Industrielle Cybersicherheit & IEC 62443 Beratung in Deutschland und in der Schweiz

CRA-Compliance. OT-Sicherheit. Zertifizierungsvorbereitung.

Industrielle Cybersicherheit ist heute unverzichtbar. Vernetzte Komponenten und industrielle Anlagen müssen die Vorgaben des Cyber Resilience Acts (CRA) erfüllen. Für die Umsetzung bietet sich die Normenreihe IEC 62443 an. Unternehmen, die Cybersicherheit bereits in der Konzeption einbeziehen, reduzieren Betriebsrisiken und sichern sich damit Wettbewerbsvorteile.

Wir unterstützen Hersteller, Systemintegratoren und Anlagenbetreiber in der Schweiz und ganz Europa dabei, ihre industriellen Systeme abzusichern: mit einem strukturierten Ansatz entlang der IEC 62443, durch OT-Penetrationstests und CRA-Compliance.

Security Review zu IEC 62443 anfragen

Herausforderungen in OT-Systemen

Bei unseren Assessments in Industrieumgebungen stossen wir regemässig auf:

• Veraltete Firmware
• Embedded Devices mit Standard-Zugangsdaten
• Flache Netzwerke ohne Firewallzonen
• Fernwartungsschnittstellen, die über die vorgesehenen Bereiche hinaus Zugriff haben
• Kommunikationsprotokolle ohne Authentifizierung oder Integritätsschutz

Solche Schwachstellen bergen das Risiko von Produktionsausfällen, dem Verlust von Fertigungsgeheimnissen sowie im schlimmsten Fall einer Gefährdung von Leib und Leben.

Praktische Tests und unsere Forschung zeigen, wie eingebettete Systeme und industrielle Netzwerke ausgenutzt werden können, wenn Annahmen zu Segmentierung oder Authentifizierung nicht greifen.

Ausgewählte Beispiele:

Pwning the Synology BC500 – Embedded Firmware Exploitation

Switching 400’000 Volts with a TCP Packet – Weaknesses in IEC 61850 and IEC 60870-5-104

ICS Honeypot Research – Observed Attacker Behavior in Industrial Environments
 

Herausforderungen wie diese zeigen, warum Rahmenwerke wie der CRA und die IEC 62443 unerlässlich sind. Cyber-Resilienz muss dabei unter realistischen Bedingungen überprüft werden und darf nicht nur aus Architekturdiagrammen abgeleitet werden.

Cyber Resilience Act & IEC 62443

Der europäische Cyber Resilience Act (CRA) legt verbindliche Anforderungen an die Cybersicherheit für Produkte mit digitalen Komponenten fest. Schweizer Unternehmen, die in die EU exportieren, müssen deren Einhaltung nachweisen.

Der CRA gibt vor, was erreicht werden muss – die Norm IEC 62443 zeigt, wie dies umgesetzt werden kann:

  • Risikobasierte Sicherheitsarchitektur
  • Sicherheitsstufen SL1 bis SL4, abgestimmt auf die Fähigkeiten potenzieller Angreifer
  • Modell zur Segmentierung von Zonen und Übergängen (Zones & Conduits)
  • Technische Anforderungen an Komponenten
  • Integration eines sicheren Entwicklungszyklus

Eine unabhängige Prüfung stellt sicher, dass beide Vorgaben in der Praxis erfüllt werden.

Unsere Services zur industriellen Cybersicherheit

Industrielle Cybersicherheit setzt tiefes technisches Verständnis und nachweisbare Resultate voraus, theoretische Compliance allein reicht nicht.

  • Strukturiertes Bedrohungsmodell für industrielle Systeme
  • Risikobewertung gemäss IEC 62443-3-2
  • Definition der Security Levels SL1 bis SL4
  • Erkennung von architektonischen und betrieblichen Lücken

  • Überprüfung des Designs von Zonen und Verbindungen (Conduits)
  • Bewertung nach dem Defense-in-Depth-Prinzip
  • Überprüfung der implementierten Netzsegmentierung
  • Validierung der Zugriffsgrenzen für Fernwartung

  • Testen industrieller Protokolle (IEC 61850, IEC 60870-5-104, MQTT, Modbus, OPC UA, serielle 2/3-Draht-Protokolle)
  • Analyse von eingebetteter Firmware und Hardware
  • Validierung von Authentifizierung und Zugriffskontrollen
  • Kontrollierte Lateral-Movement-Simulation zwischen Zonen

  • Gap-Analyse gemäss IEC 62443
  • Erstellung von Nachweisen für Audit-Bereitschaft
  • Technische Handlungsempfehlungen zur Behebung von Schwachstellen
  • Unabhängige Zweitmeinung vor der Zertifizierung

Wie wir arbeiten

Wir verbinden praxisnahe Angriffssimulationen mit strukturiertem Compliance-Ansatz. So wird sichergestellt, dass Ihre Implementierung sowohl Audits als auch realen Bedrohungen standhält.

Compass Security verfügt über mehr als 25 Jahre Erfahrung in der Absicherung von internet-verbundenen Systemen, kritischer Infrastruktur und Embedded-Technologien.

Dies erfordert ein tiefes Verständnis industrieller Prozesse, der Fähigkeiten potenzieller Angreifer und regulatorischer Anforderungen. Unser Fokus liegt auf messbarer Resilienz, nicht auf theoretischer Konformität.

Unser Vorgehen:

  1. Modellierung von Bedrohungen und Verifizierung von Designentscheidungen
  2. Validierung von Kontrollen durch praxisnahe Tests
  3. Abgleich der Ergebnisse mit IEC 62443
  4. Bereitstellung priorisierter, umsetzbarer Handlungsempfehlungen

Unser Ziel: messbare Risikoreduzierung statt theoretischer Compliance

Wir zeigen Ihnen gerne, wie wir Ergebnisse erfassen, bewerten und für die Umsetzung priorisieren. Fordern Sie einen Musterbericht zu IEC 62443 an.

IEC 62443 Analyse erhalten

Business Impact

Strukturierte Validierung verwandelt technische Ergebnisse in messbare Reduktion von Geschäftsrisiken.

• Geringeres Risiko von Produktionsausfällen
• Höhere Widerstandsfähigkeit gegen Ransomware und gezielte Angriffe
• Klarer Fahrplan zur Einhaltung des CRA
• Unabhängige Validierung implementierter Sicherheitsmassnahmen
• Stärkere Glaubwürdigkeit bei Partnern und Kunden

Industrielle Cybersicherheit schützt Verfügbarkeit, Betriebskontinuität und Marktzugang.

Stärken Sie Ihre industrielle Cyber-Resilienz

Wenn Sie OT-Penetrationstests, IEC 62443-Beratung oder Unterstützung bei CRA-Compliance benötigen, kontaktieren Sie uns.

Rückruf vereinbaren

 

Lesen Sie hier, wie Kunden unsere Services erlebt haben: Kundenstimmen

Gerne geben wir Ihnen persönlich Auskunft: Ihre Ansprechpartner