NIST Cybersecurity Framework für OT: Ein praxisnaher Leitfaden für ICS- und SCADA-Sicherheit
Team Shieldworkz
Warum sich die Diskussion um das OT-Cybersicherheits-Framework verändert hat
Im Jahr 2021 verschaffte sich ein Angreifer Zugriff auf die Wasseraufbereitungsanlage in Oldsmar, Florida, und versuchte, den Natriumhydroxid-Gehalt auf potenziell tödliche Konzentrationen zu erhöhen. Das Eindringen dauerte nur wenige Minuten. Die Folgen hätten, wäre einem Bediener nicht aufgefallen, dass sich der Cursor auf seinem Bildschirm bewegte, über 15.000 Einwohner betreffen können. Der Angriffsvektor war ein veraltetes Fernzugriffstool. Dem industriellen Steuerungssystem fehlten Netzwerksegmentierung und OT-spezifisches Monitoring.
Bevor wir fortfahren, vergessen Sie nicht, sich unseren letzten Blogbeitrag zur Entschlüsselung der neuesten CISA-Beratungsmitteilung zu Zero Trust für Operational Technology hier. anzusehen.
Dies war kein Einzelfall. Die 2022er Malware Industroyer2, die so entwickelt wurde, dass sie direkt mit IEC-104-protokollsprechenden Umspannwerken in der Ukraine interagiert, zeigte, dass Angreifer mittlerweile Werkzeuge entwickeln, die gezielt für Operational-Technology-Umgebungen ausgelegt sind. Als Mandiant und CISA ihre gemeinsame Beratungsmitteilung veröffentlichten, fiel ein Befund besonders auf: Vielen betroffenen Organisationen fehlte überhaupt eine OT-Baseline für die Sicherheitslage, auf die sie hätten zurückgreifen können.
In diesem Umfeld muss das NIST Cybersecurity Framework für OT verstanden werden. Nicht als Compliance-Häkchen, sondern als strukturelles Fundament für Organisationen, deren Systeme bei Störungen die öffentliche Sicherheit, die nationale Sicherheit oder die wirtschaftliche Kontinuität beeinträchtigen können.
Das NIST Cybersecurity Framework (CSF) 2.0, veröffentlicht im Februar 2024, markiert das erste Mal, dass NIST den Rahmen explizit über kritische Infrastrukturen hinaus auf alle Organisationen ausgeweitet und gleichzeitig Governance als erstklassige Funktion eingeführt hat. Für OT-Sicherheitsfachleute ist dieser Wandel bedeutsam.
NIST CSF im Kontext von ICS- und SCADA-Sicherheit verstehen
Der Kernkonflikt: IT-Sicherheitslogik in OT-Umgebungen
Der häufigste Fehler, wenn Organisationen ein Cybersicherheits-Framework auf OT-Umgebungen anwenden, ist die Annahme, dass sich IT-Sicherheitsprinzipien direkt übertragen lassen. Das ist nicht der Fall. In der IT ist Vertraulichkeit die primäre Sicherheitsanforderung. In OT dominieren Verfügbarkeit und Integrität – ein Modbus-Write-Befehl, der Sensordaten verfälscht, ist weitaus gefährlicher als eine exfiltrierte Tabellenkalkulation.
SCADA-Systeme, die Hochspannungs-Übertragungsleitungen steuern, Distributed Control Systems (DCS) in chemischen Produktionsanlagen und PLCs in Automobilmontagewerken arbeiten mit Echtzeit-Kommunikationsprotokollen – DNP3, Modbus, PROFINET, EtherNet/IP – die der modernen Cybersicherheitsdenke vorausgehen. Viele dieser Systeme können die durch Inline-Sicherheitsappliances verursachte Latenz nicht tolerieren. Einige lassen sich nicht patchen. Firmware-Updates auf Safety Instrumented Systems (SIS) können vollständige Prozessstillstände erfordern, die Tage dauern.
Die Anwendung des NIST CSF auf ICS- und SCADA-Sicherheit erfordert daher eine bewusste Übersetzungsschicht – eine, die die Prozesskontinuität wahrt und gleichzeitig belastbare Architekturen schafft.
