OT Cybersecurity Program Setup – Ein Leitfaden zur effektiven Implementierung

Schritt 1: Aufsetzen einen OT Cybersecurity Governance

Der erste Schritt bei der Einrichtung eines OT-Cybersecurity-Programms besteht darin, die Organisation zu etablieren und eine Gesamtverantwortung an eine Person oder ein Team zu übergeben.

• Identifikation relevanter Stakeholder: Bestimmen Sie, wer aktiv an der Entscheidungsfindung im Projekt oder Programm beteiligt ist, wer regelmäßig informiert werden muss und wie die Berichts- und Kommunikationswege gestaltet sind. Klären Sie zudem, wer für die übergeordnete Strategie verantwortlich ist.
• Aufbau einer klaren Projekt- oder Programmstruktur: Legen Sie fest, welche Rollen im Team vertreten sind (z.B. Architekt:innen, GRC-Team, Projektmanagement). Definieren Sie die organisatorische Struktur sowie die Dokumentations- und Ablagekonventionen.

Schritt 2: Identifikation von Assets

Der zweite Schritt eines OT-Cybersecurity-Programms besteht darin, seine Systeme, Netzwerke und Komponenten zu identifizieren und den Anwendungen sowie deren Abhängigkeiten zu erkennen.

• Anwendungsanalyse:
  Identifizieren Sie die im Einsatz befindlichen Anwendungen (z. B. Produktionssysteme) sowie deren wechselseitige Abhängigkeiten. Ein typisches Beispiel: Wird ein Bauteil in Produktionssystem #1 gefertigt und anschließend in Produktionssystem #2 weiterverarbeitet, führt ein Ausfall von System #1 zwangsläufig auch zu einem Stillstand von System #2. Solche Abhängigkeiten sind kritisch für die Risiko- und Impact-Bewertung.
• Netzwork Discovery: Ermitteln Sie systematisch, welche Netzwerke im OT-Umfeld vorhanden sind. Nur wenn alle Netzsegmente bekannt und dokumentiert sind, ist es möglich, OT- und IT-Assets gezielt zu identifizieren, zuzuordnen und vollständig zu erfassen.
• Asset Discovery: Erheben Sie, welche OT- und IT-Assets in den identifizierten Netzwerken angebunden sind und wie diese miteinander kommunizieren. Dabei sind detaillierte Informationen zu erfassen, z. B. Eingesetzte Software- und Firmware-Versionen, Gerätehersteller und -modell, sowie Aktivierte bzw. deaktivierte Funktionen. Diese Erhebung sollte umfassend und präzise erfolgen, um ein vollständiges und belastbares Bild der Systemlandschaft zu erhalten.
• Zentrales Netzwerk- und Asset-Management:
  Etablieren Sie eine zentrale Instanz für die Verwaltung und Dokumentation aller OT- und IT-Assets. Diese sollte in der Lage sein, alle Komponenten einschließlich Steuerungssystemen, Sensoren und der Kommunikationsinfrastruktur zu inventarisieren und deren Beziehungen zueinander transparent darzustellen.

Schritt 3 und 4: Risikoanalyse und Bewertung

Der dritte und viere Schritt bei der Einrichtung eines OT-Cybersecurity-Programms besteht darin, die spezifischen Risiken und Auswirkungen Ihrer OT-Umgebung zu bewerten.

• Bewertung der Assets im Rahmen der Business Impact Analysis (BIA):  Analysieren Sie die geschäftlichen Auswirkungen eines Systemausfalls. Die BIA prognostiziert die Folgen potenzieller Unterbrechungen und liefert wesentliche Informationen zur Entwicklung geeigneter Wiederanlauf- und Wiederherstellungsstrategien. Dabei sind insbesondere kritische Abhängigkeiten und potenzielle Ausfallrisiken zu berücksichtigen. Mögliche Schadensszenarien sollten im Vorfeld im Rahmen einer Risikoanalyse identifiziert werden.
• Bewertung von Assets im Rahmen der Risikobewertung (Risk Assessment): Das Risk Assessment dient der Identifikation, Analyse und Bewertung potenzieller Gefährdungen für OT- und IT-Assets. Ziel ist es, zu verstehen, was passieren kann, wenn bestimmte Bedrohungen eintreten. Dabei müssen eine Vielzahl potenzieller Risiken berücksichtigt und unterschiedliche Szenarien modelliert werden, um fundierte Schutzmaßnahmen abzuleiten.
• Bedrohungs- und Schwachstellenanalyse: Ermitteln und analysieren Sie systematisch potenzielle Bedrohungen sowie bestehende Schwachstellen. Dabei ist es entscheidend zu verstehen, auf welchen Wegen und mit welchen Mitteln ein Angriff erfolgen könnte, um geeignete technische und organisatorische Gegenmaßnahmen entwickeln zu können.

