Jenseits des Air Gaps: Die Weiterentwicklung der OT-Sicherheitsrisikobewertungen im Jahr 2026
Prayukth KV
Jenseits der Luftlücke: Die Evolution von OT-Sicherheitsrisikobewertungen im Jahr 2026
Die Zeiten, in denen man sich auf eine statische, vorverpackte jährliche Risikobewertung verlassen konnte, die auf einem Klemmbrett durchgeführt wurde, sind so gut wie vorbei. Die betriebliche Landschaft hat sich von menschengesteuerten Ransomware zu komplexen Phishing-Kampagnen verlagert, und die Regulierungsbehörden sind von der „Empfehlung“ von Richtlinien zu der Verpflichtung übergegangen, Verantwortung mit hohen finanziellen Strafen einzufordern.
Die Bedrohungen haben sich geändert, die Vorschriften haben sich geändert, und es ist an der Zeit, dass wir die Ansätze zur Bedrohungsbewertung neu betrachten.
Wenn Sie ein OT-Sicherheitsleiter, ein CISO oder ein Standortmanager sind, hier ist, wie sich Ihre Risikobewertungsmethodik im Jahr 2026 weiterentwickeln muss, um die neue Bedrohungsumgebung zu überleben.
Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blog-Beitrag über das Verständnis chinesischer Bedrohungsakteure, TTPs und operativer Prioritäten hier zu überprüfen.
Risikobewertungen sind jetzt eine dynamische Übung
Selbst vor einem Jahr verließen sich viele Unternehmen auf eine vorgefertigte Risikomanagement-Maßnahme, die sich auf die Bewertung vorbestimmter Parameter konzentrierte. Einige dieser Parameter waren entweder veraltet oder aus Sicherheitssicht nicht sehr wesentlich. Darüber hinaus wurde der Bedarf, Parameter hinzuzufügen, um die Bewertung informiert und relevant für die spezifischen OT-Sicherheitsbedrohungen und Umgebungskonfigurationen zu gestalten, nie früher empfunden, außer von einigen Regulierungsbehörden.
Die signifikanteste Änderung im Jahr 2026 ist das Ende der vorgefertigten "Snapshot"-Bewertung. Sie können sich nicht mehr auf ein sogenanntes Point-in-Time-Risikoaudit verlassen, das in dem Moment veraltet, in dem der Prüfer die Seite verlässt.
Eigenschaft | Traditionelle Risikobewertung (vor 2025) | Moderne Bewertung (2026 Standard) |
Häufigkeit | Jährlich oder halbjährlich | Häufiger und ereignisgesteuert |
Datenquelle | Interviews und Papierdiagramme | Echtzeit-Telemetrie und passive PCAP-Erfassung zusätzlich zur Analyse von Architekturdiagrammen |
Risikometrik | Qualitativ (Hoch/Mittel/Niedrig) | Quantitativ (Finanzieller Einfluss/Ausfallkosten) |
Fokus | Schwachstellenmanagement | Folgenmanagement und Resilienz |
Governance | Isoliert (IT vs. OT) | Vereinheitlicht (Aufsicht durch Chief Risk Officer) |
Bedrohungsmanagement | Abwesend oder checklistenbasiert | Stützt sich auf spezifische Schritte zur Bewältigung spezifischer Bedrohungen |
Vorfallmanagement | Grundlegende Checks und Bestätigungen basierend auf Mitarbeiterantworten | Basierend auf tatsächlichen Vorfallsimulationen und Bewertung der Reaktion |
KPIs | Keine oder grundlegende | Gemessen und an IEC 62443 Sicherheitsstufen ausgerichtet |
Die neue Bedrohungsumgebung: „Persistente“ Gegner
Risikobewertungen im Jahr 2026 müssen Bedrohungen berücksichtigen, die komplex sind und sich unterschiedlich auswirken. Wir verteidigen uns nicht mehr nur gegen Script-Kiddies oder manuelle Hacker; wir verteidigen uns gegen ausgebildete KI-Agenten. Zusätzlich zielen Gruppen wie ScatteredSpider auf Sektoren und Länder im Ganzen ab. Ihre Kampagnen sind andauernd, und wir müssen sicherstellen, dass die Bedrohungsbewertungen dieser Realität Rechnung tragen und der Herausforderung gerecht werden, die sie OT-Betreibern bietet.
