Demo buchen
Blog
4 Minuten lesen
Veröffentlicht am 10. September 2025

IoT Security: Die Detection Gap schliessen

Was ist IoT-Sicherheit - Exeon blog

Anne Murakaru

Autor

Diesen Beitrag teilen

Inhaltsübersicht

Heute abonnieren

Erhalten Sie monatlich die neuesten Blogs in Ihren Posteingang - unser Cyber Flash.

Indem Sie auf Anmelden klicken, bestätigen Sie, dass Sie mit unseren Nutzungsbedingungen einverstanden sind.

Warum Tool-Sprawl die Angriffserkennung schwächt – und wie integrierte Detection echte Resilienz schafft

Der Global Industrial Cybersecurity Benchmark 2025 (Takepoint Research, Juli 2025) zeigt ein deutliches Paradox: Viele Industrieunternehmen geben an, über starke Echtzeit-Transparenz zu verfügen, doch die Mehrheit räumt ein, OT- und IoT-Bedrohungen nicht zuverlässig erkennen zu können. Gleichzeitig setzen die meisten auf ein Sammelsurium von drei oder mehr Monitoring-Tools – mit der Folge von Blind Spots, widersprüchlichen Erkenntnissen, steigenden Kosten und ohne echte Cyber-Resilienz.

Für Betreiber kritischer Infrastrukturen (KRITIS) und industrielle Organisationen weltweit ist dies weit mehr als eine Compliance-Frage. Es handelt sich um eine strukturelle Schwäche in der Art und Weise, wie Attack Detection bzw. Systeme zur Angriffserkennung (SzA) konzipiert und umgesetzt werden – ein zentrales Thema für die Zukunft der Industrial Cybersecurity.

Zu viele Tools, zu wenig Klarheit

Gerade die 57 % Tool-Zersplitterung verdienen besondere Aufmerksamkeit. Statt mehr Sichtbarkeit führt der Tool-Wildwuchs zu:

  • Überlappungen und Lücken, die IT-, OT-, IoT- und Cloud-Umgebungen unverbunden lassen.
  • Alert Fatigue, da SOC-Teams widersprüchliche oder redundante Alarme managen müssen.
  • Steigenden Betriebskosten, ohne echten Zugewinn an Resilienz.

Dies ist kein regionales Phänomen. Ob in Europa, Nordamerika, im Mittleren Osten oder in Asien – überall suchen Unternehmen nach Abdeckung durch zusätzliche Tools, landen aber bei Fragmentierung statt Sicherheit.

Warum Angriffserkennung in IoT und OT schwieriger ist

Industrielle und IoT-Umgebungen bringen besondere technische Hürden mit sich:

  • Verschlüsselter Traffic: Deep Packet Inspection (DPI) wird zunehmend blind, da immer mehr Daten über TLS/SSL laufen.
  • Agent-Limitierungen: Auf OT-Systemen oder IoT-Geräten lassen sich meist keine Agenten installieren.
  • Manuelle Prozesse: Laut Studie benötigen rund ein Drittel der Unternehmen mehr als 90 Tage zur Behebung von Bedrohungen.
  • Compliance-Anforderungen: Regulatoren fordern verlässliche, prüfbare Angriffserkennung – in Deutschland als Systeme zur Angriffserkennung (SzA), in der EU durch NIS2, in Nordamerika etwa durch NERC CIP.
IoT-Sicherheit - Schließen der Erkennungslücke

Der gemeinsame Nenner:

Fragmentierte Ansätze und Legacy-Kontrollen lassen kritische Umgebungen ungeschützt.

Prinzipien moderner Detection-Architekturen

Die Studie unterstreicht, dass wirksame Angriffserkennung bestimmte Prinzipien erfüllen muss:

  1. Ganzheitliche Sichtbarkeit über IT, OT, IoT und Cloud hinweg.
  2. Metadatenbasierte Analyse, die trotz Verschlüsselung funktioniert und skaliert.
  3. Verhaltensanalysen (UEBA), die Anomalien bei Nutzern, Geräten und Applikationen erkennen.
  4. SOC-Integration, um SIEM/SOAR-Workflows zu unterstützen statt neue Silos zu schaffen.
  5. Audit-fähiges Reporting, um internationale Vorgaben wie NIS2, DORA oder GDPR zu erfüllen.

Diese architektonischen Prinzipien, nicht die Produktkästchen, bestimmen, wo Innovation stattfinden muss.

