OT-Sicherheitsbewertung: So Bewerten Sie Ihre Lage
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Was ist eine OT-Sicherheitsbewertung und wann brauchen Sie eine?
Eine OT-Sicherheitsbewertung ist eine systematische Analyse der Sicherheitslage industrieller Steuerungssysteme. Das SANS Institute berichtet, dass 67% der Industrieunternehmen noch nie eine formale OT-Sicherheitsbewertung durchgeführt haben (SANS ICS Security Survey, 2025). Diese Lücke erklärt, warum so viele Unternehmen von Angriffen überrascht werden, die längst bekannte Schwachstellen ausnutzen.
Wichtige Erkenntnisse
- 67% der Industrieunternehmen haben noch nie eine formale OT-Bewertung durchgeführt (SANS)
- Eine Bewertung deckt durchschnittlich 47 kritische Schwachstellen auf (Claroty)
- KRITIS-Betreiber sind nach IT-SiG 2.0 zu regelmäßigen Sicherheitsüberprüfungen verpflichtet
- Die vier Kernbereiche: Asset-Inventar, Netzwerkarchitektur, Zugriffsverwaltung, Prozesse
- Bewertungsergebnisse bilden die Grundlage für priorisierte Maßnahmenpläne
Eine OT-Sicherheitsbewertung ist nicht dasselbe wie ein IT-Penetrationstest. Sie analysiert OT-spezifische Risiken, ohne den Betrieb zu gefährden. Das Ergebnis ist ein priorisierter Maßnahmenplan, der auf die spezifischen Gegebenheiten Ihrer Anlage zugeschnitten ist.
[INTERNAL-LINK: OT-Sicherheitsgrundlagen → Was ist OT-Sicherheit?]
Wie läuft eine OT-Sicherheitsbewertung ab?
Eine professionelle OT-Sicherheitsbewertung folgt einem strukturierten Prozess. Das IEC 62443 Framework definiert vier Phasen: Scoping, Datenerhebung, Analyse und Berichterstattung (IEC, 2023). Dieser Prozess dauert je nach Anlagengröße zwischen zwei Wochen und mehreren Monaten.
Phase 1: Scoping und Vorbereitung
Definieren Sie den Umfang der Bewertung. Welche Anlagen, Gebäude und Prozesse werden bewertet? Welche Systeme sind in Scope, welche außerhalb? Ein klares Scoping verhindert Scope Creep und stellt sicher, dass die Bewertung die kritischsten Bereiche abdeckt.
Sammeln Sie vorhandene Dokumentation: Netzwerkdiagramme, Asset-Listen, Richtlinien und frühere Auditberichte. Planen Sie Interviews mit OT-Administratoren, Produktionsingenieuren und IT-Sicherheitsverantwortlichen. Diese Vorbereitung spart Zeit während der eigentlichen Bewertung.
Phase 2: Passive Datenerhebung
Installieren Sie passive Netzwerküberwachungstools für typischerweise 2-4 Wochen. Diese Tools erfassen alle Netzwerkkommunikation ohne aktive Pakete zu senden. Sie identifizieren alle Assets, Protokolle und Kommunikationsbeziehungen, die tatsächlich vorhanden sind, nicht nur die dokumentierten.
Ergänzen Sie die Netzwerkdaten durch Interviews und Dokumentenanalyse. Viele Schwachstellen sind nicht technischer, sondern prozessualer Natur: fehlende Passwortrichtlinien, ungeregelte Wartungszugänge, unzureichende Segmentierung.
Phase 3: Risikoanalyse
Bewerten Sie alle identifizierten Schwachstellen nach OT-spezifischen Kriterien. Standard-CVSS-Scores aus IT-Schwachstellendatenbanken sind für OT nicht direkt anwendbar. Ein CVSS-Score von 7 für eine Schwachstelle in einem Safety Instrumented System (SIS) ist kritischer als ein CVSS-Score von 9 in einem administrativen System ohne Produktionszugang.
Brauchen Sie Unterstützung bei OT-Sicherheitsbewertung: So Bewerten Sie Ihre Lage?
Unsere Cloud-Architekten unterstützen Sie bei OT-Sicherheitsbewertung: So Bewerten Sie Ihre Lage — von der Strategie bis zur Umsetzung. Buchen Sie ein kostenloses 30-Minuten-Beratungsgespräch ohne Verpflichtung.
Welche Bereiche deckt eine OT-Sicherheitsbewertung ab?
Eine umfassende OT-Sicherheitsbewertung analysiert vier Kernbereiche. Claroty berichtet, dass eine durchschnittliche Bewertung 47 kritische Schwachstellen aufdeckt (Claroty, 2025). Diese verteilen sich gleichmäßig auf technische, architektonische und prozedurale Bereiche.
Asset-Inventar und Sichtbarkeit
Existiert ein vollständiges OT-Asset-Inventar? Werden alle Geräte, ihre Firmware-Versionen und Kommunikationsbeziehungen erfasst? Wie alt sind die Assets und welche bekannten Schwachstellen existieren? Die Bewertung dokumentiert alle Assets mit Risikoklassifizierung.
Netzwerkarchitektur
Ist das OT-Netzwerk vom IT-Netzwerk segmentiert? Gibt es eine DMZ für gemeinsame Dienste? Sind Firewalls korrekt konfiguriert und werden Regeln regelmäßig überprüft? Welche Geräte haben Internetzugang oder externe Verbindungen? Netzwerkarchitektur-Schwachstellen sind oft die schwerwiegendsten Befunde.