Hier sind einige der anderen mit Cybersicherheitsbedrohungen zusammenhängenden Aspekte, die in jedes Bewertungsframework integriert werden müssen, das Sie in Betracht ziehen:
Autonome Kampagnen: KI-Agenten können jetzt autonom OT-Netzwerke erkunden, aufzählen und pivotieren, mit minimalem menschlichen Eingriff. Ihre Risikobewertung muss die Erkennungsgeschwindigkeit (Mean Time to Detect) und die Reaktion testen und nicht nur die Barrierenstärke auflisten (dies könnte ein falsches Bild über den tatsächlichen Sicherheitszustand vermitteln).
Hyperrealistisches Social Engineering: Phishing und Vishing drehen sich nicht mehr um schlecht geschriebene E-Mails. Deepfake-Sprach- und Videoanfragen von „Werkmanagern“, die dringende Wartungsarbeiten genehmigen, sind die neue Norm. Gefälschte Anfragen von Bedrohungsakteuren, die sich als OEMs oder sogar als Regulierungsbehörden ausgeben, sind inzwischen ziemlich häufig. Bewertungen müssen menschliche „Cybersicherheits“-Übungen beinhalten und nicht nur Firewall-Penetrationstests. Dies schließt zufällige Tests ein, um zu überprüfen, ob Mitarbeiter auf gefälschte Anrufe von Dienstanbietern hereinfallen.
Living off the Land (LotL): Angreifer nutzen legitime Admin-Tools (PowerShell, WMI), um sich zu tarnen. Bewertungen müssen „normales“ Verhalten kennzeichnen, das tatsächlich bösartig ist und eine Basislinie bekannter guter Prozesszustände erfordert.
Wichtiges Fazit zur Risikobewertung: Ihr Risikomodell muss davon ausgehen, dass der Perimeter bereits verletzt wurde. Die Bewertungsfrage ändert sich von „Können sie eindringen?“ zu „Wie schnell können wir sie auswerfen, bevor Sicherheitssysteme gefährdet werden?“
Governance: Die „Cyber-Sicherheit“ Fusion
Im Jahr 2026 ist OT-Sicherheit nicht mehr nur ein IT-Problem, sondern ein Ingenieur- und Sicherheitsproblem.
Integration von HSE + Cyber: Innovative Organisationen haben ihre Gesundheits-, Sicherheits- und Umwelt-Risikobewertungen mit Cyber-Risiko-Bewertungen zusammengeführt. Eine Cybersicherheitslücke in einem sicherheitsgerichteten System (SIS) wird mit der gleichen Ernsthaftigkeit behandelt wie ein Gasleck.
Die Sprache des Vorstandes: Sie können dem Vorstand nicht „hohes Risiko von CVE-2026-1234“ melden. Sie müssen berichten: „Ein potenzieller Verlust von 2,4 Mio. $ pro Tag aufgrund nicht geminderter Zugriffe in der Verpackungslinie.“ Bewertungen im Jahr 2026 verwenden Cyber-Risk-Quantifikationsmodelle (CRQ), um technische Mängel in Bilanzverbindlichkeiten zu übersetzen.
Compliance: Rechenschaftspflicht, nicht nur Kontrollkästchen
Bis 2026 sind die Schonfristen für wesentliche Vorschriften weitgehend abgelaufen, und die Durchsetzung ist aktiv.
