KRITIS im Visier: Cybersicherheit zukunftssicher gestalten

Sicherheit beginnt mit Resilienz

Ein zentraler Baustein für die Verteidigung kritischer Infrastrukturen ist die Fähigkeit, auf sicherheitsrelevante Vorfälle vorbereitet zu sein. Denn trotz aller Schutzmechanismen bleibt ein Restrisiko bestehen. Organisationen, die sich auf mögliche Angriffe einstellen, können im Ernstfall schneller reagieren, Ausfallzeiten minimieren und ihren Betrieb sogar unter widrigen Bedingungen aufrechterhalten.

Allerdings erfordert diese Art von Resilienz mehr als nur technologische Abwehrmaßnahmen. Als Ausgangsbasis empfiehlt sich eine transparente Bestandsaufnahme sämtlicher digitaler Assets. Nur wer seine Systeme kennt, kann Risiken einschätzen und gezielt Maßnahmen ableiten. Ergänzt werden sollte dies durch Netzwerksegmentierung und das Prinzip der minimalen Rechtevergabe, um laterale Bewegungen im Fall eines Angriffs zu unterbinden

Regelmäßige Trainings, Notfallübungen und ein kontinuierlich aktualisiertes Incident-Response-Framework sorgen zudem dafür, dass technische und organisatorische Prozesse auch unter hohem Zeitdruck funktionieren. Entscheidend ist, dass ein unternehmensweites Sicherheitsbewusstsein über alle Hierarchieebenen hinweg verankert wird.

Risiken durch Dritte eindämmen

Ein weiterer kritischer Angriffsvektor entsteht durch die Einbindung externer Partner. Wartungsfirmen, Systemintegratoren oder Softwareanbieter haben häufig weitreichenden Zugriff auf sensible Bereiche der Infrastruktur, insbesondere in vernetzten OT-Umgebungen. Solche Schnittstellen bergen erhebliche Risiken. Umso wichtiger ist es, technische Kontrollmechanismen entlang der gesamten Lieferkette zu etablieren.

Ein Zero-Trust-Ansatz sorgt dafür, dass externe Zugriffe granular gesteuert, kontinuierlich überwacht und auf das notwendige Maß begrenzt werden. Zugangsbeschränkungen nach Rollen, Mikrosegmentierung und umfassende Protokollierung aller Aktivitäten helfen dabei, potenzielle Schwachstellen frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Zudem empfiehlt es sich, die Sicherheitsanforderungen entlang der eigenen Standards auch bei Dienstleistern durchzusetzen, etwa über gemeinsame Richtlinien, verpflichtende Audits und die Integration in bestehende Sicherheitsplattformen. Denn nur wenn alle Beteiligten denselben Schutzansatz verfolgen, lässt sich das Gesamtrisiko nachhaltig senken

Brücken zwischen IT und OT schlagen

Die klassische Trennung von IT- und OT-Netzen wird zunehmend durchlässig. Digitale Steuerungssysteme, intelligente Sensorik und Cloud-basierte Dienste bringen neue Effizienzgewinne, erhöhen aber zugleich auch die Angriffsfläche. Die Folge: Sicherheitsvorfälle im IT-Bereich können schnell auf operative Systeme übergreifen – mit potenziell katastrophalen Auswirkungen auf Versorgungssicherheit und öffentliche Infrastruktur.

Um diesem Risiko zu begegnen, ist eine integrierte Sicherheitsstrategie unverzichtbar, die beide Welten berücksichtigt. Ausgangspunkt ist eine vollständige und aktuelle Inventarisierung aller OT-Geräte. Dazu zählen insbesondere auch diejenigen, die bislang nicht oder nur begrenzt in Managementsysteme eingebunden sind. Die dadurch gewonnene Transparenz ist Voraussetzung für eine Risikoanalyse, die ohne Störung des laufenden Betriebs erfolgt.

Im nächsten Schritt sollten Detection- und Response-Prozesse zwischen IT und OT vereinheitlicht werden. Gemeinsame Sicherheitsrichtlinien, abgestimmte Alarme und integrierte Security Operations Center (SOC) ermöglichen eine schnelle, koordinierte Reaktion auf Bedrohungen – unabhängig davon, wo diese entstehen. Auf organisatorischer Ebene empfiehlt sich die enge Zusammenarbeit von IT-, OT- und Sicherheitsteams, um Silos aufzubrechen und den Wissenstransfer zu fördern.