NIST CSF 2.0: Was sich geändert hat und warum das für OT wichtig ist
Das Update 2024 des Frameworks führte sechs Kernfunktionen ein: Govern, Identify, Protect, Detect, Respond und Recover. Für Organisationen, die industrielle Umgebungen absichern, ist die Ergänzung Govern (GV) besonders bedeutsam. Sie formalisiert, was viele ausgereifte OT-Sicherheitsprogramme bereits intuitiv verstanden hatten: Nachhaltige Sicherheit erfordert organisatorisches Commitment, nicht nur technische Kontrollen.
NIST CSF 2.0 führte außerdem gestufte Implementierungsprofile ein, die besser mit OT-Restriktionen vereinbar sind, und die zugehörigen Ressourcen verweisen nun ausdrücklich auf NIST SP 800-82 Rev.3 als Begleitleitfaden für industrielle Steuerungssysteme. Diese Integration signalisiert, dass NIST anerkennt, dass sich OT-Sicherheit nicht mit einem einzigen allgemeinen Dokument adressieren lässt.
Die sechs Kernfunktionen des CSF in industriellen Umgebungen
1. Govern (GV): Aufbau des organisatorischen Fundaments
Die Funktion Govern etabliert die Richtlinien, Rollen und Risikomanagementstrategien, die allen anderen Sicherheitsaktivitäten ihre Richtung geben. In OT-/ICS-Umgebungen bedeutet dies, die Schnittstelle zwischen Betriebsrisiko und Cyberrisiko zu formalisieren – ein Dialog, der historisch schwierig war, weil Engineering-Teams und IT-/Security-Teams oft unterschiedliche Risikosprache verwenden.
Die praktische Umsetzung umfasst hier die Erstellung einer OT-Cybersicherheitsrichtlinie, die Prozessverfügbarkeitsanforderungen ausdrücklich berücksichtigt, die Festlegung der Verantwortung für OT-Assets (oft aufgeteilt zwischen IT, OT-Engineering und Anlagenbetrieb) sowie die Etablierung einer Risikomanagementstrategie, die mit relevanten Compliance-Rahmenwerken wie NERC CIP für Energieversorger, IEC 62443 für industrielle Automatisierung oder TSA Security Directives für Pipeline-Betreiber abgestimmt ist.
• Richten Sie ein OT-spezifisches Risikogovernance-Komitee mit Vertretung aus Betrieb, Engineering und Security ein.
• Definieren Sie akzeptable Risikoschwellen für Betriebsunterbrechungen, nicht nur für Datenabflussszenarien.
• Richten Sie die Governance der Cybersicherheit von Beginn an an den branchenspezifischen regulatorischen Anforderungen aus.
2. Identify (ID): Wissen, was Sie schützen
Sie können nicht schützen, was Sie nicht sehen können. In OT-Umgebungen ist die Anlageninventarisierung notorisch schwierig. Anders als in IT-Umgebungen, in denen Active Directory einen Ausgangspunkt bietet, enthalten OT-Netzwerke häufig Assets, die nie formal dokumentiert wurden – veraltete RTUs, die vor einem Jahrzehnt installiert wurden, Engineering-Workstations mit Windows XP, Feldgeräte, die im Rahmen von Investitionsprojekten ohne Sicherheitsprüfung hinzugefügt wurden.
Die auf ICS angewandte Funktion Identify erfordert die Erfassung von PLCs, RTUs, HMIs, Engineering-Workstations, Historian-Servern und der gesamten Netzwerkinfrastruktur in der OT-Umgebung. Entscheidend ist, dass dieses Inventar die Kommunikationsmuster erfasst – wer mit wem spricht, über welches Protokoll und in welchem Netzwerksegment.
Passive Netzwerküberwachungstools wie Claroty, Nozomi Networks, Dragos Platform und Microsoft Defender for IoT können Assets erkennen, ohne Pakete zu senden, die die Prozesskommunikation stören könnten. Aktives Scannen, in der IT Standard, kann PLC-Fehlerzustände auslösen und sollte in OT-Umgebungen vermieden oder sehr eng begrenzt werden.
Ein großer nordamerikanischer Energieversorger entdeckte bei seinem ersten passiven Netzwerk-Discovery-Engagement über 2.400 zuvor nicht erfasste OT-Assets. Die Mehrzahl befand sich im Operational-Technology-Netzwerk, war jedoch in keinem CMDB-Eintrag erfasst.