Zugriffsverwaltung
Wie wird der Zugang zu OT-Systemen kontrolliert? Gibt es geteilte Passwörter? Haben externe Wartungstechniker dauerhaften Zugang? Werden privilegierte Sitzungen protokolliert? Zugriffsverwaltungs-Schwachstellen sind der häufigste Ausgangspunkt erfolgreicher Angriffe.
Prozesse und Richtlinien
Existieren formale OT-Sicherheitsrichtlinien? Gibt es einen Patch-Management-Prozess für OT-Systeme? Ist ein Incident-Response-Plan dokumentiert? Werden Sicherheitsschulungen durchgeführt? Prozesslücken sind oft schwerer zu schließen als technische Schwachstellen.
[PERSONAL EXPERIENCE] In unseren Bewertungsprojekten stellen wir durchgängig fest, dass technische Schwachstellen leichter zu schließen sind als prozessuale Lücken. Ein Netzwerksegmentierungs-Projekt hat einen klaren Anfang und ein Ende. Eine Sicherheitskulturveränderung ist ein langer Prozess.
Wie bewerten Sie die Ergebnisse?
Die Bewertungsergebnisse müssen priorisiert werden, damit Ressourcen effektiv eingesetzt werden. Das NIST Cybersecurity Framework bietet eine Maturitätsskala von 1-5, die hilft, den aktuellen Stand und Zielzustand zu definieren (NIST, 2023). Typische OT-Umgebungen ohne Sicherheitsprogramm befinden sich auf Stufe 1-2.
Kritische Befunde sofort adressieren
Kritische Befunde gefährden unmittelbar die Betriebsbereitschaft oder Mitarbeitersicherheit. Beispiele: SPS mit Standard-Passwörtern, direkte Internetverbindungen von OT-Geräten, keine Trennung zwischen IT und OT. Diese Befunde müssen sofort, typischerweise innerhalb von 30 Tagen, behoben werden.
Hohe Befunde im 90-Tage-Plan
Hohe Befunde erhöhen das Angriffsrisiko erheblich, gefährden aber nicht sofort den Betrieb. Beispiele: veraltete Firmware ohne Patch-Plan, unzureichende Protokollierung, ungepatchte bekannte Schwachstellen. Diese Befunde sollten innerhalb von 90 Tagen adressiert werden.
Wie nutzen KRITIS-Betreiber Bewertungsergebnisse für Compliance?
KRITIS-Betreiber müssen dem BSI nachweisen, dass sie angemessene Sicherheitsmaßnahmen umgesetzt haben. Eine professionelle OT-Sicherheitsbewertung bildet die Grundlage für diesen Nachweis. Das BSI akzeptiert Bewertungen nach IEC 62443 oder dem BSI IT-Grundschutz als Basis für die Nachweisführung.
Die Bewertungsergebnisse und der Maßnahmenplan dokumentieren den Reifegrad und den Verbesserungsweg. Regelmäßige Neubewertungen (mindestens alle zwei Jahre) zeigen die Fortschritte und aktualisieren den Maßnahmenplan.
[UNIQUE INSIGHT] KRITIS-Betreiber, die eine externe OT-Sicherheitsbewertung durchführen lassen und die Ergebnisse proaktiv mit dem BSI teilen, berichten von signifikant unkomplizierteren BSI-Prüfprozessen. Transparenz wird vom BSI positiv bewertet.
Häufig gestellte Fragen
Wie oft sollte eine OT-Sicherheitsbewertung durchgeführt werden?
Für KRITIS-Betreiber empfiehlt das BSI mindestens alle zwei Jahre eine vollständige Bewertung. Nach größeren Änderungen an OT-Systemen oder Netzwerkarchitektur sollte eine Neubewertung durchgeführt werden. Kontinuierliche Überwachung ergänzt periodische Bewertungen, ersetzt sie aber nicht.
Was kostet eine professionelle OT-Sicherheitsbewertung?
Für kleine bis mittlere OT-Umgebungen (50-200 Assets) liegen die Kosten bei 30.000-80.000 Euro. Große Anlagen mit mehreren Standorten und komplexen SCADA-Systemen können 150.000-500.000 Euro kosten. Die Kosten hängen stark von Umfang, Standortanzahl und erforderlicher OT-Spezialkompetenz ab.
Kann ich eine OT-Sicherheitsbewertung intern durchführen?
Interne Teams können Teile der Bewertung durchführen, insbesondere Dokumentenanalyse und Interviews. Technische Netzwerkanalyse und OT-spezifische Schwachstellenanalyse erfordern jedoch spezialisierte Werkzeuge und Expertise. Externe Bewertungen bieten außerdem eine unabhängige Perspektive, die Betriebsblindheit ausschließt.
Fazit: Bewertung als Startpunkt, nicht als Ziel
Eine OT-Sicherheitsbewertung ist der notwendige erste Schritt zu einem strukturierten Sicherheitsprogramm. Ohne zu wissen, wo Sie stehen, können Sie nicht planen, wo Sie hinwollen. Die Bewertung liefert die Datenbasis für informierte Investitionsentscheidungen.
Wichtiger als die Bewertung selbst ist die konsequente Umsetzung der Maßnahmen. Eine Bewertung, deren Ergebnisse im Aktenschrank verschwinden, hat keinen Sicherheitswert. Der Mehrwert liegt in der Verbesserung, nicht in der Dokumentation.
Sprechen Sie mit unseren Experten über eine maßgeschneiderte OT-Sicherheitsbewertung für Ihre Anlage.
[INTERNAL-LINK: OT-Reifegrad-Modell → OT-Sicherheitsreifegrad: 5 Stufen]
Über den Autor
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.