
3 Juni 2025
In einer Zeit, in der Unternehmen zunehmend digitalisiert und vernetzt werden, ist die Governance der Cybersecurity im Bereich der Operational Technology (OT) von entscheidender Bedeutung. Diese Governance ist nicht nur entscheidend für den Schutz sensibler Daten und kritischer Systeme, sondern auch für die Sicherstellung des reibungslosen Betriebs und der Verfügbarkeit physischer Prozesse. In diesem Blogbeitrag werfen wir einen Blick auf die Grundlagen der OT Cybersecurity Governance und deren Rolle im Sicherheitsmanagement von Unternehmen.
OT Cybersecurity Governance bezieht sich auf den Rahmen von Richtlinien, Verfahren, Verantwortlichkeiten, Praktiken und Prozessen, die von der Unternehmensleitung etabliert werden, um sicherzustellen, dass Sicherheitsziele erreicht, Risiken gemanagt und Ressourcen verantwortungsvoll eingesetzt werden. Sie umfasst:
Governance dient als wesentliches Instrument zur Steuerung und Kontrolle von Projekten. In der Praxis übernehmen häufig GRC-Organisationen (Governance, Risk & Compliance) die Aufgabe, die dafür nötigen Strukturen aufzusetzen.
Der Einstieg in ein OT-Cybersecurity-Projekt erfolgt typischerweise in mehreren klar definierten Schritten. Ziel ist es, Transparenz über die vorhandene Infrastruktur zu gewinnen und darauf basierend die Risiken zu bewerten sowie geeignete Schutzmaßnahmen abzuleiten.
Zu Beginn steht die Analyse der Assets (im Sinne von Anwendungen) und deren zugehörigen Supporting Assets (Hardware, Software, Systeme). Diese sind essentiell für den Betrieb der Anwendungen.
OT-Netze und -Systeme sind häufig historisch gewachsen und unzureichend dokumentiert. Daher ist es schwierig, eine verlässliche Analyse durchzuführen – etwa darüber, welche Elemente sich im OT-Netz befinden, welche Funktionen sie erfüllen und in welchen Zustand sie sind.
Um diese Informationslücken zu schließen, ist eine Network Discovery als erster technischer Schritt erforderlich. Dabei werden die Netzwerkstrukturen identifiziert und kartiert. Erst auf dieser Basis kann eine Asset Discovery durchgeführt werden, bei der konkrete Geräte, Systeme und Anwendungen im Netzwerk erkannt und dokumentiert werden.
Aufbauend auf der Asset-Basis erfolgt die Durchführung der Business Impact Analyse (BIA). Ziel der BIA ist es, die geschäftlichen Auswirkungen möglicher Ausfälle oder Störungen von OT-Systemen zu bewerten. Dabei wird ermittelt:
Parallel zur oder im Anschluss an die BIA erfolgt das Initial Risk Assessment gemäß IEC 62443 (IEC-62443-3-2). Dieser Standard sieht vor, dass zunächst das angestrebte Security Level Target (SL-T) definiert wird. Im Rahmen der Risikoanalyse wird anschließend überprüft, ob das erreichte Security Level (SL-A) diesem Ziel entspricht.
Ein zentrales Element des Standards ist die Definition des Security Level als Vektor, bestehend aus sieben technischen Domänen:
Der Vektor wird in folgender Form dargestellt:
SL-? ([FR,]domain) = { IAC UC SI DC RDF TRE RA }
Beispiele:
Auf Basis der Ergebnisse aus BIA und RA kann schließlich gezielt definiert werden:
Die Governance im OT-Cybersecurity-Kontext sollte nicht nur technische Aspekte berücksichtigen, sondern systematisch um weitere Domänen erweitert werden. Ein bewährter Ordnungsrahmen hierfür ist das Dreieck People, Process and Technology. Insbesondere der Aspekt "People" muss jedoch weiter gefasst werden und um die Dimension "Organisation" ergänzt werden. Es reicht nicht aus, nur das individuelle Verhalten oder Qualifikationsniveau zu betrachten – auch die strukturelle und organisatorische Einbindung der handelnden Personen ist entscheidend.
Die im Rahmen der Business Impact Analyse (BIA) und des Risk Assessments (RA) gewonnenen Erkenntnisse liefern wichtige Hinweise darauf, ob die bestehende Organisation überhaupt geeignet ist, die identifizierten Anforderungen zu erfüllen. Daraus ergeben sich konkrete Handlungsfelder:
Eine gut definierte OT Cybersecurity Governance ist aus mehreren Gründen von entscheidender Bedeutung:
Trotz der enormen Bedeutung stellen Unternehmen oft Herausforderungen bei der Implementierung von Governance-Modellen fest:
Ressourcenmangel: OT-Experten sind nicht immer Security-Experten und Security-Experten sind nicht immer OT-Experten. Hier der Know-How Aufbau entscheidend. Oft fehlen den Organisationen die nötigen Ressourcen, sei es in Form von Zeit, Budget oder Fachwissen, um umfassende Governance-Strukturen zu implementieren.
Bevor Sie mit der Umsetzung einer Governance-Strategie beginnen, sollten die folgenden Best Practices berücksichtigt werden:
Die Governance der OT Cybersecurity ist ein Grundpfeiler für den Schutz kritischer Infrastrukturen in einer zunehmend vernetzten Welt. Unternehmen, die agile und robuste Governance-Modelle entwickeln und implementieren, sind besser gerüstet, um den Herausforderungen der Cyber-Bedrohungen zu begegnen und gleichzeitig einen sicheren Betrieb zu gewährleisten. In den kommenden Blogbeiträgen zum Thema OT werden wir tiefer in spezifische Aspekte der OT Cybersecurity Governance eintauchen und Erfolgsgeschichten, sowie Fallstudien präsentieren, die zeigen, wie Unternehmen effektive Governance-Strukturen implementieren können.
3 Juni 2025
18 Juni 2024
Das Cyber Experience Center bietet Einblicke in verschiedenen Aspekte eines Cyberangriffs aus Unternehmensperspektive. Wir führen Sie durch die Fakten und Zahlen, damit Sie bei Ihrer Cybersicherheitsstrategie die richtigen Entscheidungen treffen können.