Select your country

Not finding what you are looking for, select your country from our regional selector:

Suche

OT Cybersecurity Governance – Ein Schlüsselelement für den Schutz kritischer Infrastrukturen

Roboter Anlage Fertigung

In einer Zeit, in der Unternehmen zunehmend digitalisiert und vernetzt werden, ist die Governance der Cybersecurity im Bereich der Operational Technology (OT) von entscheidender Bedeutung. Diese Governance ist nicht nur entscheidend für den Schutz sensibler Daten und kritischer Systeme, sondern auch für die Sicherstellung des reibungslosen Betriebs und der Verfügbarkeit physischer Prozesse. In diesem Blogbeitrag werfen wir einen Blick auf die Grundlagen der OT Cybersecurity Governance und deren Rolle im Sicherheitsmanagement von Unternehmen.

Was ist OT Cybersecurity Governance?

OT Cybersecurity Governance bezieht sich auf den Rahmen von Richtlinien, Verfahren, Verantwortlichkeiten, Praktiken und Prozessen, die von der Unternehmensleitung etabliert werden, um sicherzustellen, dass Sicherheitsziele erreicht, Risiken gemanagt und Ressourcen verantwortungsvoll eingesetzt werden. Sie umfasst:

  • Rollen und Verantwortlichkeiten: Zuweisung von Verantwortlichkeiten für die Cybersecurity in der OT unter Berücksichtigung der verschiedenen Akteure, von Führungskräften bis hin zu Betriebspersonal.
  • Richtlinien und Verfahren: Entwicklung von klaren Richtlinien und Standards, die den Umgang mit Cyber-Bedrohungen, das Risikomanagement und die Einhaltung von Vorschriften regeln.
  • Überwachung und Reporting: Implementierung von Prozessen zur Überwachung der Einhaltung der Sicherheitsstandards und zur kontinuierlichen Evaluierung des Sicherheitsniveaus.

Governance dient als wesentliches Instrument zur Steuerung und Kontrolle von Projekten. In der Praxis übernehmen häufig GRC-Organisationen (Governance, Risk & Compliance) die Aufgabe, die dafür nötigen Strukturen aufzusetzen.  

Initialer Einstig in ein OT-Cybersecurity-Projekt

Der Einstieg in ein OT-Cybersecurity-Projekt erfolgt typischerweise in mehreren klar definierten Schritten. Ziel ist es, Transparenz über die vorhandene Infrastruktur zu gewinnen und darauf basierend die Risiken zu bewerten sowie geeignete Schutzmaßnahmen abzuleiten.

 

1. Erfassung der OT-Assets

Zu Beginn steht die Analyse der Assets (im Sinne von Anwendungen) und deren zugehörigen Supporting Assets (Hardware, Software, Systeme). Diese sind essentiell für den Betrieb der Anwendungen.

OT-Netze und -Systeme sind häufig historisch gewachsen und unzureichend dokumentiert. Daher ist es schwierig, eine verlässliche Analyse durchzuführen – etwa darüber, welche Elemente sich im OT-Netz befinden, welche Funktionen sie erfüllen und in welchen Zustand sie sind.

Um diese Informationslücken zu schließen, ist eine Network Discovery als erster technischer Schritt erforderlich. Dabei werden die Netzwerkstrukturen identifiziert und kartiert. Erst auf dieser Basis kann eine Asset Discovery durchgeführt werden, bei der konkrete Geräte, Systeme und Anwendungen im Netzwerk erkannt und dokumentiert werden.

2. Business Impact Analyse (BIA)

Aufbauend auf der Asset-Basis erfolgt die Durchführung der Business Impact Analyse (BIA). Ziel der BIA ist es, die geschäftlichen Auswirkungen möglicher Ausfälle oder Störungen von OT-Systemen zu bewerten. Dabei wird ermittelt:

  • Welche Geschäftsprozesse betroffen wären,
  • Wie kritisch die jeweiligen Assets für den Geschäftsbetrieb sind,
  • Welche zeitlichen Anforderungen an Wiederherstellung und Verfügbarkeit bestehen

3. OT Risk Assessment (RA)

Parallel zur oder im Anschluss an die BIA erfolgt das Initial Risk Assessment gemäß IEC 62443 (IEC-62443-3-2). Dieser Standard sieht vor, dass zunächst das angestrebte Security Level Target (SL-T) definiert wird. Im Rahmen der Risikoanalyse wird anschließend überprüft, ob das erreichte Security Level (SL-A) diesem Ziel entspricht.

