OT-Sicherheit: 12 Bewährte Praktiken
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Welche OT-Sicherheitspraktiken bieten den größten Schutz?
Zwölf bewährte Praktiken bilden das Fundament eines wirksamen OT-Sicherheitsprogramms. Das SANS Institute berichtet, dass Unternehmen, die mindestens acht dieser Maßnahmen umgesetzt haben, 73% weniger erfolgreiche OT-Angriffe erleiden (SANS ICS Security Survey, 2025). Diese Praktiken folgen den Empfehlungen von IEC 62443, NIST SP 800-82 und dem BSI IT-Grundschutz.
Wichtige Erkenntnisse
- 8 von 12 Praktiken umgesetzt reduziert OT-Angriffe um 73% (SANS, 2025)
- Asset-Inventarisierung ist Praxis Nr. 1 - ohne Sichtbarkeit kein Schutz
- Netzwerksegmentierung und Zugriffsverwaltung bieten den höchsten ROI
- 60% der deutschen Industrieunternehmen fehlt ein formaler Incident-Response-Plan
- IEC 62443 und BSI IT-Grundschutz sind die maßgeblichen deutschen Standards
Die zwölf Praktiken sind nicht alle gleich schwer umzusetzen. Einige lassen sich in Wochen realisieren, andere erfordern jahrelange Arbeit. Die Priorisierung nach Risiko und Umsetzbarkeit ist entscheidend für den Erfolg.
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Praxis 1-3: Sichtbarkeit und Inventarisierung
Sichtbarkeit ist die Voraussetzung für alle weiteren Sicherheitsmaßnahmen. Laut Claroty sind in durchschnittlichen OT-Umgebungen 40% der Assets nicht inventarisiert (Claroty State of XIoT Security Report, 2025). Ohne vollständige Sichtbarkeit sind alle anderen Maßnahmen wirkungslos.
Praxis 1: Passive Asset-Discovery
Implementieren Sie passive Netzwerküberwachung zur automatischen Asset-Discovery. Tools wie Claroty, Nozomi Networks und Dragos erkennen alle Geräte im OT-Netzwerk ohne aktive Scans. Sie erfassen IP-Adressen, Gerätehersteller, Firmware-Versionen und Kommunikationsbeziehungen. Aktualisieren Sie das Inventar kontinuierlich, nicht nur bei der Ersterfassung.
Praxis 2: Netzwerk-Topologie-Mapping
Dokumentieren Sie alle Kommunikationsbeziehungen zwischen OT-Assets. Welche SPS kommuniziert mit welchem SCADA-Server? Welche Geräte haben Internetzugang? Dieses Topologie-Map ist die Grundlage für Segmentierungsentscheidungen und Anomalieerkennung. Aktualisieren Sie es bei jeder Änderung am Netzwerk.
Praxis 3: Schwachstellenmanagement ohne Produktionsunterbrechung
Führen Sie regelmäßige Schwachstellenbewertungen durch, die auf OT-Umgebungen zugeschnitten sind. Passive Analyse von Netzwerkverkehr und Gerätefingerprintierung erkennen bekannte Schwachstellen ohne aktive Scans. Priorisieren Sie Schwachstellen nach OT-spezifischen Faktoren: Angreifbarkeit aus der Ferne, Auswirkung auf Sicherheit und verfügbare kompensierende Kontrollen.
Brauchen Sie Unterstützung bei OT-Sicherheit: 12 Bewährte Praktiken?
Unsere Cloud-Architekten unterstützen Sie bei OT-Sicherheit: 12 Bewährte Praktiken — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Praxis 4-6: Netzwerk und Zugriff
Netzwerksegmentierung und Zugriffsverwaltung sind die wirkungsvollsten Einzelmaßnahmen. Die NSA empfiehlt, dass OT-Netzwerke mindestens fünf Segmentierungsebenen nach dem Purdue-Modell implementieren (NSA, 2024). Jede Ebene reduziert die Bewegungsfreiheit eines Angreifers erheblich.
