NIMMT MANDATE AN · START AB Q3 2026
Engineering — Eigene OT-Security-Appliance Insights — Beobachtungen aus der Praxis
Erstgespräch vereinbaren

Unabhängige OT-Security-Beratung · Pharma · Chemie · Life Sciences · Rhein-Main / DACH

Produktions-OT sichtbar machen. Sicher betreiben.

Ich bringe mittelständische Unternehmen der Prozessindustrie in einen prüffähigen NIS2-Zustand — herstellerunabhängig, mit den Werkzeugen, die zu Ihrer Anlage passen, und ohne den laufenden Betrieb zu stören.

Fokus NIS2-Readiness & Risikomanagement
OT-Security · IEC 62443
Branchen Pharma · Chemie · Life Sciences
Prozess- & Fertigungsindustrie
Hintergrund Ingenieur (Elektrotechnik)
OT-Security über Jahre bei internationalen DAX-Konzernen

Ein definierter erster Schritt: das OT-Lagebild.

Kein Rahmenvertrag, kein Beratungs-Abo. Der Einstieg bei Aganum ist ein klar umrissenes Assessment: eine strukturierte Bestandsaufnahme Ihrer Produktions-OT als belastbare Grundlage für Ihr NIS2-Risikomanagement. Herstellerunabhängig — ich arbeite mit den Systemen und Datenquellen, die Sie bereits haben, und ergänze nur dort, wo Lücken sind: rückwirkungsfrei, ohne Eingriff in den Betrieb.

  • Ihr AufwandEin Ansprechpartner und Zugang zu vorhandenen Datenquellen — keine Agenten, keine Installation, keine Vorarbeiten.
  • Ihr BetriebRein passive Methodik — kein Eingriff in laufende oder qualifizierte Systeme, GxP-verträglich, kein Re-Validierungs-Risiko.
  • Ihr RahmenUmfang und Dauer werden im Erstgespräch festgelegt — danach haben Sie einen konkreten Vorschlag mit klarem Ergebnis.
Erstgespräch zum OT-Lagebild

Das Lagebild steht für sich: Sie können damit intern weiterarbeiten — oder mit mir. Keine Verpflichtung über das Assessment hinaus.

SIE ERHALTEN / 01

Asset-Inventar

Jedes kommunizierende Gerät im aufgenommenen Netz — passiv erfasst, mit Zonen-Zuordnung. Die Grundlage, die jedes Audit zuerst verlangt.

SIE ERHALTEN / 02

Kommunikationsmatrix

Wer spricht mit wem, worüber — inklusive der Zonenübergänge, die in keiner Dokumentation stehen.

SIE ERHALTEN / 03

Schwachstellen-Überblick

Abgleich der erkannten Systeme mit CVE- und KEV-Daten — priorisiert nach realer Gefährdung, nicht nach Score-Kosmetik.

SIE ERHALTEN / 04

Management-Report

Ein prüffähiger Bericht als Arbeitsgrundlage für Ihr NIS2-Risikomanagement — verständlich für Geschäftsführung und Werk zugleich.

Drei Bausteine — jeder mit einem Ergebnis, das Sie in der Hand halten.

Grundlage / Visibility

OT-Visibility & Asset Discovery

Am Ende wissen Sie belastbar, was in Ihrem OT-Netz existiert und miteinander spricht — die Grundlage, die NIS2 zuerst verlangt. Mit den Systemen, die Sie haben.

  • Nutzung vorhandener Datenquellen & Plattformen
  • Passive Aufnahme nur, wo Lücken sind
  • Asset-Inventar & Netzwerk-Topologie
  • Schwachstellen- & CVE-Abgleich
  • GxP-verträglich: kein Eingriff in qualifizierte Systeme
Sie erhaltenAsset-Inventar, Kommunikationsmatrix und Schwachstellen-Überblick als Basis jeder weiteren Maßnahme.
Betrieb / Security

OT-Security & Monitoring

Aus Sichtbarkeit wird Betrieb: Segmentierung, Detektion und ein Monitoring, das Ihre Mannschaft tragen kann — mit der Plattform, die zu Ihrer Anlage passt, nicht zu einem Partnerprogramm.

  • Netzwerksegmentierung & Zonenkonzept
  • Anomalie- & Bedrohungserkennung in OT
  • Claroty · Nozomi · Dragos · Armis · Forescout — neutral verglichen
  • Anbindung an bestehendes SOC/SIEM
  • Incident-Vorbereitung für OT-Umgebungen
Sie erhaltenStrukturierten Plattform-Vergleich anhand Ihrer Kriterien und eine nachvollziehbare Entscheidungsvorlage.

Pragmatisch. Tief. Herstellerunabhängig.

Ich arbeite nicht mit fertigen Folien-Templates. Jedes Mandat beginnt mit dem konkreten Kontext — Anlage, Architektur, Bedrohungslage, vorhandene Tooling-Landschaft — und endet mit einer Entscheidung, die Sie tatsächlich umsetzen können.