Innovation in der Praxis: Metadaten und Verhaltensanalyse

Genau hier setzen moderne Ansätze wie Network Detection and Response (NDR) und User and Entity Behavior Analytics (UEBA) an:

  • Metadatenbasiertes NDR ermöglicht Traffic-Analyse ohne teure Sensoren oder Payload-Inspection – gerade relevant für verschlüsselte, agentenfreie OT- und IoT-Netze.
  • UEBA macht Insider-Missbrauch, kompromittierte Accounts oder abnormales Geräteverhalten sichtbar – dort, wo klassische Signaturen versagen.
  • Integrationsorientiertes Design reduziert Tool-Sprawl, indem bestehende SOC-Workflows angereichert statt dupliziert werden.
IoT-Sicherheit und NDR - Exeon blog

Bei Exeon setzen wir auf Exeon.NDR für netzwerkbasierte Sichtbarkeit und auf Exeon.UEBA als Ergänzung für Nutzer- und Identitätsverhalten. Gemeinsam ermöglichen sie KRITIS-Betreibern den Wechsel von fragmentiertem Monitoring zu einem integrierten Ansatz.

Moderne Angriffe über IT, OT, IoT und Cloud - nur eine integrierte Architektur kann sie frühzeitig aufdecken

Anbieter wie AWS und Azure liefern bereits robuste native Security-Services. Doch für Industrie- und KRITIS-Betreiber reichen diese allein nicht aus:

  • Sie fokussieren primär Cloud-native Workloads (VMs, Storage, APIs).
  • East–West-Traffic in Unternehmens- oder OT-Netzen bleibt unsichtbar.
  • Korrelation über Umgebungen (On-Prem, OT, IoT, Cloud) ist eingeschränkt.

Cloud-native Controls sind wertvolle Bausteine, müssen aber durch integrierte Detection ergänzt werden, die die gesamte Umgebung abdeckt.

  • Der auf Metadaten basierende NDR nimmt Netzwerkflussaufzeichnungen, AWS VPC Flow Logs und Azure NSG-Daten auf und bietet eine einheitliche Ansicht über IT, OT und Cloud.
  • Sensorlose Überwachung bedeutet, dass sogar verschlüsselter OT/IoT-Datenverkehr sichtbar ist - wo Agenten und DPI versagen.
  • Korrelationen und Berichte ermöglichen Compliance-konforme Einblicke in hybriden Umgebungen, von NIS2 in Europa bis NERC CIP in Nordamerika.
Beispiel:

Ein Ransomware-Angriff startet auf einem IoT-Gerät, verbreitet sich lateral im OT-Netz und erreicht später Workloads in AWS oder Azure.

  • AWS GuardDuty erkennt verdächtiges Verhalten erst in der Cloud.
  • Azure Defender for Cloud ebenso.
  • Die frühe Ausbreitung im OT-Netz bleibt ungesehen.
Exeon.NDR für IoT-Sicherheit

Mit Exeon.NDR kann die laterale Bewegung bereits im OT identifiziert, mit AWS- und Azure-Metadaten angereichert und als einheitlicher Incident dargestellt werden. SOC-Teams können den Angriff früher eindämmen – mit Kontext über alle Umgebungen hinweg.

Ausblick: Von Compliance zu Resilienz

Ob als SzA in Deutschland, NIS2 in Europa, in der Schweizer Verordnung zum Schutz kritischer Infrastrukturen oder als branchenspezifische Vorgaben anderswo – die Botschaft ist global dieselbe:

Kritische Infrastrukturen benötigen verlässliche, integrierte und erklärbare Angriffserkennungssysteme.

Das Ziel ist nicht nur, die nächste Prüfung zu bestehen, sondern Resilienz aufzubauen:

  • Abnormales Verhalten über IT/OT/IoT hinweg erkennen.
  • Signale über alle Umgebungen hinweg korrelieren, einschliesslich der Cloud.
  • Innerhalb von Tagen reagieren – nicht erst nach Monaten.

Die Studie von Takepoint Research verdeutlicht: Die Zahl der eingesetzten Tools definiert nicht die Sicherheitsreife. Entscheidend ist, wie effektiv Organisationen Bedrohungen erkennen, verstehen und darauf reagieren – bevor sie den Betrieb stören.

Fazit

Industrieunternehmen und KRITIS-Betreiber stehen unter zunehmendem Druck: geopolitische Spannungen, digitale Transformation und IoT-Verbreitung erhöhen das Risiko. Mehr Tools lösen dieses Problem nicht.

Der Weg nach vorn liegt in architektonischer Klarheit: metadatenbasierte Sichtbarkeit,
verhaltensbasierte Detection und Integration in bestehende SOC-Workflows. Nur so lässt sich die Detection Gap schliessen – und der Schritt von Compliance zu echter Cyber-Resilienz gehen.

Metadaten in Aktion sehen

Holen Sie sich den Cyber Flash

Bleiben Sie auf dem Laufenden mit unserem monatlichen Newsletter, der Sie über fortschrittliche Netzwerksicherheit, Updates zur Einhaltung von Vorschriften und die neuesten Veranstaltungen und Webinare zum Thema Cybersicherheit informiert.

Zurück zum Hauptmenü
Unsere Produkte
Wettbewerb

Warum unsere NDR-Lösung auf dem Markt überlegen ist.

KI & Sicherheit
Unsere KI-Cybersecurity-Plattform, Swiss-made.