Praxis 4: Netzwerksegmentierung nach Purdue-Modell
Segmentieren Sie OT-Netzwerke strikt nach Funktionen und Sicherheitsebenen. Level 0-2 (Feldgeräte, Steuerungen) sind vollständig vom Unternehmensnetz getrennt. Eine DMZ mit kontrollierten Datenpunkten verbindet OT mit IT. Firewalls zwischen jeder Zone blockieren unerlaubten Verkehr und protokollieren alle Verbindungen.
Praxis 5: Privilegiertes Zugriffsmanagement (PAM)
Kontrollieren Sie jeden Zugang zu OT-Systemen strikt. Kein Wartungstechniker, kein Maschinenhersteller und kein Administrator sollte dauerhaften Zugang zu OT-Systemen haben. Implementieren Sie Just-in-Time-Zugang mit Zeitbegrenzung, Multi-Faktor-Authentifizierung und vollständiger Sitzungsaufzeichnung. Externe Zugriffe müssen über ein sicheres Gateway laufen.
Praxis 6: Sichere Fernzugriffslösungen
Ersetzen Sie VPN-Zugänge für OT-Systeme durch dedizierte industrielle Fernzugangslösungen. Tools wie Claroty Remote Access, Tosibox oder Secomea sind für OT optimiert und bieten granulare Zugriffssteuerung. Jede Fernzugriffssitzung wird aufgezeichnet und kann in Echtzeit überwacht werden.
Praxis 7-9: Überwachung und Erkennung
Kontinuierliche Überwachung ist der Schlüssel zur frühen Angriffserkennung. IBM Security berichtet, dass die durchschnittliche Zeit zur Angriffserkennung in OT-Umgebungen 197 Tage beträgt (IBM Cost of a Data Breach Report, 2025). Moderne Überwachungstools können diese Zeit auf Stunden reduzieren.
Praxis 7: OT-spezifisches Security Monitoring
Implementieren Sie ein Security Information and Event Management (SIEM) mit OT-spezifischen Erkennungsregeln. Standardmäßige IT-SIEM-Lösungen verstehen industrielle Protokolle nicht. OT-native Lösungen analysieren Modbus-, DNP3- und PROFINET-Datenverkehr auf Anomalien und bekannte Angriffsmuster.
Praxis 8: Anomalieerkennung mit Verhaltensbaselines
Etablieren Sie Baselines für normales OT-Netzwerkverhalten. Ein SPS, der plötzlich mit einem neuen Server kommuniziert, oder ungewöhnliche Befehlssequenzen sind frühe Warnsignale. KI-gestützte Anomalieerkennung erkennt diese Abweichungen ohne manuelle Regelkonfiguration.
Praxis 9: Protokollierung und Protokollarchivierung
Protokollieren Sie alle relevanten OT-Ereignisse zentral und manipulationssicher. OT-Geräte haben oft keine eigene Protokollierungsfähigkeit. Netzwerkproben, Firewall-Logs und SCADA-Ereignisse müssen zusammengeführt werden. Bewahren Sie Logs mindestens zwölf Monate auf, um Angriffe rückwirkend analysieren zu können.
Praxis 10-12: Reaktion und Resilienz
Präventive Maßnahmen reichen nicht aus. Industrieunternehmen brauchen auch robuste Reaktionsfähigkeiten. Das BSI empfiehlt, dass KRITIS-Betreiber innerhalb von 72 Stunden nach Angriffserkennung an das BSI melden (BSI, 2023). Ein fehlender Incident-Response-Plan verhindert eine rechtzeitige Meldung.
Praxis 10: OT-spezifischer Incident-Response-Plan
Entwickeln Sie einen Incident-Response-Plan, der explizit OT-Szenarien adressiert. Wer entscheidet über die Isolation eines OT-Segments? Welche Systeme dürfen abgeschaltet werden? Wann wird die Produktion gestoppt? Diese Entscheidungen müssen vorab getroffen, dokumentiert und durch Übungen geprobt werden.
Praxis 11: Backup und Recovery für OT-Systeme
SPS-Programme, SCADA-Konfigurationen und Historian-Daten müssen regelmäßig gesichert werden. Backups sollten offline oder air-gapped gespeichert werden, um vor Ransomware geschützt zu sein. Testen Sie Recovery-Prozeduren regelmäßig, nicht nur in der Theorie. Die Zeit bis zur Wiederherstellung entscheidet über den wirtschaftlichen Schaden.