  1. → 01

    Diagnose

    Bestandsaufnahme von Assets, Tools, Prozessen und Organisation — keine Annahmen, nur Evidenz.

    Ergebnis: ein belastbares Lagebild statt Vermutungen.

  2. → 02

    Bewertung

    Strukturierter Vergleich von Optionen anhand Ihrer Risiko-, Architektur- und Betriebskriterien.

    Ergebnis: Optionen, die zu Risiko, Anlage und Budget passen.

  3. → 03

    Entscheidungsvorlage

    Klare Empfehlung mit Kosten, Aufwand, Risiken und Trade-offs — präsentationsreif für Vorstand und Steering.

    Ergebnis: eine Vorlage, die Geschäftsführung und Werk gleichermaßen trägt.

  4. → 04

    Umsetzung

    Begleitung von PoC bis Roll-out — operative Tiefe statt PowerPoint-Beratung.

    Ergebnis: Maßnahmen, die im Betrieb ankommen und dort bestehen.

So läuft der Einstieg konkret

  1. 01Erstgespräch, 30 Minuten, kostenfrei. Wir klären Ausgangslage, NIS2-Einordnung und ob das OT-Lagebild für Sie der richtige Schritt ist.
  2. 02Bestandsaufnahme vor Ort. Mit der Methodik, die zu Ihrer Anlage passt — vorhandene Systeme und Datenquellen zuerst, passive Aufnahme nur dort, wo Lücken sind.
  3. 03Bericht & Empfehlung. Sie erhalten das Lagebild und eine priorisierte Empfehlung — dann entscheiden Sie, wie es weitergeht.

Warum unabhängig?

  • Keine Provisionen. Ich erhalte von keinem Hersteller Geld — die Empfehlung folgt Ihrer Anlage, nicht einer Marge.
  • Kein Staffing-Modell. Sie sprechen immer mit dem, der die Analyse selbst macht — keine Junior-Teams, keine Übergaben.
  • Die Empfehlung gehört Ihnen. Jede Entscheidungsvorlage ist so gebaut, dass Sie sie auch ohne mich umsetzen können.

Ich berate nicht nur — ich baue.

Aus der Ingenieurspraxis heraus habe ich eine tragbare, rein passive OT-Audit-Appliance entwickelt: Sie hört ein Anlagennetz über den Spiegel-Port mit, baut automatisch ein Inventar der kommunizierenden Geräte auf, erkennt Auffälligkeiten und erzeugt den prüffähigen Bericht — vollständig vor Ort, ohne Cloud.

Ich setze sie in Assessments dort ein, wo sie der schnellste Weg zum Lagebild ist — und zugleich ist sie der Beweis, wie ich arbeite: passiv, on-premise, nachvollziehbar. Für den Dauerbetrieb empfehle ich herstellerunabhängig die Plattform, die zu Ihrer Anlage passt.

Rein passiv

Sendet nie ein Paket ins Anlagennetz — die Produktion kann technisch nicht gestört werden.

On-Premise

Kein Cloud-Backend, kein „Phone-Home". Alle Daten bleiben im Werk — auch die Befunde.

OT-nativ

Versteht die Protokolle der Anlage — Modbus, S7, PROFINET, OPC UA, DNP3 und weitere.

Audit-Report

Prüffähiger Bericht auf Knopfdruck — gemappt auf NIS2, IEC 62443 und BSI.

Hamid Reza Shahsavarkhani — unabhängiger OT-Security-Berater, Aganum

Beratung, die aus der Praxis kommt.

Cyber Security in industriellen Umgebungen lebt von Detailtiefe — und davon, dass Empfehlungen tragen, wenn sie auf die Realität einer laufenden Anlage treffen.

Ich bin Ingenieur (Elektrotechnik) und habe bereits im Studium meinen Fokus auf Cyber Security gerichtet. Seit über sieben Jahren arbeite ich in der Cyber Security internationaler Industrie- und DAX-Konzerne — zuletzt als Senior Cyber Security Expert für OT- und IT-Security: Aufbau und Steuerung von Security Operations Centern, OT-Security-Architekturen und IT/OT-Segmentierung, Use-Case-Engineering, Threat Intelligence und Incident Response. Davor habe ich bei Siemens Digital Industries Sicherheitsrisiken industrieller IoT-Komponenten analysiert und Penetrationstests durchgeführt.

Aus dieser Arbeit kenne ich die führenden OT-Security-Werkzeuge nicht aus Datenblättern, sondern aus dem tatsächlichen Einsatz. Heute begleite ich Unternehmen der Prozessindustrie unabhängig dabei, ihre Produktions-OT sichtbar, bewertbar und NIS2-konform zu machen — von Frankfurt am Main aus, vor Ort im Rhein-Main-Gebiet, projektweise DACH-weit.

