Jeden ersten Freitag im Monat schaffen wir uns Raum und Zeit für spannende Themen – aus Projekten, aus den Squads und aus der Community. Gäste sind herzlich willkommen: zum Zuhören, Mitdiskutieren oder um eigene Impulse einzubringen. Los geht’s um 9:30 Uhr. Schau vorbei und mach mit!
Jeden ersten Freitag im Monat machen wir bei carmasec Schluss mit dem Tagesgeschäft – für einen Vormittag. Stattdessen: Wissen teilen, Ideen spinnen, Probleme angehen. Jede:r bringt mit, was gerade brennt oder begeistert – aus laufenden Projekten, aus den Squads oder einfach aus dem Kopf. Kein festes Programm. Keine Pflicht. Nur Energie und echtes Interesse. Und weil gutes Wissen nicht an Bürotüren halt macht: Gäste sind ausdrücklich willkommen – ob aus der Security-Community, als Interessierte:r oder als jemand, der einfach mal schauen möchte, wie carmasec wirklich tickt.
Der Open Friday folgt den Prinzipien des Open Space – einer Methode, die auf Selbstorganisation und echte Energie setzt statt auf Agenda und Kontrolle:
Gesetz der Mobilität: Du bleibst, solange es sich lohnt. Sobald du nichts mehr lernst oder beitragen kannst, gehst du weiter. Keine schlechten Gewissen. Keine Erklärung nötig.
Das im April 2019 in Kraft getretene Geschäftsgeheimnisgesetz (GeschGehG) erhöht die regulatorischen Anforderungen an den Schutz von unternehmensinternem Know-How. Geschäftsgeheimnisse müssen nun proaktiv geschützt werden, um rechtliche Schritte wie Unterlassungserklärungen oder Schadensersatzansprüche bei Verletzungen geltend machen zu können. Eine große Relevanz hat hierbei die Erhöhung von Cybersicherheit.
In unserem Whitepaper geben wir dir eine Einführung in das Gesetz und stellen dir einen Maßnahmenkatalog zur Erhöhung deiner Cybersicherheit zur Verfügung.
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
CEO-Fraud bezeichnet eine Betrugsmasche, bei der Mitarbeiter:innen von einem vermeintlichen CEO angewiesen werden, Geldbeträge auf ausländische Konten zu überweisen. Im gleichnamigen Whitepaper zum Thema wird beschrieben, wie sich Kriminelle glaubhaft als Geschäftsführer:in ausgeben können, und aufgezeigt, welche Unternehmen bereits Opfer von CEO-Fraud wurden. Wir erläutern die Hintergründe sowie den typischen Ablauf dieser Betrugsmasche und zeigen auf, welche Schutzmaßnahmen Unternehmen ergreifen können.
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Mit unserer Checkliste kannst du Schritt für Schritt die wichtigsten Punkte abhaken und dir Klarheit verschaffen – strukturiert, pragmatisch und effektiv.
So gelangst du zu deiner kostenlosen Checkliste:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Um die Schwächen klassischer Sicherheitsarchitekturen zu überbrücken, hat das Marktforschungs- und Beratungshaus Gartner 2017 einen Ansatz namens CARTA entwickelt. “Continuous Adaptive Risk and Trust Assessment” (dt.: “Kontinuierliche und adaptive Risiko- und Vertrauensbewertung”) nutzt „Machine Learning“-Methoden, um die Überwachung des Systemverhaltens und die dauerhafte Überprüfung auf Abweichungen vom „guten“ Verhalten („Whitelisting“) zu gewährleisten.
Das Whitepaper „Risiko und Vertrauen: Mit dem CARTA-Ansatz die Herausforderungen digital-vernetzter Unternehmen bewältigen“ erläutert den technischen Hintergrund des Ansatzes und erläutert Anwendungsbeispiele.
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
In dem Whitepaper Reifegradmodelle für die Cybersicherheit deines Unternehmens: Referenzrahmen für Handlungs-, Planungs- und Budgetsicherheit wird die Funktionalität von Reifegradmodellen erläutert. Zudem erläutern die Autoren die sich aus der Anwendung für Unternehmen ergebenden Vorteile wie die bessere Planbarkeit von Ressourcen und Budgets. Dir werden des Weiteren einige ausgewählte Modelle aus den USA und Großbritannien vorgestellt. Explizit wird in dem Whitepaper auf das Community Cybersecurity Management Model (CCMM) eingegangen, welches beispielsweise in der US-amerikanischen Energiewirtschaft Anwendung findet.