3. Protect (PR): Umsetzung mehrschichtiger Schutzmaßnahmen
Die Funktion Protect umfasst Zugriffskontrolle, Identitätsmanagement, Datensicherheit, Schutztechnologien und Security-Schulungen. In OT-Umgebungen erfordert diese Funktion einen mehrschichtigen Ansatz, der auf dem Purdue-Modell oder der Zone-and-Conduit-Architektur nach ISA/IEC 62443 aufbaut.
Netzwerksegmentierung bleibt die Schutzmaßnahme mit dem höchsten Wert in industriellen Umgebungen. Eine korrekte Umsetzung bedeutet DMZ-Zonen zwischen IT- und OT-Netzen, strikte Verkehrsfilterung an jeder Purdue-Level-Grenze und protokollbewusste Firewalls, die industrielle Protokolle inspizieren, statt sie lediglich auf Basis von Portnummern durchzulassen.
Remote-Zugriff ist zu einem kritischen Angriffsvektor geworden. Anlagenhersteller, Integratoren und Remote-Monitoring-Dienste benötigen alle Konnektivität zu OT-Systemen. Best Practice verlangt dedizierte Jump-Server in OT-DMZs, MFA für alle Remote-Zugriffssitzungen, Sitzungsaufzeichnung und Just-in-time-Zugriffsbereitstellung – und damit das Abschaffen dauerhaft aktiver VPN-Tunnel in operative Netze.
• Implementieren Sie unidirektionale Sicherheits-Gateways (Data Diodes), wenn keine Echtzeit-Kommunikation in beide Richtungen erforderlich ist.
• Härten Sie HMI- und Engineering-Workstation-Konfigurationen ab: USB-Ports deaktivieren, Applikations-Whitelisting einschränken, unnötige Dienste entfernen.
• Wenden Sie MFA an für alle privilegierten und Remote-Zugriffswege in OT-Netze.
• Führen Sie regelmäßige Security-Awareness-Schulungen durch, die auf OT-Bediener zugeschnitten sind, nicht generische Phishing-Simulationen.
4. Detect (DE): Bedrohungen im OT-spezifischen Kontext erkennen
Die Erkennung in OT-Umgebungen erfordert einen grundlegend anderen Ansatz als das IT-Sicherheitsmonitoring. Standard-SIEM-Implementierungen, die nach Windows-Ereignisprotokollen und fehlgeschlagenen Authentifizierungsversuchen suchen, übersehen die gefährlichsten ICS-spezifischen Verhaltensweisen: unautorisierte PLC-Neuprogrammierung, unerwartete Änderungen von Prozess-Sollwerten, anomale Kommunikation zwischen Komponenten, die gar nicht miteinander kommunizieren sollten.
ICS-bewusste Intrusion-Detection-Systeme – Plattformen, die DNP3, Modbus, EtherNet/IP und OPC auf Protokollebene verstehen – sind essenziell. Diese Systeme erstellen Baselines der normalen Prozesskommunikation und erzeugen Alarme bei Abweichungen. Dragos, Claroty und Nozomi Networks haben Erkennungslogik entwickelt, die die spezifischen Verhaltensweisen berücksichtigt, die mit ICS-Malwarefamilien wie TRITON/TRISIS (gegen Safety Instrumented Systems), Industroyer und BlackEnergy verbunden sind.
Wirksame Erkennungsprogramme in OT-Umgebungen erfordern außerdem die Integration von Prozesshistorianen und Sicherheitsmonitoring – also die Korrelation von Steuerungsdaten mit Netzwerkereignissen, um Szenarien zu identifizieren, in denen sich ein Cyberangriff eher als Prozessanomalie denn als Netzwerkalarm manifestiert.
Beim TRITON/TRISIS-Angriff auf eine petrochemische Anlage im Nahen Osten zielte die Malware gezielt auf das Triconex Safety Instrumented System – die letzte Verteidigungslinie vor einer physischen Katastrophe. Die Erkennung erfolgte über einen fehlgeschlagenen Neuverteilungsversuch, nicht über ein Sicherheitstool.
5. Respond (RS): OT-spezifische Incident-Response-Planung
Incident Response in OT-Umgebungen unterliegt Restriktionen, die in IT nicht existieren. Ein Security-Team kann einen kompromittierten Server, auf dem ein Batch-Chemieprozess läuft, nicht einfach isolieren, ohne möglicherweise einen gefährlichen Zustand auszulösen. Response-Verfahren müssen in enger Zusammenarbeit mit Betriebs- und Sicherheitsingenieurteams entwickelt werden und die betrieblichen Auswirkungen jeder Reaktionsmaßnahme berücksichtigen.
