Ihre IEC 62443-basierte Risikobewertung To-Do-Liste für 2026

Es sieht so aus, als ob das Jahr 2026 ein entscheidendes Jahr für die Cybersicherheit der Betriebstechnologie (OT) sein wird. Wir werden das Jahr mit mehr Weisheit betreten, basierend auf Erkenntnissen aus vielen Cyberereignissen von 2025.  

Mit bestehenden regulatorischen Rahmenwerken wie NIS2 und dem Cyber Resilience Act (CRA), die zusätzliche Anforderungen (in Bezug auf Eingriffe und Aufmerksamkeit) stellen, und dem neuen ISA Secure Automation and Control System Security Assurance (ACSSA)-Programm für Betriebseinrichtungen, ist die Abhängigkeit von der IEC 62443-Normenfamilie nicht mehr optional. Stattdessen ist sie nunmehr eine grundlegende Anforderung, um Sorgfaltspflicht und Resilienz zu demonstrieren. Auf strategischer Ebene zeigt sie sogar das Niveau der Cybersicherheitsreife und mehr.

Wie wir immer sagen, sollte sich Ihre Risikobewertungsstrategie über die bloße Einhaltung hinaus entwickeln. Deshalb freuen wir uns, Ihnen eine umsetzbare To-Do-Liste für Ihr IEC 62443-basiertes Risikobewertungsprogramm im neuen Jahr 2026 vorstellen zu können.

Bevor wir fortfahren, vergessen Sie nicht, unseren vorherigen Blogbeitrag über die beste IDS/IPS-Lösung für OT/ICS-Systeme hier anzusehen.

Intensives Eintauchen in Zonen und Conduits (IEC 62443-3-2)

Physische und virtuelle Netzabtrennung liegt im Zentrum einer effektiven Verteidigungsstrategie für industrielle Automatisierungs- und Steuerungssysteme (IACS). Solche eine Abtrennung soll Bedrohungsvektoren daran hindern, sich frei zu bewegen, und zugleich eine schnelle Erholung im Falle eines Cybervorfalls ermöglichen.

Ihre 2026 OT-Risikobewertung muss über einfache Netzwerkdiagramme hinausgehen, um die Sicherheit Ihrer Zonen und Conduits vollständig zu bewerten. Es geht darum, ein höheres Sicherheitsbewusstsein zu entwickeln.

· IACS-Aufteilung abschließen: Setzen Sie das Zonen- und Conduits-Modell für Ihr gesamtes zu berücksichtigendes System (SuC) um. Stellen Sie sicher, dass Ihre Zonen Anlagen basierend auf gemeinsamer Kritikalität (Konsequenzen eines Kompromisses) und Ziel-Sicherheitslevel (SL-T) gruppieren.

· Conduit-Risikobewertung: Behandeln Sie Conduits oder Kommunikationswege zwischen Zonen als unabhängige Sicherheitskomponenten. Führen Sie eine detaillierte Risikobewertung für jeden Conduit durch, um sicherzustellen, dass alle Verkehrswege nur bei dringender Notwendigkeit aktiviert und dass die erforderlichen Sicherheitskontrollen wie Firewall-Regeln, Authentifizierung, Verschlüsselung ordnungsgemäß implementiert sind, um das erforderliche SL-T für die kommunizierenden Zonen zu erreichen.

· SL-T-Erreichung überprüfen: Überprüfen Sie für jede Zone formell, dass die implementierten Gegenmaßnahmen, einschließlich der in den verbindenden Conduits, ausreichen, um das Ziel-Sicherheitslevel (SL-T) im Vergleich zum erreichten Sicherheitslevel (SL-A) zu erfüllen. Dokumentieren Sie etwaige Lücken und weisen Sie den Plan zur Behebung zu.

Strategisches Management älterer Systeme

Die ständige Präsenz von älteren Geräten ist leicht der größte Risikomultiplikator in der OT-Umgebung. Im Jahr 2026 muss Ihre Risikomanagementstrategie das Management von Altgeräten vollständig in das Risikobewertungsprogramm integrieren.

· Tiefe Aufzählung des Anlageninventars: Identifizieren Sie jedes Altgerät (wie Systeme mit abgelaufenem Lebenszyklus, die nicht unterstützte Betriebssysteme verwenden oder moderne Sicherheitsmerkmale vermissen lassen) und kartieren Sie deren Standort innerhalb Ihres Zonen- und Conduit-Modells.

· Analyse kompensierender Kontrollen: Für Altgeräte, die nicht gepatcht oder aktualisiert werden können, um die SL-T ihrer Zone zu erfüllen, dokumentieren und implementieren Sie die erforderlichen kompensierenden Gegenmaßnahmen. Ihre Risikobewertung muss formell validieren, dass diese Kontrollen, wie hostbasierte Firewalls, Anwendungswhitelist oder unidirektionale Gateways (Datendioden), eine evidenzbasierte und greifbare Risikominderung bieten.

· Virtuelle Patch-Strategie: Es ist oft schwierig, OT-Anlagen aus verschiedenen bekannten Gründen zu patchen. Sie müssen die Verwendung von virtuellen Patches als eine dokumentierte und getestete Kontrolle formalisieren, wo Hersteller-Patches nicht verfügbar sind oder die Implementierungsrisiken zu hoch sind. Ergänzen Sie dies mit einem Verfahren für kontinuierliches Monitoring und Wartung.

Anforderungen an das Cybersecurity Management System (CSMS) Programm (IEC 62443-2-1)

Das CSMS ist das operationelle Rückgrat zur Aufrechterhaltung der Sicherheit. Der Risikobewertungsprozess selbst ist ein zentraler Bestandteil des CSMS.

· IT/OT-Governance integrieren: Richten Sie Ihr OT-CSMS (IEC 62443-2-1) an Ihrem Corporate IT Information Security Management System (ISMS, z.B. ISO 27001) aus. Die Governance-Struktur muss die Folgenauswirkungs-Szenarien umfassend adressieren, die beide Bereiche umfassen.

· Maturity Model Assessment: Nutzen Sie das CSMS Maturity Model (oft ML0 bis ML4), um die Sicherheitslage Ihres Unternehmens objektiv zu bewerten über zentrale CSMS-Elemente hinweg (z.B. Risikomanagement, Vorfallreaktion, Patchmanagement). Dies bietet dem Management eine klare, quantifizierbare Roadmap für Verbesserungen, die über rein technische Kontrollen hinausgehen.

· Rollenbasierte Schulung: Verifizieren Sie, dass Sicherheitsbewusstsein und technische Schulung rollenbasiert sind und speziell auf die einzigartigen OT-Umweltrisiken eingehen, die in Ihrer neuesten Bewertung identifiziert wurden. Bediener, Ingenieure und IT-Mitarbeiter benötigen klare, dokumentierte Sicherheitsverantwortlichkeiten.

Fokus auf grundlegende Kontrollen (IEC 62443-3-3)

Ihre detaillierte Risikobewertung muss direkt zu den sieben Grundlegenden Anforderungen (FRs) und ihren spezifischen Systemanforderungen (SRs) in IEC 62443-3-3 abbilden.

Kontinuierliche Überwachung und Überprüfung

Eine IEC 62443-basierte Risikobewertung ist kein einmaliges Ereignis; sie ist eine Phase im Zyklus der kontinuierlichen Verbesserung.

· Trigger-basierte Neubewertung: Formulieren Sie Auslöser für eine sofortige Neubewertung des Risikos, wie:

o Jede wesentliche Systemänderung (neue Ausrüstung, Netzwerkanpassung).

o Entdeckung einer kritischen Schwachstelle (Zero-Day), die eine IACS-Komponente betrifft.

o Ein Sicherheitsvorfall (auch Beinahe-Unfälle).

· Anbieter- und Lieferkettensicherung (IEC 62443-2-4 / 4-1): Angesichts der sich entwickelnden Vorschriften wie CRA, muss Ihre Risikobewertung die Sicherheitslage Ihrer Lieferanten und Dienstleister berücksichtigen. Fordern Sie Nachweise ihrer Einhaltung von IEC 62443-4-1 (Sicherer Produktentwicklungslebenszyklus) und 62443-2-4 (Sicherheitsprogramm-Anforderungen für Dienstleister) an.

Im Jahr 2026 müssen wir mehr Anstrengungen und Aufmerksamkeit darauf verwenden, eine kontextbezogenere OT-Sicherheitsrisikobewertung sicherzustellen und diese mit greifbaren Sicherheitsauswirkungen und Vorfallreaktionsmaßnahmen zu verknüpfen.

Durch eine rigorose Umsetzung dieser To-Do-Liste werden Sie nicht nur das cyber-physische Risikoprofil Ihrer Organisation reduzieren, sondern auch die notwendige auditierbare Evidenz haben, um Ihre Sicherheitsreife zweifelsfrei gegenüber den höchsten internationalen oder regionalen Standards zu demonstrieren.

Erfahren Sie mehr über unsere IEC 62443-basierte Risikobewertung

Starten Sie Ihre OT-Sicherheitsreise oder haben Sie eine Frage? Kontaktieren Sie uns hier.