Eine OT-Risikoanalyse muss weder Monate dauern noch die Produktion stören. Mit der richtigen Methodik entsteht in wenigen Wochen ein belastbarer Maßnahmenplan, den sowohl die Geschäftsführung als auch der Betriebsleiter mittragen.
Schritt 1: Asset-Inventar — passiv, nicht invasiv
Grundlage ist ein vollständiges Inventar aller Komponenten im Produktionsnetz — passiv erhoben über Netzwerk-Mitschnitte und Konfigurationsdaten, ohne aktive Scans. Aktives Scannen kann ältere Steuerungen zum Absturz bringen; im OT-Umfeld ist das keine theoretische Gefahr, sondern gelebte Erfahrung.
Schritt 2: Zonen bilden
Die Assets werden in Zonen gleichen Schutzbedarfs gruppiert, wie es die IEC 62443 vorsieht. Schon diese Übung deckt regelmäßig undokumentierte Verbindungen auf — den Fernwartungszugang des Herstellers, die vergessene Modemverbindung, den Engineering-Laptop mit Doppelanbindung.
Schritt 3: Szenarien bewerten — mit den Anlagenverantwortlichen
Je Zone werden Bedrohungsszenarien bewertet: Was passiert, wenn diese Steuerung ausfällt oder manipuliert wird? Die Folgenabschätzung erfolgt gemeinsam mit den Anlagenverantwortlichen — sie kennen die physischen Konsequenzen am besten. Sicherheitsbewertung ohne Betriebspersonal produziert Papier, keine Erkenntnis.
Schritt 4: Ziel-Security-Level ableiten
Aus der Bewertung ergeben sich Ziel-Security-Level und konkrete Maßnahmen je Zone und Conduit: Segmentierung, gehärtete Übergänge, Monitoring, Zugriffsregeln. Wichtig ist der Abgleich mit dem tatsächlich Machbaren — ein Wartungsfenster pro Jahr diktiert das Umsetzungstempo mit.
Schritt 5: Nach Wirkung priorisieren
Zum Schluss wird nach Risikoreduktion pro investiertem Euro priorisiert. Typisch liegen die ersten drei Maßnahmen bei: Fernzugänge härten, kritischste Zone segmentieren, Detektion aufbauen. Das Ergebnis ist ein Maßnahmenplan mit Zeitachse und Budget — entscheidungsreif fürs Management.
Fazit: Der Schlüssel liegt nicht im Werkzeug, sondern im Vorgehen: passiv erheben, mit dem Betrieb bewerten, ehrlich priorisieren. So wird aus der Risikoanalyse kein Gutachten für die Schublade, sondern ein Arbeitsprogramm.