In einem Satz. Operational Technology (OT) — industrielle Steuerungssysteme (ICS), SCADA, SPS, DCS — fällt unter NIS2, sobald die betreibende Einrichtung in einem der 18 NIS2-Sektoren tätig ist; relevante Sicherheitsnormen sind IEC 62443 (mehrteilig) und der BSI-Baustein IND des IT-Grundschutz-Kompendiums, mit besonderen Herausforderungen wegen Langlebigkeit, Echtzeit-Anforderungen und Air-Gap-Tradition.
OT-Sicherheit ist nicht IT-Sicherheit mit Anpassungen — es ist eine eigene Disziplin. Veraltete Steuerungen (Lebenszyklus 20+ Jahre), Echtzeit-Anforderungen (Patchen kostet Produktionsausfall), und die traditionelle Trennung von IT/OT-Teams kollidieren mit NIS2-Erwartungen. Vorfälle wie Stuxnet (2010), TRITON (2017), Colonial Pipeline (2021) und der Land-NRW-Wasserwerk-Hack (2022) sind Mahnung. Siehe NIS2 Deutschland.
Wichtige Punkte
- OT umfasst ICS, SCADA, SPS/PLC, DCS, HMI, Sicherheits-Steuerungen.
- IEC 62443 (mehrteilig) ist internationaler Standard für OT-Sicherheit.
- BSI IT-Grundschutz Baustein IND (Industrielle IT) als deutsche Ergänzung.
- Purdue-Modell als Netzwerk-Segmentierungs-Referenz.
- Patch-Management in OT erfordert geplante Wartungsfenster, nicht spontane Updates.
1. Was ist OT?
| Komponente | Funktion |
|---|---|
| SPS / PLC | Speicherprogrammierbare Steuerung |
| DCS | Distributed Control System (Prozessleitsysteme) |
| SCADA | Supervisory Control and Data Acquisition |
| HMI | Human Machine Interface |
| Safety-Steuerungen | SIL-Funktionen |
| Sensoren / Aktoren | Feldebene |
2. IT vs. OT — Kritische Unterschiede
| Aspekt | IT | OT |
|---|---|---|
| Lebenszyklus | 3-5 Jahre | 20-30 Jahre |
| Patchen | regelmäßig | nur Wartungsfenster |
| Verfügbarkeit | hoch | extrem hoch (24/7) |
| Vertraulichkeit | hoch | niedrig |
| Echtzeit | nein | ja (ms) |
| Protokolle | TCP/IP modern | Modbus, Profibus, OPC UA |
3. IEC 62443: Internationaler OT-Standard
Mehrteilige Norm:
- 62443-1-x: Grundlagen, Konzepte
- 62443-2-x: Sicherheitsprogramme für Asset Owner
- 62443-3-x: Systemtechnische Anforderungen, Zonen, Conduits
- 62443-4-x: Komponenten (Hersteller-Anforderungen)
Zentrale Konzepte: Zones and Conduits, Security Levels SL1-SL4, Maturity Levels ML1-ML4.
4. BSI IT-Grundschutz Baustein IND
Im IT-Grundschutz-Kompendium die Schicht IND (Industrielle IT):
- IND.1 Prozessleit- und Automatisierungstechnik
- IND.2.1 Allgemeine SPS
- IND.2.2 Speicherprogrammierbare Steuerung
- IND.2.3 Sensoren und Aktoren
- IND.2.4 Maschinen
- IND.2.7 Safety Instrumented Systems (SIS)
Siehe BSI 200-2 IT-Grundschutz.
5. Purdue-Modell zur Netzwerk-Segmentierung
| Level | Beschreibung |
|---|---|
| 5 | Unternehmens-Netzwerk |
| 4 | Site-Operations-IT |
| 3.5 | DMZ (Industrielle DMZ) |
| 3 | Manufacturing Operations |
| 2 | Supervisory Control (SCADA) |
| 1 | Process Control (PLC, DCS) |
| 0 | Feldebene (Sensoren, Aktoren) |
Trennung durch Firewalls / Data Diodes zwischen Levels.
6. NIS2-Pflichten für OT
Aus Art. 21 NIS2 (analog § 30 BSIG-neu):
- Risikomanagement OT-Komponenten
- Backup-Strategien (Konfigurationen, Engineering-Daten)
- Vorfallsmeldung an BSI binnen 24/72h
- Zugangsmanagement (MFA wo möglich)
- Lieferketten-Sicherheit (auch Hersteller von SPS, DCS)
- Schulung Bedienpersonal und Engineering
7. Typische OT-Schwachstellen
- Default-Passwörter auf SPS/HMI
- Veraltete Firmware ohne Patch-Möglichkeit
- Flache Netzwerk-Architektur ohne Segmentierung
- Unverschlüsselte Industrie-Protokolle (Modbus TCP)
- USB-Sticks als Patch-/Wartungs-Medium
- Fern-Wartungszugänge ohne Audit
8. Patch-Management in OT
Geplante Wartungsfenster:
- Patch-Test im Lab/auf Twin-System
- Genehmigung durch Engineering und Operations
- Rollback-Plan dokumentiert
- Wartungsfenster mit Safety-Lead abstimmen
- Nicht-patchbare Komponenten: kompensierende Kontrollen
9. OT Security Operations Center (OT-SOC)
Eigenständiges OT-SOC empfohlen für:
- Größere Industrieanlagen
- Wesentliche Einrichtungen nach NIS2
- Anlagen mit Safety-Funktionen
Alternativ: Erweiterung IT-SOC mit OT-Expertise.
10. Vorfälle und Lehren
| Vorfall | Jahr | Bedeutung |
|---|---|---|
| Stuxnet | 2010 | Erster nationalstaatlicher OT-Wurm |
| TRITON / TRISIS | 2017 | Angriff auf SIS-Sicherheitssteuerung |
| Colonial Pipeline | 2021 | Ransomware mit OT-Auswirkungen |
| Land-NRW Wasserwerk | 2022 | Versuchter Eingriff Trinkwasserwerk |
| KA-SAT (Viasat) | 2022 | Ausfall Windkraftsteuerung Deutschland |
11. Tool-Unterstützung
Legiscope ergänzt um OT-Asset-Inventar, Lieferanten-Tracking und NIS2-Vorfallsmeldungen — integriert mit BSI 200-2 Bausteinen Schicht IND.
Fazit
OT-Sicherheit nach NIS2 ist die größte Herausforderung deutscher Industrie. Wer IT- und OT-Teams nicht jetzt zusammenbringt, hat 2026 ein doppeltes Problem: Audit-Findings und reale Cyberrisiken auf der Produktionsebene.
FAQ
Was ist der Unterschied IT vs. OT?
IT verarbeitet Informationen, OT steuert physische Prozesse. Anders bei Lebenszyklus, Patchen, Verfügbarkeit, Echtzeit, Protokollen.
Gilt NIS2 für jede Fabrik?
Wenn die Einrichtung in einem NIS2-Sektor tätig ist (Energie, Chemie, Lebensmittel, Verarbeitung etc.) und Größenschwellen überschreitet.
Was ist IEC 62443?
Internationale Standardreihe für Industrial Automation and Control Systems (IACS) Cybersecurity. Mehrteilig, Zertifizierungen möglich.
Reicht BSI IT-Grundschutz für OT?
Mit Schicht IND ja als Basis, internationale Anlagen sollten zusätzlich IEC 62443 nutzen.
Wie patchen ohne Produktionsausfall?
Wartungsfenster mit Engineering planen, Twin-Systeme zum Testen, kompensierende Kontrollen bei nicht-patchbaren Komponenten.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial