OT Risk Assessment: Risiken kennen, bevor sie zum Problem werden

Viele Unternehmen investieren in OT-Security, ohne zu wissen, wo sie wirklich stehen. Sie segmentieren Netzwerke, ohne das Bedrohungsmodell dahinter zu kennen. Sie kaufen Sicherheitstools, ohne zu wissen, welche Assets kritisch sind. Sie erfüllen Compliance-Anforderungen auf dem Papier, ohne die tatsächlichen Risiken bewertet zu haben.

Ein OT Risk Assessment schafft diese Grundlage. Methodisch, nicht als Bauchgefühl.

Unser Vorgehen

Wir orientieren uns an IEC 62443, dem zentralen Standard für industrielle Cybersicherheit, kombiniert mit praktischer Erfahrung aus realen OT-Umgebungen.

Architektur- und Dokumentenanalyse Der Ausgangspunkt ist die Systemarchitektur: Netzwerkpläne, Anlagendokumentation, Kommunikationsbeziehungen, Zonenmodelle. Wir bewerten, wie Ihre OT-Umgebung strukturiert ist und wo die Grenzen zwischen Zonen und Conduits nach IEC 62443-3-2 nicht oder unzureichend umgesetzt sind.

Interviews und Begehungen Viele Risiken stecken nicht in Dokumenten, sondern im Betrieb. Wartungsprozesse, Remote-Zugänge, Ausnahmen, die irgendwann mal gemacht wurden. Wir sprechen mit OT-Ingenieuren, Betreibern und IT-Verantwortlichen.

Bedrohungsmodellierung Welche Angriffsvektoren sind für Ihre Umgebung realistisch? Wir bewerten das anhand von MITRE ATT&CK for ICS und bekannten Angriffsmustern auf vergleichbare Infrastrukturen.

Gap-Analyse Wir vergleichen den Ist-Zustand mit dem, was IEC 62443 für Ihre Anlagen und Schutzziele fordert. Technisch und organisatorisch: Patch-Management, Zugriffskonzepte, Netzwerksegmentierung, Incident-Response-Fähigkeiten.

Risikobewertung und Roadmap Alle identifizierten Lücken werden nach Eintrittswahrscheinlichkeit und Auswirkung bewertet. Das Ergebnis ist keine lange Mängelliste, sondern eine priorisierte Roadmap. Was ist kritisch, was kann warten, was ist akzeptables Restrisiko.

Was Sie bekommen

Sie erhalten ein Zonen- und Conduit-Modell nach IEC 62443-3-2, ein dokumentiertes Risiko-Register mit Priorisierung und eine Gap-Analyse gegen die relevanten IEC-62443-Anforderungen. Dazu eine Roadmap mit konkreten Maßnahmen und Zeitrahmen sowie ein Management Summary als Entscheidungsgrundlage für Geschäftsführung und Budgetplanung.

Wann es sinnvoll ist

Wenn Sie Compliance-Anforderungen erfüllen müssen, zum Beispiel NIS2, KRITIS-Verordnung oder IEC 62443. Oder wenn Sie einfach wissen wollen, wo Sie tatsächlich stehen, bevor Sie weiter investieren.

Das Assessment ist meist der erste Schritt. Darauf aufbauend zeigt ein OT Penetration Test, ob die identifizierten Risiken tatsächlich ausnutzbar sind.