Wir haben es mit einer Bedrohungslage zu tun, die sich fortlaufend im Wandel befindet. Einerseits benennen Bedrohungsakteure und Hacktivisten offen die Unternehmen, die sie angreifen, andererseits sind Security-Teams in Unternehmen mit internen und externen Ablenkungen konfrontiert. Darüber hinaus richtet sich Ransomware-as-a-Service (RaaS) inzwischen gegen proprietäre industrielle Protokolle, und geopolitische Spannungen haben Stromnetze und Wasseraufbereitungsanlagen zu primären Schauplätzen von Operationen gemacht.

Zur Absicherung Kritischer Infrastrukturen können wir uns nicht auf IT-zentrierte „Patch-and-Pray“-Methoden verlassen. Wir müssen den Standard IEC 62443 konsequent nutzen, um die richtigen Sicherheitsmaßnahmen und framework-basierten Interventionen abzuleiten, damit die Infrastruktur jederzeit geschützt ist.   

Abgrenzung des Perimeters: Das Zonen- und Conduit-Modell (IEC 62443-3-2)

Der häufigste Ausfallgrund in modernen OT-Umgebungen ist ein vollständig „flaches“ Netzwerk. Wenn ein Angreifer über ein Gäste-WLAN im Unternehmensbüro Zugriff erhält und sich lateral zu einer Programmable Logic Controller (PLC) in der Fertigung bewegen kann, hat die Architektur versagt. Wenn die Security-Teams diese Bewegung zudem nicht erkennen oder ein infiziertes Gerät bzw. eine Zone nicht isolieren können, hat die Sicherheitslage versagt.

• Zonen: Gruppieren Sie Assets nach Kritikalität, Sicherheits- und/oder funktionalen Anforderungen und weisen Sie einen Zone Security Owner zu. Als Orientierung zur Zonenidentifikation gilt: Ein Safety-Instrumented System (SIS) darf niemals in derselben Zone wie eine Basic Process Control Station betrieben werden.

• Conduits: Dies sind die Kommunikationspfade zwischen Zonen. Durch die strikte Kontrolle von Conduits mit Deep Packet Inspection (DPI) und zustandsbehafteten Firewalls können Sie laterale Bewegungen verhindern.

Konkreter Schritt: Führen Sie eine Risikoanalyse auf hoher Ebene durch, um Ihre Security Levels (SL-Target) für jede Zone festzulegen. Für Kritische Infrastrukturen sollten Sie SL-3 oder SL-4 anstreben; dies setzt einen Angreifer mit hoher Motivation und IACS-spezifischen Fähigkeiten voraus.

Defensive Kontrollen: Über den Perimeter hinausgehen (IEC 62443-3-3)

Sobald Ihre Zonen definiert sind, müssen Sie Anforderungen auf Systemebene umsetzen. In der aktuellen Bedrohungslage ist „Assumed Breach“ die einzig logische Grundhaltung.

• Foundation Requirement 1: Identification and Authentication Control (IAC). Implementieren Sie Multi-Factor Authentication (MFA) für alle Remote-Zugriffe. Das Teilen von Passwörtern für HMI-Konten ist ein offenes Einfallstor für moderne Malware.

• Foundation Requirement 2: Use Control (UC). Setzen Sie das Least-Privilege-Prinzip durch. Benutzer und Prozesse sollten nur die Berechtigungen erhalten, die zur Erfüllung ihrer spezifischen Aufgaben erforderlich sind.

• Foundation Requirement 5: Restricted Data Flow. Hier wird Network Detection and Response (NDR) kritisch. Sie benötigen Transparenz über East-West-Traffic innerhalb der OT-Umgebung, um Anomalien zu erkennen, die auf eine Reconnaissance-Phase hinweisen.

Management des Restrisikos: Die harte Realität

Selbst bei einer maximal konsequenten Umsetzung der IEC-62443-Kontrollen bleibt Restrisiko bestehen – also das Risiko, das nach Implementierung aller Sicherheitsmaßnahmen verbleibt. In OT wird dies häufig verursacht durch:

1. Legacy Assets: Geräte, die weder Verschlüsselung noch moderne Authentisierung unterstützen.

2. Lieferkette: Schwachstellen, die in Firmware von Drittanbietern eingebettet sind (das „SolarWinds“ der OT-Welt).

3. Menschliche Fehler: Phishing bleibt der primäre Vektor für den Erstzugriff.

Die Strategie: Kompensierende Maßnahmen sind Ihr stärkstes Instrument. Wenn ein veralteter PLC nicht gepatcht werden kann, isolieren Sie ihn hinter einer dedizierten industriellen Sicherheitsappliance oder nutzen Sie unidirektionale Gateways (Data Diodes), damit Daten zur Überwachung nur aus dem System herausfließen, niemals hinein.

Implementierungs-Checkliste für Security-Verantwortliche

• Alles inventarisieren: Was Sie nicht sehen, können Sie nicht schützen. Nutzen Sie passive Discovery-Tools, um ein automatisiertes Asset Inventory aufzubauen.

• Patching vs. Protection: Erkennen Sie an, dass 100 % Patching in OT nicht erreichbar sind. Konzentrieren Sie sich auf „Virtual Patching“ über IPS/IDS für Schwachstellen, die während Produktionszyklen nicht behoben werden können.

• Incident Response (IR): Entwickeln Sie OT-spezifische Playbooks. Ein IT-Playbook mit dem Ansatz „wipe and restore“ kann in einer Chemieanlage zu katastrophalen physischen Folgen führen.

Der IEC 62443 KPI Tracker

Um das zu steuern, was Sie messen, nutzen Sie diesen Tracker, um Fortschritte gegenüber Vorstand und technischen Teams zu kommunizieren.

Kurz zusammengefasst:

Die Verschärfung der Bedrohungslage ist ein Handlungsauftrag, kein Grund zur Resignation. Durch die Umsetzung des Lifecycle-Ansatzes der IEC 62443 – von der Planung bis zum Betrieb – können wir Infrastrukturen aufbauen, die nicht nur sicher sind, sondern auch resilient genug, um den „Black Swan“-Ereignissen von morgen standzuhalten.

Bleiben Sie wachsam, bleiben Sie segmentiert.

Planen Sie eine automatisierte Bewertung auf Basis von IEC 62443

Weitere IEC-62443-Ressourcen von Shieldworkz für OT-Security-Teams

Zugriff auf die Shieldworkz IEC 62443 Remediation Guides
IEC-62443-basierte OT/ICS-Risikoanalyse-Checkliste für Betreiber erneuerbarer Energien
IEC-62443-basierte Risikoanalyse-Checkliste für Flughafenbetrieb und Kritische Infrastrukturen
IEC 62443 Compliance Performance Scorecard und OT Cybersecurity KPI Calculator
IEC-62443-basierte Checkliste zur Zoning-Implementierung und -Validierung
Strategische Umsetzung von ISA/IEC 62443-3-2  
IEC 62443 und NIS2 Compliance Checklist