OT-Incident-Response-Pläne müssen klare Entscheidungsbefugnisse definieren: Wer die Netzwerktrennung autorisieren darf, wer vor dem Abschalten eines Leitsystems informiert werden muss und wie die manuellen Betriebsverfahren aussehen, wenn automatisierte Systeme nicht verfügbar sind. Tabletop-Übungen, die ICS-spezifische Angriffsszenarien simulieren – Ransomware, die Historian-Server verschlüsselt, unautorisierte Änderung von PLC-Logik, HMI-Kompromittierung – sind essenziell, um diese Pläne zu validieren, bevor sie benötigt werden.
Organisationen, die unter NERC CIP, CISA-Beratungsmitteilungen oder branchenspezifischen Rahmenwerken fallen, sollten auch ihre regulatorischen Meldepflichten verstehen – die Fristen für die Meldung von Cybervorfällen an CISA, sektorale ISACs und Aufsichtsbehörden variieren je nach Branche und Vorfalltyp.
6. Recover (RC): Wiederherstellung des Betriebs mit Sicherheit
Die Funktion Recover konzentriert sich auf die Aufrechterhaltung der Resilienz und die Wiederherstellung von Fähigkeiten nach einem Vorfall. Für OT-Umgebungen muss die Wiederherstellungsplanung drei unterschiedliche Anforderungen berücksichtigen: die Wiederherstellung der Cybersicherheitskontrollen, die Wiederherstellung der Prozessdatenintegrität und die Wiederherstellung der betrieblichen Kontinuität – in einer Reihenfolge, die sicherstellt, dass die Sicherheit niemals kompromittiert wird.
Sichere, offline gespeicherte Backups der PLC-Logik, der HMI-Konfiguration, der Historian-Daten und der Konfigurationen von Netzwerkgeräten sind grundlegende Wiederherstellungsressourcen. Diese Backups müssen in von Produktionsnetzen isolierten Umgebungen gespeichert und regelmäßig durch Wiederherstellungsübungen getestet werden. Viele Organisationen stellen während eines realen Vorfalls fest, dass ihre Backups unvollständig, veraltet oder mit aktuellen Hardwareversionen inkompatibel sind.
Recover umfasst auch die Nachbereitung des Vorfalls: zu verstehen, wie der Angreifer Zugriff erlangt hat, was er innerhalb der Umgebung getan hat und welche Änderungen während des Eindringens an den Prozesskonfigurationen vorgenommen wurden.
7-Schritte-Implementierungsfahrplan für OT-Sicherheitsteams
Die Übersetzung des NIST CSF in ein umsetzbares OT-Sicherheitsprogramm erfordert einen strukturierten Implementierungsansatz. Der folgende siebenstufige Fahrplan, abgeleitet aus der eigenen Implementierungsleitlinie von NIST und abgestimmt auf die Anforderungen von ISA/IEC 62443, bietet einen praktischen Weg von der ersten Bewertung bis zur messbaren Verbesserung der Sicherheit.
Schritt | Aktivität | Wichtige Maßnahmen & Überlegungen |
1 | Priorisieren & abgrenzen | Identifizieren Sie kritische OT-Systeme; definieren Sie Scope-Grenzen im Einklang mit der Unternehmensmission und den regulatorischen Verpflichtungen (NERC CIP, TSA, IEC 62443) |
2 | Anforderungen verstehen | Compliance-Anforderungen abbilden (ISA/IEC 62443 SL-Levels), Prozessabhängigkeiten dokumentieren, regulatorische und vertragliche Anforderungen identifizieren |
3 | Aktuelles Profil erstellen | Den aktuellen Reifegrad der CSF-Funktionen in OT-Umgebungen bewerten; vorhandene Kontrollen, Lücken und das Technologieinventar dokumentieren |
4 | Risikobewertung | OT-spezifische Risikobewertung gemäß NIST SP 800-30 und IEC 62443-3-2 durchführen; Bedrohungen auf Basis der betrieblichen Konsequenzen priorisieren, nicht nur nach Eintrittswahrscheinlichkeit |
5 | Zielprofil definieren | Gewünschte Sicherheitslage für jede CSF-Kategorie festlegen; Zielwerte an Risikotoleranz des Unternehmens und betriebliche Restriktionen anpassen |
6 | Gap-Analyse | Aktuelles und Zielprofil vergleichen; Abhilfemaßnahmen nach Risikoreduktionspotenzial und betrieblicher Umsetzbarkeit priorisieren |
7 | Maßnahmenplan umsetzen | Priorisierte Verbesserungen mit klaren Verantwortlichkeiten, Zeitplänen und Erfolgsmetriken umsetzen; in laufende OT-Change-Management-Prozesse integrieren |
Schritt 1: Kritische OT-Systeme priorisieren und abgrenzen
Bevor irgendeine Sicherheitsinvestition erfolgt, müssen Organisationen festlegen, welche OT-Systeme im Scope sind und warum. Das ist nicht einfach eine technische Übung – sie erfordert Input von Betrieb, Engineering, Rechtsabteilung und Unternehmensleitung. Systeme, die Sicherheitsfunktionen, Produktionskontinuität oder regulatorische Compliance unterstützen, sollten die höchste Priorität erhalten.
