OT-Security · 28. Mai 2026 · 8 Min. Lesezeit

OT-Risikoanalyse leicht gemacht: In 5 Schritten zum Maßnahmenplan

Platine in Nahaufnahme — industrielle Steuerungstechnik

Eine OT-Risikoanalyse muss weder Monate dauern noch die Produktion stören. Mit der richtigen Methodik entsteht in wenigen Wochen ein belastbarer Maßnahmenplan, den sowohl die Geschäftsführung als auch der Betriebsleiter mittragen.

Schritt 1: Asset-Inventar — passiv, nicht invasiv

Grundlage ist ein vollständiges Inventar aller Komponenten im Produktionsnetz — passiv erhoben über Netzwerk-Mitschnitte und Konfigurationsdaten, ohne aktive Scans. Aktives Scannen kann ältere Steuerungen zum Absturz bringen; im OT-Umfeld ist das keine theoretische Gefahr, sondern gelebte Erfahrung.

Schritt 2: Zonen bilden

Die Assets werden in Zonen gleichen Schutzbedarfs gruppiert, wie es die IEC 62443 vorsieht. Schon diese Übung deckt regelmäßig undokumentierte Verbindungen auf — den Fernwartungszugang des Herstellers, die vergessene Modemverbindung, den Engineering-Laptop mit Doppelanbindung.

Schritt 3: Szenarien bewerten — mit den Anlagenverantwortlichen

Je Zone werden Bedrohungsszenarien bewertet: Was passiert, wenn diese Steuerung ausfällt oder manipuliert wird? Die Folgenabschätzung erfolgt gemeinsam mit den Anlagenverantwortlichen — sie kennen die physischen Konsequenzen am besten. Sicherheitsbewertung ohne Betriebspersonal produziert Papier, keine Erkenntnis.

Schritt 4: Ziel-Security-Level ableiten

Aus der Bewertung ergeben sich Ziel-Security-Level und konkrete Maßnahmen je Zone und Conduit: Segmentierung, gehärtete Übergänge, Monitoring, Zugriffsregeln. Wichtig ist der Abgleich mit dem tatsächlich Machbaren — ein Wartungsfenster pro Jahr diktiert das Umsetzungstempo mit.

Schritt 5: Nach Wirkung priorisieren

Zum Schluss wird nach Risikoreduktion pro investiertem Euro priorisiert. Typisch liegen die ersten drei Maßnahmen bei: Fernzugänge härten, kritischste Zone segmentieren, Detektion aufbauen. Das Ergebnis ist ein Maßnahmenplan mit Zeitachse und Budget — entscheidungsreif fürs Management.

Fazit: Der Schlüssel liegt nicht im Werkzeug, sondern im Vorgehen: passiv erheben, mit dem Betrieb bewerten, ehrlich priorisieren. So wird aus der Risikoanalyse kein Gutachten für die Schublade, sondern ein Arbeitsprogramm.

← Zurück zum Blog