OT Cybersecurity Governance – Ein Schlüsselelement für den Schutz kritischer Infrastrukturen

Der Einstieg in ein OT-Cybersecurity-Projekt erfolgt typischerweise in mehreren klar definierten Schritten. Ziel ist es, Transparenz über die vorhandene Infrastruktur zu gewinnen und darauf basierend die Risiken zu bewerten sowie geeignete Schutzmaßnahmen abzuleiten.

1. Erfassung der OT-Assets

Zu Beginn steht die Analyse der Assets (im Sinne von Anwendungen) und deren zugehörigen Supporting Assets (Hardware, Software, Systeme). Diese sind essentiell für den Betrieb der Anwendungen.

OT-Netze und -Systeme sind häufig historisch gewachsen und unzureichend dokumentiert. Daher ist es schwierig, eine verlässliche Analyse durchzuführen – etwa darüber, welche Elemente sich im OT-Netz befinden, welche Funktionen sie erfüllen und in welchen Zustand sie sind.

Um diese Informationslücken zu schließen, ist eine Network Discovery als erster technischer Schritt erforderlich. Dabei werden die Netzwerkstrukturen identifiziert und kartiert. Erst auf dieser Basis kann eine Asset Discovery durchgeführt werden, bei der konkrete Geräte, Systeme und Anwendungen im Netzwerk erkannt und dokumentiert werden.

2. Business Impact Analyse (BIA)

Aufbauend auf der Asset-Basis erfolgt die Durchführung der Business Impact Analyse (BIA). Ziel der BIA ist es, die geschäftlichen Auswirkungen möglicher Ausfälle oder Störungen von OT-Systemen zu bewerten. Dabei wird ermittelt:

• Welche Geschäftsprozesse betroffen wären,
• Wie kritisch die jeweiligen Assets für den Geschäftsbetrieb sind,
• Welche zeitlichen Anforderungen an Wiederherstellung und Verfügbarkeit bestehen

3. OT Risk Assessment (RA)

Parallel zur oder im Anschluss an die BIA erfolgt das Initial Risk Assessment gemäß IEC 62443 (IEC-62443-3-2). Dieser Standard sieht vor, dass zunächst das angestrebte Security Level Target (SL-T) definiert wird. Im Rahmen der Risikoanalyse wird anschließend überprüft, ob das erreichte Security Level (SL-A) diesem Ziel entspricht.

• Wenn SL-A ≥ SL-T: Es sind keine weiteren Maßnahmen erforderlich; die Konformität wird lediglich dokumentiert.
• Wenn SL-A < SL-T: Ein Detailed Risk Assessment ist notwendig. Dabei wird eine Gap-Analyse durchgeführt, um bestehende Sicherheitslücken zu identifizieren und Maßnahmen abzuleiten.

Ein zentrales Element des Standards ist die Definition des Security Level als Vektor, bestehend aus sieben technischen Domänen:

1. Identification and Authentication Control (IAC)
2. Use Control (UC)
3. System Integrity (SI)
4. Data Confidentiality (DC)
5. Restricted Data Flow (RDF)
6. Timely Response to Events (TRE)
7. Resource Availability (RA)

Der Vektor wird in folgender Form dargestellt:

SL-? ([FR,]domain) = { IAC UC SI DC RDF TRE RA }

Beispiele:

• SL-T(BPCS Zone) = { 2 2 0 1 3 1 3 }
• SL-C(SIS Zone) = { 3 3 2 3 0 0 1 }
• SL-C(RA, BPCS HMI) = 4

4. Ableitung von Schutzmaßnahmen

Auf Basis der Ergebnisse aus BIA und RA kann schließlich gezielt definiert werden:

• Welche OT-Assets besonders schützenswert sind,
• Welche Sicherheitsmaßnahmen in welchen Netzsegmenten erforderlich sind,
• Wie die OT-Netzwerke strukturiert und gehärtet werden müssen, um die angestrebten Security Levels zu erreichen.

Die Governance im OT-Cybersecurity-Kontext sollte nicht nur technische Aspekte berücksichtigen, sondern systematisch um weitere Domänen erweitert werden. Ein bewährter Ordnungsrahmen hierfür ist das Dreieck People, Process and Technology. Insbesondere der Aspekt "People" muss jedoch weiter gefasst werden und um die Dimension "Organisation" ergänzt werden. Es reicht nicht aus, nur das individuelle Verhalten oder Qualifikationsniveau zu betrachten – auch die strukturelle und organisatorische Einbindung der handelnden Personen ist entscheidend.

Die im Rahmen der Business Impact Analyse (BIA) und des Risk Assessments (RA) gewonnenen Erkenntnisse liefern wichtige Hinweise darauf, ob die bestehende Organisation überhaupt geeignet ist, die identifizierten Anforderungen zu erfüllen. Daraus ergeben sich konkrete Handlungsfelder:

• Definition von Rollen- und Funktionsbeschreibungen
• Gestaltung und Dokumentation von Prozessen innerhalb und zwischen Organisationseinheiten
• Festlegung von Übergabepunkten – sowohl inhaltlich als auch zeitlich
• Schulung und Qualifikation des eingesetzten Personals, angepasst an Aufgaben, Risiken und Technologien

Eine gut definierte OT Cybersecurity Governance ist aus mehreren Gründen von entscheidender Bedeutung:

• Risikomanagement: Eine starke Governance hilft, Risiken frühzeitig zu erkennen und angemessen zu managen. Ohne klare Richtlinien kann es zu Missverständnissen kommen, die zu Sicherheitslücken führen.
• Compliance & Regulierung: Viele Branchen unterliegen regulatorischen Anforderungen, die die Sicherheit von OT-Systemen betreffen. Eine gute Governance sorgt dafür, dass die Richtlinien und Verfahren den geltenden Vorschriften entsprechen.
• Konvergenz von IT und OT: Die Verschmelzung von IT- und OT-Systemen erfordert eine ganzheitliche Cybersecurity-Strategie. Mit einer soliden Governance lassen sich IT- und OT-Sicherheitsmaßnahmen harmonisieren und koordinieren.
• Roles, Responsibility and Accountability: Klare Zuständigkeiten erhöhen die Verantwortlichkeit innerhalb des Unternehmens und fördern ein proaktives Sicherheitsbewusstsein.