Home » News » Security Management » Grundsatzpapier zur OT Cybersicherheit

Grundsatzpapier zur OT Cybersicherheit

Der sichere Betrieb von Prozessleit- und Automatisierungstechnik (Operational Technology, OT) ist eine große Herausforderung für Organisationen, besonders wenn diese Systeme in Kritischen Infrastrukturen eingesetzt werden. Ihre langen Lebenszyklen machen sie anfällig für Cybersicherheitsrisiken.

2 Min. Lesezeit
Operational Technology
Foto: ©AdobeStock/God Image

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt: Die Bedeutung von OT-Produkten darf nicht unterschätzt werden, da sie entscheidend zur Sicherheit von Menschen, Produktionsanlagen und Umwelt beitragen.

Das Australian Cyber Security Centre (ACSC) hat heute das Dokument „Principles of Operational Technology Cyber Security“ veröffentlicht, zu Deutsch „Grundsätze der Cybersicherheit von Operational Technology“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bei der Erstellung des Dokuments mit internationalen Partnerbehörden zusammengearbeitet und unterstützt dessen Veröffentlichung. Das Grundsatzdokument soll Betreibern helfen, grundlegende Fragen zu klären und den Betrieb von Operational Technology (OT) widerstandsfähiger zu gestalten.

Sechs Grundsätze für eine sichere OT-Umgebung

Es beschreibt sechs Grundsätze für eine sichere OT-Umgebung:

  1. Funktionale Sicherheit hat höchste Priorität.
  2. Fundiertes Wissen über Geschäftsprozesse und Technik ist entscheidend.
  3. OT-Daten sind wertvoll und müssen geschützt werden.
  4. OT-Systeme sollten von anderen Netzwerken getrennt sein.
  5. Die Sicherheit der Lieferkette ist wichtig.
  6. Menschen mit Erfahrung und Expertise sind unerlässlich für die Cybersicherheit in der OT.

Operational Technology (OT) umfasst die Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert. Dazu gehören insbesondere Steuerungssysteme (Industrial Control Systems, ICS), Automationslösungen sowie Laborgeräte, Logistiksysteme und Gebäudeleittechnik. Da immer mehr IT-Komponenten aus der Büro-IT in der OT eingesetzt werden, ist auch hier ein hohes Sicherheitsrisiko zu erwarten. Allerdings gibt es wichtige Unterschiede zwischen OT und klassischer IT, die es erschweren, bewährte Sicherheitsverfahren anzuwenden.

Unterschiede zwischen OT und klassischer IT

Die zunehmende Vernetzung von OT erfordert nicht nur ein Verständnis der Systeme und Prozesse, sondern auch Kenntnisse über mögliche Angriffsszenarien. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont, dass OT-spezifische Notfallpläne und Handlungsanleitungen in die allgemeinen Notfall- und Krisenmanagementpläne sowie in die Business-Continuity-Pläne von Organisationen integriert werden müssen.

Die Grundsätze für die OT-Cybersicherheit sollen Betreibern helfen, fundierte Entscheidungen zu treffen und die Sicherheit sowie die Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen zu gewährleisten. Sie sind so formuliert, dass sie für alle Entscheidungsträger in einer Organisation verständlich sind, egal ob es sich um operative, taktische oder strategische Entscheidungen handelt. Mit diesen Grundsätzen kann die OT-Cybersicherheit ganzheitlich angegangen werden.

In den USA wird die Veröffentlichung von mehreren Behörden unterstützt, darunter die Cybersecurity and Infrastructure Security Agency (CISA), die National Security Agency (NSA), das Federal Bureau of Investigations (FBI) und das Multi-State Information Sharing and Analysis Center (MS-ISAC). In Kanada stehen das Canadian Centre for Cyber Security (CCCS) und das Communications Security Establishment (CSE) hinter der Initiative, während in Neuseeland das National Cyber Security Centre (NCSC-NZ) die Veröffentlichung unterstützt.

Das ausführliche, elfseitige Dokument (in Englisch) kann hier abgerufen werden.

Andere interessante News

Malware mit rotem, glühendem Totenkopf

ElizaRAT-Malware: Gefährliche Mutation erkannt

Die pakistanische Hackergruppe APT36 rüstet auf: Ihr Schadprogramm breitet sich weiter aus und wird immer raffinierter. Mit verbesserten Techniken zeigt APT36 einmal mehr, wie Cybe...

KRITIS-Gesetz

Bitkom fordert Nachbesserungen am KRITIS-Gesetz

Das Bundeskabinett hat das KRITIS-Dachgesetz verabschiedet, um kritische Infrastrukturen zu schützen. Bitkom begrüßte die Entscheidung, mahnte jedoch umfassende Nachbesserungen an,...

Data Mining

Data-Mining: So schützen sich Unternehmen

Data-Mining kann für Unternehmen ein erhebliches Risiko darstellen, da sensible Inhalte ungewollt kommerziell genutzt werden können. Anwalt Axel Keller aus Rostock erklärt, wie Fir...