Fuentis

OT-Sicherheitsstandards – Grundlagen, Anforderungen und praktische Umsetzung

Approved
Last updated: Sep 08, 2025
fuentis Trust Platform, fuentis Suite 4

Operational Technology (OT) steuert und überwacht physische Prozesse – von Wasserpumpen über Produktionsanlagen bis zu Verkehrssystemen. Durch die zunehmende Vernetzung mit IT-Systemen steigt die Angriffsfläche: Ransomware, Insider-Threats und Cyber-Spionage sind auch in OT ein reales Risiko.

OT-Standards wie ISO/IEC 27001, ISA/IEC 62443, NIST SP 800-82 und NERC CIP helfen Unternehmen, diese Risiken zu beherrschen und die Sicherheit von industriellen Steuerungs- und Automationssystemen systematisch zu stärken.

Kernkonzepte und Anforderungen der wichtigsten OT-Standards

ISO/IEC 27001 (ISMS)

Überblick: Weltweit anerkannter Standard für Informationssicherheits-Managementsysteme; kann auf IT- und OT-Umgebungen angewendet werden.

Zentrale Anforderungen:

- Systematische Risikoanalyse für alle Assets

- Definition klarer Sicherheitsziele und -richtlinien

- Implementierung von Kontrollen basierend auf Risikobewertung

- Umfassende Dokumentation aller Prozesse

- Regelmäßige interne und externe Audits

- Kontinuierliche Verbesserung des Managementsystems

Nutzen: Durch Zertifizierung wird Vertrauen bei Kunden und Partnern gestärkt und Compliance-Aufwand reduziert.

ISA/IEC 62443 (Industrielle Automatisierung und Steuerung)

Zielsetzung: Spezifischer Schutz von Industrial Automation and Control Systems (IACS) und anderen OT-Systemen.

Kernkonzept - Layered Defense: Anlagen werden in Sicherheitszonen segmentiert; Verbindungen zwischen Zonen laufen über überwachte "Conduits".

Die vier Hauptteile:

  1. General: Begriffe und Konzepte
  2. Policies und Procedures: Programmstruktur, Patch-Management und operative Umsetzung
  3. System: Assessment-Methoden, Security-Levels und technische Grundlagen
  4. Component: Sicherheitsanforderungen für einzelne Geräte und Software

Wichtige Dokumente:

- 62443-1-1: Terminologie und Konzepte

- 62443-2-4: Security-Programm für Service-Provider

- 62443-3-2: Risikobewertung und Systempartitionierung

- 62443-3-3: System-Security-Requirements

- 62443-4-1/4-2: Secure Development und Komponenten-Sicherheit

Praktische Anwendung:

- OT-spezifische Risikoanalysen durchführen

- IACS-Security-Teams einrichten

- Konsequentes Patch- und Konfigurationsmanagement

- Security in Produkt-Lebenszyklen einbetten

NIST SP 800-82 (Guide to OT Security)

Fokus: Praxisorientierte Leitlinien zur Sicherung von OT-Systemen unter Berücksichtigung besonderer Leistungs-, Zuverlässigkeits- und Sicherheitsanforderungen.

Abgedeckte Systeme: Umfasst eine große Bandbreite programmierbarer Systeme, die direkt mit der physischen Umwelt interagieren:

- Industriesteuerungen

- Gebäudeautomations-Systeme

- Transportsysteme

- Kritische Infrastrukturen

Inhalte: Die Publikation beschreibt typische Bedrohungen und Schwachstellen und empfiehlt geeignete Gegenmaßnahmen für verschiedene OT-Umgebungen.

NERC CIP (Critical Infrastructure Protection)

Anwendungsbereich: Verbindliche Sicherheitsstandards für Unternehmen, die Teile des nordamerikanischen Stromnetzes betreiben.

Ziele: Sicherung des Bulk Electric System (BES) vor physischen und cyberbezogenen Bedrohungen. Verstöße führen zu Geldstrafen und Reputationsschäden.

Ausgewählte Standards:

- CIP-002: Asset Identification und Kategorisierung (High, Medium, Low Impact)

- CIP-003: Security Management Controls (Richtlinien, Risikobewertungen, Rollen)

- CIP-005: Electronic Security Perimeter (Schutz kritischer Assets)

- CIP-007: System Security Management (Patch-Management, Port-/Service-Management, Malware-Prävention)

- CIP-008 bis CIP-013: Incident Response, Recovery, Change Management und Supply-Chain-Security

Weitere branchen- oder domänenspezifische Standards

- ISO/IEC 80001: Risikomanagement für IT-Netzwerke mit medizinischen Geräten (Gesundheitswesen)

- IEC 63154: Spezielle Anforderungen für maritime Systeme (Schifffahrt)