Im nächsten Schritt wird das bewährte Modell auf die Anforderungen deutscher Unternehmen adaptiert. Du erhältst damit eine Methode, mit der du deine unternehmensinternen Prozesse der Cybersicherheit hinsichtlich des Reifegrades beurteilen und optimieren kannst.
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Wir haben uns in dem Dossier „Cyber-Resilienz: Ganzheitlicher Ansatz zur Krisenbewältigung in einer dynamischen VUCA-Welt“ mit der Resilienzforschung auseinandergesetzt. Davon ausgehend entwickeln wir eine allgemeingültige Definition für Cyber-Resilienz, die den Menschen in den Mittelpunkt stellt und an die Leitsätze der Agilität anknüpft.
So gelangst du zu deiner kostenlosen Bestellung :
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
Unser kostenfreier Leitfaden gibt Ihnen einen kompakten Überblick über:
28 Seiten PDF Kostenlos und sofort verfügbar
So gelangst du zu deinem kostenlosen Whitepaper:
1. Fülle das Formular aus und klicke auf „senden“.
2. Schaue in deine Mail und bestätige deine E-Mail-Adresse.
3. Du bekommst von uns eine E-Mail mit dem Download-Link.
4. Besuche die Download-Seite und lade dir den Kompakt-Guide herunter.
Jan Sudmeyer
Managing Partner & Trusted Advisior
Holger Kühlwetter
Senior Security Consultant
Noch Fragen?
carmasec Content & Marketing
Tauche ein in die Welt der Cybersicherheit und werde Teil einer wachsenden Community! Beim nächsten friends of carmasec Event in Essen erwarten dich spannende Gespräche mit Expert:innen und Interessierten, neue Impulse und jede Menge Networking-Möglichkeiten.
Ablauf:
18:00 Uhr: Treffen und Networking in unseren Büroräumen
18:45 Uhr: Gemeinsamer Wechsel in ein Restaurant (Details folgen)
19:00 Uhr: Abendessen und Austausch in entspannter Atmosphäre
Was erwartet dich bei unseren Events?
Unsere Treffen sind die perfekte Gelegenheit, um:
Ob erfahrener Profi oder neugieriger Neuling – wir heißen alle Interessierten herzlich willkommen!
Operational Technology in der Energieversorgung, in Wasserwerken, in der Verkehrsinfrastruktur oder im Gesundheitswesen hat einen grundlegenden Konstruktionsfehler aus heutiger Perspektive: Sie wurde für Verfügbarkeit und Prozessstabilität entwickelt, nicht für Sicherheit gegen Cyberangriffe. Steuerungssysteme auf Basis proprietärer Protokolle wie Modbus, Profibus oder DNP3 liefen jahrzehntelang in physisch isolierten Umgebungen. Der sogenannte Air Gap, die physische Trennung vom Internet, war das primäre Sicherheitskonzept.
Diese Isolation existiert in der Form nicht mehr. Die zunehmende IT/OT-Konvergenz, ausgelöst durch Fernwartungsanforderungen, Effizienzprogramme und die Integration von Smart Grid, SCADA und industriellen IoT-Komponenten, hat die Grenzen aufgelöst. Was früher eine Produktionsinsel war, ist heute über ZTNA-Gateways, Cloud-Backends und Wartungs-VPNs mit der Außenwelt verbunden. Und damit angreifbar.
Das Purdue Enterprise Reference Architecture Model (PERA), lange Zeit der konzeptuelle Rahmen für OT-Sicherheit, beschreibt eine klare Zonierung in Ebenen: von der Feldgeräteebene über die Steuerungsebene bis hin zur Unternehmens-IT. Theorie und Praxis klaffen hier weit auseinander. In der Praxis überspringen Wartungszugänge, Remote-Dienste und Datenintegrationspfade diese Zonen. Angreifer:innen auch.
Den Begriff „Zero Trust“ prägte John Kindervag 2010 während seiner Zeit als Analyst bei Forrester Research. Die Kernthese: Kein Gerät, kein Nutzer, keine Verbindung darf allein aufgrund seiner Netzwerklokation als vertrauenswürdig gelten. Weder innerhalb noch außerhalb des Perimeters. Vertrauen muss explizit und kontinuierlich hergestellt werden, nicht implizit vorausgesetzt.
Das National Institute of Standards and Technology (NIST) hat diesen Rahmen 2020 mit der SP 800-207 formalisiert. Drei Kernprinzipien stehen im Zentrum: „Verify explicitly“ bedeutet, dass jede Zugriffsanfrage anhand von Identität, Gerätekontext und Verhalten geprüft wird. „Use least privilege access“ begrenzt Berechtigungen strikt auf das, was für eine Aufgabe erforderlich ist. „Assume breach“ geht davon aus, dass eine Kompromittierung bereits stattgefunden haben kann, und entwirft Architekturen, die laterale Bewegungen innerhalb des Netzwerks verhindern.
