Unabhängige OT-Security-Beratung · Pharma · Chemie · Life Sciences · Rhein-Main / DACH
Produktions-OT sichtbar machen. Sicher betreiben.
Ich bringe mittelständische Unternehmen der Prozessindustrie in einen prüffähigen NIS2-Zustand — herstellerunabhängig, mit den Werkzeugen, die zu Ihrer Anlage passen, und ohne den laufenden Betrieb zu stören.
01 Der Einstieg
Ein definierter erster Schritt: das OT-Lagebild.
Kein Rahmenvertrag, kein Beratungs-Abo. Der Einstieg bei Aganum ist ein klar umrissenes Assessment: eine strukturierte Bestandsaufnahme Ihrer Produktions-OT als belastbare Grundlage für Ihr NIS2-Risikomanagement. Herstellerunabhängig — ich arbeite mit den Systemen und Datenquellen, die Sie bereits haben, und ergänze nur dort, wo Lücken sind: rückwirkungsfrei, ohne Eingriff in den Betrieb.
- Ihr AufwandEin Ansprechpartner und Zugang zu vorhandenen Datenquellen — keine Agenten, keine Installation, keine Vorarbeiten.
- Ihr BetriebRein passive Methodik — kein Eingriff in laufende oder qualifizierte Systeme, GxP-verträglich, kein Re-Validierungs-Risiko.
- Ihr RahmenUmfang und Dauer werden im Erstgespräch festgelegt — danach haben Sie einen konkreten Vorschlag mit klarem Ergebnis.
Das Lagebild steht für sich: Sie können damit intern weiterarbeiten — oder mit mir. Keine Verpflichtung über das Assessment hinaus.
Asset-Inventar
Jedes kommunizierende Gerät im aufgenommenen Netz — passiv erfasst, mit Zonen-Zuordnung. Die Grundlage, die jedes Audit zuerst verlangt.
Kommunikationsmatrix
Wer spricht mit wem, worüber — inklusive der Zonenübergänge, die in keiner Dokumentation stehen.
Schwachstellen-Überblick
Abgleich der erkannten Systeme mit CVE- und KEV-Daten — priorisiert nach realer Gefährdung, nicht nach Score-Kosmetik.
Management-Report
Ein prüffähiger Bericht als Arbeitsgrundlage für Ihr NIS2-Risikomanagement — verständlich für Geschäftsführung und Werk zugleich.
02 Leistungen
Drei Bausteine — jeder mit einem Ergebnis, das Sie in der Hand halten.
NIS2-Readiness & Risikomanagement
Sie werden prüffähig: Gap-Analyse, Risikomanagement und genau die Nachweise, die eine Prüfung verlangt — priorisiert nach dem, was im Mittelstand tatsächlich leistbar ist.
- Gap-Analyse zum NIS2-Soll-Zustand
- Risikomanagement für die Produktions-OT
- Maßnahmen nach IEC 62443
- Aufbau von Nachweisen & Dokumentation
- Standards: NIS2 · IEC 62443 · ISO 27001/27019 · BSI
OT-Visibility & Asset Discovery
Am Ende wissen Sie belastbar, was in Ihrem OT-Netz existiert und miteinander spricht — die Grundlage, die NIS2 zuerst verlangt. Mit den Systemen, die Sie haben.
- Nutzung vorhandener Datenquellen & Plattformen
- Passive Aufnahme nur, wo Lücken sind
- Asset-Inventar & Netzwerk-Topologie
- Schwachstellen- & CVE-Abgleich
- GxP-verträglich: kein Eingriff in qualifizierte Systeme
OT-Security & Monitoring
Aus Sichtbarkeit wird Betrieb: Segmentierung, Detektion und ein Monitoring, das Ihre Mannschaft tragen kann — mit der Plattform, die zu Ihrer Anlage passt, nicht zu einem Partnerprogramm.
- Netzwerksegmentierung & Zonenkonzept
- Anomalie- & Bedrohungserkennung in OT
- Claroty · Nozomi · Dragos · Armis · Forescout — neutral verglichen
- Anbindung an bestehendes SOC/SIEM
- Incident-Vorbereitung für OT-Umgebungen
03 Vorgehen
Pragmatisch. Tief. Herstellerunabhängig.
Ich arbeite nicht mit fertigen Folien-Templates. Jedes Mandat beginnt mit dem konkreten Kontext — Anlage, Architektur, Bedrohungslage, vorhandene Tooling-Landschaft — und endet mit einer Entscheidung, die Sie tatsächlich umsetzen können.
-
→ 01
Diagnose
Bestandsaufnahme von Assets, Tools, Prozessen und Organisation — keine Annahmen, nur Evidenz.
Ergebnis: ein belastbares Lagebild statt Vermutungen.
-
→ 02
Bewertung
Strukturierter Vergleich von Optionen anhand Ihrer Risiko-, Architektur- und Betriebskriterien.
Ergebnis: Optionen, die zu Risiko, Anlage und Budget passen.
-
→ 03
Entscheidungsvorlage
Klare Empfehlung mit Kosten, Aufwand, Risiken und Trade-offs — präsentationsreif für Vorstand und Steering.
Ergebnis: eine Vorlage, die Geschäftsführung und Werk gleichermaßen trägt.
-
→ 04
Umsetzung
Begleitung von PoC bis Roll-out — operative Tiefe statt PowerPoint-Beratung.
Ergebnis: Maßnahmen, die im Betrieb ankommen und dort bestehen.
So läuft der Einstieg konkret
- 01Erstgespräch, 30 Minuten, kostenfrei. Wir klären Ausgangslage, NIS2-Einordnung und ob das OT-Lagebild für Sie der richtige Schritt ist.
- 02Bestandsaufnahme vor Ort. Mit der Methodik, die zu Ihrer Anlage passt — vorhandene Systeme und Datenquellen zuerst, passive Aufnahme nur dort, wo Lücken sind.
- 03Bericht & Empfehlung. Sie erhalten das Lagebild und eine priorisierte Empfehlung — dann entscheiden Sie, wie es weitergeht.
Warum unabhängig?
- Keine Provisionen. Ich erhalte von keinem Hersteller Geld — die Empfehlung folgt Ihrer Anlage, nicht einer Marge.
- Kein Staffing-Modell. Sie sprechen immer mit dem, der die Analyse selbst macht — keine Junior-Teams, keine Übergaben.
- Die Empfehlung gehört Ihnen. Jede Entscheidungsvorlage ist so gebaut, dass Sie sie auch ohne mich umsetzen können.
04 Engineering-Beweis
Ich berate nicht nur — ich baue.
Aus der Ingenieurspraxis heraus habe ich eine tragbare, rein passive OT-Audit-Appliance entwickelt: Sie hört ein Anlagennetz über den Spiegel-Port mit, baut automatisch ein Inventar der kommunizierenden Geräte auf, erkennt Auffälligkeiten und erzeugt den prüffähigen Bericht — vollständig vor Ort, ohne Cloud.
Ich setze sie in Assessments dort ein, wo sie der schnellste Weg zum Lagebild ist — und zugleich ist sie der Beweis, wie ich arbeite: passiv, on-premise, nachvollziehbar. Für den Dauerbetrieb empfehle ich herstellerunabhängig die Plattform, die zu Ihrer Anlage passt.
Rein passiv
Sendet nie ein Paket ins Anlagennetz — die Produktion kann technisch nicht gestört werden.
On-Premise
Kein Cloud-Backend, kein „Phone-Home". Alle Daten bleiben im Werk — auch die Befunde.
OT-nativ
Versteht die Protokolle der Anlage — Modbus, S7, PROFINET, OPC UA, DNP3 und weitere.
Audit-Report
Prüffähiger Bericht auf Knopfdruck — gemappt auf NIS2, IEC 62443 und BSI.
05 Insights
Beobachtungen aus der Praxis.
Warum passive Sichtbarkeit der einzig vertretbare Weg in der OT ist.
Aktive Scans, die in der IT selbstverständlich sind, können in einer Produktionsanlage Schaden anrichten. Warum rückwirkungsfreie Verfahren nicht Komfort, sondern Pflicht sind.
NIS2 im Mittelstand: Erst Sichtbarkeit, dann Compliance.
Viele starten bei NIS2 mit Dokumentation und Prozessen. Warum das die falsche Reihenfolge ist — und jedes Risikomanagement ohne OT-Lagebild auf Sand gebaut ist.
OT-Plattform-Auswahl ohne Vendor-Bias — worauf es ankommt.
Claroty, Nozomi, Dragos, Armis, Forescout — auf dem Papier ähneln sich die Plattformen. Welche Kriterien in der Praxis den Unterschied machen.
06 Über mich
Beratung, die aus der Praxis kommt.
Cyber Security in industriellen Umgebungen lebt von Detailtiefe — und davon, dass Empfehlungen tragen, wenn sie auf die Realität einer laufenden Anlage treffen.
Ich bin Ingenieur (Elektrotechnik) und habe bereits im Studium meinen Fokus auf Cyber Security gerichtet. Seit über sieben Jahren arbeite ich in der Cyber Security internationaler Industrie- und DAX-Konzerne — zuletzt als Senior Cyber Security Expert für OT- und IT-Security: Aufbau und Steuerung von Security Operations Centern, OT-Security-Architekturen und IT/OT-Segmentierung, Use-Case-Engineering, Threat Intelligence und Incident Response. Davor habe ich bei Siemens Digital Industries Sicherheitsrisiken industrieller IoT-Komponenten analysiert und Penetrationstests durchgeführt.
