Die zunehmende Vernetzung von IT und OT in kritischen Infrastrukturen wie Energie und Produktion schafft neue Angriffsflächen für Cyber-Bedrohungen mit gravierenden Folgen. Die Bedrohungslage hat sich verschärft, da professionelle Akteure und Cyberkriminelle die potenziellen Auswirkungen auf unsere Gesellschaft erkennen. Dieser Artikel beleuchtet die steigenden Risiken, die Herausforderungen bei der OT-Sicherheit und die Notwendigkeit eines Umdenkens, da traditionelle Schutzmassnahmen nicht mehr ausreichen. Nur eine proaktive und ganzheitliche Herangehensweise kann die Resilienz unserer kritischen Infrastruktur gewährleisten.

Operational Technology als Rückgrat unserer Gesellschaft

Die Welt der Operational Technology (OT) bildet das unverzichtbare Rückgrat unserer heutigen Gesellschaft und spielt insbesondere für die Schweizer Volkswirtschaft eine essenzielle Rolle. OT-Systeme steuern und automatisieren die physische Welt - von der Stromerzeugung in Wasserkraftwerken über industrielle Fertigungsprozesse bis hin zum Betrieb kritischer Infrastrukturen wie Elektrizitätswerke, Verkehrssysteme und das Gesundheitswesen.

Mit der zunehmenden Vernetzung dieser Systeme durch die fortschreitende Digitalisierung und die Verschmelzung von IT und OT - verstärkt durch Entwicklungen wie Industrie 4.0 und das Industrial Internet of Things (IIoT) - wachsen jedoch auch die potenziellen Angriffsflächen rasant an. Was einst isolierte, geschlossene Systeme waren, ist heute oft eng mit Unternehmensnetzwerken und externen Cloud-Diensten verbunden. Dadurch steigt das Risiko von Cyber-Angriffen erheblich. Ein erfolgreicher Angriff oder ein schwerwiegender Systemausfall in diesen Bereichen hätte nicht nur erhebliche wirtschaftliche Folgen, sondern könnte auch gravierende Auswirkungen auf die Sicherheit und das Wohlbefinden der Bevölkerung haben.

Steigende Bedrohungen für OT-Systeme

In den letzten Jahren haben sich Bedrohungen gegen OT-Infrastrukturen deutlich verschärft. Cyberangriffe werden zunehmend professioneller und gezielter ausgeführt, oft von staatlich geförderten Gruppen oder hochspezialisierten Cyber-Kriminellen. Selbst kleinste Schwachstellen in einem System können als Einfallstor für Angreifer dienen. Besonders kritisch ist die Tatsache, dass viele dieser Systeme ursprünglich nicht für den dauerhaften Betrieb in vernetzten Umgebungen entwickelt wurden und daher über unzureichende Schutzmechanismen verfügen.

Zusätzlich zu den technischen Herausforderungen besteht ein gravierender Mangel an qualifizierten Fachkräften im Bereich der OT-Sicherheit. Die Nachfrage nach Experten wächst rasant, doch viele Unternehmen kämpfen damit, entsprechende Kompetenzen intern aufzubauen oder geeignete Fachkräfte zu rekrutieren.

Regularien

Die Gesetzgeber haben auf die Gefahrenlage reagiert und in den letzten Jahren Vorgaben geschaffen, die Systembetreiber erfüllen müssen. Diese regulatorischen Anforderungen setzen einen minimalen Level an Sicherheit und zwingen die Betreiber zum Handeln. Die NIS2-Richtlinie sowie spezifische Schweizer Vorschriften zum Schutz kritischer Infrastrukturen stellen Unternehmen vor die Herausforderung, umfassende Sicherheitsmassnahmen im OT-Bereich zu implementieren und ihre Systeme kontinuierlich zu überwachen. Diese Regularien verlangen nicht nur technische Schutzmassnahmen, sondern auch organisatorische Vorkehrungen, um Cyber-Risiken proaktiv zu managen.

Die technischen Herausforderungen der zunehmenden Vernetzung

Früher galt in vielen Bereichen der OT das Konzept der «Air Gap»-Isolation als bewährte Sicherheitsstrategie - also die vollständige physische Trennung von OT-Systemen vom Internet und IT-Netzwerken. In besonders sensiblen und sicherheitskritischen Umgebungen kann dieses Konzept auch heute noch eine sinnvolle Schutzmassnahme sein. In den meisten Fällen ist es jedoch nicht mehr praktikabel, da moderne OT-Infrastrukturen zunehmend auf die Anbindung an IT-Technologien, Cloud-Plattformen und Fernwartungslösungen angewiesen sind.

Die Integration von Standard-IT-Technologien in OT-Umgebungen führt dazu, dass viele klassische IT-Sicherheitsprobleme nun auch in der OT auftreten. Fernwartungszugänge, ungesicherte Schnittstellen und mangelnde Netzsegmentierung sind nur einige der häufigsten Schwachstellen, die von Angreifern gezielt ausgenutzt werden. Dadurch hat sich die Angriffsfläche industrieller Systeme massiv vergrössert.