  • Wenn SL-A ≥ SL-T: Es sind keine weiteren Maßnahmen erforderlich; die Konformität wird lediglich dokumentiert.
  • Wenn SL-A < SL-T: Ein Detailed Risk Assessment ist notwendig. Dabei wird eine Gap-Analyse durchgeführt, um bestehende Sicherheitslücken zu identifizieren und Maßnahmen abzuleiten.

Ein zentrales Element des Standards ist die Definition des Security Level als Vektor, bestehend aus sieben technischen Domänen:

  1. Identification and Authentication Control (IAC)
  2. Use Control (UC)
  3. System Integrity (SI)
  4. Data Confidentiality (DC)
  5. Restricted Data Flow (RDF)
  6. Timely Response to Events (TRE)
  7. Resource Availability (RA)

Der Vektor wird in folgender Form dargestellt:

SL-? ([FR,]domain) = { IAC UC SI DC RDF TRE RA }

Beispiele:

  • SL-T(BPCS Zone) = { 2 2 0 1 3 1 3 }
  • SL-C(SIS Zone) = { 3 3 2 3 0 0 1 }
  • SL-C(RA, BPCS HMI) = 4

4. Ableitung von Schutzmaßnahmen

Auf Basis der Ergebnisse aus BIA und RA kann schließlich gezielt definiert werden:

  • Welche OT-Assets besonders schützenswert sind,
  • Welche Sicherheitsmaßnahmen in welchen Netzsegmenten erforderlich sind,
  • Wie die OT-Netzwerke strukturiert und gehärtet werden müssen, um die angestrebten Security Levels zu erreichen.

 

Die Governance im OT-Cybersecurity-Kontext sollte nicht nur technische Aspekte berücksichtigen, sondern systematisch um weitere Domänen erweitert werden. Ein bewährter Ordnungsrahmen hierfür ist das Dreieck People, Process and Technology. Insbesondere der Aspekt "People" muss jedoch weiter gefasst werden und um die Dimension "Organisation" ergänzt werden. Es reicht nicht aus, nur das individuelle Verhalten oder Qualifikationsniveau zu betrachten – auch die strukturelle und organisatorische Einbindung der handelnden Personen ist entscheidend.

Die im Rahmen der Business Impact Analyse (BIA) und des Risk Assessments (RA) gewonnenen Erkenntnisse liefern wichtige Hinweise darauf, ob die bestehende Organisation überhaupt geeignet ist, die identifizierten Anforderungen zu erfüllen. Daraus ergeben sich konkrete Handlungsfelder:

  • Definition von Rollen- und Funktionsbeschreibungen
  • Gestaltung und Dokumentation von Prozessen innerhalb und zwischen Organisationseinheiten
  • Festlegung von Übergabepunkten – sowohl inhaltlich als auch zeitlich
  • Schulung und Qualifikation des eingesetzten Personals, angepasst an Aufgaben, Risiken und Technologien

Die Wichtigkeit einer soliden Governance-Struktur

Eine gut definierte OT Cybersecurity Governance ist aus mehreren Gründen von entscheidender Bedeutung:

  • Risikomanagement: Eine starke Governance hilft, Risiken frühzeitig zu erkennen und angemessen zu managen. Ohne klare Richtlinien kann es zu Missverständnissen kommen, die zu Sicherheitslücken führen.
  • Compliance & Regulierung: Viele Branchen unterliegen regulatorischen Anforderungen, die die Sicherheit von OT-Systemen betreffen. Eine gute Governance sorgt dafür, dass die Richtlinien und Verfahren den geltenden Vorschriften entsprechen.
  • Konvergenz von IT und OT: Die Verschmelzung von IT- und OT-Systemen erfordert eine ganzheitliche Cybersecurity-Strategie. Mit einer soliden Governance lassen sich IT- und OT-Sicherheitsmaßnahmen harmonisieren und koordinieren.
  • Roles, Responsibility and Accountability: Klare Zuständigkeiten erhöhen die Verantwortlichkeit innerhalb des Unternehmens und fördern ein proaktives Sicherheitsbewusstsein.

