Industrielle Cybersicherheit & IEC 62443 Beratung in Deutschland und in der Schweiz

CRA-Compliance. OT-Sicherheit. Zertifizierungsvorbereitung.

Industrielle Cybersicherheit ist heute unverzichtbar. Vernetzte Produkte und industrielle Systeme müssen die Vorgaben des Cyber Resilience Acts (CRA) erfüllen und sich an der Normenreihe IEC 62443 orientieren. Unternehmen, die Cybersicherheit von Anfang an einbeziehen, reduzieren Betriebsrisiken, sichern die Kontinuität ihrer Produktion und erhalten ihre Marktzugänge.

Wir unterstützen Hersteller, Systemintegratoren und Anlagenbetreiber in der Schweiz und ganz Europa dabei, ihre industriellen Systeme abzusichern: mit einem strukturierten Ansatz entlang der IEC 62443, durch OT-Penetrationstests und CRA-Compliance.

IEC 62443-Bewertung anfordern

Herausforderungen in OT-Systemen

Bei unseren Assessments in Industrieumgebungen stossen wir regemässig auf:

• Veraltete Firmware
• Embedded Devices mit Standard- oder Default-Zugangsdaten
• Flache Netzwerke ohne Vertrauenszonen
• Fernwartungsschnittstellen, die über die vorgesehenen Bereiche hinaus erreichbar sind
• Industrielle Protokolle ohne Authentifizierung oder Integritätsschutz

Solche Schwachstellen können zu Produktionsausfällen, kompromittierten Daten und Sicherheitsrisiken führen.

Praktische Tests und unsere Forschung zeigen, wie eingebettete Systeme und industrielle Netzwerke ausgenutzt werden können, wenn Annahmen zu Segmentierung oder Authentifizierung nicht greifen.

Ausgewählte Beispiele:

Pwning the Synology BC500 – embedded firmware exploitation

Switching 400’000 Volts with a TCP Packet – weaknesses in IEC 61850 and IEC 60870-5-104

ICS honeypot research – observed attacker behavior in industrial environments
 

Cyber-Resilienz muss unter realistischen Bedingungen überprüft werden und darf nicht nur aus Architekturdiagrammen abgeleitet werden

Cyber Resilience Act & IEC 62443

Der europäische Cyber Resilience Act (CRA) legt verbindliche Anforderungen an die Cybersicherheit für Produkte mit digitalen Komponenten fest. Schweizer Unternehmen, die in die EU exportieren, müssen deren Einhaltung nachweisen.

Der CRA gibt vor, was erreicht werden muss – die Norm IEC 62443 zeigt, wie dies umgesetzt werden kann:

  • Risikobasierte Sicherheitsarchitektur
  • Sicherheitsstufen SL1 bis SL4, abgestimmt auf die Fähigkeiten potenzieller Angreifer
  • Modell zur Segmentierung von Zonen und Übergängen (Zones & Conduits)
  • Technische Anforderungen an Komponenten
  • Integration eines sicheren Entwicklungszyklus

Eine unabhängige Prüfung stellt sicher, dass beide Vorgaben in der Praxis erfüllt werden.

Unsere Services zur industriellen Cybersicherheit

Industrielle Cybersicherheit setzt tiefes technisches Verständnis und nachweisbare Resultate voraus, theoretische Compliance allein reicht nicht.

  • Strukturiertes Bedrohungsmodell für industrielle Systeme
  • Risikobewertung gemäß IEC 62443-3-2
  • Definition der Security Levels SL1 bis SL4
  • Erkennung von architektonischen und betrieblichen Lücken

  • Überprüfung des Designs von Zonen und Verbindungen (Conduits)
  • Bewertung nach dem Defense-in-Depth-Prinzip
  • Überprüfung der implementierten Netzsegmentierung
  • Validierung der Zugriffsgrenzen für Fernwartung

  • Testen industrieller Protokolle (IEC 61850, IEC 60870-5-104, MQTT, Modbus, OPC UA, serielle 2/3-Draht-Protokolle)
  • Analyse von eingebetteter Firmware und Hardware
  • Validierung von Authentifizierung und Zugriffskontrollen
  • Kontrollierte Simulation lateral Bewegungen zwischen Zonen

  • Gap-Analyse gemäss IEC 62443
  • Erstellung von Nachweisen für Audit-Bereitschaft
  • Technische Handlungsempfehlungen zur Behebung von Schwachstellen
  • Unabhängige Zweitmeinung vor der Zertifizierung
Musterbericht Pentest Device IEC 62443
Laden Sie den Musterbericht IEC 62443 herunter, um zu sehen, wie Ergebnisse erfasst, bewertet und für die Umsetzung priorisiert werden.

Wie wir arbeiten

Wir verbinden praxisnahe Angriffssimulationen mit strukturiertem Compliance-Ansatz. So wird sichergestellt, dass Ihre Implementierung sowohl Audits als auch realen Bedrohungen standhält.

Compass Security verfügt über mehr als 25 Jahre Erfahrung in der Absicherung von internet-verbundenen Systemen, kritischer Infrastruktur und Embedded-Technologien.

Dies erfordert ein tiefes Verständnis industrieller Prozesse, der Fähigkeiten potenzieller Angreifer und regulatorischer Anforderungen. Unser Fokus liegt auf messbarer Resilienz, nicht auf theoretischer Konformität.

Unser Vorgehen:

  1. Bewertung von Risiken und architektonischen Annahmen
  2. Validierung von Kontrollen durch praxisnahe Tests
  3. Abgleich der Ergebnisse mit IEC 62443
  4. Bereitstellung priorisierter, umsetzbarer Handlungsempfehlungen

Unser Ziel: messbare Risikoreduzierung statt theoretischer Compliance

Business Impact

Strukturierte Validierung verwandelt technische Ergebnisse in messbare Reduktion von Geschäftsrisiken.

• Geringeres Risiko von Produktionsausfällen
• Höhere Widerstandsfähigkeit gegen Ransomware und gezielte Angriffe
• Klarer Fahrplan zur Einhaltung des CRA
• Unabhängige Validierung implementierter Sicherheitskontrollen
• Stärkere Glaubwürdigkeit bei Partnern und Kunden

Industrielle Cybersicherheit schützt Verfügbarkeit, Betriebskontinuität und Marktzugang.

Stärken Sie Ihre industrielle Cyber-Resilienz

Wenn Sie OT-Penetrationstests, IEC 62443-Beratung oder Unterstützung bei CRA-Compliance benötigen, kontaktieren Sie uns.

Jetzt industrielle Systeme sichern

 

Lesen Sie hier, wie Kunden unsere Services erlebt haben: Kundenstimmen

Gerne geben wir Ihnen persönlich Auskunft: Ihre Ansprechpartner