Schritt 5 und 6: Entwicklung einer Cybersecurity-Strategie

Basierend auf der Risikoanalyse erfolgt die Umsetzung der Cybersecurity-Strategie.

People / Organisation: Basierend auf den Ergebnissen aus BIA und Risk Assessment kann eine Anpassung der Organisationsstruktur erforderlich sein. Dazu zählen die Definition neuer Funktionen, die Anpassung von Rollen und Verantwortlichkeiten sowie gegebenenfalls die Rekrutierung zusätzlicher Fachkräfte. Auch Trainings- und Awareness-Maßnahmen sind integraler Bestandteil – inklusive regelmäßiger Cybersecurity-Schulungen und Übungen mit simulierten Angriffsszenarien zur Vorbereitung auf Sicherheitsvorfälle.

Process: Die relevanten Abläufe und Schnittstellen zwischen Organisationseinheiten müssen dokumentiert und abgestimmt werden. Dabei ist insbesondere festzulegen, wie technologische Maßnahmen im täglichen Betrieb integriert und gesteuert werden. Prozessklarheit ist Voraussetzung für eine konsistente und überprüfbare Umsetzung von Sicherheitsanforderungen.

Technology: Dokumentieren Sie die Prozesse in Ihrer OT-Umgebung und identifizieren Sie Sicherheitsanforderungen für jede Phase.

• Netzwerksicherheit: Mitarbeiter sollten Firewalls, Intrusion Detection/Prevention Systeme (IDS/IPS) und segmentierte Netzwerke für OT verwenden, um den Zugriff zu kontrollieren.
• Zugriffskontrollmaßnahmen: Implementieren Sie rollenbasierte Zugriffskontrollen (RBAC) und Multi-Faktor-Authentifizierung (MFA), um unbefugten Zugriff auf Systeme zu verhindern.
• Endgerätesicherheit: Sichern Sie Endgeräte, die in OT-Umgebungen verwendet werden, durch Patch-Management und Sicherheitsupdates.

Schritt 7: Implementierung von Sicherheitskontrollen

Ausgehend von der technischen und organisatorischen Implementierung von OT-Cybersecurity-Maßnahmen folgt die Phase der kontinuierlichen Überwachung und der Vorbereitung auf Sicherheitsvorfälle, um im Ernstfall schnell und gezielt reagieren zu können.

• Monitoring: Implementieren Sie Sicherheitsüberwachungslösungen, um ungewöhnliche Aktivitäten im OT-Netzwerk in Echtzeit zu erfassen. Analog zur IT-Welt senden OT-Komponenten Ereignisdaten an ein zentrales System (z.B. SIEM – Security Information and Event Management), das diese Informationen korreliert, Anomalien erkennt und automatisiert oder manuell eingeleitete Gegenmaßnahmen ermöglicht.
• Incident Response Team: Etablieren Sie ein spezialisiertes Incident-Response-Team mit klar definierten Rollen, Verantwortlichkeiten und Kommunikationswegen, um auf erkannte Sicherheitsvorfälle schnell und koordiniert reagieren zu können.
• Reporting-Mechanismen: Entwickeln Sie standardisierte Protokolle zur Erfassung, Dokumentation und Nachverfolgung von Sicherheitsvorfällen. Eine konsistente Berichterstattung ist essenziell für Ursachenanalysen, regulatorische Anforderungen und kontinuierliche Verbesserung.