Vielen Unternehmen fehlt der Überblick

IEC 62443: Wie Unternehmen ihre OT-Security in den Griff bekommen

IEC
LinkedInRedditWhatsApp

Ungesicherte Zugriffe, unklare Zuständigkeiten und fehlende Prozesse machen OT-Umgebungen angreifbar. IEC 62443 hilft Industrie und KRITIS-Betreibern, OT-Sicherheit strukturiert zu steuern, Risiken zu priorisieren und Sicherheit im laufenden Betrieb nachweisbar zu verankern.

Ein ungesicherter Fernzugriff genügt, um Produktionslinien stillzulegen oder die Versorgungssicherheit zu gefährden. OT-Security, also die Sicherheit in der Betriebstechnik, schützt Produktionsanlagen, Steuerungen und industrielle Prozesse. Wenn Unternehmen hier schludern, riskieren sie neben fehlenden Compliance-Nachweisen massive Schäden für ihr Geschäft: Produktionsabläufe können durch Angriffe ausfallen, Serviceketten stocken, und im Ernstfall geraten Versorgungsleistungen unter Druck.

Anzeige

Mit ISA/IEC 62443 steht Industrieunternehmen und Betreibern kritischer Infrastrukturen ein international etablierter Standard zur Verfügung, um genau diese Lücke zu schließen. Der Standard beschreibt, wie Unternehmen ihre OT-Security strukturiert aufbauen, umsetzen und überprüfbar machen können. Er richtet sich an Betreiber, Integratoren und Hersteller gleichermaßen und schafft eine gemeinsame Grundlage für Organisation, Technik und Nachweisführung.

Operative Klarheit als Grundlage wirksamer OT-Sicherheit

Vielen Unternehmen fehlt der Überblick darüber, welche externen Zugriffe auf ihre Systeme bestehen. Diese Unschärfe entsteht häufig durch gewachsene OT-Landschaften: Teams richten über Jahre Zugänge für Wartung und Service ein, während mehrere Bereiche Verantwortung für Betrieb, Sicherheit und Instandhaltung teilen. Dadurch bleibt oft unklar, wer Zugriffe freigibt, welche technischen Kontrollen sie absichern und welche Systeme für Produktion und Versorgung tatsächlich geschäftskritisch sind.

In der Folge verfügen Unternehmen zwar über Sicherheitsmechanismen, pflegen und überwachen sie im Tagesbetrieb aber nicht durchgängig. Ohne klar und verbindlich festgelegte Rollen, Entscheidungswege und Eskalationsprozesse, fehlt allerdings im Ernstfall die notwendige Orientierung.

Anzeige

Gerade Remote-Zugriffe, Serviceschnittstellen und Verbindungen zu externen Partnern entwickeln sich so zu kritischen Schwachstellen. Ein einzelner unzureichend abgesicherter Zugang kann ausreichen, um Angreifern den Weg in die Steuerungsebene zu öffnen. Für KRITIS-Betreiber und Energieversorger wiegt dieses Risiko besonders schwer, weil kompromittierte Steuerungen interne Abläufe stören und, was noch gravierender ist, Versorgungsleistungen beeinträchtigen können.

Wie Unternehmen Kontrolle über ihre OT-Sicherheit gewinnen

Um OT-Sicherheit wirksam umzusetzen, müssen Unternehmen also zunächst verstehen, welche Systeme angebunden sind, welche Schnittstellen bestehen, wer intern, bei externen Dienstleistern und bei Servicepartnern Zugriff auf die OT-Systeme haben sollte – und wer tatsächlich darauf zugreift.  Ebenso wichtig ist die Frage, welche Risiken den Betrieb unmittelbar betreffen, etwa Produktionsausfälle, manipulierte Steuerungsprozesse oder Störungen der Versorgung. Diese Bestandsaufnahme hilft Unternehmen, Prioritäten zu setzen: Welche Zugriffe reduzieren sie, welche Verbindungen sichern sie zusätzlich ab, welche Systeme schützen sie besonders? Gleichzeitig können sie auf diese Weise erkennen, wo Verantwortlichkeiten fehlen oder Prozesse einer Überarbeitung bedürfen.

Geschäftsführung, Vorstand und Werksleitung müssen OT-Sicherheit also als strategisches Risiko behandeln und die Umsetzung gemeinsam mit IT, OT und Produktion steuern. Dafür braucht es drei Grundlagen:

  • Mindeststandards für Security-Hygiene: aktuelle Systemübersichten, kontrollierte Zugriffe, aktiv gepflegte Sicherheitsfunktionen und nachvollziehbare Freigaben
  • Klare Verantwortlichkeiten: definierte Rollen, Entscheidungswege und Eskalationsprozesse zwischen IT, OT, Produktion und Unternehmensführung
  • Etablierte Prozesse: regelmäßige Kontrolle, kontinuierliche Weiterentwicklung und verlässliche Umsetzung unter realen Bedingungen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

IEC 62443 als Rahmen für Umsetzung und Nachweis

ISA/IEC 62443 verbindet technische Architektur, Prozesse und organisatorische Anforderungen. Auf dieser Grundlage können Unternehmen Sicherheitszonen definieren, Kommunikationsbeziehungen kontrollieren und Fernzugriffe über nachvollziehbare, abgesicherte Wege führen. Gleichzeitig lassen sich verbindliche Anforderungen für Personal und Servicepartner festlegen und überprüfbare Sicherheitsprozesse aufbauen. So können Unternehmen zeigen, wie sie Risiken bewerten, Maßnahmen priorisieren und Sicherheitsanforderungen im operativen Alltag durchsetzen. Das erleichtert Audits, Third-Party-Risk-Assessments und regulatorische Nachweise.

Steuerbarkeit schafft Resilienz

Unternehmen, die OT-Sicherheit strukturiert steuern, gewinnen im Ernstfall wertvolle Zeit. Sie wissen, welche Systeme kritisch sind, welche Zugriffe bestehen und wer Entscheidungen treffen muss. Damit können sie Vorfälle schneller eingrenzen, Auswirkungen auf Produktion und Versorgung reduzieren und auch unter Druck handlungsfähig bleiben. IEC 62443 liefert dafür den Rahmen. Entscheidend bleibt, dass Unternehmen die Anforderungen in klare Zuständigkeiten, kontrollierte Zugriffswege und verlässliche operative Prozesse übersetzen.

Autor: Daniel Heinzig, CEO der InfoGuard Deutschland GmbH 


Anzeige

Artikel zu diesem Thema

Cybersecurity, threat model
12. Mai 2026
Produktion in Gefahr? Warum OT-Security über Erfolg entscheidet

Weitere Artikel

Warum Kinder den Umgang mit KI lernen müssen
Wenn Digitale Souveränität zu Europas Verteidigungsfrage wird
NIS-2 richtig angehen: Worauf es jetzt wirklich ankommt
Der Angriff auf Unikliniken offenbart Systemversagen in der Lieferkette
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.