Compliance ohne Reibungsverluste

Auch regulatorisch stehen Versorgungsunternehmen unter enormem Druck: EU-Richtlinien wie NIS2, nationale Vorgaben sowie branchenspezifische Standards verlangen den Nachweis umfangreicher Schutzmaßnahmen von der Risikoanalyse über Meldepflichten bis hin zu kontinuierlicher Kontrolle. Um diese Anforderungen zu erfüllen, ohne die Innovationsfähigkeit einzuschränken, hat sich ein risikobasierter Ansatz bewährt. Dabei werden Maßnahmen nicht flächendeckend, sondern gezielt auf besonders kritische Prozesse und Assets angewendet. Aufwand und Wirkung lassen sich dadurch in ein sinnvolles Verhältnis bringen.

Hilfreich ist zudem die Orientierung an etablierten Rahmenwerken wie dem Cyber Assessment Framework (CAF), das konkrete Kriterien für Wirksamkeit, Verantwortlichkeit und kontinuierliche Verbesserung definiert. In Verbindung mit rollenbasierten Schulungen und klaren Zuständigkeiten können regulatorische Anforderungen ohne operative Engpässe in bestehende Governance-Strukturen eingebunden werden.

„Ein zentraler Baustein für die Verteidigung kritischer Infrastrukturen ist die Fähigkeit, auf sicherheitsrelevante Vorfälle vorbereitet zu sein. Denn trotz aller Schutzmechanismen bleibt ein Restrisiko bestehen. Organisationen, die sich auf mögliche Angriffe einstellen, können im Ernstfall schneller reagieren, Ausfallzeiten minimieren und ihren Betrieb sogar unter widrigen Bedingungen aufrechterhalten.“

Andy Schneider, Palo Alto Networks

Sicherheit als Wachstumsfaktor denken

Schließlich stellt sich die Frage nach der Wirtschaftlichkeit: Wie lassen sich steigende Sicherheitsausgaben rechtfertigen, wenn gleichzeitig Budgetrestriktionen und Fachkräftemangel die Umsetzung erschweren? Ein möglicher Ausweg liegt in der Konsolidierung der Sicherheitsarchitektur. Die Integration von Lösungen auf einer gemeinsamen Plattform reduziert Schnittstellen, minimiert redundante Funktionen und vereinfacht den operativen Betrieb. Insbesondere cloudbasierte Plattformmodelle bieten hier Vorteile in Bezug auf Skalierbarkeit, Automatisierung, Effizienz und Interoperabilität.

Darüber hinaus gewinnt die Rolle der Cybersicherheit als Enabler strategischer Ziele an Bedeutung. Ein Unternehmen, das Risiken frühzeitig erkennt und handlungsfähig bleibt, kann neue Technologien schneller einführen, regulatorische Anforderungen proaktiv erfüllen und das Vertrauen von Kunden und Partnern stärken. Damit wird Sicherheit nicht zur Last, sondern zum integralen Bestandteil unternehmerischer Resilienz und Innovationsfähigkeit.

Fundament für Versorgungssicherheit

Cybersicherheit in Energie- und Versorgungsunternehmen ist längst kein reines IT-Thema mehr. Sie betrifft alle Ebenen, vom Vorstand bis zum operativen Betrieb. Um kritische Infrastrukturen effektiv zu schützen, Third Party Risks einzudämmen und IT sowie OT wirkungsvoll zu verzahnen, muss Sicherheit als strategische Daueraufgabe begriffen werden. Die gute Nachricht: Technologische und methodische Werkzeuge dafür sind vorhanden – entscheidend ist vielmehr, wie sie genutzt werden. Denn Cybersicherheit wird dort wirksam, wo sie als Bestandteil unternehmerischer Resilienz verstanden und konsequent in Strukturen, Prozesse und Partnerschaften eingebettet wird.

Über den Autor:
Andy Schneider ist Chief Security Officer EMEA Central bei Palo Alto Networks. Mit über 20 Jahren Erfahrung in der IT-Branche setzt er sich für die Stärkung der Cyberresilienz bei C-Level-Führungskräften ein, agiert als deren enger Berater und etabliert zukunftsweisende Thought-Leadership-Themen in der Branche.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.