OT-Security in der Praxis

OT-Security: Fünf Wahrheiten aus der Praxis

OT-Security entscheidet sich nicht allein an Firewalls, Dashboards oder SOC-Services. Axians-Experte Timmi Hopf nennt fünf unbequeme Wahrheiten aus der industriellen Praxis. 

Redaktion Produktion Redaktion Produktion
Warum ist OT-Security mehr als Technik? Axians nennt fünf Praxislektionen zu Assets, Verantwortung, SOC und Industrieanlagen.

Summary: Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, beschreibt fünf Praxislektionen zur OT-Security. Im Mittelpunkt stehen Anlagenbegehung, Asset-Inventar, organisatorische Verantwortung, KRITIS, NIS2 und der sinnvolle Einsatz von SOC-Services. Die zentrale Botschaft: OT-Security beginnt mit Haltung und Verantwortung, nicht mit dem Kauf einzelner Technikbausteine.

Firewalls, Dashboards und eingekaufte SOC-Services können wichtige Bestandteile einer Sicherheitsarchitektur sein. Für echte OT-Security reichen sie nach Einschätzung von Timmi Hopf, Business Development Manager OT Cybersecurity bei Axians, jedoch nicht aus. Das Grundproblem liegt häufig nicht in fehlender Technik, sondern in einem unvollständigen Verständnis der eigenen Produktions- und Anlagenumgebung.

Hopf verweist auf Erfahrungen aus Produktionshallen, Pipelines und Energieinfrastrukturen in Europa und der Golfregion. Daraus leitet er fünf unbequeme Wahrheiten ab, die zeigen sollen, warum der erste Schritt in der OT-Security keine rein technische Maßnahme ist, sondern eine Haltungsentscheidung.

Auch interessant:

OT-Security beginnt nicht im Büro

OT-Security beginnt nicht am Keyboard. Sie starte dort, wo industrielle Prozesse tatsächlich laufen: in der Anlage, am Schaltschrank, an der Leitung und im Gespräch mit Instandhaltern. Wer diese Ebene überspringt, baut nach Hopfs Einschätzung auf unsicherem Fundament. Eine belastbare Asset-Discovery ist im OT-Umfeld kein rein digitaler Vorgang. Sie bedeutet, Geräte händisch zu erfassen, Schaltschränke zu öffnen und mit Personen zu sprechen, die die Anlage seit Jahren kennen.

OT-Security braucht Sichtbarkeit in der Anlage

Gerade Instandhalter wissen oft, warum eine Leitung genau so verlegt wurde oder weshalb bestimmte Komponenten seit langer Zeit in unveränderter Form betrieben werden. Hopf beschreibt diese Arbeit als praktisch, physisch und nah an der Produktion. Sicherheitsschuhe, Warnweste, Helm, Schutzbrille und in bestimmten Umgebungen ein HS-Detektor gehören dazu. Die Kernaussage: OT-Security beginnt in der Anlage, nicht im Homeoffice.

Warum Frameworks bei OT-Security
nur Orientierung geben

Regulatorische Vorgaben wie KRITIS-Anforderungen und NIS2 definieren, was Unternehmen leisten müssen. Wie diese Anforderungen in einer konkreten Umgebung umgesetzt werden, bleibt Aufgabe der jeweiligen Organisation. Das ist kein Zufall, sondern Folge der hohen Heterogenität industrieller Wertschöpfungsketten. Eine Papiermaschine für 350 Millionen Euro, ein Wasserwerk oder eine Offshore-Umspannstation unterscheiden sich grundlegend in Prozessen, Abhängigkeiten und Risikoprofilen. Wer ein Framework als fertige Antwort versteht, erzeugt lediglich Papiertiger. Für KRITIS- und NIS2-Unternehmen sei die Frage nach dem Ob beendet. Entscheidend sei nun das effiziente Wie. Für alle anderen Organisationen bleibe die zentrale Frage des Risikomanagements, ob sie es sich leisten können, nichts zu tun. Hopf bringt den Unterschied auf den Punkt: Das Gesetz schütze nicht, es verpflichte.

OT-Security scheitert oft an Verantwortung

Ein häufiger Fehler besteht darin, Cybersecurity wie einen Checklistenpunkt zu behandeln. Wird Technik beschafft, ohne Verantwortlichkeiten, Pflege und Betrieb klar zu organisieren, entsteht ein neues Risiko genau dort, wo der Schutzbedarf besonders hoch ist. Der erste Schritt ist deshalb organisatorisch. Hopf nennt Commitment und ein vollständiges Asset-Inventar als Grundlage. Denn schützen lässt sich nur, was bekannt ist. Dazu gehört auch die Frage, wer für welches Gerät verantwortlich ist. Genau an dieser Stelle zeigen sich in der Praxis häufig die größten Lücken.

