Im Bereich der Betriebstechnik ist Transparenz die Grundlage effektiver Sicherheit

Im Bereich der Betriebstechnik ist Transparenz die Grundlage für effektive Sicherheit.

Von Phil Muncaster • 18 November 2025

Die IT dominiert oft die Schlagzeilen, insbesondere jetzt, da wir uns in einem neuen Zeitalter KI-gestützter Systeme befinden. Doch die Betriebstechnologie (OT) hält nach wie vor einen Großteil unserer Welt am Laufen. Von Produktionsanlagen über Kraftwerke und Krankenhäuser bis hin zu Verkehrsnetzen – diese Technologie interagiert typischerweise mit der physischen Welt, um lebenswichtige Industriemaschinen zu steuern. Es gibt nur ein Problem: Sie wurde nie wirklich für die Cyberbedrohungen des 21. Jahrhunderts konzipiert.^st zu sein.

Aus diesem Grund neue Anleitung Die Veröffentlichung des Nationalen Zentrums für Cybersicherheit (NCSC) dürfte OT-Betreibern sehr gelegen kommen. Sie betont den entscheidenden ersten Schritt zur Sicherung der OT-Systeme: Transparenz. Und sie empfiehlt ISO 27001 als hervorragenden Weg dorthin.

Warum OT-Sicherheit wichtig ist

Da OT industrielle Steuerungssysteme betreibt, liegt die Tragweite der Situation auf der Hand. Die Übernahme solcher Systeme würde Angreifern ermöglichen, kritische Infrastrukturen (KRITIS) potenziell zu stören. Tatsächlich wurden letztes Jahr chinesische, staatlich geförderte Angreifer in US-amerikanischen KRITIS-Netzwerken entdeckt. sich im Voraus positioniert um im Falle eines militärischen Konflikts zerstörerische Angriffe auszulösen.

Abgesehen von dem potenziellen physischen Schaden für Einzelpersonen und ganze Gesellschaften, der von solchen Angriffen ausgehen könnte, könnten sie kritische Infrastrukturanbieter und andere Betreiber von IT-Systemen finanziell und reputationsmäßig schwer treffen. Erst vor wenigen Monaten... Marsh McLennan versuchte, die Das Unternehmen ermittelte das Ausmaß dieses Risikos mithilfe seiner firmeneigenen Schadensdatenbank und weiterer Erkenntnisse. Es berechnete, dass das jährliche finanzielle Risiko im Zusammenhang mit Arbeitsunfällen bis zu 329.5 Milliarden US-Dollar (250 Millionen Pfund) betragen könnte.

Die Herausforderung besteht darin, dass OT-Systeme oft unzureichend geschützt sind. Die Geräte haben eine deutlich längere Lebensdauer als typische IT-Geräte, was bedeutet, dass sie häufig mit veralteter Software und Betriebssystemen laufen müssen, für die keine Patches mehr verfügbar sind. Selbst wenn Sicherheitsupdates theoretisch verfügbar sind, wird der Verfügbarkeit in der Regel Vorrang vor der Sicherheit eingeräumt. Zudem sind diese Maschinen oft in kritischen Umgebungen im Einsatz, wo die Offline-Schaltung zum Testen und Einspielen von Patches logistisch aufwendig ist. Veraltete und unsichere Kommunikationsprotokolle können zusätzliche Sicherheitsrisiken bergen.

Was das NCSC sagt

Der Ansatz des NCSC ist sinnvoll: Man kann nur schützen, was man sieht. Daher fordert er OT-Betreiber auf, sich zunächst auf die Erstellung einer umfassenden Übersicht ihrer OT-Architektur zu konzentrieren. Dies geht weit über eine bloße Auflistung von Anlagen hinaus und umfasst unter anderem:

Komponenten wie Geräte, Steuerungen, Software und virtualisierte Systeme, die alle nach Kritikalität, Gefährdung und Verfügbarkeitsanforderungen klassifiziert werden.
Konnektivität: d. h. wie diese Assets innerhalb und außerhalb des OT-Netzwerks interagieren.
Erweiterte Systemarchitektur einschließlich Zonen, Leitungen und Segmentierungsmaßnahmen; Vorkehrungen zur Resilienz; und die Begründung für Designentscheidungen
Lieferkette und Zugriff Dritter: d. h. welche Anbieter, Integratoren und Dienstleister sich mit der OT-Umgebung verbinden und wie die Verbindungen verwaltet und geschützt werden.
Geschäftlicher und wirkungsbezogener Kontext: Verstehen, was aus betrieblicher, finanzieller und sicherheitstechnischer Sicht geschehen würde, wenn eine Anlage/Verbindung ausfällt oder beeinträchtigt wird.