Warum viele Unternehmen noch unzureichend geschützt sind

Trotz der steigenden Bedrohungslage haben viele Unternehmen, insbesondere kleine und mittelständische Betriebe, noch nicht die notwendigen Sicherheitsmassnahmen umgesetzt. Dies hat mehrere Gründe:

• Mangelndes Bewusstsein: Viele Unternehmen unterschätzen die Risiken für ihre OT-Systeme oder gehen davon aus, dass sie für Cyberkriminelle kein lohnendes Ziel darstellen.
• Ressourcenmangel: Die Implementierung robuster Sicherheitsmassnahmen erfordert sowohl finanzielle Mittel als auch spezialisiertes Fachwissen - beides ist in vielen Unternehmen nur begrenzt verfügbar.
• Komplexität der OT-Sicherheit: Anders als in der IT kann man industrielle Steuerungssysteme nicht einfach mit Software-Updates absichern, da ungeplante Änderungen gravierende Auswirkungen auf den laufenden Betrieb haben können.
• Unklare Verantwortlichkeiten: Die traditionelle Trennung zwischen IT- und OT-Abteilungen führt häufig zu Unsicherheiten darüber, wer für die Absicherung der jetzt verbundenen Systeme zuständig ist.
• Priorisierung kurzfristiger Gewinne: Investitionen in Cybersicherheits-Massnahmen werden oft als Kostentreiber wahrgenommen und zugunsten kurzfristiger wirtschaftlicher Ziele zurückgestellt.

Doch die Risiken eines erfolgreichen Cyber-Angriffs - von Produktionsausfällen und finanziellen Schäden bis hin zu Rufschädigung und gesetzlichen Konsequenzen - sind weit grösser als die Investitionskosten für präventive Schutzmassnahmen.

IEC 62443 als Lösungsansatz für eine robuste OT-Sicherheit

Um die Widerstandsfähigkeit kritischer Infrastrukturen und industrieller Systeme nachhaltig zu stärken, ist ein strategisches Umdenken erforderlich. Genau hier setzt sowohl der Cyber Resilience Act (CRA) der Europäischen Union als auch die internationale Normenreihe IEC 62443 an.

Der Cyber Resilience Act verfolgt das Ziel, einheitliche Sicherheitsanforderungen für digitale Produkte und vernetzte Geräte innerhalb der EU zu schaffen. Insbesondere für Hersteller und Betreiber industrieller Systeme bedeutet das: Cyber-Sicherheit muss bereits im Entwicklungsprozess berücksichtigt und während des gesamten Lebenszyklus gepflegt werden. Der CRA unterstreicht damit die Notwendigkeit eines proaktiven und systematischen Sicherheitsansatzes – genau das, was IEC 62443 bietet.

Die Norm IEC 62443 bietet einen umfassenden und praxisnahen Rahmen für die Absicherung industrieller Automatisierungs- und Steuerungssysteme (Industrial Automation and Control Systems, IACS). Sie verfolgt einen ganzheitlichen Ansatz zur Cyber-Sicherheit, der alle Phasen berücksichtigt – von der Risikoanalyse über den sicheren Systementwurf bis hin zur kontinuierlichen Überwachung und Verbesserung der Sicherheitsmassnahmen.

Die IEC-62443-Standards richten sich an alle Beteiligten innerhalb der OT-Wertschöpfungskette:

• Hersteller industrieller Steuerungssysteme müssen sicherstellen, dass ihre Produkte von Grund auf mit Sicherheitsmechanismen ausgestattet sind (Security by Design).
• Systemintegratoren tragen die Verantwortung, OT-Netzwerke und Automatisierungssysteme gemäss bewährten Sicherheitspraktiken zu konfigurieren und abzusichern.
• Betreiber industrieller Anlagen sind gefordert, kontinuierlich Sicherheitsrisiken zu bewerten, Schutzmassnahmen zu implementieren und ihre Systeme regelmässig auf neue Bedrohungen hin zu überprüfen.

Fazit

Die zunehmende Vernetzung industrieller Systeme bringt nicht nur grosse Chancen, sondern auch erhebliche Sicherheitsrisiken mit sich. Unternehmen in der Schweiz und weltweit müssen sich dieser Herausforderung stellen, um langfristig wettbewerbsfähig zu bleiben und kritische Infrastrukturen zu schützen.

Im Zusammenspiel mit dem Cyber Resilience Act liefert die internationale Normenreihe IEC 62443 einen etablierten und anerkannten Leitfaden, um regulatorische Anforderungen zu erfüllen und gleichzeitig ein hohes Mass an Sicherheit und Resilienz in industriellen Umgebungen zu gewährleisten. IEC 62443 bietet eine bewährte Grundlage, um OT-Sicherheitsstrategien gezielt zu entwickeln und umzusetzen – und damit der steigenden Bedrohungslage wirksam zu begegnen.

Auf unserer OT-Security-Seite finden Sie weitere Informationen, Blogposts zum Thema und einige unserer Referenzen aus der OT-Branche.

Schaffen Sie jetzt die Grundlage für digitale Sicherheit und Resilienz Ihrer OT-Systeme – und machen Sie Ihr Unternehmen fit für die Herausforderungen der Zukunft. Kontaktieren Sie uns jetzt – Wir beraten Sie kompetent und unverbindlich.

---

In unserem nächsten Beitrag zeigen wir auf:

• Warum OT-Systeme in den Fokus von Angreifern geraten
• Welche konkreten Risiken für Infrastruktur und Sicherheit bestehen
• Wie der internationale Standard IEC 62443 als strukturiertes Rahmenwerk zur Risikominimierung dient
• Welche praktischen Vorteile die Umsetzung von IEC 62443 bietet

Alle Artikel dieser Blogreihe:

• Teil 1: Die wachsende Bedeutung von OT-Sicherheit
• Teil 2: OT-Risiken verstehen und bewerten
• Teil 3: Aufbau einer robusten OT-Sicherheitsarchitektur
• Teil 4: Best Practices und Implementierung von OT-Sicherheit