ondeso x Rhebo

Der Schritt vom passivem SzA zum Incident Response

Nicolai Sukup
Key Account Manager Rhebo
28.10.2025
5 min

Wie können Prozessverantwortliche und IT-Sicherheit in der OT ins selbe Boot geholt werden? Wie kann OT-Cybersicherheit organisiert werden, die rein passiv detektieren soll, aber trotzdem schnell und kontrolliert handeln möchte?

In der OT stehen sich in Bezug auf die Cybersicherheit oft zwei Parteien mit starkem Willen gegenüber.

Auf der einen Seite pochen die für die industriellen Prozesse Verantwortlichen (zu Recht) darauf, dass Cybersicherheitsmaßnahmen die empfindliche Infrastruktur nicht oder nur so weit beeinflussen, dass die Verfügbarkeit der Anlagen und Systeme nicht beeinträchtigt wird. Dadurch ergibt sich die nachvollziehbare Forderung nach einem passiv funktionierenden System zur Angriffserkennung (SzA), das Anomalien meldet, aber diese nicht aktiv blockiert oder mitigiert.

Auf der anderen Seite stehen die Verantwortlichen für Cybersicherheit im Unternehmen, die (ebenfalls zu Recht) eine schnelle Reaktion auf Vorkommnisse priorisieren. Sie fordern Strukturen und Tools, die sicherstellen, dass sie jederzeit und effizient handlungsfähig sind.

So unterschiedlich die Parteien im ersten Moment wirken mögen, so identisch sind sie in ihrem grundlegenden Ziel: das Unternehmen am Laufen zu halten. Dass beide Parteien trotzdem häufig getrennte Wege gehen, liegt nicht selten an fehlenden Strukturen und gemeinsamen Werkzeugen, die eine Vermittlung ermöglichen.

Dabei könnten Prozess- und Anlagenverantwortliche und Cybersicherheitsteam bestens zusammenarbeiten, wie das Zusammenspiel aus dem OT-SzA Rhebo Industrial Protector und der OT Client Management Software ondeso SR zeigt.

Passiv detektiert, kontrolliert gegensteuern

Das netzbasierte Intrusion Detection System (NIDS) Rhebo Industrial Protector integriert sich schlank über Mirrorports in jedes OT-Netzwerk. Dort untersucht es die OT-Kommunikation kontinuierlich und rein passiv auf sicherheitsrelevante Ereignisse und technische Fehlerzustände. Anomalien im Netzwerkverhalten werden in Echtzeit mit allen wichtigen Daten für die Auswertung gemeldet und dokumentiert, ohne in die industriellen Prozesse einzugreifen.  

Die Anomaliemeldungen können über Standardschnittstellen auch als vorqualifizierte Events an ein SIEM-System weitergeleitet werden, um die übergeordnete Threat Detection aus der OT heraus zu unterstützen. Cybersicherheitsteams erlangen damit Sichtbarkeit in die OT und auf dort vorhandene Risiken und Sicherheitsvorfälle. Die Prozess- und Anlagenverantwortlichen wiederum können detektierte technische Fehlerzustände zeitnah an die Wartung und Instandhaltung übermitteln und so das Anlagenausfälle vermeiden.

Der koordinierte Incident Response erfolgt dann über ondeso SR. Die Client Management Software ermöglicht neben der generellen zentralen Verwaltung auch das Cybersicherheitsmanagement von OT-Endgeräten. Sowohl das Ändern von Konfigurationen, Ausrollen von Softwareupdates und Security-Patches, als auch Systemeinstellungen für USB-Schnittstellen, RDP-Verbindungen oder Client-Firewalls, Backup-Erstellung und Wiederherstellungen kann über ondeso abgebildet, eingetaktet und automatisiert werden.  

Die Prozess- und Anlagenverantwortlichen behalten damit bei planbaren Sicherheitsmaßnahmen die Implementierungshoheit über ihre Infrastruktur. OT-weite Rollouts und Patches können beispielsweise mit Wartungsfenstern synchronisiert werden. Der Patch einzelner Systeme kann in ondeso SR auch vorbereitet und so eingetaktet werden, dass er Schritt für Schritt erfolgt, um die OT-Netzwerke und –Systeme nicht zu überlasten.

Cyberresilienz steigern und Verfügbarkeit schützen

Durch das Zusammenspiel von Rhebo und ondeso werden Unternehmen befähigt:

  • Produktionsausfälle zu vermeiden.
  • die Reaktion auf Vorfälle zu beschleunigen.
  • Sicherheitsmaßnahmen in der OT gezielt umzusetzen.
  • ihre digitale Souveränität durch Technologie “Made in Germany” zu stärken.

Die verantwortlichen Teams auf dem Shopfloor und in der Cybersicherheit können so gemeinsam ihre Cyberresilienz sowie die Anlagen- und Prozessverfügbarkeit steigern.

Alle Informationen zum Zusammenspiel von ondeso SR und Rhebo Industrial Protector finden Sie im gemeinsamen Lösungsprofil.

ondeso / Rhebo Lösungsprofil herunterladen (pdf)