Die Abgrenzung sollte sich an den ISA/IEC-62443-Zonendefinitionen orientieren. Definieren Sie, welche Systeme Zone 0 (Feldgeräte), Zone 1 (Basissteuerung), Zone 2 (übergeordnete Steuerung) und Zone 3 (Fertigungsbetrieb) bilden – und legen Sie fest, welche Zonen unmittelbar vom Sicherheitsprogramm erfasst werden und welche in späteren Phasen folgen.
Schritt 2: System- und Compliance-Anforderungen verstehen
Das Bedrohungsbild für Ihren spezifischen Sektor zu verstehen, ist essenziell. Eine Erdgasverdichtungsstation sieht sich anderen Angreiferprofilen gegenüber als eine Automobilfertigungsanlage. Die ICS-CERT-Beratungsmitteilungen von CISA, branchenspezifische ISACs (E-ISAC für Strom, WaterISAC für Wasserversorger, A-ISAC für Luftfahrt) und Dragos' jährlicher Year-in-Review-Bericht liefern branchenspezifische Threat Intelligence, die Ihre Sicherheitsanforderungen prägen sollte.
ISA/IEC 62443 definiert Security Levels (SL 1-4), die den Widerstand gegen zunehmend leistungsfähige Angreifer beschreiben – von Gelegenheitsangreifern bis hin zu staatlich unterstützten Akteuren mit Insiderwissen. Die Festlegung, auf welchen SL Ihre kritischen Systeme ausgerichtet werden sollen, ist eine grundlegende Anforderung dieses Schritts.
Schritt 3: Das aktuelle Cybersicherheitsprofil erstellen
Ein aktuelles Profil ist eine Momentaufnahme der derzeitigen Umsetzung der CSF-Kategorien und -Unterkategorien in der Organisation. In OT-Umgebungen muss diese Bewertung mit OT-spezifischem Kontext durchgeführt werden – nicht einfach aus einer IT-Sicherheitsbewertung übernommen werden. Ein IT-Team, das nie in einer Leitsystemumgebung gearbeitet hat, wird Risiken systematisch unterschätzen und Kontrollen empfehlen, die operativ nicht praktikabel sind.
Bewertungen auf Basis von NIST SP 800-82 Rev.3-Kontrollen liefern eine strukturierte Ausgangsbasis, die direkt auf die CSF-Funktionen abbildbar ist und von Aufsichtsbehörden wie CISA, EPA (für Wasserversorger) und FERC (für Energieversorger) anerkannt wird.
Schritt 4: Die OT-Risikoanalyse durchführen
Die Methodik der OT-Risikoanalyse muss eine Konsequenzanalyse einbeziehen, die die betriebliche Realität widerspiegelt. Ein Risikomodell, das alle Kompromittierungen von Steuerungssystemen als gleichwertig behandelt, übersieht den entscheidenden Unterschied zwischen etwa dem unautorisierten Zugriff auf einen Historian-Server und dem unautorisierten Zugriff auf eine Safety-PLC, die Burner-Management-Logik steuert.
Die Consequence-Driven Cyber-Informed Engineering (CCE)-Methodik von CISA bietet einen ausgezeichneten Rahmen für die Konsequenzanalyse in kritischen Infrastrukturen. Indem mit den Szenarien mit den höchsten Konsequenzen begonnen wird – welche Aktionen eines Angreifers könnten den größten Schaden verursachen – und dann rückwärts gearbeitet wird, um die Cyber-Pfade zu identifizieren, die diese Szenarien ermöglichen könnten, erstellen Organisationen Risikobewertungen, die reale physische Folgen statt abstrakter Bewertungsmatrizen abbilden.