Warum „Aganum"? Der Name leitet sich vom persischen „Agah" ab — Bewusstsein, Wachsamkeit, informierte Sichtbarkeit. Genau das ist das Programm dieser Beratung: erst sehen, dann entscheiden. Aganum ist die unabhängige Marke von Hamid Reza Shahsavarkhani — ein Berater, keine Agentur. Sie arbeiten in jedem Mandat direkt mit mir.
Sicherheit entsteht nicht durch die richtige Plattform, sondern durch die richtigen Entscheidungen über die richtige Plattform.

Was Entscheider vor dem ersten Gespräch wissen wollen.

Sind wir überhaupt von NIS2 betroffen?

Viele mittelständische Betriebe der Prozessindustrie sind es — als „wichtige" oder „besonders wichtige" Einrichtung nach dem deutschen Umsetzungsgesetz. Die Einordnung hängt von Branche, Größe und Rolle in der Lieferkette ab. Im Erstgespräch klären wir Ihre Einordnung — und unabhängig davon gilt: Ein belastbares OT-Lagebild ist die Grundlage jeder Risikobewertung, die der Gesetzgeber verlangt.

Wir haben bereits eine OT-Security-Plattform im Einsatz — brauchen wir Sie trotzdem?

Gerade dann kann es sich lohnen. Ich bin herstellerunabhängig: Ich ersetze Claroty, Nozomi, Dragos & Co. nicht, sondern arbeite mit dem, was da ist — und mache aus den vorhandenen Daten belastbare NIS2-Nachweise, ein sauberes Zonenkonzept und eine priorisierte Roadmap. Und wo noch keine Plattform im Einsatz ist, helfe ich bei der Auswahl derjenigen, die zu Ihrer Anlage passt — ohne Provisionen, ohne Partnerprogramm.

Ist die Bestandsaufnahme wirklich rückwirkungsfrei?

Ja — und zwar technisch bedingt, nicht als Versprechen. Ich arbeite grundsätzlich passiv: mit vorhandenen Daten, Exporten und Logs; wo Netzwerkverkehr aufgenommen wird, geschieht das über einen Spiegel-Port (SPAN) oder TAP — es wird kein einziges Paket ins Anlagennetz gesendet. Anders als bei aktiven Scans, die in der OT ein reales Stillstandsrisiko sind, kann die Anlage die Aufnahme nicht bemerken.

Wir sind ein GxP-regulierter Betrieb. Geht das überhaupt?

Gerade dann. Die Bestandsaufnahme greift nicht in qualifizierte Systeme ein und verändert nichts an der Anlage — es entsteht kein Re-Validierungs-Risiko. Vorgehen und Dokumentation stimme ich vorab mit Ihrer QA ab, damit der Nachweis der Rückwirkungsfreiheit auch formal sauber ist.

Was brauchen Sie von uns?

Wenig: einen Ansprechpartner und Zugang zu den vorhandenen Datenquellen — je nach Ausgangslage z. B. Exporte aus bestehenden Systemen, Firewall-/Switch-Logs oder ein Spiegel-Port am relevanten Switch. Keine Agenten, keine Software-Installation auf Ihren Systemen, keine Vorarbeiten Ihrerseits.

Was kostet das?

Das hängt vom Umfang ab — Anzahl Standorte, Segmente, Fragestellung. Deshalb gibt es keine Preisliste, aber auch kein offenes Ende: Nach dem Erstgespräch erhalten Sie einen konkreten Vorschlag mit klarem Rahmen und klarem Ergebnis. Sie entscheiden auf dieser Basis — das Erstgespräch selbst ist kostenfrei und unverbindlich.

Was passiert mit unseren Daten und Befunden?

Sie gehören Ihnen. Die Auswertung läuft on-premise bei Ihnen im Werk; es gibt kein Cloud-Backend und keine Datenweitergabe. Auf Wunsch unterschreibe ich vor dem ersten Termin eine Vertraulichkeitsvereinbarung — und Themen wie Betriebsrat und DSGVO klären wir, bevor die erste Aufnahme startet.

Der nächste Schritt ist ein Gespräch — kein Vertrag.

Erzählen Sie mir, wo Ihre Produktions-OT steht. Ich melde mich innerhalb von 24 Stunden — und im Erstgespräch klären wir, ob und wie ich Ihnen helfen kann.

  1. Kurze Nachricht — formlos per E-Mail oder LinkedIn. Zwei Sätze zur Ausgangslage genügen.
  2. Erstgespräch, 30 Minuten, kostenfrei — Ausgangslage, NIS2-Einordnung, sinnvoller nächster Schritt.
  3. Konkreter Vorschlag — Umfang, Ablauf und Ergebnis schwarz auf weiß. Sie entscheiden.

Das Formular öffnet Ihre E-Mail-Anwendung mit fertiger Nachricht — es werden keine Daten an einen Server übertragen.

Vertraulich ab der ersten Mail. Auf Wunsch unterschreibe ich eine Vertraulichkeitsvereinbarung vor dem ersten Termin. Ihre Befunde bleiben bei Ihnen — on-premise, ohne Cloud, ohne Weitergabe.

PROJEKTSTART AB Q3 2026 · ERSTGESPRÄCHE JEDERZEIT