Die CISA (Cybersecurity and Infrastructure Security Agency) hat darauf aufbauend ein Zero Trust Maturity Model entwickelt, das fünf Säulen definiert: Identity, Devices, Networks, Applications and Workloads sowie Data. Diese Säulen beschreiben, wo Zero Trust-Kontrollen ansetzt und in welcher Reihenfolge eine Reifegradentwicklung sinnvoll ist.
KRITIS-Betreiber stehen vor Einschränkungen, die in der klassischen IT-Welt so nicht vorkommen.
Lange Betriebszyklen.
OT-Systeme laufen 15 bis 25 Jahre. Ein Leitsystem, das heute im Einsatz ist, wurde unter anderen Bedrohungsannahmen beschafft. Patches sind oft nicht möglich, weil der Hersteller keine bereitstellt, weil Zertifizierungen erlöschen würden, oder weil ein Neustart der Anlage operativ nicht tolerierbar ist. Das Ergebnis ist eine verwundbare, aber produktionskritische Landschaft, die sich nicht einfach modernisieren lässt.
Proprietäre Protokolle ohne Authentifizierungslogik.
Modbus kennt keine Authentifizierung. DNP3 in seiner Basisversion auch nicht. Viele OT-Protokolle wurden unter der Annahme entwickelt, dass niemand Unberechtigtes im Netz ist. Diese Annahme ist heute nicht mehr haltbar. Zero Trust kann hier nicht mit klassischen Nutzername-Passwort-Mechanismen arbeiten, sondern benötigt Lösungen wie zertifikatsbasierte Geräteidentitäten (X.509) und protokollbewusste Proxies.
Fehlende Security-Teams.
Viele KRITIS-Betreiber, insbesondere mittelgroße Stadtwerke, Wasserversorger oder Krankenhäuser, haben keine dedizierten OT-Security-Ressourcen. Der für Zero Trust notwendige Aufwand bei Inventarisierung, Klassifizierung und Monitoring erscheint vor diesem Hintergrund prohibitiv. Er ist es nicht, wenn man mit dem richtigen Scope beginnt.
Regulatorischer Druck steigt.
§8a BSIG verpflichtet KRITIS-Betreiber bereits heute zu technischen und organisatorischen Schutzmaßnahmen nach Stand der Technik. NIS2 (umgesetzt in Deutschland durch das NIS2UmsuCG) verschärft die Anforderungen und weitet den Geltungsbereich erheblich aus. Artikel 21 NIS2 fordert explizit Risikokonzepte, Netzwerksicherheitsmaßnahmen, Zugriffskontrollkonzepte und Segmentierung. Das sind genau die Bausteine, die Zero Trust adressiert.
Die direkte Übertragung von IT-seitigen Zero Trust-Architekturen auf OT-Umgebungen scheitert in der Regel. Ein Industrieregler kann kein Software-Agenten ausführen. Eine SPS unterstützt keine MFA. Ein SCADA-System toleriert keine Latenzen durch kontinuierliche Authentifizierungsprüfungen, wenn Echtzeitsteuerung erforderlich ist.
Das bedeutet aber nicht, dass Zero Trust-Prinzipien in OT-Umgebungen nicht umsetzbar sind. Es bedeutet, dass die Implementierung angepasst werden muss.
Mikrosegmentierung nach Zone-Conduit-Modell
IEC 62443 beschreibt das Zone-Conduit-Modell als Grundlage für OT-Sicherheitsarchitekturen. Zonen gruppieren Assets nach Schutzbedarf und Kommunikationsprofil. Conduits definieren, welche Kommunikation zwischen Zonen erlaubt ist. Dieses Modell ist direkt mit Zero Trust-Prinzipien kompatibel: Kein Datenfluss zwischen Zonen ohne explizite Kontrolle und Protokollierung. Unidirektionale Datendioden für unkritische Monitoring-Daten von OT nach IT sind ein bewährtes Mittel, um Angriffsflächen strukturell zu reduzieren.
Geräteidentität statt Nutzeridentität
Wo Nutzer nicht authentifiziert werden können, müssen Geräte es sein. X.509-Zertifikate für OT-Endpunkte sind machbar, auch in Legacy-Umgebungen, wenn die Zertifikatsverwaltung über geeignete PKI-Infrastruktur erfolgt. Geräteidentitäten sind die Grundlage für granulare Zugriffskontrollen auf Netzwerkebene.
ZTNA statt VPN für Remote Access
Fernwartungszugänge auf Leittechnik sind einer der häufigsten Angriffsvektoren auf KRITIS-Infrastrukturen. Klassische VPN-Zugänge geben Wartungstechniker:innen oft weitreichenden Netzwerkzugriff weit über das hinaus, was für die jeweilige Aufgabe notwendig ist. ZTNA-Lösungen beschränken den Zugriff auf exakt die Ressource, die benötigt wird, für genau die Dauer, die erforderlich ist, mit vollständiger Protokollierung.
Network Detection and Response (NDR) für OT-Sichtbarkeit
Zero Trust setzt Sichtbarkeit voraus. In OT-Umgebungen, wo Agenten nicht einsetzbar sind, liefert passives NDR diese Sichtbarkeit durch Analyse des Netzwerkverkehrs. OT-fähige NDR-Lösungen verstehen proprietäre Protokolle und erkennen Anomalien im Kommunikationsverhalten, ohne aktiv in den Prozess einzugreifen. Das ist der Einstieg in kontinuierliches Monitoring, wie es das „Assume Breach“-Prinzip verlangt.
Die NIS2-Richtlinie ist kein abstraktes Compliance-Konstrukt. Sie definiert Mindestanforderungen, die inhaltlich stark mit Zero Trust-Prinzipien übereinstimmen. Risikomanagement und Risikoanalyse, Netzwerksicherheit und Segmentierung, Zugriffsverwaltung und Authentifizierung, Monitoring und Vorfallserkennung: Diese Anforderungen aus Artikel 21 NIS2 lassen sich nicht durch Dokumentation allein erfüllen. Sie erfordern technische Umsetzung.
Zero Trust bietet hier einen strukturierten Rahmen, der NIS2-Anforderungen nicht nur erfüllt, sondern operationalisiert. Wer Zero Trust als Architekturprinzip einführt, baut gleichzeitig die Evidenz auf, die ein NIS2-Audit erfordert: Zugriffsprotokolle, Segmentierungsnachweise, Geräteinventare, Anomalie-Alerts.
Zero Trust ist kein Schalter, den man umlegt. Es ist ein Reifegradprozess. Der häufigste Fehler ist der Versuch, das gesamte Architekturkonzept auf einmal umzusetzen. Das scheitert an Ressourcen, an Legacy-Systemen und an der Komplexität der Abhängigkeiten.
Der richtige Ansatz ist risikobasiert: Welche Assets sind kritisch? Welche Zugänge sind am stärksten exponiert? Welche lateralen Bewegungspfade im Netz wären für Angreifer:innen am lukrativsten? Diese Fragen beantwortet eine strukturierte Risikoanalyse nach BSI IT-Grundschutz oder ISO 27001. Auf Basis dieser Antworten lässt sich eine Zero Trust-Roadmap entwickeln, die mit den wirkungsvollsten Maßnahmen beginnt und sukzessive ausbaut.
Das CISA Zero Trust Maturity Model beschreibt fünf Entwicklungsstufen je Säule: Traditional, Initial, Advanced, Optimal. Kein KRITIS-Betreiber muss auf Anhieb „Optimal“ erreichen. Ein klar definierter Ausgangszustand und ein realistischer Zielpfad sind wertvoller als eine ambitionierte Architektur, die in der Umsetzung steckenbleibt.
Zero Trust für KRITIS ist kein Projekt, das du abschließt. Es ist eine Haltung gegenüber Sicherheit, die du in Architekturentscheidungen, Betriebsprozesse und Beschaffungsstrategien einbettest. Wer heute damit beginnt, gewinnt drei Dinge gleichzeitig: eine deutlich reduzierte Angriffsfläche durch Mikrosegmentierung und granulare Zugriffskontrollen, eine nachweisbare Erfüllung der NIS2-Anforderungen mit auditfähiger Evidenz, und die operative Sicherheit, dass ein erfolgreicher Einbruch in eine Teilinfrastruktur nicht zur vollständigen Kompromittierung der Gesamtanlage führt.
Sicherheit entsteht nicht durch den perfekten Perimeter. Sie entsteht durch die Annahme, dass der Perimeter bereits gefallen ist, und durch Architekturen, die genau darauf ausgelegt sind.
Du willst wissen, wo deine KRITIS-Infrastruktur heute steht?
Wir bewerten deinen Reifegrad und entwickeln mit dir eine Zero Trust-Roadmap, die zu deiner Betriebsrealität passt.
Du brauchst Unterstützung oder willst einfach mal loswerden, was dich in Sachen Cybersecurity oder ISMS gerade beschäftigt? Wir nehmen’s ernst und melden uns zeitnah.
Noch kein Kunde?
Nützliche Links