Schritte 5-7: Vom Zielprofil zur Umsetzung
Die Definition eines Zielprofils erfordert eine ehrliche Anerkennung der betrieblichen Restriktionen. In Umgebungen, in denen das Patchen einer bestimmten PLC-Firmware einen 72-stündigen geplanten Ausfall erfordert, müssen Sicherheitsteams kompensierende Kontrollen aufbauen – Netzwerkmonitoring, strikte Zugriffskontrolle, Application Whitelisting auf benachbarten HMI-Systemen – statt die Schwachstelle lediglich als nicht behoben zu vermerken.
Die Gap-Analyse überführt die Differenz zwischen Ist- und Sollprofil in eine priorisierte Maßnahmen-Roadmap. Die Priorisierung sollte das Potenzial zur Risikoreduktion stark gewichten – eine kostengünstige Verbesserung der Netzwerksegmentierung, die einen hochkritischen Angriffsweg eliminiert, liefert mehr Sicherheitswert als eine teure Endpoint-Sicherheitslösung auf Systemen mit geringer Exposition.
Industrielle Cybersicherheits-Best Practices nach Sektor
Energieversorger: Ausrichtung von NERC CIP und CSF
Energieversorger, die Bulk Electric System (BES)-Assets in Nordamerika betreiben, unterliegen den NERC-CIP-Reliability-Standards – einem der ausgereiftesten und am stärksten vorgegebenen regulatorischen OT-Sicherheitsrahmen, die existieren. Für diese Organisationen dient das NIST CSF als höherstufiges Framework, das Sicherheitsreife über die NERC-CIP-Mindestanforderungen hinaus demonstriert, was Regulatoren und Vorstände zunehmend erwarten.
NERC CIP-007 (Systems Security Management), CIP-010 (Configuration Change Management) und CIP-013 (Supply Chain Risk Management) lassen sich direkt den CSF-Funktionen Protect und Identify zuordnen. NERC CIP war jedoch traditionell binär – entweder Sie erfüllen den Standard oder nicht. Das gestufte Reifemodell des CSF hilft Versorgern, ihre Sicherheitslage als Kontinuum zu verstehen und nicht nur als Compliance-Status.
Öl & Gas: Schutz verteilter Feldoperationen
Öl- und Gasbetriebe stehen vor besonderen Herausforderungen: geografisch verteilte Assets, umfassende Abhängigkeit von veralteten RTUs in abgelegenen Pipeline-Überwachungsstationen, Satelliten- und Mobilfunkkommunikation mit begrenzter Bandbreite für Security-Tools sowie komplexe Vertrags- und Lieferantenbeziehungen. Die Funktion Identify des CSF – insbesondere Anlageninventar und Risikobewertung – weist in diesem Sektor häufig den niedrigsten Reifegrad auf.
Die Security Directives der TSA aus den Jahren 2021 und 2022 für Pipeline-Betreiber verlangten nach dem Colonial-Pipeline-Ransomwarevorfall konkrete OT-Cybersicherheitsmaßnahmen. Zwar handelte es sich dabei primär um eine IT-Kompromittierung, sie zeigte jedoch die operativen Auswirkungen der IT-/OT-Vernetzung. Organisationen, die diesen Direktiven unterliegen, stellen fest, dass CSF-ausgerichtete Programme eine praxistaugliche Struktur bieten, um die Anforderungen zu erfüllen und gleichzeitig eine nachhaltige langfristige Sicherheitslage aufzubauen.
Wasser & Abwasser: OT-Sicherheit mit begrenzten Ressourcen
Der Wassersektor gehört aus Cybersicherheitssicht zu den am stärksten ressourcenbeschränkten kritischen Infrastruktursektoren. Die meisten Wasserversorger sind kleine, öffentlich betriebene Systeme mit begrenztem IT-/OT-Sicherheitspersonal und knappem Budget. CISA WaterISAC und die 2024er Cybersecurity Best Practices der EPA bieten branchenspezifische Leitlinien, die auf die CSF-Funktionen abgestimmt sind.