NIS2 und CRA (Europa): Für Organisationen mit EU-Präsenz verlangt der Cyber Resilience Act (CRA) nun, dass Produkte sicher nach Design sind. Risikobewertungen müssen die Software-Stückliste (SBOM) für jedes Gerät auf der Anlage überprüfen. Wenn Sie nicht wissen, welche Software sich in Ihrem PLC befindet, sind Sie nicht konform.
Auflagen für kritische Infrastrukturen (global): Von den Offenlegungsregeln der US SEC bis zum Cyber Assessment Framework (CAF) 4.0 des Vereinigten Königreichs liegt der Fokus auf der persönlichen Haftung von Führungskräften. Bewertungen müssen verteidigbare Beweise für „angemessene Sorgfalt“ liefern - den Nachweis, dass Sie alles Vernünftige getan haben, um Fahrlässigkeit zu verhindern.
Der Tech-Stack: KI-gesteuerte Bewertungen
Sie können KI-Bedrohungen nicht mit Tabellenkalkulationen bekämpfen. Risikobewertungen im Jahr 2026 setzen auf Technologie zur Skalierung:
Digital Twin-Stresstest: Anstatt auf Live-Produktionssystemen zu testen (und damit Ausfallzeiten zu riskieren), nutzen Organisationen digitale Zwillinge, um Ransomware-Angriffe zu simulieren und zu prüfen, ob die Segmentierung hält.
Passive Asset-Entdeckung: Sie können nicht bewerten, was Sie nicht sehen können. Moderne Tools hören passiv auf OT-Verkehr (durch Spannungen/Taps), um ein Echtzeit-Inventar zu erstellen. Wenn Ihre Bewertung mit „Senden Sie mir die Tabellenkalkulationsliste der Vermögenswerte“ beginnt, haben Sie bereits versagt.
Zusammenfassende Checkliste: Ist Ihre Bewertung für 2026 bereit?
Wenn Sie Ihre nächste Bewertung planen, stellen Sie sicher, dass sie diese unverzichtbaren Punkte abdeckt:
Technische Basis zuerst: Verlassen Sie sich nicht auf veraltete Netzwerkdiagramme, die seit einem Jahrzehnt nicht mehr aktualisiert wurden und stillgelegte Assets enthalten. Verwenden Sie passive Entdeckung, um eine „Grundwahrheitskarte“ zu erstellen.
Finanzielle Übersetzung: Verknüpfen Sie jedes technische Risiko mit einem spezifischen betrieblichen Einfluss (wie „Linienstillstand 1“).
Versicherungsauswirkung: Inwiefern hilft das Audit bei der Senkung der Versicherungskosten?
SBOM-Validierung: spezifische Prüfung der Softwarekomponenten der Lieferkette innerhalb Ihrer OT-Assets.
Wiederherstellungsstresstest: Testen Sie nicht nur die Verteidigungsmechanismen, sondern auch die Vorfallreaktion und den Wiederherstellungsprozess. Können Sie das HMI in weniger als 4 Stunden aus Backups wiederherstellen?
Sicherheitsanpassung: Stellen Sie sicher, dass die Bewertung nicht nur vom CISO, sondern auch vom Sicherheitsmanager der Anlage/dem Standort überprüft wird.
Sprechen Sie mit einem OT-Sicherheits-Bewertungsexperten von Shieldworkz.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Die 15 größten Herausforderungen beim Schutz von CPS und wie OT-Teams ihnen begegnen können
Team Shieldworkz
IEC 62443 Security Levels SL1-SL4 für die KRITIS-Absicherung verständlich aufbereitet
Team Shieldworkz
Der gescheiterte Angriff: Lehren aus Schwedens Beinahe-Vorfall im OT-Bereich
Prayukth K V
NERC CIP-015 & Interne Netzwerk-Sicherheitsüberwachung (INSM)
Team Shieldworkz
Handalas nächster Schachzug: Von „Hack-and-Leak“ zur „kognitiven Belagerung"
Prayukth K V
HMI-Schwachstellen in Venedig: Eine tiefgehende Analyse des San-Marco-Pumpenvorfalls
Prayukth K V
