Was Ist OT-Asset-Discovery?
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Was ist OT-Asset-Discovery und warum ist sie so wichtig?
OT-Asset-Discovery ist der Prozess der automatischen Identifikation und Inventarisierung aller Geräte in einem OT-Netzwerk. Es ist die Grundlage jedes OT-Sicherheitsprogramms: Man kann nicht schützen, was man nicht kennt. Claroty berichtet, dass in durchschnittlichen OT-Umgebungen 40% der Assets nicht im Inventar erfasst sind (Claroty State of XIoT Security, 2025). Diese unbekannten Geräte sind unkontrollierte Sicherheitsrisiken.
Wichtige Erkenntnisse
- 40% der OT-Assets sind durchschnittlich nicht inventarisiert (Claroty)
- Passive Discovery ist die sichere Methode für OT-Umgebungen (kein aktives Scannen)
- Asset-Discovery erfasst: IP-Adresse, Hersteller, Modell, Firmware, Kommunikationsbeziehungen
- Kontinuierliche Discovery erkennt neue Geräte automatisch bei Netzwerkverbindung
- Asset-Inventar ist Pflicht für NIS2-Compliance und KRITIS-Nachweise
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Wie funktioniert passive OT-Asset-Discovery?
Passive OT-Asset-Discovery analysiert Netzwerkverkehr, ohne selbst Pakete zu senden. Das unterscheidet sie fundamental von aktivem Scanning, das in OT-Umgebungen gefährlich ist. CISA empfiehlt ausdrücklich passive Discovery als primäre Methode für OT-Asset-Inventarisierung (CISA, 2024).
Netzwerk-Tap und SPAN-Port
Passive Discovery-Sensoren werden an Netzwerk-Taps oder SPAN-Ports angeschlossen. Sie empfangen eine Kopie des gesamten Netzwerkverkehrs, ohne selbst am Datenverkehr teilzunehmen. Das betroffene OT-Gerät bemerkt die Überwachung nicht. Dieser non-intrusive Ansatz verhindert Betriebsstörungen durch die Discovery-Aktivität selbst.
Protokoll-Parsing für OT-Protokolle
OT-Asset-Discovery-Plattformen können Hunderte von industriellen Protokollen parsen: Modbus, DNP3, PROFINET, EtherNet/IP, OPC-UA, BACnet, IEC 60870-5, IEC 61850 und viele mehr. Aus diesen Protokoll-Paketen extrahieren sie Asset-Informationen: Hersteller, Modell, Seriennummer, Firmware-Version und Konfigurationsdetails.
Was wird erfasst?
Ein vollständiges OT-Asset-Inventar enthält für jedes Gerät: IP-Adresse und MAC-Adresse, Gerätehersteller und -modell, Firmware- und Software-Versionen, genutzte Protokolle, Kommunikationsbeziehungen zu anderen Geräten, bekannte Schwachstellen (CVEs) und Risk-Score. Diese Informationen sind die Grundlage für alle nachfolgenden Sicherheitsmaßnahmen.
Brauchen Sie Unterstützung bei Was Ist OT-Asset-Discovery??
Unsere Cloud-Architekten unterstützen Sie bei Was Ist OT-Asset-Discovery? — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Welche Tools werden für OT-Asset-Discovery eingesetzt?
Führende OT-Asset-Discovery-Plattformen in Deutschland sind Claroty, Nozomi Networks, Dragos und Armis. Eine Analyse von Forrester zeigt, dass diese vier Anbieter 65% des OT-Asset-Discovery-Marktes abdecken (Forrester, 2025). Die Plattformen unterscheiden sich in Protokollunterstützung, Integrationsfähigkeiten und Reporting-Funktionen.
Claroty
Claroty bietet tiefe Protokollunterstützung und starke IT/OT-Konvergenz-Fähigkeiten. Die Plattform ist besonders für Umgebungen mit gemischten IT/OT-Assets geeignet. Claroty hat starke Integrationen mit IT-Sicherheitsplattformen wie Splunk und ServiceNow.
Nozomi Networks
Nozomi Networks ist bekannt für starke Anomalieerkennung und OT-Threat-Intelligence. Die Plattform unterstützt sowohl passive als auch aktive Discovery-Modi und hat gute Visualisierungsfähigkeiten für OT-Netzwerktopologien.
Dragos
Dragos fokussiert auf Threat Intelligence und Detection Engineering für OT. Die Plattform ist besonders für Unternehmen geeignet, die eine starke Bedrohungserkennung und OT-SOC-Unterstützung benötigen. Dragos bietet die umfangreichste OT-Threat-Intelligence-Datenbank.
Wie integrieren Sie Asset-Discovery in Ihr OT-Sicherheitsprogramm?
Asset-Discovery ist nicht nur eine einmalige Inventarisierungsaufgabe, sondern ein kontinuierlicher Prozess. Kontinuierliche Discovery erkennt neue Geräte automatisch, wenn sie mit dem OT-Netzwerk verbunden werden. Das ist besonders wichtig, weil Wartungstechniker häufig temporäre Geräte (Laptops, Programmiergeräte) einbringen, die ohne Wissen des Sicherheitsteams im Netzwerk erscheinen.
[PERSONAL EXPERIENCE] In OT-Asset-Discovery-Projekten stellen wir regelmäßig fest, dass 10-20% der entdeckten Assets vollständig unbekannt sind - nicht wegen böser Absicht, sondern weil OT-Netze über Jahre gewachsen sind und niemand den Überblick behalten hat. Diese "Schatten-OT" zu sichtbar zu machen, ist oft der wertvollste erste Schritt des gesamten OT-Sicherheitsprogramms.
[UNIQUE INSIGHT] Asset-Discovery-Daten sind wertvoller als ihr unmittelbarer Sicherheitsnutzen. Unternehmen nutzen OT-Asset-Inventare auch für Wartungsplanung, Ersatzteilmanagement und Lebenszyklusplanung. Der Cross-funktionale Wert erhöht die Investitionsbereitschaft erheblich.
Häufig gestellte Fragen
Kann passives Asset-Discovery Geräte beschädigen?
Passives Asset-Discovery sendet keine Pakete und kann daher keine Geräte beschädigen oder stören. Die Sensoren empfangen nur Kopien des Netzwerkverkehrs. Aktives Scanning hingegen kann ältere OT-Geräte zum Absturz bringen und sollte in OT-Umgebungen vermieden oder nur mit expliziter Hersteller-Genehmigung und in Testumgebungen durchgeführt werden.
Wie lange dauert eine erste OT-Asset-Discovery?
Die initiale Asset-Discovery dauert typischerweise 2-4 Wochen, um ein vollständiges Bild der OT-Umgebung zu erhalten. In dieser Zeit werden alle Kommunikationsbeziehungen beobachtet und Baselines erstellt. Geräte, die in dieser Zeit keine Netzwerkkommunikation zeigen, werden durch manuelle Inspektion oder bei nächster Aktivität erfasst.
Fazit: Asset-Discovery ist der Startpunkt jeder OT-Sicherheitsstrategie
Ohne vollständige OT-Asset-Sichtbarkeit ist jede andere Sicherheitsmaßnahme fragmentarisch. OT-Asset-Discovery ist der unverzichtbare erste Schritt zu einem wirksamen OT-Sicherheitsprogramm. Kontinuierliche Discovery stellt sicher, dass das Inventar immer aktuell ist.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und Asset-Discovery-Projekte.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.