Der Oldsmar-Vorfall verdeutlichte eine wiederkehrende Verwundbarkeit des Sektors: Fernzugriff über Consumer-Tools (in diesem Fall TeamViewer), gemeinsam genutzte Zugangsdaten und keine OT-Netzwerksegmentierung. Die Umsetzung der CSF-Function Protect – insbesondere Access Control (PR.AC) und Protective Technology (PR.PT) – adressiert diese kritischsten Lücken selbst bei knappen Ressourcen.
Fertigung: IIoT-Expansion und die sich entwickelnde Angriffsfläche
Initiativen für Smart Manufacturing – Digital Twins, IIoT-Sensornetzwerke, Predictive-Maintenance-Plattformen – erweitern die OT-Angriffsfläche schneller, als sich Sicherheitsprogramme anpassen. Jedes neu angeschlossene Gerät ist ein potenzieller Einstiegspunkt, und Fertigungsumgebungen verfügen oft nicht über ausgereifte Change-Management-Prozesse, die neue OT-Verbindungen einer Sicherheitsprüfung unterziehen würden.
Die CSF-Funktion Govern ist hier besonders relevant: Organisationen mit klaren Cybersicherheitsrichtlinien für Beschaffung, Einführung und Sicherheitskonfigurationsprüfungen von IIoT-Geräten vor der Produktionsanbindung sind deutlich besser aufgestellt als jene, die IIoT als reine Engineering-Entscheidung behandeln.
Häufige Implementierungsfehler und wie Sie sie vermeiden
Häufiger Fehler | Empfohlener Ansatz |
IT-Sicherheitstools direkt auf OT-Netze anwenden | Passive, protokollbewusste OT-Sicherheitsplattformen verwenden. Aktives Scannen kann PLC-Fehler und Prozessstörungen verursachen. |
CSF-Compliance als Ziel behandeln | Das CSF ist ein Risikomanagement-Werkzeug, kein Compliance-Häkchen. Nutzen Sie Profile, um messbare Sicherheitsverbesserungen voranzutreiben, nicht Dokumentationsübungen. |
OT-Bewertungen ohne OT-Expertise durchführen | IT-Security-Teams ohne ICS-Erfahrung bewerten OT-Risiken systematisch falsch ein. Beauftragen Sie für die Bewertung OT-spezialisierte Sicherheitsfachleute. |
Lieferanten- und Lieferkettenrisiken vernachlässigen | ICS-Anbieter, Systemintegratoren und Remote-Support-Provider sind häufige Erstzugriffsvektoren. Wenden Sie die CSF-Funktionen Identify und Govern auch auf Drittrisiken an. |
Incident-Response-Pläne in Silos erstellen | OT-Incident Response muss Betrieb, Sicherheit und Engineering einbeziehen – nicht nur das Security-Team. Validieren Sie die Pläne durch Tabletop-Übungen. |
Zu wenig in Erkennungsfähigkeiten investieren | Viele Organisationen investieren überproportional in Perimeterschutz und zu wenig in ICS-bewusste Erkennung. Gehen Sie von einem erfolgreichen Angriff aus und bauen Sie Erkennungs- und Reaktionsfähigkeit entsprechend auf. |
Eine nachhaltige OT-Sicherheitsorganisation aufbauen
Das NIST Cybersecurity Framework, angewandt mit OT-spezifischer Disziplin, bietet industriellen Organisationen einen strukturierten Weg von reaktiven, fragmentierten Sicherheitsmaßnahmen hin zu einer proaktiven, risikogesteuerten Sicherheitslage. Die Stärke des Frameworks liegt nicht in seiner Detailvorgabe, sondern in seiner Flexibilität – es kann die enorme Vielfalt industrieller Steuerungssysteme abdecken, von Hochspannungs-Umspannwerken über Pharma-Batch-Processing-Systeme bis hin zu Offshore-Ölplattformen.
Die Organisationen, die CSF-ausgerichtete OT-Sicherheitsprogramme erfolgreich umsetzen, weisen mehrere Merkmale auf: Sie behandeln Sicherheit als operative Disziplin und nicht als an Engineering-Systeme angeflanschte IT-Funktion; sie investieren in OT-spezifische Expertise, entweder intern oder über spezialisierte Partner; und sie bauen Programme auf, die messbare Risikoreduktion nachweisen können, statt lediglich auditfähig zu sein.
