Zum Messen, Steuern und Regeln von Abläufen, beispielsweise zur Automation von Prozessen und zur Überwachung von großen Systemen, kommen in vielen Bereichen der Industrie sogenannte Industrial Control Systems (ICS; deutsch: industrielle Steuerungssysteme, Automatisierungssysteme) zum Einsatz. Diese finden häufig Verwendung in der produzierenden Industrie und in Branchen, die zu den kritischen Infrastrukturen (KRITIS) gezählt werden, z. B. Energie, Wasser, Ernährung oder Transport und Verkehr.

Entgegen der klassischen IT haben ICS abweichende Anforderungen an die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit. Dies äußert sich beispielsweise in längeren Betriebszeiten und seltenen Wartungsfenstern. Zudem sind insbesondere die Echtzeitanforderungen zu nennen, die für die Steuerung häufig unerlässlich sind. Hinzu kommen Gewährleistungsansprüche. Etablierte Schutzmaßnahmen aus dem Büroumfeld sind dabei nur bedingt auf ICS übertragbar.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das Thema ICS daher gesondert betrachtet und unter anderem ein ICS-Security-Kompendium veröffentlicht.

Gemeinschaftliche Projekte und Publikationen

Prozessleit- und Automatisierungstechnik (Operational Technology, OT) umfasst Hard- und Software, die physische Geräte, Prozesse und Ereignisse in industriellen Anlagen überwacht und steuert. Hierzu zählen insbesondere Steuerungssysteme (Industrial Control Systems, ICS) und Automationslösungen, genauso wie Laborgeräte, Logistiksysteme oder Gebäudeleittechnik. Da in der OT zunehmend auch IT-Komponenten aus der Office-IT eingesetzt werden, ist von einem ähnlich hohen Gefährdungsgrad auszugehen. Jedoch weist die OT gegenüber der klassischen IT wesentliche Unterschiede auf, die es erschweren, etablierte Sicherheitsverfahren anzuwenden.

September 2024: Dokument „Grundsätze der OT-Cybersicherheit“

Die Grundsätze für die OT-Cybersicherheit sollen Betreiber unterstützen, fundierte und umfassende Entscheidungen zu treffen, um die Sicherheit und Kontinuität des Geschäftsbetriebs bei der Planung, Implementierung und Verwaltung von OT-Systemen sicher zu stellen. Die Grundsätze sollen für OT-Entscheidungsträger leicht verständlich sein und alle Mitarbeitenden einer Organisation ansprechen – unabhängig davon, ob es sich um operative, taktische oder strategische Entscheidungen handelt. Mithilfe der Grundsätze kann OT-Cybersicherheit ganzheitlich gestaltet werden.

Grundsätze der OT-Cybersicherheit (de) | Principles of operational technology cyber security (en)