantworten, die der Betreiber wirklich hat — nicht „welche ist die beste am Markt", sondern „welche ist die richtige für uns".