Was Ist ein OT-SOC?
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Was ist ein OT-SOC und wie unterscheidet es sich von einem IT-SOC?
Ein OT-SOC (Operational Technology Security Operations Center) ist ein spezialisiertes Sicherheitszentrum für die Überwachung, Erkennung und Reaktion auf Bedrohungen in industriellen Steuerungssystemen. Es unterscheidet sich fundamental von einem klassischen IT-SOC. SANS berichtet, dass nur 18% der Industrieunternehmen ein dediziertes OT-SOC betreiben (SANS ICS Security Survey, 2025). Ohne OT-SOC beträgt die durchschnittliche Angriffserkennung in OT-Umgebungen 197 Tage (IBM).
Wichtige Erkenntnisse
- Nur 18% der Industrieunternehmen betreiben ein dediziertes OT-SOC (SANS)
- Ohne OT-SOC dauert Angriffserkennung durchschnittlich 197 Tage (IBM)
- OT-SOC-Analysten brauchen industriespezifisches Know-how zusätzlich zu Cybersicherheits-Skills
- Managed OT-SOC ermöglicht 24/7-Überwachung auch für mittelgroße Unternehmen
- OT-SOC ist Mindestanforderung für KRITIS-Systeme zur Angriffserkennung (IT-SiG 2.0)
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Welche Funktionen hat ein OT-SOC?
Ein OT-SOC erfüllt fünf Kernfunktionen, die gemeinsam ein umfassendes Sicherheitslagebild für OT-Umgebungen erzeugen. Dragos, ein führender OT-SOC-Plattformanbieter, empfiehlt diese Kernfunktionen als Mindeststandard für industrielle Sicherheitsoperationen (Dragos, 2025).
Asset-Sichtbarkeit und Inventarisierung
Ein OT-SOC pflegt ein kontinuierlich aktualisiertes Asset-Inventar aller OT-Geräte. Passive Netzwerküberwachung erfasst neue Geräte automatisch. Das SOC-Team erhält Alarmierungen bei unbekannten Geräten im Netz oder ungewöhnlicher Kommunikation. Ohne vollständige Asset-Sichtbarkeit ist jede andere SOC-Funktion eingeschränkt.
Kontinuierliches OT-Netzwerkmonitoring
24/7-Überwachung des OT-Netzwerkverkehrs ist die Kernfunktion jedes OT-SOC. Abweichungen von etablierten Kommunikationsbaselines lösen Alarme aus. OT-native Erkennungsregeln unterscheiden normale industrielle Protokollkommunikation von verdächtigen Mustern. Signaturbasierte und verhaltensbasierte Erkennung ergänzen sich.
OT-spezifische Threat Intelligence
Ein OT-SOC integriert Threat Intelligence aus OT-spezifischen Quellen: CISA-ICS-CERT, BSI-Warnungen, Herstelleradvisories und Brancheninformationsaustausch. Allgemeine IT-Threat-Intelligence reicht für OT-Bedrohungen nicht aus, weil OT-Malware und -Taktiken sich grundlegend von IT-Bedrohungen unterscheiden.
Incident Response für OT
Im Ernstfall koordiniert das OT-SOC die Reaktion auf Sicherheitsvorfälle in OT-Umgebungen. OT-Incident-Response unterscheidet sich von IT-IR: Geräte können nicht einfach isoliert oder neugestartet werden. Das SOC-Team braucht tiefes Verständnis der Produktionsprozesse, um angemessene Reaktionen zu definieren.
Brauchen Sie Unterstützung bei Was Ist ein OT-SOC??
Unsere Cloud-Architekten unterstützen Sie bei Was Ist ein OT-SOC? — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Wann brauche ich ein eigenes OT-SOC, wann reicht Managed OT Security?
Die Entscheidung zwischen eigenem OT-SOC und Managed OT Security hängt von Unternehmensgröße, Ressourcen und regulatorischen Anforderungen ab. Für KRITIS-Betreiber mit mehr als 500 OT-Assets lohnt sich typischerweise ein internes OT-SOC. Für kleinere Unternehmen sind Managed OT Security Services wirtschaftlicher und bieten dennoch 24/7-Abdeckung.
[PERSONAL EXPERIENCE] In unserer Erfahrung unterschätzen viele Unternehmen den Personalaufwand für ein eigenes 24/7-OT-SOC. Allein die 24/7-Schichtbesetzung erfordert 5-6 qualifizierte OT-SOC-Analysten pro Standort. Die Kombination aus internem OT-Sicherheitsteam (Tagesgeschäft) und Managed SOC (24/7-Überwachung) ist für viele mittlere Unternehmen die pragmatischste Lösung.
[UNIQUE INSIGHT] OT-SOC-Analysten sind einer der knappsten IT-Sicherheitsskillprofile am deutschen Arbeitsmarkt. Analysten, die sowohl industrielle Prozesse als auch Cybersicherheit verstehen, sind extrem selten. Managed Services umgehen dieses Rekrutierungsproblem durch gemeinsam genutzte Expertise.
Häufig gestellte Fragen
Kann ich mein IT-SOC auf OT-Monitoring erweitern?
Ja, aber mit erheblichem Aufwand. IT-SOC-Tools müssen für OT-Protokolle erweitert werden. IT-SOC-Analysten brauchen OT-spezifische Schulungen. Erkennungsregeln für OT-Anomalien unterscheiden sich fundamental von IT-Regeln. Viele Unternehmen beginnen mit einer IT/OT-SOC-Integration und entwickeln OT-Fähigkeiten schrittweise.
Was kostet ein Managed OT-SOC?
Managed OT-SOC-Dienste für mittlere Industrieunternehmen (100-500 OT-Assets) kosten typischerweise 50.000-150.000 Euro pro Jahr. Dieser Preis beinhaltet Plattformlizenzen, 24/7-Analyst-Abdeckung und Incident-Response-Support. Im Vergleich zum internen Aufbau (500.000-1 Mio. Euro plus laufende Personalkosten) ist Managed SOC für die meisten mittelständischen Unternehmen wirtschaftlicher.
Fazit: OT-SOC als Rückgrat der OT-Sicherheit
Ein OT-SOC ist das operative Herzstück eines OT-Sicherheitsprogramms. Ohne kontinuierliche Überwachung sind alle anderen Sicherheitsmaßnahmen reaktiv und unvollständig. Die 197-Tage-Erkennungszeit ohne SOC zeigt, wie hoch der Preis der Nicht-Überwachung ist.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und unsere Managed OT-SOC-Lösungen.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.