Die Sicherung industrieller Kontrollsysteme (ICS) und operativer Technologien (OT) ist komplex – und die Bedrohungslage verschärft sich stetig:
Inhaltsangabe:
Eine fundierte Risikobewertung nach IEC 62443 ist der Ausgangspunkt für jedes wirksame OT-Security-Programm:
Alle führenden Standards und Regulierungen – IEC 62443, NIS2, NIST SP 800-30 – fordern ein strukturiertes Risikomanagement. [Quelle: NIST SP 800-30, BSI, CRA, NIS2, ENISA, u.a.]
| Kurz gesagt: Mit einer Risikobewertung legen Sie den Grundstein für eine sichere, nachhaltige und zukunftssichere OT-Security Strategie. |
Ohne Risikobewertung drohen für Entscheider:
Im Vergleich dazu sind die Investitionskosten für ein strukturiertes Assessment oft deutlich geringer als die finanziellen und organisatorischen Folgen eines typischen OT-Vorfalls. Berichte nennen steigende durchschnittliche Kosten je Sicherheitsvorfall. Drei Millionen $ im Jahr 2021 hin zu fünf Millionen $ im Jahr 2025 [Quelle: Security Week, IBM].
Negativ:
Chemiewerk ohne vollständiges Asset-Inventar
Ein Sicherheitsvorfall im IT-/Engineering-Netzwerk breitet sich auf OT-Systeme aus. Ohne ein aktuelles Asset-Inventar können kritische Prozesse und Systeme nicht schnell isoliert werden, da die Sichtbarkeit fehlt.
Konsequenzen: Produktionsstillstand, unkontrollierte Anlagenzustände und potenzielle Gefährdung von Personen durch chemische oder mechanische Risiken. Zudem stehen durch NIS2 hohe Strafen für die Verantwortlichen im Raum.
Lektion: Ein vollständiges Asset-Inventar ist die Basis, um Risiken früh erkennen zu können und Menschen, Umwelt sowie Produktion zu schützen. Die Erstellung eines solchen Asset-Inventars ist Teil es OT-Cybersecurity Risk Assessments.
Positiv:
Energieversorger mit IEC 62443-konformer Risikobewertung
Durch eine strukturierte Risikobewertung gewinnt der Energieversorger Klarheit über Sicherheitszonen, kritische Assets und priorisierte Risiken. Auf dieser Basis werden gezielte Tests geplant und passende technische wie organisatorische Maßnahmen eingeführt.
Konsequenzen: Schwachstellen und reale Risiken werden frühzeitig erkannt, Angriffsflächen messbar reduziert und sicherheitsrelevante Prozesse deutlich stabiler. Zudem wird die NIS2-Compliance in diesem Punkt spürbar beschleunigt.
Lektion: Ein systematisches OT-Cybersecurity Risk Assessment nach IEC 62443 stärkt die Widerstandsfähigkeit gegen Angriffe, ermöglicht gezieltes Handeln und reduziert Aufwand sowie Kosten im gesamten OT-Sicherheitsprogramm.
|
Ein OT-Cybersecurity Risk Assessment schützt nicht nur die technischen Assets, sondern auch die Sicherheit von Personen, den Geschäftserfolg und die Entscheidungsverantwortung der Führungsebene – und ist der unverzichtbare erste Schritt jeder OT-Security-Strategie. |
Ein OT-Cybersecurity Risk Assessment dient dazu, potenzielle Bedrohungen für ein System zu identifizieren, die Wahrscheinlichkeit ihres Eintretens zu bewerten und die möglichen Auswirkungen auf Betrieb, Sicherheit und Verfügbarkeit zu verstehen.
Im Gegensatz zur IT-Sicherheit werden hier neben technischen Schwachstellen auch die spezifischen industriellen Prozesse, die geopolitische Lage, die Risikobereitschaft des Anlagenbetreibers und regulatorische Anforderungen berücksichtigt.
Der international anerkannte Standard ISA/IEC 62443-3-2 bietet einen strukturierten Ansatz für diesen Prozess. Er ist das primäre Werkzeug, um:
Die folgende Abbildung zeigt die fünf Security Levels (SL 0 bis SL 4) der IEC 62443, welche die erforderliche Höhe des Schutzes gegen (vorsätzliche) Angriffe definieren. Sie reichen von SL 0 (kein spezifischer Schutz notwendig) bis SL 4 (Schutz gegen Angreifer mit erweiterten Ressourcen, IACS-spezifischen Fähigkeiten und hoher Motivation).
Abbildung 1: Security Level
(Quelle: Eigenkreation auf Basis ISA/IEC 62443 Explained: OT Cybersecurity Standards|Dragos)
Die Gründe, warum die Risikobewertung am Anfang stehen muss, sind klar und vielfach belegt. [Quelle: ZVEI, BSI, u.a.)
Ein wirksamer Schutz ist nur möglich, wenn das System und seine Schwachstellen verstanden sind. Die Risikobewertung als initialer Schritt liefert dieses notwendige Fundament.
Eine Risikobewertung ermöglicht es Ihnen, das System Under Consideration (SuC) detailliert zu verstehen. Dazu gehören:
|
Ohne dieses grundlegende Verständnis lässt sich die Wirksamkeit weiterer Sicherheitsmaßnahmen kaum verlässlich beurteilen. |
Nicht alle Risiken sind gleich. Die Bewertung ermöglicht es, Ressourcen effizient einzusetzen:
Die Risikobewertung ist integraler Bestandteil des vom Standard ISA/IEC 62443-2-1 geforderten Sicherheitsprogramms. Zudem erfüllt die Dokumentation die Audit- und Nachweispflichten vieler Vorschriften. Für viele Unternehmen ist nicht nur die Sicherheit entscheidend – auch die Nachweisbarkeit gegenüber Auditoren und Aufsichtsbehörden
|
Side-Info: Zusammenhang zwischen Risk Assessment Die Risikobewertung ist das Fundament für effektive Penetrationstests (Pentests). [Quelle: BSI]
|
Wie läuft ein OT-Risk Assessment nach IEC 62443 in der Praxis ab?
Der strukturierte Prozess gliedert sich grob in vier Phasen, die den ISA/IEC 62443-3-2-Workflow widerspiegeln: [Quelle: ISA, Hard Hat Security]
Vorbereitungsphase (Definition des Rahmens)
|
Ein klar definierter Geltungsbereich verhindert, dass wichtige Aspekte übersehen werden oder dass unnötiger Aufwand in nicht kritische Bereiche fließt. |
Durchführungsphase (Analyse)
(Quelle: Eigenentwicklung auf Basis: ISA/IEC 62443 Explained: OT Cybersecurity Standards|Dragos)
Kommunikation der Ergebnisse
Dokumentation und Berichterstattung: Die Ergebnisse der Bewertung müssen dokumentiert, kommuniziert und den Stakeholdern zur Verfügung gestellt werden. Dies dient als Grundlage für zukünftige Audits und Sicherheitsmaßnahmen sowie als Nachweis gegenüber Auditoren.
Kontinuierliche Überwachung
"Living Document": Risikobewertungen sind keine einmaligen Ereignisse, sondern müssen regelmäßig überprüft und aktualisiert werden (mindestens jährlich).
Neubewertung bei Änderungen: Signifikante Änderungen im SuC, neue Bedrohungen (APTs) oder geopolitische Ereignisse erfordern eine sofortige Neubewertung. Mehr dazu im Abschnitt "Wann ist ein OT-Risk Assessment Pflicht – und wie oft sollte es wiederholt werden?".
Die folgende vereinfachte Darstellung des Risk Assessment Prozesses folgt dem strukturierten Vorgehen der ISA/IEC 62443-3-2. Der Ablauf startet mit der Identifizierung des Systems (SuC), der anfänglichen Risikobewertung und der Unterteilung in Zonen und Conduits. Nur wenn das anfängliche Risiko das tolerierbare Niveau übersteigt, wird eine detaillierte Risikobewertung ausgelöst. Das Ergebnis ist die Dokumentation der Sicherheitsanforderungen und des Maßnahmenkatalogs samt Priorisierung.
Abbildung 3: Ablauf Gesamtprozess Risk Assessment
(Quelle: Eigenentwicklung auf Basis White Paper Excerpt: Leveraging ISA 62443-3-2 For IACS Risk Assessment and Risk Related Strategies)
Die Risikobewertung ist kein einmaliges Ereignis und sollte in jeder Phase des IACS-Lebenszyklus durchgeführt werden:
|
Wann? |
Zweck |
|
Zu Beginn |
Bei der Spezifikation und dem Design von Neuanlagen, um Sicherheitsanforderungen von Anfang an zu integrieren. |
|
Vor der Inbetriebnahme |
Vor der Implementierung, um potenzielle Risiken rechtzeitig zu identifizieren. |
|
Bei Veränderungen |
Nach signifikanten Änderungen am System, der Infrastruktur oder den Betriebsabläufen (z.B. Patches, Austausch von Geräten), da diese Änderungen neue Risiken einführen können. |
|
Regelmäßig |
Mindestens einmal jährlich, oder wenn sich die Umstände ändern (neue Bedrohungen, geopolitische Ereignisse). |
|
Bei Risikoüberschreitung |
Wenn die initiale Risikobewertung das tolerierbare Risiko überschreitet – dies ist der klare Auslöser für eine detaillierte Risikobewertung. |
Der Aufbau einer effektiven OT-Security Strategie ist komplex, aber eine gründliche Risikobewertung ist der unverzichtbare erste Schritt. Wer auf ein solides Fundament setzt, sorgt langfristig für die Sicherheit seiner OT/ICS-Umgebung.
Wie lässt sich Ihr eigener Reifegrad schnell prüfen?
Unser OT-Security-Self-Check ermöglicht Ihnen in nur 3 Minuten eine erste Orientierung zu Ihrem OT-Risiko. Der kurze Fragebogen (10 Fragen ) identifiziert potenzielle Schwachstellen und gibt eine erste Empfehlung, ob eine vollständige Risikobewertung nach IEC 62443 als nächster Schritt sinnvoll ist.
Welche Vorteile bietet ein Self-Check?
Weiterführende Informationen:
Unser Whitepaper „OT-Security Navigation 2026 - NIS2 und die Transformation der OT-Security“ ergänzt diesen Blogbeitrag und bietet einen strukturierten Leitfaden zum Aufbau einer OT-Security-Strategie. Es zeigt die zentralen Schritte und Überlegungen zur Absicherung industrieller Systeme auf und beleuchtet dabei die Relevanz der NIS2-Richtlinie für die OT-Umgebung – inklusive einer praktischen NIS2-OT-Readiness-Checkliste.
Der Aufbau einer wirksamen OT-/ICS-Sicherheits-Strategie ist komplex und erfordert kontinuierliche Aufmerksamkeit. Eine fundierte Risikobewertung bildet dabei den entscheidenden Ausgangspunkt: Sie liefert ein klares Verständnis der Systeme, ihrer Schwachstellen und der potenziellen Auswirkungen von Angriffen. Auf dieser Basis können Organisationen gezielt priorisierte Sicherheitsmaßnahmen entwickeln, die den Schutz kritischer Assets nachhaltig erhöhen.
Die ISA/IEC 62443-Standards bieten einen bewährten Rahmen, um diese Prozesse strukturiert umzusetzen. Ergänzend können Schulungsangebote wie die IC33-Kurse das nötige Wissen vermitteln, damit Risikobewertungen praxisnah und erfolgreich durchgeführt werden.
Vorteil für Unternehmen: Wer frühzeitig und systematisch Risiken bewertet, kann nicht nur Sicherheitslücken gezielt schließen, sondern auch Betriebsunterbrechungen vermeiden, Compliance-Anforderungen effizient erfüllen und die Entscheidungsgrundlage für zukünftige Sicherheitsmaßnahmen stärken.
Lassen Sie uns gemeinsam Ihre IT-Sicherheit auf das nächste Level heben. Die Security Consultants von Cyfidelity steht Ihnen als Partner mit Erfahrung, Weitblick und technologischem Know-how zur Seite.