- IEC 62645/62859: Anforderungen für Nuklearanlagen

- NIST Cybersecurity Framework: Fünf Funktionen (Identify, Protect, Detect, Respond, Recover) – flexibel auch in OT anwendbar

Umsetzungshilfen und Best Practices

Risikobasierter Ansatz

Systematische Risikobewertung:

- Assets erfassen und kategorisieren

- Bedrohungen und Schwachstellen identifizieren

- Eintrittswahrscheinlichkeit und Auswirkung bewerten

- Risiken priorisieren und behandeln

Sicherheitszonen und -conduits:

- OT-Netze segmentieren

- Angriffe isolieren können

- Überwachte Verbindungen zwischen Zonen

Security-Levels definieren:

- Für jede Zone geeignete Kontrollen festlegen

- Orientierung an IEC 62443-3-3

- Gradueller Schutz je nach Kritikalität

Governance und Organisation

Management-Engagement:

- Führungskräfte müssen OT-Security als Unternehmensziel verankern

- Ausreichende Ressourcen bereitstellen

- Regelmäßige Reviews und Entscheidungen

Rollen und Verantwortlichkeiten:

- OT-Security-Beauftragte benennen

- Cross-funktionale Teams etablieren

- Verbindung von Engineering, IT und Produktion sicherstellen

Praxis-Tipp: Definieren Sie klare Policies für Patch-Management, Zugriffskontrolle und Incident Response basierend auf Standards wie CIP-003 und CIP-008.

Technische Maßnahmen

Netzsegmentierung und Zugriffskontrollen:

- Netzwerkzonen definieren

- Firewalls und Zugriffsregeln einsetzen

- Multi-Factor-Authentication implementieren

- Prinzip der minimalen Berechtigung

Patch- und Konfigurationsmanagement:

- Regelmäßige Updates für Steuerungsgeräte und SCADA-Systeme

- Dokumentierte Änderungskontrollen (CIP-007, CIP-010)

- Test-Umgebungen für kritische Updates

Monitoring und Incident Response:

- Kontinuierliche Überwachung aller OT-Systeme

- Log-Analyse und Anomalieerkennung

- Schnelle Reaktion auf Sicherheitsvorfälle

- Regelmäßige Tests des Incident-Response-Plans

Mitarbeiter und Kultur

Awareness und Schulung:

- OT-spezifische Sicherheitstrainings

- Sensibilisierungskampagnen

- Regelmäßige Auffrischungen

Kontinuierliche Verbesserung:

- Regelmäßige Reviews der Sicherheitsmaßnahmen

- Lessons Learned aus Vorfällen

- Anpassung an aktuelle Bedrohungen

Unterstützung durch die fuentis Suite

Die fuentis Suite unterstützt OT-Sicherheitsprogramme umfassend:

Risikomanagement-Modul:

- Strukturierte Erfassung von Assets (auch OT-Geräten)

- Bewertung von Bedrohungen und Schwachstellen

- Automatisierte Risikoregister

Compliance-Management:

- Mapping von IEC 62443-Kontrollen

- NIST-Empfehlungen und CIP-Anforderungen

- Gap-Analysen und SoA-Generator

Asset-Management:

- Zentrales Verzeichnis aller OT-Assets

- Verantwortlichkeiten und Verknüpfung zu Risiken

- Integration mit Kontrollen

Audit- und Review-Module: (Auf Roadmap)

- Planung interner Audits

- Nachverfolgung von Korrekturmaßnahmen

- Unterstützung bei NERC-CIP- oder IEC-Zertifizierungen

Dokumentenmanagement: (Auf Roadmap)

- Verwaltung von Policies und Prozessbeschreibungen

- Versionierung und Genehmigungs-Workflows

- Zentrale Nachweisführung

Kernaussagen auf einen Blick

  1. Branchenübergreifende Standards: ISO/IEC 27001, ISA/IEC 62443, NIST SP 800-82 und NERC CIP decken unterschiedliche Aspekte der OT-Security ab – vom Managementsystem über technische Kontrollen bis zur Energieversorgung.
  1. Layered Defense ist zentral: IEC 62443 empfiehlt segmentierte Zonen und überwachte Conduits, um Angriffe einzudämmen.
  1. Risikobasierter Ansatz: Alle Standards fordern eine systematische Risikoanalyse und die Priorisierung kritischer Assets.
  1. Regulatorische Pflichten: NERC CIP ist in Nordamerika verpflichtend und dient zunehmend als Vorlage für globale OT-Regelwerke.
  1. Tool-Unterstützung: Software wie die fuentis Suite erleichtert Risikomanagement, Compliance-Mapping und Audit-Vorbereitung, was den Implementierungsaufwand spürbar reduziert.