Fünf unbequeme Wahrheiten über OT‑Security

Wer glaubt, ein schickes Dashboard, eine neue Firewall und ein eingekaufter SOC-Service reichen zum Ruhigschlafen, hat das Grundproblem noch nicht verstanden. Nach Jahren zwischen Produktionshallen, Pipelines und Energieinfrastrukturen – von Europa bis zur Golfregion – habe ich gelernt: Die unbequemen Wahrheiten sind oft die nützlichsten. Und genau davon handelt dieser Beitrag: fünf Lektionen aus der Praxis, die zeigen, warum der erste Schritt in der OT‑Security keine technische, sondern eine Haltungsentscheidung ist.

1. OT ist kein Homeoffice-Job

OT-Security fängt mit dem Öffnen von Schaltschränken an, mit händischem Protokollieren von Geräten und dem Befragen von Instandhaltern, die seit 15 Jahren wissen, warum eine bestimmte Leitung genauso verlegt wurde. Es ist laut, es ist dreckig, es riecht manchmal nach Hydrauliköl. Wer das überspringen will, baut auf Sand.

Echte Asset-Discovery bedeutet Sicherheitsschuhe, Warnweste, Helm, Schutzbrille und in manchen Umgebungen einen H₂S-Detektor am Gürtel. OT-Security beginnt nicht am Keyboard, sondern in der Anlage.

2. Frameworks und Gesetze sind Kompass, kein Navi

KRITIS-Anforderungen und NIS2 sagen Unternehmen, was gefordert wird. Wie sie es in ihrer spezifischen Umgebung umsetzen, bleibt ihre Aufgabe und das ist Absicht: Die Wertschöpfungsketten sind schlicht zu heterogen. Eine Papiermaschine für 350 Millionen Euro, das Wasserwerk, die Offshore-Umspannstation – sie alle haben unterschiedliche Prozesse, Abhängigkeiten und Risikoprofile. Wer ein Framework als Antwortgeber missversteht, produziert Papiertiger.

Für KRITIS- und NIS2-Unternehmen ist die Debatte über das Ob beendet. Jetzt geht es nur noch um ein effizientes Wie. Für alle anderen bleibt die ehrlichste Frage des Risikomanagements: Kann ich mir leisten, nichts zu tun? Das Gesetz schützt nicht. Es verpflichtet. Der Unterschied ist entscheidend.

3. Wer muss, sollte längst angefangen haben

Cybersecurity als Checklisten-Punkt zu behandeln – etwas, das möglichst schnell abgehakt wird, weil irgendwo ein Ziel wartet – endet immer gleich: Technik wird beschafft, aber die Verantwortung dafür bleibt liegen. Ungepflegte, ungemanagte Cybersecurity wird zum Risiko genau dort, wo der Schutzbedarf am höchsten ist.

Der entscheidende erste Schritt ist organisatorischer Natur: Commitment und ein vollständiges Asset-Inventar. Man kann nur schützen, was man kennt. Wer ist für welches Gerät zuständig? Genau hier klaffen in der Praxis die größten Lücken.

4. OT ist technologisch längst IT

Leitsysteme laufen auf Standard-Windows-Servern, auf Standard-Virtualisierungsumgebungen, mit den gleichen Schwachstellen im gleichen Lebenszyklus. Das Betonen von Unterschieden war lange die eleganteste Methode, Verantwortung zu vermeiden: Bei uns ist das anders, das lässt sich nicht vergleichen, das verstehen IT-Leute nicht. Stimmt zur Hälfte. Was wirklich anders ist, ist die Konsequenz eines Ausfalls: In der IT stürzt das Programm ab. In der OT stürzt die Maschine ab, oder die Anlage, oder die Versorgung. Viele Systeme lassen sich danach schlicht neu booten – viele andere nicht. Diesen Unterschied als Grund zur Untätigkeit zu nutzen, ist grob fahrlässig.

5. Managed Service und SOC sind Werkzeuge – keine Freifahrtscheine

Ein externer SOC-Service ist wertvoll: Er filtert das Grundrauschen, entlastet interne Teams und bringt Expertise, die viele Unternehmen intern aufzubauen schlicht zu lange brauchen würden. Aber er ersetzt die organisatorische Verantwortung nicht. Ein SOC braucht prozessualen Kontext: Was tut dieses Gerät? An welchem Prozess ist es beteiligt? Wie kritisch ist dieser? Diese Fragen beantwortet die Organisation selbst oder sie bleiben offen.

Technik ist kaufbar. Haltung nicht. Ein SOC funktioniert nur auf einer soliden Grundlage: Sichtbarkeit, Inventar, Prozesse, Rollen und Verantwortlichkeiten. Konsolidierung und Zentralisierung sind dabei in den meisten Fällen die klügere Wahl als ein isoliertes Eigenbetrieb-SOC. Geteilte Plattformen sparen Kosten und schaffen Synergien in der Bedrohungserkennung, von denen alle profitieren.

Fazit: Der erste Schritt ist eine Haltungsfrage

OT-Security wächst mit der Organisation, mit dem Bewusstsein, mit der Kultur. Es handelt sich um einen Prozess, der Pflege braucht und sich entwickelt. Was zählt, ist die Bereitschaft, überhaupt anzufangen. Hinzuschauen – auf die eigenen Anlagen, die eigenen Verantwortlichkeiten, die eigenen blinden Flecken. OT-Security beginnt mit Verantwortung – und endet nie mit einem Audit.

Erfahrene Partner wie Axians, die sowohl die Sprache der IT als auch die der Produktion sprechen und Anlagen wirklich verstehen, können diesen Weg erheblich kürzer machen. Sie tragen die Verantwortung gemeinsam mit der Organisation und machen genau darin den Unterschied.