Erfahren Sie mehr zum Fachkongress Digitale Fabrik: Klicken Sie hier!

Warum OT technologisch längst IT ist

Ein weiterer Punkt betrifft die technische Realität moderner Anlagen. Leitsysteme laufen auf Standard-Windows-Servern, in Standard-Virtualisierungsumgebungen und damit mit Schwachstellen, die auch aus der IT bekannt sind. Der Hinweis auf die Besonderheiten der OT wurde lange genutzt, um Verantwortung zu vermeiden. Anders ist die Konsequenz eines Ausfalls: In der IT stürzt ein Programm ab. In der OT kann eine Maschine, eine Anlage oder im Extremfall eine Versorgung betroffen sein. Manche Systeme lassen sich anschließend neu starten, andere nicht. Diesen Unterschied als Grund für Untätigkeit zu verwenden, bezeichnet Hopf als grob fahrlässig.

Was ein SOC in der OT-Security leisten kann

Managed Services und externe SOC-Angebote können in der OT-Security einen wichtigen Beitrag leisten. Sie filtern das Grundrauschen, entlasten interne Teams und bringen Expertise ein, die viele Unternehmen intern nicht schnell genug aufbauen könnten. Ein Freifahrtschein sind sie jedoch nicht. Ein SOC benötigt prozessualen Kontext. Es muss klar sein, was ein Gerät tut, an welchem Prozess es beteiligt ist und wie kritisch dieser Prozess ist. Diese Antworten kann nur die Organisation selbst liefern. Bleiben sie offen, bleibt auch die Wirkung des SOC begrenzt.

Warum geteilte SOC-Plattformen mehr leisten

Hopf betont daher die Grundlage jeder funktionierenden OT-Security: Sichtbarkeit, Inventar, Prozesse, Rollen und Verantwortlichkeiten. In vielen Fällen seien Konsolidierung und Zentralisierung sinnvoller als ein isoliertes Eigenbetrieb-SOC. Geteilte Plattformen könnten Kosten senken und Synergien in der Bedrohungserkennung schaffen.

OT-Security ist ein fortlaufender Prozess

OT-Security endet nicht mit einem Audit. Sie wächst mit Organisation, Bewusstsein und Sicherheitskultur. Entscheidend ist die Bereitschaft, überhaupt anzufangen und die eigenen Anlagen, Verantwortlichkeiten und blinden Flecken genau zu betrachten. Erfahrene Partner wie Axians können diesen Weg verkürzen, wenn sie sowohl die Sprache der IT als auch die der Produktion sprechen und industrielle Anlagen tatsächlich verstehen. Die Verantwortung bleibt jedoch bei der Organisation. Genau dort beginnt OT-Security – und genau dort muss sie dauerhaft verankert werden.

Quelle: Axians

FAQ zu OT-Security

1. Warum beginnt OT-Security nicht mit einer Firewall? 

Weil zuerst Anlagen, Assets, Prozesse und Verantwortlichkeiten bekannt sein müssen, bevor Technik wirksam schützen kann.

2. Welche Rolle spielt ein Asset-Inventar in der OT-Security?

Es bildet die Grundlage, um Geräte, Zuständigkeiten und Risiken in Produktions- und Anlagenumgebungen systematisch zu erfassen.

3. Warum reichen KRITIS und NIS2 für OT-Security nicht aus? 

Die Vorgaben beschreiben Anforderungen, liefern aber keine fertige Umsetzung für jede individuelle Industrieanlage.

4. Welche Aufgabe hat ein SOC in der OT-Security?

Ein SOC kann Warnmeldungen filtern, Teams entlasten und Expertise einbringen, ersetzt aber nicht den organisatorischen Kontext.

5. Warum ist OT-Security eine Haltungsfrage?

Weil sie dauerhaftes Verantwortungsbewusstsein, Pflege, klare Rollen und die Bereitschaft zur Auseinandersetzung mit den eigenen Anlagen erfordert.

6. Warum ist Sichtbarkeit für OT-Security entscheidend? 

Ohne Überblick über Anlagen, Geräte und Prozesse bleiben Risiken unklar und Schutzmaßnahmen lückenhaft.

7. Wann ist ein externer SOC-Service für OT-Security sinnvoll?

Wenn er interne Teams entlastet, Bedrohungen bündelt und auf einem vollständigen Asset-Inventar sowie klaren Verantwortlichkeiten aufsetzt.

axians nis2 technik managed security services kritis cybersecurity ot-security asset-inventar ot-soc

Auch interessant