Von allgemeinen Bedenken zu priorisierten Maßnahmen
Viele Industriestandorte erkennen die Notwendigkeit, Cybersecurity zu verbessern, haben aber keinen klaren Überblick über ihre wichtigsten Lücken. Eine Gap-Analyse bietet eine strukturierte Ausgangsbasis und hilft, dringende Probleme von längerfristigen Verbesserungen zu trennen. Die Überprüfung kann an internen Anforderungen, Kundenspezifikationen, IEC 62443-Prinzipien oder einer vereinbarten Bewertungscheckliste ausgerichtet werden.
Typische Überprüfungsdomänen
- OT-Asset-Transparenz
- Netzwerkarchitektur
- Segmentierung
- Firewalls und Zugangskontrolllisten
- Benutzerkonten
- Administratorzugang
- Passwortpraktiken
- Fernzugang
- Engineering-Arbeitsstationen
- Systemhärtung
- Virenschutz oder Anwendungskontrolle
- Wechseldatenträger
- Datensicherung und Wiederherstellung
- Patch-Management
- Umgang mit Schwachstellen
- Zeitsynchronisation
- Protokollierung und Monitoring
- Physischer Zugang
- Lieferantenzugang
- Änderungsmanagement
- Vorfallvorbereitung
- Sicherheitsdokumentation
Befundprioritäten
Kritische Aufmerksamkeit
Bedingungen, die erhebliche Exposition verursachen oder wesentliche betriebliche Sicherheitsmechanismen beeinträchtigen können und umgehende Überprüfung erfordern.
Hohe Priorität
Wichtige Schwachstellen, die durch geplante technische oder prozedurale Maßnahmen adressiert werden sollten.
Mittlere Priorität
Lücken, die in das Verbesserungsprogramm aufgenommen und entsprechend betrieblichen Einschränkungen behoben werden sollten.
Verbesserungsmöglichkeit
Dokumentations-, Prozess- oder Defence-in-Depth-Verbesserungen, die die langfristige Sicherheitsreife stärken.
Leistungsumfang
- Ist-Zustand-Zusammenfassung
- Lückenregister
- Belegnachweise
- Prioritätsklassifikation
- Sofortmaßnahmen
- Kurzfristige Maßnahmen
- Mittelfristige Maßnahmen
- Dokumentationsverbesserungen
- Abhängigkeiten und Einschränkungen
- Vorgeschlagene Roadmap
- Optionaler Follow-up-Workshop
Assessmentgrenzen
Eine Gap-Analyse basiert auf dem vereinbarten Überprüfungsumfang und den bereitgestellten Informationen. Sie ist kein Penetrationstest und beweist nicht, dass die Umgebung frei von Schwachstellen oder Kompromittierungen ist.
Explore related inspection services
Select a related service or contact route for your requirement.
OT-Cybersecurity
Überblick über OT-Cybersecurity-Assessment-Leistungen.
IEC 62443-Assessment
IEC 62443-konforme Überprüfung von Architektur, Zugangskontrolle und Lifecycle-Aktivitäten.
Industrielles Netzwerk-Review
Ingenieurmäßige Überprüfung der industriellen Netzwerkarchitektur und Exposition.
Beratung anfragen
Systeminformationen und Gap-Analyse-Anforderungen übermitteln.