Industrial Security steht unter dem Eindruck einer dauerhaft hohen Bedrohungslage. Genannt werden täglich 22.000 infizierte Systeme, die im Berichtszeitraum entdeckt und an deutsche Anbieter gemeldet wurden. Hinzu kommen durchschnittlich 2.300 pro Monat bekannt gewordene Securitylücken in Softwareprodukten, von denen 15 Prozent kritisch waren. Zusätzlich werden täglich 772 E-Mails mit Schadsoftware genannt, die in deutschen Regierungsnetzen abgefangen wurden. Gleichzeitig gilt, dass viele der als zukünftige Bedrohungen beschriebenen Entwicklungen bereits heute wirksam sind und in den kommenden Jahren in veränderter Form fortbestehen werden.
Die Bedrohungslage ist nicht nur durch die Zahl der Vorfälle bestimmt, sondern auch durch die Struktur der Angriffe. Sorgfaltspflicht- oder Meldepflichtverletzungen der Opfer können als zusätzliches Druckmittel genutzt werden. Im cyberkriminellen Raum hat sich eine arbeitsteilige Struktur entwickelt, bei der einzelne Bestandteile eines Angriffs an spezialisierte Gruppen ausgelagert werden. Zugleich wird die Bedrohung im Cyberraum ausdrücklich als so hoch wie nie bezeichnet. Industrial Security ist damit kein Randthema der Automatisierung, sondern Teil des laufenden Betriebsrisikos.
Safety und Security sind klar voneinander zu trennen. Safety ist in der Regel statisch. Sie erfordert keine häufigen Aktualisierungen und bleibt nach der Einführung über lange Zeit unverändert. Die Gefahr geht dabei von der Maschine selbst aus, etwa durch Fehlfunktionen oder Fehlanwendungen. Security ist dagegen dynamisch. Sie muss ständig überwacht und angepasst werden. Die Gefahr geht dabei meist von Menschen aus. Zusätzlich schützt Security die Vermögenswerte vor Fehlfunktionen von Geräten und vor absichtlicher oder unabsichtlicher Beeinflussung.
Diese Trennung setzt sich im rechtlichen und normativen Bereich fort. Für Safety werden Maschinenrichtlinie 2006/42/EG, Maschinenverordnung 2023/1230, EN ISO 12100, EN ISO 13849, DIN EN 62061 und IEC 61508 genannt. Für Security stehen daneben NIS-2-Richtlinie 2022/2555, die ISO-27000-Reihe, IEC 62443, NIST 800-82, der CRA, IEC TS 63074, ISO/TR 22100, IEC TR 63069 und EN 50742. Zusätzlich werden die Begriffe IACS als Industrial Automation Control System und ICS als Industrial Control System eingeführt. Bereits diese Zuordnung zeigt, dass Safety und Security eigene Regelwerke, eigene Bewertungslogiken und eigene Anforderungen haben.
Informationstechnologie ist ein Netzwerk aus mehreren Computern, Servern oder anderen Geräten wie Tablets, Smartphones oder IP-Kameras, die miteinander kommunizieren. Operational Technology ist die Hardware- und Software-Netzwerkstruktur zur Überwachung und Steuerung von Prozessen und Ereignissen in Industrieanlagen. Dafür werden Steuerungssysteme, Industrie-PCs, Server, HMIs und weitere Komponenten zur Kommunikation vernetzt. Dem IT-Bereich werden SQL, Cloud, CRM- und ERP-Daten zugeordnet. Der OT-Bereich umfasst HMIs, SCADA, PLCs beziehungsweise SPSen und Modbus/TCP. Damit stehen sich zwei unterschiedliche Systemwelten gegenüber: eine informationsverarbeitende und eine prozesssteuernde.
Industrial Security orientiert sich an drei grundlegenden Schutzzielen: Vertraulichkeit, Integrität und Verfügbarkeit. Vertraulichkeit bedeutet, dass Daten oder die darin enthaltenen Informationen nur autorisierten Benutzern zugänglich sind; Offenlegung und Veröffentlichung sind nicht erwünscht. Integrität ist die Korrektheit der Daten sowie ein korrektes Funktionieren des Systems. Verfügbarkeit bedeutet, dass ein System bestimmte Anforderungen in einer vereinbarten Zeitspanne erfüllt. Diese drei Ziele bilden die Grundlage für die spätere Bewertung technischer und organisatorischer Maßnahmen.
Für die Struktur industrieller Netzwerke gilt das Purdue-Modell als Referenzmodell. Es umfasst eine DMZ mit E-Mail-, Web- und DNS-Servern sowie die Ebenen Stufe 4 Unternehmensebene, Stufe 3 Betriebsleitebene, Stufe 2 Prozessleitebene, Stufe 1 Steuerungsebene und Stufe 0 Feldebene. Der Unternehmensebene sind Firmennetzwerk, ERP und Fernwartungszugang zugeordnet. Die Betriebsleitebene umfasst Systeme für Fertigungsprozesse. Auf der Prozessleitebene stehen SCADA und Prozessdatenspeicherung. Die Steuerungsebene umfasst die Steuerungen. Die Feldebene enthält physikalische Elemente wie Sensoren und Ventile. Innerhalb dieser Struktur sind IT, OT und Safety als unterschiedliche Bereiche eingeordnet.
OT-Systeme sind im Allgemeinen anfälliger als viele IT-Systeme. Genannt werden längere Laufzeiten bei Betrachtung des Lebenszyklus, höchste Anforderungen an die Verfügbarkeit, Zurückhaltung gegenüber Änderungen an OT-Systemen, ein stetiges Wachstum der Cyber-Bedrohungslage insbesondere in den letzten zehn Jahren, ein hoher Vernetzungsgrad innerhalb des Werks, technologischer Fortschritt, steigende Kosten und Kapitalinvestitionen sowie die Mentalität der Menschen. Diese Faktoren verdichten sich zu einem Umfeld, in dem Systeme lange betrieben, ungern verändert und gleichzeitig immer stärker vernetzt werden.
Die Verbindung von OT- und IT-Netzen bringt betriebliche Vorteile. Genannt werden hohe Wettbewerbsfähigkeit und die Notwendigkeit, schnell auf Veränderungen zu reagieren. Flexible Fertigung macht Prozesse transparenter und ermöglicht einen besseren Überblick sowie eine flexiblere Anpassung der Prozesse. Individuelle Fertigung erlaubt eine schnellere Reaktion auf Kundenwünsche; kompliziertes Umprogrammieren der Maschinen soll nicht mehr nötig sein, und selbst die Produktion von Einzelstücken und Kleinstmengen kann rentabel werden.
Mit dieser Verbindung ist jedoch eine klare Forderung verbunden: In der Risikoanalyse muss eine eindeutige Trennung des OT-Netzes vom IT-Netz vorgenommen werden, und diese Trennung ist bereits bei der Netzplanung zu berücksichtigen. Für die funktionale Sicherheit ist ohne ausreichende Security-Maßnahmen für die Zonen eine Separierung, also eine physikalische Trennung von OT und IT, immer ein Gewinn. Industrial Security bedeutet deshalb nicht nur Vernetzung, sondern vor allem bewusste Strukturierung, klare Abgrenzung und risikoorientierte Planung.