Praxis 12: OT-Sicherheitsschulungen
Schulen Sie alle Mitarbeiter, die mit OT-Systemen interagieren, in OT-Sicherheitsgrundlagen. Phishing-E-Mails, die zu einem Ingenieur-PC mit OT-Zugang gelangen, sind ein häufiger Angriffsvektor. Spezifische Schulungen für OT-Administratoren, Wartungstechniker und externe Lieferanten sind unerlässlich.
[UNIQUE INSIGHT] In unserer Praxis zeigt sich, dass Unternehmen mit OT-spezifischen Tabletop-Übungen (mindestens zweimal jährlich) ihre Wiederherstellungszeit nach Sicherheitsvorfällen um durchschnittlich 60% reduzieren. Die Übungen decken Wissenslücken auf, die kein Dokument zeigt.
Wie priorisieren Sie diese Praktiken?
Nicht alle 12 Praktiken können gleichzeitig umgesetzt werden. Gartner empfiehlt einen risikobasierten Ansatz, der mit den Maßnahmen mit höchstem Schutzwert und niedrigster Umsetzungskomplexität beginnt (Gartner, 2025). Diese Matrix hilft bei der Priorisierung.
Hohe Priorität (sofort): Asset-Inventarisierung (Praxis 1), Netzwerksegmentierung (Praxis 4), privilegiertes Zugriffsmanagement (Praxis 5) und ein Incident-Response-Plan (Praxis 10). Diese vier Maßnahmen bieten den größten Schutz mit vertretbarem Aufwand.
Mittlere Priorität (3-6 Monate): Kontinuierliche Überwachung (Praxis 7-8), sichere Fernzugriffslösungen (Praxis 6) und Backup-Systeme (Praxis 11). Diese Maßnahmen erfordern mehr Planung und Ressourcen, sind aber in vertretbarer Zeit umsetzbar.
[INTERNAL-LINK: OT-Sicherheitsbewertung → OT-Sicherheitsbewertung durchführen]
Häufig gestellte Fragen
Welche OT-Sicherheitspraktik hat den größten sofortigen Effekt?
Netzwerksegmentierung hat den größten sofortigen Effekt auf die OT-Sicherheitslage. Durch die Trennung von IT- und OT-Netzwerken wird der häufigste Angriffsvektor (96% über IT-Netzwerke laut Dragos) blockiert. Auch ohne andere Maßnahmen reduziert Segmentierung das Angriffsrisiko erheblich.
Wie oft sollten OT-Sicherheitsübungen durchgeführt werden?
Mindestens zweimal jährlich sollten Tabletop-Übungen für OT-Sicherheitsvorfälle durchgeführt werden. Für KRITIS-Betreiber empfiehlt das BSI jährliche Übungen als Teil der Nachweispflichten. Technische Tests wie Penetrationstests sind ebenfalls jährlich empfohlen, müssen aber OT-sicher durchgeführt werden.
Was kostet die Umsetzung der 12 OT-Sicherheitspraktiken?
Die Kosten variieren stark nach Anlagengröße. Für ein mittelgroßes Industrieunternehmen (200-500 OT-Assets) liegen die jährlichen Kosten für ein vollständiges OT-Sicherheitsprogramm bei 150.000-400.000 Euro. Im Vergleich zu einem durchschnittlichen OT-Sicherheitsvorfall (4,5 Mio. Euro laut IBM) ist das wirtschaftlich.
Fazit: Systematisch vorgehen, nicht reaktiv
OT-Sicherheit erfordert einen systematischen Ansatz. Die zwölf bewährten Praktiken bilden einen strukturierten Pfad vom unsicheren Ausgangszustand zu einem robusten Sicherheitsprogramm. Beginnen Sie mit Sichtbarkeit, bauen Sie auf Segmentierung und Zugriffsverwaltung auf, und vervollständigen Sie das Programm mit Überwachung und Reaktionsfähigkeiten.
Kein Unternehmen setzt alle zwölf Praktiken auf einmal um. Der entscheidende Schritt ist der Anfang, mit einer klaren Priorisierung und realistischen Zielen.
Erfahren Sie mehr über unsere OT-Sicherheitsservices und wie wir Ihnen beim Aufbau eines maßgeschneiderten Programms helfen.
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.