Herausforderungen bei der Umsetzung von OT Cybersecurity Governance

Trotz der enormen Bedeutung stellen Unternehmen oft Herausforderungen bei der Implementierung von Governance-Modellen fest:

  • Kultureller Wandel: Hier treffen häufig Prozesstechniker, Netzwerker, IT-Security Organisationen aufeinander. Jeder Organisation mit unterschiedlichen Zielen birgt natürlich Gefahren Die Integration von Cybersecurity in die Unternehmenskultur erfordert oft einen. Paradigmenwechsel. Mitarbeitende müssen nicht nur geschult, sondern auch motiviert werden, Sicherheitspraktiken zu befolgen.
  • Technologische Diversität: Die Mehrzahl der OT-Systeme sind sogenannte Brown-Field Systeme. Das bedeutet sie sind vor einiger Zeit entstanden und gewachsen, verändert, nicht immer gut dokumentiert, etc. Dazu bestehen viele OT-Umgebungen aus älteren Systemen, die nicht für eine Vernetzung ausgelegt sind. Die heterogene Natur dieser Systeme kann die Umsetzung einheitlicher Governance-Richtlinien erschweren.

Ressourcenmangel: OT-Experten sind nicht immer Security-Experten und Security-Experten sind nicht immer OT-Experten. Hier der Know-How Aufbau entscheidend. Oft fehlen den Organisationen die nötigen Ressourcen, sei es in Form von Zeit, Budget oder Fachwissen, um umfassende Governance-Strukturen zu implementieren.

Best Practices für die OT Cybersecurity Governance

Bevor Sie mit der Umsetzung einer Governance-Strategie beginnen, sollten die folgenden Best Practices berücksichtigt werden:

  • Strategische Planung: Entwickeln Sie eine Cybersecurity-Strategie, die auf den spezifischen Anforderungen Ihrer OT-Umgebung basiert. Berücksichtigen Sie dabei Geschäftsziele, Risiken und Compliance-Anforderungen.
  • Stakeholder-Engagement: Binden Sie alle relevanten Interessengruppen in den Governance-Prozess ein, um sicherzustellen, dass deren Perspektiven und Bedürfnisse berücksichtigt werden.
  • Regelmäßige Schulungen: Implementieren Sie regelmäßige Schulungs- und Sensibilisierungsprogramme für alle Mitarbeitenden, um ein hohes Bewusstsein für Cyber-Sicherheitsbedrohungen zu schaffen.
  • Etablierung von KPIs: Definieren Sie Kennzahlen zur Messung der Effektivität Ihrer Governance-Maßnahmen. Diese Kennzahlen sollten regelmäßig überwacht und genutzt werden, um kontinuierliche Verbesserungen zu ermöglichen.
  • Audit und Revision: Führen Sie regelmäßige Audits Ihrer Governance-Strategie durch, um sicherzustellen, dass sie den aktuellen Bedrohungen und technologischen Entwicklungen entspricht.

 

Die Governance der OT Cybersecurity ist ein Grundpfeiler für den Schutz kritischer Infrastrukturen in einer zunehmend vernetzten Welt. Unternehmen, die agile und robuste Governance-Modelle entwickeln und implementieren, sind besser gerüstet, um den Herausforderungen der Cyber-Bedrohungen zu begegnen und gleichzeitig einen sicheren Betrieb zu gewährleisten. In den kommenden Blogbeiträgen zum Thema OT werden wir tiefer in spezifische Aspekte der OT Cybersecurity Governance eintauchen und Erfolgsgeschichten, sowie Fallstudien präsentieren, die zeigen, wie Unternehmen effektive Governance-Strukturen implementieren können.

Autor

Rainer Bäder

Senior Buisness Development Manager

Incident Response Hotline

Ein Cybersecurity Incident, bei dem Sie sofortige Hilfe benötigen?

Kontaktieren Sie unsere 24/7/365 Incident Response Hotline.