- In der OT gilt die umgekehrte Priorität: Verfügbarkeit und Safety vor Integrität vor Vertraulichkeit. Das verändert die gesamte Risikobewertung.
- OT-spezifische Bedrohungen wie Prozessmanipulation, Safety-System-Umgehung und Firmware-Tampering müssen separat betrachtet werden.
- Die Auswirkungsanalyse muss Personenschäden, Umweltschäden, Produktionsstillstand und Qualitätsverlust einbeziehen.
- Die EU-Maschinenverordnung 2023/1230 fordert ab 2027 eine erweiterte Risikobeurteilung, die Cybersecurity-Risiken für Maschinen einschließt.
- Ein kombinierter Ansatz aus ISO 27005 (IT-Risikomethodik) und IEC 62443-3-2 (OT-spezifische Zonierung und Bedrohungsanalyse) liefert die beste Grundlage.
Warum die IT-Risikomethodik in der OT nicht reicht
Wenn du ein ISMS betreibst, hast du wahrscheinlich einen etablierten Risikobewertungsprozess. Du identifizierst Assets, bewertest Bedrohungen und Schwachstellen, ermittelst die Auswirkung und Eintrittswahrscheinlichkeit und leitest Maßnahmen ab. Das funktioniert gut für Server, Netzwerke, Anwendungen und Daten.
Aber wenn du versuchst, denselben Prozess auf deine Produktionssteuerung anzuwenden, stößt du auf fundamentale Probleme.
Das erste Problem: Die Bewertungskriterien passen nicht. In der IT bewertest du die Auswirkung typischerweise in den Kategorien Vertraulichkeit, Integrität und Verfügbarkeit. Ein Datenleck betrifft die Vertraulichkeit. Eine Manipulation betrifft die Integrität. Ein Ausfall betrifft die Verfügbarkeit. Diese Kategorien existieren auch in der OT, aber ihre relative Wichtigkeit ist eine komplett andere.
Das zweite Problem: Die Bedrohungslandschaft ist anders. In der IT sind Ransomware, Phishing und Datenlecks die dominierenden Bedrohungen. In der OT kommen spezifische Bedrohungen hinzu, die es in der IT-Welt nicht gibt: Prozessmanipulation, Safety-System-Umgehung, physische Zerstörung durch Steuerungseingriffe.
Das dritte Problem: Die Auswirkungen gehen über Geld und Daten hinaus. In der IT bemisst du den Schaden in Euro, in verlorenen Daten oder in Reputationsschaden – die klassische Risikobewertung im ISMS konzentriert sich auf diese Kategorien. In der OT können Menschen sterben, Umweltschäden entstehen oder ganze Produktionsanlagen physisch zerstört werden.
Du brauchst also keine komplett neue Methodik, aber du brauchst eine angepasste Methodik, die diese Unterschiede berücksichtigt.
Safety vs. Security: Zwei Seiten derselben Medaille
In der OT-Welt gibt es eine Unterscheidung, die in der IT nicht existiert: die Unterscheidung zwischen Safety und Security.
Safety (Funktionale Sicherheit) schützt Menschen und Umwelt vor der Maschine. Safety-Maßnahmen stellen sicher, dass eine Maschine bei einem Fehler in einen sicheren Zustand übergeht. Beispiele: Not-Halt-Systeme, Schutztürüberwachung, Überdruckventile, Geschwindigkeitsüberwachung. Safety ist seit Jahrzehnten reguliert (Maschinenrichtlinie, EN ISO 13849, IEC 62061) und hat eine eigene Ingenieursdisziplin.
Security (Cybersicherheit) schützt die Maschine (und damit auch Menschen und Umwelt) vor dem Angreifer. Security-Maßnahmen verhindern, dass ein Angreifer die Steuerung manipuliert, Daten stiehlt oder Systeme lahmlegt.
Der kritische Zusammenhang: Ein Security-Vorfall kann zu einem Safety-Vorfall werden. Wenn ein Angreifer die Safety-SPS manipuliert, die den Not-Halt steuert, und anschließend die Maschinensteuerung in einen gefährlichen Zustand versetzt, versagt die Safety-Barriere. Der TRITON/TRISIS-Angriff 2017 hat genau das versucht: Ein Angreifer hat die Triconex-Sicherheitssteuerung einer petrochemischen Anlage kompromittiert, um die Safety-Funktionen zu umgehen und dann potenziell eine Explosion auszulösen.
Für die Risikobewertung bedeutet das: Jedes OT-System, das eine Safety-Funktion steuert oder beeinflusst, hat per Definition die höchste Kritikalität. Hier gibt es keinen Verhandlungsspielraum.
Die OT-Schadenskategorien
Um OT-Risiken sinnvoll zu bewerten, brauchst du erweiterte Schadenskategorien. Die folgenden fünf Kategorien haben sich in der Praxis bewährt:
1. Personenschaden (Safety Impact)
| Stufe | Beschreibung | Beispiel |
|---|---|---|
| 0 | Kein Personenschaden möglich | Monitoring-System ohne Steuerungsfunktion |
| 1 | Leichte Verletzungen möglich | Roboterarm mit reduzierter Geschwindigkeit hinter Schutzzaun |
| 2 | Schwere Verletzungen möglich | Presse mit hydraulischem Antrieb |
| 3 | Lebensgefahr oder Tod möglich | Chemische Anlage mit Druck-/Temperaturgrenzen |
Der Safety Impact hat Vorrang vor allen anderen Kategorien. Ein System mit Safety Impact 3 ist immer kritisch, unabhängig von seinem finanziellen Wert oder seiner Bedeutung für die Produktion.
2. Umweltschaden
| Stufe | Beschreibung | Beispiel |
|---|---|---|
| 0 | Kein Umweltschaden möglich | Trockene Montagelinie |
| 1 | Lokaler, begrenzter Umweltschaden | Kühlmittelleckage innerhalb des Gebäudes |
| 2 | Signifikanter Umweltschaden | Austritt wassergefährdender Stoffe ins Erdreich |
| 3 | Schwerer Umweltschaden | Chemieunfall mit Auswirkungen auf Gewässer oder Luft |
3. Produktionsstillstand
| Stufe | Beschreibung | Beispiel |
|---|---|---|
| 0 | Kein Stillstand | System ist redundant, Ausfall wird automatisch kompensiert |
| 1 | Kurzer Stillstand (< 4 Stunden) | Einzelmaschine mit schneller Wiederherstellung |
| 2 | Mittlerer Stillstand (4-24 Stunden) | Produktionslinie mit manuellem Wiederanfahrprozess |
| 3 | Langer Stillstand (> 24 Stunden) | Zentrale Steuerung ohne Backup, komplexer Wiederanfahrprozess |
| 4 | Katastrophaler Stillstand (> 1 Woche) | Zerstörung von Anlagenteilen, die ersetzt werden müssen |
4. Qualitätsverlust
| Stufe | Beschreibung | Beispiel |
|---|---|---|
| 0 | Kein Qualitätsverlust | System hat keinen Einfluss auf Produktqualität |
| 1 | Erkennbarer Qualitätsverlust | Maßabweichungen, die in der Qualitätskontrolle auffallen |
| 2 | Verdeckter Qualitätsverlust | Fehlerhafte Produkte, die die Qualitätskontrolle passieren |
| 3 | Sicherheitsrelevanter Qualitätsverlust | Fehlerhafte Produkte, die Endkunden gefährden (Rückrufaktion) |
5. Finanzieller Schaden
| Stufe | Beschreibung |
|---|---|
| 0 | < 10.000 EUR |
| 1 | 10.000 - 100.000 EUR |
| 2 | 100.000 - 1.000.000 EUR |
| 3 | > 1.000.000 EUR |
Die Gesamtbewertung ergibt sich aus dem Maximum der Einzelbewertungen, wobei Safety Impact und Umweltschaden höher gewichtet werden als finanzielle Aspekte.
OT-spezifische Bedrohungen
Neben den klassischen IT-Bedrohungen (Malware, Phishing, DDoS) gibt es OT-spezifische Bedrohungen, die du in deiner Risikobewertung berücksichtigen musst:
Prozessmanipulation
Ein Angreifer ändert Parameter der Steuerung, um den Produktionsprozess zu sabotieren. Er verändert Temperaturwerte, Druckgrenzen, Geschwindigkeiten oder Mischungsverhältnisse. Die Auswirkungen reichen von Qualitätsproblemen über Anlagenschäden bis hin zu Personengefährdung.
Besonderheit: Die Manipulation kann subtil sein. Ein leicht verändertes Mischungsverhältnis fällt möglicherweise erst auf, wenn das fertige Produkt Qualitätsprobleme zeigt, Tage oder Wochen später. Oder der Angreifer ändert den Temperatur-Sollwert eines Ofens um wenige Grad, was die Lebensdauer der Auskleidung drastisch verkürzt und Monate später zu einem teuren Stillstand führt.
Safety-System-Umgehung
Der Angreifer deaktiviert oder manipuliert Sicherheitssysteme (Safety Instrumented Systems, SIS), um anschließend einen gefährlichen Zustand herbeizuführen. Das ist die gefährlichste OT-Bedrohung, weil sie direkt Menschenleben gefährdet.
Bewertung: Diese Bedrohung hat immer die höchste Kritikalität. Jedes Safety-System, das über ein Netzwerk erreichbar ist, muss als höchstes Risiko bewertet werden.
Firmware-Tampering
Der Angreifer manipuliert die Firmware einer SPS oder eines intelligenten Feldgeräts. Im Gegensatz zu einem Softwareangriff auf einen Windows-PC überlebt ein Firmware-Angriff einen Neustart und ist mit normalen IT-Sicherheitstools nicht erkennbar.
Bewertung: Firmware-Manipulationen sind schwer zu erkennen und schwer zu beheben. Die Wiederherstellung erfordert oft einen physischen Zugriff auf das Gerät und die Neuprogrammierung über die Engineering-Workstation.
Denial of Service auf Echtzeitsysteme
In der IT ist ein DDoS-Angriff ärgerlich. In der OT kann er gefährlich sein. Wenn die Kommunikation zwischen SPS und SCADA-System unterbrochen wird, verliert der Bediener die Übersicht über den Prozess. Wenn die Kommunikation zwischen einer Safety-SPS und den Sensoren gestört wird, kann die Sicherheitsfunktion ausfallen.
Insider-Bedrohungen
In der OT-Welt haben Maschinenbediener, Instandhalter und Wartungsdienstleister oft direkten physischen Zugang zu Steuerungssystemen. Ein verärgerter Mitarbeiter oder ein nachlässiger Dienstleister kann erheblichen Schaden anrichten, ohne ausgefeilte Hacking-Tools zu benötigen.
Supply-Chain-Angriffe
Kompromittierte Software-Updates des Maschinenherstellers, manipulierte Ersatzteile mit eingebetteter Malware oder kompromittierte Wartungstools eines Dienstleisters: Supply-Chain-Angriffe auf OT-Systeme sind besonders tückisch, weil der Angriffsvektor über vertrauenswürdige Kanäle kommt.
Der Risikobewertungsprozess für OT
Schritt 1: Zonenbildung und Conduit-Identifikation
Bevor du einzelne Systeme bewertest, teile deine OT-Umgebung in Zonen ein (basierend auf dem Purdue-Modell oder IEC 62443-3-2). Jede Zone enthält Systeme mit ähnlichen Sicherheitsanforderungen. Die Verbindungen zwischen den Zonen sind Conduits.
Für jede Zone definierst du ein Sicherheitsniveau (Security Level, SL) nach IEC 62443:
| Security Level | Beschreibung | Typischer Angreifer |
|---|---|---|
| SL 1 | Schutz gegen unbeabsichtigte Fehler | Versehentliche Fehlbedienung |
| SL 2 | Schutz gegen einfache, vorsätzliche Angriffe | Insider mit geringen Ressourcen |
| SL 3 | Schutz gegen ausgefeilte Angriffe | Externe Angreifer mit mittleren Ressourcen |
| SL 4 | Schutz gegen staatliche Akteure | Staatlich gesponserte Angreifer |
Für die meisten mittelständischen Unternehmen ist SL 2 oder SL 3 angemessen. SL 4 ist nur für kritische Infrastrukturen wie Kernkraftwerke oder Energienetze relevant.
Schritt 2: Asset-Inventar und Kritikalitätsbewertung
Im Rahmen der Schutzbedarfsfeststellung bewertest du für jedes OT-Asset in jeder Zone die Kritikalität anhand der fünf Schadenskategorien (Safety, Umwelt, Produktion, Qualität, Finanzen). Die Gesamtkritikalität des Assets ergibt sich aus dem Maximum.
Besonders wichtig: Dokumentiere die Abhängigkeiten zwischen Assets. Wenn SPS A ausfällt und dadurch die gesamte Produktionslinie B stoppt, dann ist die effektive Kritikalität von SPS A mindestens so hoch wie die der gesamten Linie B.
Schritt 3: Bedrohungsanalyse
Für die kritischsten Assets (und für jeden Conduit zwischen Zonen) identifizierst du die relevanten Bedrohungen. Nutze dafür die oben beschriebenen OT-spezifischen Bedrohungen als Checkliste und ergänze sie um branchenspezifische Bedrohungen.
Für jede Bedrohung bewertest du:
-
Eintrittswahrscheinlichkeit: Wie wahrscheinlich ist es, dass diese Bedrohung eintritt? Berücksichtige dabei die Exposition des Systems (aus dem Internet erreichbar? Aus dem Büronetzwerk? Nur lokal?), die vorhandenen Schutzmaßnahmen und die aktuelle Bedrohungslage (gibt es bekannte Kampagnen gegen deine Branche oder Technologie?).
-
Auswirkung: Was passiert, wenn die Bedrohung eintritt? Nutze die fünf Schadenskategorien.
Schritt 4: Risikobewertung und Priorisierung
Das Risiko ergibt sich aus der Kombination von Eintrittswahrscheinlichkeit und Auswirkung. Verwende eine Risikomatrix, die die OT-Besonderheiten widerspiegelt:
Für Risiken mit Safety-Impact sollte die Akzeptanzschwelle deutlich niedriger liegen als für rein finanzielle Risiken. Ein „mittleres" Risiko mit potenziellem Personenschaden ist behandlungsbedürftig, während ein „mittleres" Risiko mit rein finanziellem Schaden möglicherweise akzeptabel ist.
Schritt 5: Maßnahmenplanung
Für jedes nicht akzeptable Risiko definierst du Maßnahmen. Die Maßnahmen folgen der Hierarchie:
- Risiko vermeiden: Das System oder die Verbindung entfernen (z.B. eine nicht benötigte Netzwerkverbindung einer SPS trennen)
- Risiko reduzieren: Technische und organisatorische Maßnahmen implementieren (Segmentierung, Zugangskontrolle, Monitoring)
- Risiko transferieren: Versicherung, Wartungsvertrag mit SLA
- Risiko akzeptieren: Bewusste Entscheidung, dokumentiert und von der Geschäftsleitung freigegeben
Für OT-Systeme gilt besonders: Maßnahmen dürfen die Verfügbarkeit und Safety nicht beeinträchtigen. Eine Sicherheitsmaßnahme, die das Risiko eines Produktionsstillstands erhöht, ist kontraproduktiv. Jede Maßnahme muss daher auch auf ihre Auswirkung auf den Betrieb geprüft werden.
Die EU-Maschinenverordnung und die Risikobewertung
Die EU-Maschinenverordnung 2023/1230 fordert ab 2027, dass Hersteller Cybersecurity-Risiken in ihre Risikobeurteilung einbeziehen. Für Maschinenbetreiber hat das indirekte Auswirkungen:
Neue Maschinen kommen mit einer Cybersecurity-Risikobeurteilung des Herstellers. Diese Beurteilung gibt dir wertvolle Informationen: Welche Bedrohungen hat der Hersteller identifiziert? Welche Maßnahmen hat er in die Maschine integriert? Welche Restrisiken bleiben? Welche Empfehlungen gibt er für die betreiberseitige Absicherung?
Du musst die Herstellerangaben in deine Betreiber-Risikobewertung einbeziehen. Wenn der Hersteller empfiehlt, die Maschine in einem segmentierten Netzwerk zu betreiben, und du ignorierst diese Empfehlung, trägst du das Restrisiko. Die Herstellerangaben werden damit zu einem Input für deine OT-Risikobewertung.
Bestandsanlagen ohne Cybersecurity-Beurteilung erfordern mehr eigenen Aufwand. Für Maschinen, die vor 2027 in Betrieb genommen wurden, existiert keine Cybersecurity-Risikobeurteilung des Herstellers. Du musst die Bewertung selbst durchführen, was einen höheren Aufwand bedeutet.
OT-Risikobewertung dokumentieren
Die Dokumentation der OT-Risikobewertung muss mehrere Anforderungen gleichzeitig erfüllen: Sie muss für Auditoren nachvollziehbar sein, für die Geschäftsleitung verständlich und für das operative Team handlungsleitend. Ein bewährter Aufbau:
Das OT-Risikoregister
Für jedes identifizierte Risiko dokumentierst du:
Risiko-ID und Titel: Eine eindeutige Kennung und ein kurzer, verständlicher Titel. Nicht „R-OT-014", sondern „R-OT-014: Ransomware-Befall des SCADA-Servers in Halle 2".
Betroffenes Asset: Welches OT-System ist betroffen? Mit Verweis auf das Asset-Register.
Bedrohungsszenario: Was genau könnte passieren? Beschreibe das Szenario konkret genug, damit jemand, der die Anlage nicht kennt, die Situation versteht.
Auswirkung: Bewertet in den fünf Schadenskategorien (Safety, Umwelt, Produktion, Qualität, Finanzen). Mit Begründung für jede Bewertung.
Eintrittswahrscheinlichkeit: Bewertet auf einer definierten Skala, mit Begründung (welche Schwachstellen existieren, welche Schutzmaßnahmen sind vorhanden, wie exponiert ist das System).
Risikobewertung: Ergebnis aus Auswirkung und Eintrittswahrscheinlichkeit.
Bestehende Maßnahmen: Welche Schutzmaßnahmen sind bereits implementiert?
Geplante Maßnahmen: Welche zusätzlichen Maßnahmen werden umgesetzt?
Risikoakzeptanz: Ist das Restrisiko (nach Umsetzung der geplanten Maßnahmen) akzeptabel? Wer hat diese Entscheidung getroffen?
Review-Datum: Wann wird dieses Risiko erneut bewertet?
Integration in das ISMS
Die OT-Risikobewertung sollte kein separates Dokument sein, das neben dem IT-Risikoregister existiert. Idealerweise integrierst du sie in ein gemeinsames Risikoregister, das sowohl IT- als auch OT-Risiken enthält. In ISMS Lite lassen sich IT- und OT-Risiken in einem gemeinsamen Register führen, wobei die OT-spezifischen Schadenskategorien (Safety, Umwelt) als eigene Bewertungsfelder zur Verfügung stehen, 500 Euro pro Jahr für den kompletten Funktionsumfang. Das hat mehrere Vorteile:
Die Geschäftsleitung sieht alle Risiken an einem Ort und kann vergleichen. Ein OT-Risiko mit Safety-Impact 3 wird nicht übersehen, weil es in einem separaten Dokument steht, das beim Management Review nicht vorgelegt wird.
Zusammenhänge zwischen IT- und OT-Risiken werden sichtbar. Das Risiko „Ransomware-Befall des Active Directory" hat direkte Auswirkungen auf OT-Systeme, die sich über Active Directory authentifizieren. Wenn beide Risiken im selben Register stehen, wird dieser Zusammenhang erkennbar.
Die Risikobewertungsmethodik ist einheitlich. Du musst nicht erklären, warum das IT-Risikoregister eine dreistufige Skala verwendet und das OT-Register eine fünfstufige. Eine konsistente Methodik mit OT-spezifischen Erweiterungen (Safety-Kategorie, Umwelt-Kategorie) ist der bessere Weg.
Typische Schwachstellen bei der OT-Risikobewertung
In der Praxis beobachte ich immer wieder dieselben Fehler bei OT-Risikobewertungen:
Risiken zu abstrakt formulieren. „Cyberangriff auf die Produktion" ist kein Risiko, sondern eine Kategorie. Ein Risiko muss ein konkretes Szenario beschreiben: „Ein Angreifer kompromittiert den SCADA-Server über den ungesicherten Fernwartungszugang des Maschinenherstellers und verschlüsselt die Festplatte. Die Bediener verlieren die Prozessübersicht für Linie 1 und 2. Geschätzter Produktionsausfall: 48 Stunden."
Eintrittswahrscheinlichkeit unterschätzen. Viele OT-Verantwortliche argumentieren: „Unsere Produktion war noch nie Ziel eines Angriffs, also ist die Wahrscheinlichkeit gering." Das ist ein Trugschluss. Erstens ist es möglich, dass es bereits Angriffe gab, die nicht erkannt wurden (weil kein Monitoring existiert). Zweitens ändert sich die Bedrohungslage: Was gestern unwahrscheinlich war, kann morgen Realität sein.
Kaskadeneffekte ignorieren. Du bewertest die Auswirkung eines SPS-Ausfalls isoliert (eine Maschine steht). Aber in Wirklichkeit hängen nachgelagerte Prozesse von dieser Maschine ab, und der tatsächliche Schaden ist ein Vielfaches des isoliert betrachteten Ausfalls.
Safety und Security nicht verknüpfen. Die Safety-Risikobeurteilung existiert (vom Maschinenhersteller), die Security-Risikobewertung existiert (im ISMS), aber niemand hat geprüft, ob ein Security-Vorfall eine Safety-Funktion beeinträchtigen kann. Diese Verknüpfung ist essenziell.
Compensating Controls nicht als Restrisiko dokumentieren. Du hast ein ungepatchtes System und setzt eine Firewall-Regel als Compensating Control ein. Aber du dokumentierst nicht, dass ein Restrisiko verbleibt (die Firewall-Regel kann umgangen werden, und das System bleibt verwundbar). Compensating Controls reduzieren das Risiko, eliminieren es aber selten vollständig.
Praktische Tipps für die OT-Risikobewertung
Fang mit den kritischsten Systemen an. Du musst nicht alle OT-Assets gleichzeitig bewerten. Beginne mit den Systemen, die die höchste Kritikalität haben (Safety-Systeme, zentrale SCADA-Server, Steuerungen für die Hauptproduktionslinie). Erweitere dann schrittweise.
Beziehe die Produktionstechnik ein. Die Risikobewertung für OT-Systeme kannst du nicht allein aus der IT-Perspektive durchführen. Du brauchst das Wissen der Maschinenbediener, Instandhalter und Produktionstechniker. Sie kennen die Anlagen, die Abhängigkeiten und die realen Auswirkungen eines Ausfalls.
Nutze vorhandene Safety-Bewertungen. Für viele OT-Systeme existieren bereits Safety-Risikobeurteilungen (nach EN ISO 12100, HAZOP, FMEA). Diese Bewertungen enthalten wertvolle Informationen über die Kritikalität und die Auswirkungen eines Versagens. Nutze sie als Input für deine Cybersecurity-Risikobewertung.
Dokumentiere Abhängigkeiten explizit. In der OT sind Kaskadeneffekte die Regel, nicht die Ausnahme. Wenn du die Abhängigkeiten nicht dokumentierst, unterschätzt du systematisch die Auswirkung eines Vorfalls. Ein Netzwerk-Switch, der drei Produktionslinien verbindet, hat eine andere Kritikalität als ein Switch, der nur eine Maschine anbindet. Diese Abhängigkeit muss in der Risikobewertung sichtbar sein.
Überprüfe regelmäßig. OT-Umgebungen ändern sich langsamer als IT-Umgebungen, aber sie ändern sich. Neue Maschinen, neue Netzwerkverbindungen, neue Softwareversionen, neue Bedrohungen: Überprüfe deine OT-Risikobewertung mindestens jährlich und nach jeder wesentlichen Änderung.
Weiterführende Artikel
- OT-Sicherheit im Mittelstand: Warum die Produktionssteuerung ins ISMS gehört
- IT/OT-Konvergenz: Risiken an der Schnittstelle zwischen Büro und Produktion
- SCADA und SPS absichern: Praxismaßnahmen ohne Produktionsstopp
- Purdue-Modell erklärt: Netzwerkzonen in der Produktion
- EU-Maschinenverordnung 2023/1230: Cybersecurity-Anforderungen ab 2027