Cybervize - Cybersecurity Beratung

OT-Security-Roadmap für den CISO

OT / ICS (IEC 62443)CISOOT-LeitungWerksleitungIT/OT-Governance-Verantwortliche

Kernaussage

Eine OT-Security-Roadmap ist kein Werkzeugkatalog und kein einmaliges Projekt, sondern die mehrjährige Steuerungslinie, mit der ein Unternehmen seine industriellen Steuerungssysteme schrittweise sichtbar, beherrschbar und nachweisbar macht. Sie verbindet vier Bausteine in fester Reihenfolge: OT-Asset-Inventar, Zonenmodell, risikobasierte Priorisierung und zusammengeführte IT/OT-Governance.

Der CISO steuert sie als Management- und Verfügbarkeitsthema, nicht als Technikthema. In der OT haben Verfügbarkeit und sicherer Betrieb Vorrang vor klassischen IT-Schutzzielen. Wer das nicht in die Reihenfolge der Maßnahmen übersetzt, verliert die Akzeptanz im Werk und damit die Wirksamkeit der Roadmap.

Problem in der Praxis

Viele OT-Security-Initiativen beginnen mit dem Einkauf einer Monitoring- oder Segmentierungslösung, bevor bekannt ist, welche Anlagen, Protokolle und Verbindungen existieren. Es entsteht ein Dashboard, aber keine Steuerung. Spätestens bei einer Störung oder einer Aufsichts- beziehungsweise Kundenprüfung zeigt sich die Lücke: Niemand kann verlässlich sagen, welche Komponenten produktionskritisch sind, wer sie verantwortet und wie sie kommunizieren.

OT-Umgebungen verschärfen das durch langlebige Bestandssysteme, Echtzeitanforderungen, eingeschränkte Patchfenster und die enge Wechselwirkung mit der funktionalen Sicherheit (Safety). Ein aus der IT übertragener Maßnahmenplan, der primär auf schnelle Patches und Vertraulichkeit zielt, passt hier nur teilweise. Der CISO braucht eine Roadmap, die OT-Eigenheiten als Ausgangsbedingung akzeptiert, nicht als Ausnahme.

CISO-Einordnung

Eine tragfähige OT-Roadmap beantwortet aus Management-Sicht wenige, aber harte Fragen: Welche OT-Assets existieren und welche sind produktions- und sicherheitskritisch? Wie ist die Anlage in Zonen mit definierten Kommunikationswegen gegliedert? In welcher Reihenfolge werden Risiken nach Wirkung und Aufwand behandelt? Wer entscheidet bei IT/OT-Konflikten zwischen Patchpflicht und Verfügbarkeit? Und welche Nachweise entstehen laufend aus dem Betrieb, statt kurz vor einer Prüfung rekonstruiert zu werden?

Hilfreich ist das in der Normwelt etablierte Rollenbild: Betreiber (Asset Owner), Integrator beziehungsweise Service Provider und Hersteller (Product Supplier) tragen unterschiedliche Pflichtenanteile. Der CISO ist meist Betreibervertreter und muss Erwartungen an Integratoren und Hersteller vertraglich verankern, statt sie selbst zu erbringen. Das Konzept der Schutzgrade (Security Level, SL1 bis SL4) liefert dafür eine gemeinsame Sprache gestufter Schutzziele; für die Roadmap zählt, dass ein Zielschutzgrad je Zone bewusst festgelegt wird, nicht dass jede Komponente maximal gehärtet wird.

Umsetzungsperspektive

Die Roadmap sollte einem stabilen, wiederholbaren Aufbau folgen, nicht einem werkzeuggetriebenen Ad-hoc-Vorgehen:

  1. OT-Asset-Inventar zuerst. Ohne verlässliches Inventar ist jede weitere Maßnahme Schätzung. Es erfasst Steuerungen, HMIs, Engineering-Workstations, Netzkomponenten und Feldgeräte samt Protokollen, Verbindungen und Kritikalität. Die Erhebung muss passiv beginnen können, weil aktives Scannen Anlagen stören kann.
  2. Zonenmodell als Strukturentscheidung. Die Anlage wird in Sicherheitszonen mit definierten Übergängen (Conduits) gegliedert. Dieses Defense-in-Depth-Denken ordnet Assets nach Schutzbedarf und macht Kommunikationswege bewusst entscheidbar.
  3. Risikobasierte Priorisierung. Auf Basis von Inventar und Zonen werden Risiken bewertet und je Zone ein Zielschutzgrad festgelegt. Maßnahmen folgen dem besten Wirkungs-Aufwand-Verhältnis: Netzübergänge, Fernzugänge und kritische Zonen vor flächendeckender Härtung.
  4. IT/OT-Governance zusammenführen. Ein OT-Sicherheitsprogramm ist an ein bestehendes ISMS anschlussfähig. Rollen und Eskalationsregeln für IT/OT-Konflikte werden definiert, ohne die OT in ein reines IT-Regelwerk zu zwingen.
  5. Nachweise aus dem Betrieb. Inventarstände, Zonenfreigaben, Änderungen an Übergängen und Entscheidungen bei Patch- oder Verfügbarkeitskonflikten werden laufend dokumentiert, sodass Belege ein Nebenprodukt des Betriebs sind. Das frei nutzbare BSI ICS-Security-Kompendium dient hierbei als Brücke zwischen OT-Praxis und Grundschutz-Welt.

Typische Fehler

  1. Werkzeuge werden beschafft, bevor ein Asset-Inventar existiert.
  2. Das Zonenmodell wird als Netzdiagramm gezeichnet, statt als Entscheidung über Schutzbedarf und erlaubte Kommunikation getroffen.
  3. IT-Maßnahmenpläne werden unverändert auf OT übertragen und scheitern an Patchfenstern, Echtzeit und Safety.
  4. Verantwortung wird pauschal der IT zugeschoben, ohne Werks- und Anlagenverantwortliche als Owner.
  5. Nachweise entstehen erst auf Anforderung statt aus dem laufenden Betrieb.

Risiken und Trade-offs

Die zentrale Spannung liegt zwischen Schutz und Verfügbarkeit. Aggressive Härtung oder erzwungene Patches können den Betrieb gefährden; zu zurückhaltendes Vorgehen lässt Risiken bestehen. Der CISO muss diese Abwägung explizit machen und dokumentieren, statt sie dem Werk oder der IT zu überlassen.

Ein zweiter Trade-off betrifft die Inventartiefe: Ein perfektes, aber nie fertiges Inventar blockiert die Roadmap; ein grobes, aber gepflegtes trägt Entscheidungen sofort. Drittens droht Scheinpräzision, denn ein Zielschutzgrad je Zone bleibt eine Managemententscheidung mit Restrisiko, kein technischer Automatismus. Und die IT/OT-Konvergenz erfordert kulturelle Arbeit: Werden Rollen nur auf dem Papier zusammengeführt, entstehen Konflikte bei der ersten Störung.

Entscheidungspunkte

  • Welcher OT-Bereich oder Standort bildet den ersten, betreibbaren Roadmap-Scope?
  • Welche Erhebungsmethode (passiv, teilaktiv) ist je Anlagentyp vertretbar?
  • Welcher Zielschutzgrad gilt je Zone, und wer genehmigt Abweichungen?
  • Wer entscheidet verbindlich bei IT/OT-Konflikten zwischen Verfügbarkeit und Schutzmaßnahme?
  • Welche Anforderungen an Integratoren und Hersteller werden vertraglich verankert, und welche Nachweise müssen automatisch aus dem Betrieb entstehen?

Praktische Empfehlungen

  1. Starten Sie mit einem Asset-Inventar als Fundament, nicht mit einem Werkzeugkauf.
  2. Treffen Sie das Zonenmodell als bewusste Entscheidung über Schutzbedarf und erlaubte Kommunikation, nicht nur als Zeichnung.
  3. Priorisieren Sie nach Wirkung und Aufwand: zuerst Übergänge, Fernzugänge und kritische Zonen.
  4. Legen Sie je Zone einen Zielschutzgrad fest und behandeln Sie ihn als Managemententscheidung mit Restrisiko.
  5. Führen Sie IT/OT-Governance über klare Rollen und einen Eskalationsweg für Verfügbarkeits- versus Schutzkonflikte zusammen; verankern Sie Hersteller- und Integratoranforderungen vertraglich.
  6. Gestalten Sie Nachweise als Nebenprodukt des Betriebs und prüfen Sie die Roadmap in fester Taktung.

Relevante Normreferenzen

  • IEC/ISA 62443-Serie: Referenz für OT/IACS-Security; seit 2021 als branchenübergreifende (horizontale) Normenreihe anerkannt. Liefert die Konzepte Zonen und Conduits, die Schutzgrade SL1 bis SL4 sowie das Rollenmodell Betreiber, Integrator und Hersteller. Kostenpflichtig, daher nur konzeptionell referenziert.
  • BSI ICS-Security-Kompendium (Version 2.0.0, 23.04.2024): frei zugängliches deutschsprachiges Grundlagenwerk zu OT/ICS-Security; Brücke zum IT-Grundschutz.
  • ISO/IEC 27001: ISMS-Dach, an das ein OT-Sicherheitsprogramm anschlussfähig ist; deckt OT-Spezifika nicht vollständig ab.
  • NIST SP 800-82 und NIST CSF: komplementäre, frei verfügbare OT-Leitlinien.
  • NIS2 liefert für Industrie- und KRITIS-Sektoren das Was und Wozu der Risikomanagementpflichten; konkrete nationale Paragraphenverweise sind im Einzelfall zu prüfen.

Häufige Fragen

Womit beginnt eine OT-Security-Roadmap?+

Mit einem belastbaren OT-Asset-Inventar. Ohne Sichtbarkeit über Assets, Protokolle und Kritikalität bleibt jede weitere Maßnahme Schätzung.

Warum nicht einfach den IT-Maßnahmenplan übernehmen?+

Weil OT andere Randbedingungen hat: Verfügbarkeitsprimat, Echtzeit, eingeschränkte Patchfenster, langlebige Bestandssysteme und Wechselwirkung mit der Safety.

Was leistet das Zonenmodell?+

Es gliedert die Anlage in Sicherheitszonen mit definierten Übergängen und macht Schutzbedarf und erlaubte Kommunikation zu einer bewussten Entscheidung.

Wie hängen IT und OT in der Governance zusammen?+

Ein OT-Sicherheitsprogramm ist an ein bestehendes ISMS anschlussfähig. Nötig sind klare Rollen und ein Eskalationsweg für Konflikte zwischen Verfügbarkeit und Schutzmaßnahme.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen OT / ICS (IEC 62443) prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: ot-006.