Ein Leitfaden für CISOs zur Zuordnung von NCSC CAF und IEC 62443 

Für den zeitgemäßen CISO ist das NCSC Cyber Assessment Framework (CAF) weit mehr als eine Empfehlung. Es ist der maßgebliche Maßstab zur Absicherung der kritischen nationalen Infrastruktur (CNI) des Vereinigten Königreichs und jeder Organisation, die unter das Cyber Security and Resilience Bill (2025) fällt. 

Während IT-Umgebungen oft gut mit CAF abgestimmt sind, ist die Anwendung von CAF auf die Betriebstechnologie (OT) keine einfache Angelegenheit und schafft einzigartige Reibungspunkte. Alte PLCS, Anforderungen an die Echtzeitverfügbarkeit und „nicht patchbare“ Systeme machen die Implementierung standardmäßiger IT-Kontrollen oft unmöglich. 

Im heutigen OT-Sicherheitsblogbeitrag untersuchen wir, wie Sie diese Lücke schließen können, indem Sie CAF-Ergebnisse mit der technischen Strenge der IEC 62443 in Einklang bringen. 

Bevor wir fortfahren, vergessen Sie nicht, sich den vorherigen Blogbeitrag über „Der OT-SOC im Jahr 2026: Von der Konvergenz zum Konsequenzmanagement“ hier anzusehen. Ich bin sicher, Sie werden ihn nützlich finden.  

Der CAF-zu-OT-Realitätscheck 

Das CAF ist ein ergebnisorientiertes Mandat. Das bedeutet, dass es Ihnen sagt, was erreicht werden soll (z. B. „Risikomanagement für Ihre essentielle Funktion“), aber nicht, wie dies auf einem 20 Jahre alten Controller zu bewerkstelligen ist. Hier wird die IEC 62443 zu Ihrem technischen Motor, Leitfaden und Handbuch, sozusagen. 

Durch die Zuordnung der 14 Prinzipien des CAF zur IEC 62443-Serie gelangen Sie von abstrakten und nebulösen, undurchsichtigen Richtlinien zur Compliance auf Ingenieurebene. 

Strategische Ausrichtung und Zuordnung 

Navigation der drei „OT-Compliance-Fallen“ 

Die erste Falle: Die Asset-Sichtbarkeitslücke (CAF A3) 

Sie können nicht schützen, was Sie nicht sehen können. In OT können einfache „Pings“ alte Geräte zum Absturz bringen. 

• Die CAF-Anforderung: Ein vollständiges, genaues Inventar aller Anlagen, die essentielle Funktionen unterstützen. 

• Die IEC 62443-Lösung: Nutzen Sie passive Überwachung (Teil 3-3), um eine Asset-Karte zu erstellen, ohne Datenverkehr zu injizieren. Konzentrieren Sie sich darauf, die Level 0-2-Geräte (Sensoren und Controller) zu identifizieren, die IT-Scannern oft unsichtbar sind. 

Falle 2: Das Patch-Paradox (CAF B1) 

Standardmäßige „Patch innerhalb von 30 Tagen“-Vorgaben scheitern in OT, wo Ausfallzeiten Millionen kosten. 

• Die CAF-Anforderung: Schwachstellen werden verwaltet, um Ausnutzung zu verhindern. 

• Die IEC 62443-Lösung: Verlassen Sie sich auf kompensierende Kontrollen. Wenn Sie einen PLC nicht patchen können, verwenden Sie Zones and Conduits (Part 3-2), um ihn zu isolieren. Stellen Sie sicher, dass das „Conduit“ (der Kommunikationspfad) auf nur den erforderlichen Datenverkehr beschränkt ist, um das anfällige Asset effektiv zu schützen. 

Falle 3: Geteilte Identität (CAF B2) 

Viele OT-Systeme verwenden generische „Admin“-Konten für 24/7-Schichtarbeit. 

• Die CAF-Anforderung: Identität und Zugriff sind streng kontrolliert. 

• Die IEC 62443-Lösung: Implementieren Sie Privilegierte Zugriffskontrolle (PAM) mit einem „OT Jump Host“. Auch wenn das Feldgerät ein gemeinsames Login verwendet, muss die Person, die darauf zugreift, eindeutig am Gateway authentifiziert werden (im Einklang mit IEC 62443-3-3 SR 1.1). 

  

CISO-Aktionsplan: Vom Bewertung zur demonstrierbaren Leistung  

Um die vom Regulierer festgelegten Compliance-Anforderungen zu erfüllen, müssen Sie Indikatoren für gute Praxis (IGPs) bereitstellen. Sie können nicht einfach behaupten, sicher zu sein. Stattdessen müssen Sie dies mit Dokumentationen nachweisen und Beweise für laufende Compliance liefern. 