Aus dieser Arbeit kenne ich die führenden OT-Security-Werkzeuge nicht aus Datenblättern, sondern aus dem tatsächlichen Einsatz. Heute begleite ich Unternehmen der Prozessindustrie unabhängig dabei, ihre Produktions-OT sichtbar, bewertbar und NIS2-konform zu machen — von Frankfurt am Main aus, vor Ort im Rhein-Main-Gebiet, projektweise DACH-weit.
Sicherheit entsteht nicht durch die richtige Plattform, sondern durch die richtigen Entscheidungen über die richtige Plattform.
07 Fragen & Antworten
Was Entscheider vor dem ersten Gespräch wissen wollen.
Sind wir überhaupt von NIS2 betroffen?
Viele mittelständische Betriebe der Prozessindustrie sind es — als „wichtige" oder „besonders wichtige" Einrichtung nach dem deutschen Umsetzungsgesetz. Die Einordnung hängt von Branche, Größe und Rolle in der Lieferkette ab. Im Erstgespräch klären wir Ihre Einordnung — und unabhängig davon gilt: Ein belastbares OT-Lagebild ist die Grundlage jeder Risikobewertung, die der Gesetzgeber verlangt.
Wir haben bereits eine OT-Security-Plattform im Einsatz — brauchen wir Sie trotzdem?
Gerade dann kann es sich lohnen. Ich bin herstellerunabhängig: Ich ersetze Claroty, Nozomi, Dragos & Co. nicht, sondern arbeite mit dem, was da ist — und mache aus den vorhandenen Daten belastbare NIS2-Nachweise, ein sauberes Zonenkonzept und eine priorisierte Roadmap. Und wo noch keine Plattform im Einsatz ist, helfe ich bei der Auswahl derjenigen, die zu Ihrer Anlage passt — ohne Provisionen, ohne Partnerprogramm.
Ist die Bestandsaufnahme wirklich rückwirkungsfrei?
Ja — und zwar technisch bedingt, nicht als Versprechen. Ich arbeite grundsätzlich passiv: mit vorhandenen Daten, Exporten und Logs; wo Netzwerkverkehr aufgenommen wird, geschieht das über einen Spiegel-Port (SPAN) oder TAP — es wird kein einziges Paket ins Anlagennetz gesendet. Anders als bei aktiven Scans, die in der OT ein reales Stillstandsrisiko sind, kann die Anlage die Aufnahme nicht bemerken.
Wir sind ein GxP-regulierter Betrieb. Geht das überhaupt?
Gerade dann. Die Bestandsaufnahme greift nicht in qualifizierte Systeme ein und verändert nichts an der Anlage — es entsteht kein Re-Validierungs-Risiko. Vorgehen und Dokumentation stimme ich vorab mit Ihrer QA ab, damit der Nachweis der Rückwirkungsfreiheit auch formal sauber ist.
Was brauchen Sie von uns?
Wenig: einen Ansprechpartner und Zugang zu den vorhandenen Datenquellen — je nach Ausgangslage z. B. Exporte aus bestehenden Systemen, Firewall-/Switch-Logs oder ein Spiegel-Port am relevanten Switch. Keine Agenten, keine Software-Installation auf Ihren Systemen, keine Vorarbeiten Ihrerseits.
Was kostet das?
Das hängt vom Umfang ab — Anzahl Standorte, Segmente, Fragestellung. Deshalb gibt es keine Preisliste, aber auch kein offenes Ende: Nach dem Erstgespräch erhalten Sie einen konkreten Vorschlag mit klarem Rahmen und klarem Ergebnis. Sie entscheiden auf dieser Basis — das Erstgespräch selbst ist kostenfrei und unverbindlich.
Was passiert mit unseren Daten und Befunden?
Sie gehören Ihnen. Die Auswertung läuft on-premise bei Ihnen im Werk; es gibt kein Cloud-Backend und keine Datenweitergabe. Auf Wunsch unterschreibe ich vor dem ersten Termin eine Vertraulichkeitsvereinbarung — und Themen wie Betriebsrat und DSGVO klären wir, bevor die erste Aufnahme startet.
08 Kontakt
Der nächste Schritt ist ein Gespräch — kein Vertrag.
Erzählen Sie mir, wo Ihre Produktions-OT steht. Ich melde mich innerhalb von 24 Stunden — und im Erstgespräch klären wir, ob und wie ich Ihnen helfen kann.
- Kurze Nachricht — formlos per E-Mail oder LinkedIn. Zwei Sätze zur Ausgangslage genügen.
- Erstgespräch, 30 Minuten, kostenfrei — Ausgangslage, NIS2-Einordnung, sinnvoller nächster Schritt.
- Konkreter Vorschlag — Umfang, Ablauf und Ergebnis schwarz auf weiß. Sie entscheiden.
Vertraulich ab der ersten Mail. Auf Wunsch unterschreibe ich eine Vertraulichkeitsvereinbarung vor dem ersten Termin. Ihre Befunde bleiben bei Ihnen — on-premise, ohne Cloud, ohne Weitergabe.
PROJEKTSTART AB Q3 2026 · ERSTGESPRÄCHE JEDERZEIT