Die neue Govern-Funktion des NIST CSF 2.0, kombiniert mit der technischen Tiefe von SP 800-82 Rev.3 und der industriellen Spezifität von ISA/IEC 62443, bietet die umfassendste öffentlich verfügbare Grundlage für die Entwicklung von OT-Sicherheitsprogrammen. Die Frage ist nicht mehr, ob die Leitlinien existieren – sondern ob Organisationen bereit sind, sie mit der Strenge anzuwenden, die der Schutz kritischer Infrastrukturen erfordert.
Angreifer warten nicht darauf, dass Organisationen ihre Framework-Bewertungen abgeschlossen haben. Im Jahr 2024 dokumentierte CISA über 500 bekannte ausgenutzte Schwachstellen, die ICS- und OT-Komponenten betrafen. Die Lücke zwischen Angreiferfähigkeit und Verteidigungsbereitschaft in OT-Umgebungen bleibt eine der folgenreichsten Sicherheitsherausforderungen im Schutz kritischer Infrastrukturen.
Empfohlene nächste Schritte für Sicherheitsteams
1. Führen Sie eine passive OT-Asset-Discovery durch, um eine vollständige Inventarbasis zu erstellen.
2. Führen Sie eine OT-spezifische Risikoanalyse durch, die an NIST SP 800-82 Rev.3 und IEC 62443-3-2 ausgerichtet ist, um Ihre risikoreichsten Schwachstellen zu identifizieren und zu priorisieren.
3. Entwickeln oder überprüfen Sie Ihren aktuellen OT-Incident-Response-Plan – stellen Sie insbesondere sicher, dass die Response-Verfahren die betrieblichen Auswirkungen berücksichtigen und Tabletop-Übungen enthalten.
4. Bewerten Sie die Fernzugriffskontrollen: Entfernen Sie dauerhaft aktive VPN-Tunnel zu OT-Netzen, implementieren Sie MFA und setzen Sie Sitzungsaufzeichnung für alle Drittzugriffe ein.
5. Implementieren Sie eine ICS-bewusste Erkennungsplattform, die Protokollmonitoring auf Protokollebene über Ihre OT-Netzsegmente hinweg ermöglicht.
6. Bauen Sie Ihr Lieferketten-Cybersicherheitsprogramm auf und weiter aus, mit Fokus auf die Integrität von ICS-Anbietersoftware und die Governance des Drittzugriffs.
Kernaussagen
NIST CSF 2.0 führt mit Govern eine neue Funktion ein, die es direkt auf OT-/ICS-Umgebungen anwendbar macht.
Die Anwendung des Frameworks auf SCADA, PLCs und RTUs erfordert eine branchenspezifische Anpassung und nicht nur eine direkte IT-Sicherheitsübertragung.
NIST SP 800-82 Rev.3 und ISA/IEC 62443 sind die Begleitstandards, die die Lücke zwischen CSF-Leitlinien und der Umsetzung vor Ort schließen.
Ein 7-Schritte-Implementierungsfahrplan hilft Sicherheitsteams dabei, von der Zielsetzung zu messbarer operativer Resilienz zu gelangen.
Bei Shieldworkz arbeiten wir Seite an Seite mit Versorgern, Energieunternehmen, Fertigungsbetrieben und Betreibern kritischer Infrastrukturen daran, Framework-Anforderungen in reale, praxiserprobte Schutzmaßnahmen zu überführen.
Kontaktieren Sie uns noch heute, um ein unverbindliches Gespräch über Ihre spezifische OT-/ICS-Umgebung zu vereinbaren. Die Systeme, die Sie schützen, versorgen unsere Welt – sie verdienen den bestmöglichen Schutz.
Wöchentlich erhalten
Ressourcen & Nachrichten
Dies könnte Ihnen auch gefallen.
Die grundlegenden Unterschiede zwischen einem IT- und OT-SOC verstehen
Team Shieldworkz
Einordnung der neuesten CISA-Empfehlung zu Zero Trust für Operational Technology
Zero-Trust-Team
Privileged Access Management in OT-Umgebungen
Team Shieldworkz
Zuordnung von IEC 62443 zu NIS2 und CRA für EU-Hersteller
Team Shieldworkz
Der digitale Nebel des Krieges: Wenn Hacktivismus professionell wird
Prayukth K V
OT-Cybersicherheit: Aktive vs. passive Angriffe und wie Sie Industrial Control Systems (ICS) schützen
Team Shieldworkz