• Definieren Sie den Umfang: Ermitteln Sie Ihre „Essenzielle Funktion“. In OT ist dies nicht „das Netzwerk“, sondern „die Fähigkeit, sauberes Wasser zu liefern“ oder „die Turbinen am Laufen zu halten“. 

• Führen Sie eine Lückenanalyse durch: Verwenden Sie die CAF-Tabelle, um sich objektiv zu bewerten (Erreicht / Teilweise erreicht / Nicht erreicht). 

• Übersetzen in Ingenieure: Wenn ein CAF-Ergebnis „Nicht erreicht“ ist, schauen Sie sich den entsprechenden IEC 62443-Standard an, um die technische Anforderung für Ihre Anlageningenieure zu formulieren. Sehen Sie, was getan werden kann, um die Compliance zu erreichen..  

• Beweissammlung: Bewahren Sie Ihre Purdue-Level-Netzwerkdiagramme, Firewall-Regelsätze und Protokolle von Incident-Response-Übungen auf. Dies sind Ihre „Lebensbeweise“ für CAF-Audits. 

• Rollen und Verantwortlichkeiten definieren  

• Reisen Sie auf Ihrem Compliance-Weg: Mit klaren Zielen und Meilensteinen mit zeitgebundenen Compliance-Plänen, unterstützt von Wissen und Expertise   

Die OT-CAF Compliance-Checkliste 

Verwenden Sie diese Liste, um einen Überblick über Ihre aktuelle Haltung gegenüber den Erwartungen der NCSC zu erhalten. 

Governance und Risiko (Zielsetzung A) 

• [ ] Abhängigkeitszuordnung: Haben Sie die IT-zu-OT-Abhängigkeiten identifiziert (z. B.: Stoppt die Anlage, wenn das IT-basierte Active Directory ausfällt? Oder aufgrund eines Erkundungsangriffs auf ein Kronjuwel.) 

• [ ] Verantwortlichkeit auf Vorstandsebene: Behandelt der Vorstand das OT-Risiko als Sicherheits-/Betriebsrisiko und nicht nur als „IT-Problem“? 

• [ ] Lieferkette: Sind Ihre OT-Anbieter (OEMs) vertraglich verpflichtet, IEC 62443-4-1 (Sichere Entwicklung) zu erfüllen? 

Schutzmaßnahmen (Zielsetzung B) 

• [ ] Netzwerksegmentierung: Gibt es eine gehärtete DMZ zwischen IT und OT? (Keine direkten „irgendwo-zu-irgendwo“-Regeln). 

• [ ] Entfernbare Medien: Gibt es eine „Sheep Dip“-Station oder eine strenge Richtlinie für USBs von Anbietern? Haben Sie eine Lösung zur Medienscannung implementiert?  

• [ ] Sichere Konfiguration: Werden Standardpasswörter (z. B. „admin/admin“) auf allen Feldgeräten geändert? Haben Sie eine Passwortpolitik, die durchgesetzt wird?  

• [ ] Verteidigung-in-der-Tiefe: Haben Sie die Möglichkeit, redundant Schutzmaßnahmen für OT zu implementieren oder haben sie bereits eingesetzt? 

Erkennung und Reaktion (Zielsetzungen C & D) 

• [ ] OT-bewusste Überwachung: Haben Sie ein Werkzeug, das industrielle Protokolle versteht (Modbus, DNP3, Profinet)? 

• [ ] Reaktionshandbücher: Beziehen Ihre Vorfallsreaktionshandbücher „manuelle Überbrückungen“ ein, wenn digitale Steuerungen ausfallen? 

• [ ] Integritätssicherung der Backups: Werden Ihre PLC-Logikdateien offline gesichert und auf Wiederherstellung getestet? Werden Ihre Back-ups getestet? 

• [ ] Schulung und Simulation der Vorfallreaktion: Sind Ihre Teams geschult, um Vorfälle zu verwalten? Wissen sie, was wann und von wem zu tun ist?  

Indem Sie das Mapping von CAF und IEC 62443 verstehen, können Sie Wege zur Reduzierung der cyber-physischen Risikobelastung Ihres Unternehmens erkennen und erfahren, welche überprüfbaren Beweise erforderlich sind, um die Sicherheitsreife zweifelsfrei gegenüber Regulierungsbehörden und dem Vorstand zu demonstrieren.    

Erfahren Sie mehr über unsere IEC 62443-basierte Risikoanalyse 

Starten Sie Ihre OT-Sicherheitsreise oder haben Sie eine Frage? Kontaktieren Sie uns.