Die Anleitung des NCSCDie Richtlinie, die auch von Behörden in den USA, Kanada, Neuseeland, den Niederlanden und Deutschland mitgestaltet wurde, basiert auf fünf Prinzipien. Sie leitet OT-Betreiber an, Prozesse zur Erstellung und Verwaltung ihrer „endgültigen Dokumentation“, zur Identifizierung und Kategorisierung von Anlagen, zur Identifizierung und Dokumentation von Verbindungen sowie zur Dokumentation von Drittparteirisiken zu entwickeln.

Schutz Ihrer endgültigen Aufzeichnungen

Das vielleicht Interessanteste ist Prinzip 2: Die Einrichtung eines Informationssicherheitsmanagementprogramms für OT-Systeme ist unerlässlich, da die im endgültigen Datensatz enthaltenen Informationen sensibel sind. Dazu gehören beispielsweise Konstruktions- und Geschäftsinformationen, Identitäts- und Autorisierungsdaten, Betriebsdaten zur Echtzeitsteuerung von OT-Systemen sowie Cyber- und Sicherheitsrisikobewertungen.

Angreifer könnten diese Informationen nutzen, um ihre Angriffe zu verfeinern, indem sie sich ein umfassendes Bild der Systemarchitektur verschaffen und gezielt Komponenten auswählen, die sie angreifen und ausnutzen wollen, so das NCSC. „Ihre Organisation sollte klar dokumentierte Richtlinien und Verfahren zur Sicherung der verschiedenen Informationstypen haben“, heißt es weiter – und fordert Organisationen auf, die klassische „CIA“-Triade zu berücksichtigen. Dies bedeutet, Folgendes sicherzustellen:

Sensible Informationen sind nur für Systeme und Benutzer zugänglich, die dazu berechtigt sind (Vertraulichkeit).
Die Informationen sind vollständig, intakt und vertrauenswürdig und wurden nicht verändert (Integrität).
Organisationen schützen die Informationen vor Ausfällen, Verzögerungen und Beeinträchtigungen der Servicequalität (Verfügbarkeit).

Die Vorteile von ISO 27001

Das NCSC empfiehlt OT-Betreibern, „Standards wie beispielsweise …“ zu verwenden. ISO / IEC 27001 „um die Implementierung eines OT-Informationssicherheitsmanagementsystems zu unterstützen.“ Das klingt wie Musik in den Ohren von Sam Peters, CPO von ISMS.online, der darin einen wachsenden Konsens sieht: „Die Prinzipien eines strukturierten, risikobasierten Informationssicherheitsmanagementsystems lassen sich auf OT genauso effektiv anwenden wie auf IT.“

Peters erklärt gegenüber ISMS.online, dass er nach jahrelanger Arbeit mit dem Standard genau wisse, wie effektiv dieser bei der Bewältigung von OT-bezogenen Risiken sein könne.

„Ich weiß aus eigener Erfahrung, dass ISO 27001 einen einheitlichen Ansatz für die Transparenz von Anlagen, das Konfigurationsmanagement und die Änderungskontrolle bietet – allesamt entscheidend in komplexen, veralteten OT-Umgebungen, in denen ungeplante Änderungen reale Sicherheitsrisiken bergen können“, fügt er hinzu. „Darüber hinaus stärkt die Norm die Qualitätssicherung entlang der Lieferkette, indem sie die Regelungen für den Zugriff Dritter, das Patching und die Wartung formalisiert.“

Laut Peters leistet ISO 27001 auch aus technischer Sicht einen Beitrag, indem es Organisationen dabei hilft, die Kluft zwischen IT und OT durch „gemeinsame Terminologie, standardisierte Kontrollen und evidenzbasierte Risikobehandlung“ zu überbrücken.

„Das unterstützt ganz sicher die Forderung des NCSC nach einer endgültigen Sichtweise der OT-Architektur und gewährleistet, dass Sicherheitsentscheidungen auf genauen, aktuellen Systemkenntnissen und nicht auf Annahmen beruhen“, schließt er.

„Um es klarzustellen: Es geht hier nicht darum, IT-Kontrollen auf OT aufzusetzen. Es geht vielmehr darum, ein bewährtes Managementsystem anzuwenden, das die besonderen Anforderungen industrieller Systeme berücksichtigt und Verfügbarkeit, Sicherheit und Ausfallsicherheit priorisiert, während gleichzeitig Rückverfolgbarkeit und kontinuierliche Verbesserung gewährleistet werden. Genau diese Balance hat OT schon seit Längerem gebraucht.“

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster