OT-Sicherheit
Facility Management: Hochschulen » TFM » Gebäudeautomation, Leittechnik und OT-Sicherheit » OT-Sicherheit
OT-Sicherheit im Gebäudebetrieb von Universitäten
OT-Sicherheit ist ein wesentlicher Bestandteil des modernen Facility Managements an Universitäten, da Gebäudeautomation, Energieversorgung, Laborinfrastruktur und zentrale Überwachungssysteme zunehmend digital vernetzt betrieben werden. Ziel ist es, kritische Gebäudesysteme gegen unbefugten Zugriff, Cyberrisiken und Betriebsunterbrechungen zu schützen und gleichzeitig einen sicheren, zuverlässigen und nachvollziehbaren Gebäudebetrieb sicherzustellen.
OT-Sicherheit für vernetzte Gebäudetechnik
- Netzwerksegmentierung
- Fernwartung
- Verwaltung von Zugriffsrechten
- Patch-Management
- Systemhärtung
- Reaktion auf Sicherheitsvorfälle
- Betriebliche Governance und Dokumentation
Zweck der Netzwerksegmentierung
Die Netzwerksegmentierung trennt OT-Umgebungen klar von klassischen IT-Systemen, öffentlichen Netzen, Gastnetzwerken und weniger kritischen Kommunikationsbereichen. Für Universitäten ist diese Trennung besonders wichtig, da Verwaltungsbereiche, Lehrbetrieb, Forschung, studentische Nutzung und technische Gebäudeausrüstung oft auf demselben Campus betrieben werden.
Durch eine saubere Segmentierung wird verhindert, dass Störungen oder Angriffe aus einem Bereich unkontrolliert auf kritische Gebäudesysteme übergreifen. Gebäudeleittechnik, Automationsstationen, Laborsteuerungen, Energiezähler, Zutrittskontrollsysteme und sicherheitsrelevante Anlagen müssen in geschützten Netzwerkbereichen betrieben werden. Der Datenverkehr zwischen den Segmenten wird gezielt kontrolliert, protokolliert und auf das betriebsnotwendige Maß beschränkt.
Aus Facility-Management-Sicht unterstützt die Segmentierung die Betriebssicherheit, erleichtert die Fehlereingrenzung und reduziert das Risiko großflächiger Systemausfälle. Sie bildet außerdem die technische Grundlage für kontrollierte Wartung, sichere Fernzugriffe und eine wirksame Überwachung des OT-Betriebs.
Segmentierungsstruktur in Universitätsgebäuden
| Netzwerksegment | Funktionaler Zweck |
|---|---|
| Corporate-IT-Netzwerk | Administrative, akademische und allgemeine IT-Prozesse |
| OT-Management-Netzwerk | Gebäudeleittechnik, Managementserver und übergeordnete Überwachungssysteme |
| Automationsnetzwerk | Automationsstationen, Steuerungen, Feldgeräte und technische Anlagen |
| Labor-Systemzone | Betriebs- und Steuerungssysteme für Forschungs- und Laborbereiche |
| Fernzugriffszone | Kontrollierter Zugang für Dienstleister, Systemintegratoren und Wartungspersonal |
Das Corporate-IT-Netzwerk umfasst typische Büro-, Verwaltungs- und Lehrsysteme. Dieses Netzwerk darf keinen direkten, ungefilterten Zugriff auf OT-Komponenten erhalten. Die Kommunikation zu Gebäudesystemen muss über definierte Schnittstellen, Sicherheitsgateways oder kontrollierte Managementdienste erfolgen.
Das OT-Management-Netzwerk dient dem Betrieb zentraler Gebäudeleittechnik, Energie-Management-Plattformen, Datenbanken, Visualisierungssysteme und Alarmierungsserver. Dieses Segment benötigt besonders hohe Verfügbarkeit, da es den Überblick über den technischen Gebäudebetrieb ermöglicht.
Das Automationsnetzwerk umfasst Steuerungen, Sensoren, Aktoren, Gateways und Feldbusanbindungen. In diesem Bereich befinden sich häufig Systeme mit langer Nutzungsdauer und eingeschränkten Sicherheitsfunktionen. Deshalb müssen diese Komponenten besonders gut abgeschirmt und nur über definierte Kommunikationspfade erreichbar sein.
Die Labor-Systemzone schützt forschungsnahe Betriebsanlagen, etwa Klimakammern, Medienversorgung, Reinräume, Laborabzüge, Speziallüftung oder temperaturkritische Forschungsumgebungen. Diese Systeme sind betrieblich sensibel, weil Ausfälle Forschungsergebnisse, Proben, Versuchsanordnungen oder Sicherheitsbedingungen beeinträchtigen können.
Die Fernzugriffszone stellt einen kontrollierten Übergangspunkt für externe Wartungszugriffe bereit. Sie darf nicht als dauerhafter offener Zugang verstanden werden, sondern als streng überwachter Bereich mit zeitlich begrenzten, genehmigten und dokumentierten Verbindungen.
Anforderungen an die Segmentierung
Die Segmentierung muss organisatorisch und technisch eindeutig umgesetzt werden. IT- und OT-Kommunikationswege sind voneinander zu trennen, damit administrative oder akademische IT-Vorfälle nicht direkt auf den Gebäudebetrieb wirken. Zwischen Netzwerkzonen müssen Firewalls, Zugriffskontrolllisten und Überwachungssysteme eingesetzt werden.
Die Kommunikation zwischen kritischen Systemen ist auf erforderliche Protokolle, Ports, Quelladressen und Zieladressen zu beschränken. Nicht benötigte Verbindungen sind zu blockieren. Besonders sensible Systeme wie Gebäudeleittechnik, Zutrittskontrolle, Brandmeldeanbindungen, Laborautomation und Energieversorgung dürfen nur über freigegebene Kommunikationspfade erreichbar sein.
Labor- und Forschungsinfrastruktur muss isoliert werden, wenn sie direkte Auswirkungen auf Sicherheit, Versuchsbetrieb oder technische Stabilität hat. Studentische Netzwerke, öffentliche WLAN-Bereiche und Gastnetze dürfen keine Verbindung zu OT-Infrastrukturen erhalten.
Der Datenverkehr zwischen den Segmenten ist kontinuierlich zu überwachen. Auffälligkeiten wie ungewöhnliche Verbindungsversuche, unbekannte Geräte, unerwartete Protokolle oder Datenverkehr außerhalb genehmigter Betriebszeiten müssen untersucht und dokumentiert werden.
Betriebliche Überlegungen
Universitäten betreiben häufig Gebäude aus unterschiedlichen Baujahren mit verschiedenen Automationssystemen, Herstellern und Kommunikationsstandards. Viele OT-Komponenten sind langlebig und wurden ursprünglich nicht für aktuelle Cyberbedrohungen entwickelt. Deshalb muss die Netzwerksegmentierung auch ältere Systeme schützen, ohne deren Betrieb zu gefährden.
Bei campusweiten Gebäuden ist eine einheitliche Segmentierungslogik erforderlich. Unterschiedliche Fakultäten, Forschungsgebäude, Bibliotheken, Rechenzentren, Sportanlagen und Wohnheime dürfen nicht isoliert geplant werden, sondern müssen in ein übergreifendes Sicherheits- und Betriebskonzept eingebunden sein.
Cloud-Anbindungen, externe Monitoring-Plattformen und Herstellerportale sind besonders sorgfältig zu bewerten. Jede externe Kommunikation muss einen klaren betrieblichen Zweck haben, technisch abgesichert sein und regelmäßig überprüft werden. Dauerhafte, unkontrollierte Verbindungen zu externen Systemen sind zu vermeiden.
Zweck der Fernwartung
Fernwartung ermöglicht es externen Dienstleistern, Systemintegratoren und technischen Spezialisten, Diagnose, Softwareunterstützung, Fehlerbehebung, Parametrierung und Updates durchzuführen, ohne vor Ort auf dem Campus anwesend zu sein. Dies kann die Reaktionszeit bei Störungen verkürzen und den Betrieb komplexer technischer Systeme unterstützen.
Im Facility Management darf Fernwartung jedoch nicht als ungeprüfter Standardzugang verstanden werden. Jeder Fernzugriff auf OT-Systeme stellt ein potenzielles Sicherheitsrisiko dar und muss daher genehmigt, technisch abgesichert, zeitlich begrenzt und nachvollziehbar dokumentiert werden.
Sicherheitsanforderungen für den Fernzugriff
| Sicherheitselement | Betriebliche Anforderung |
|---|---|
| Authentifizierung | Multi-Faktor-Authentifizierung für externe und privilegierte Zugriffe |
| Konnektivität | Verschlüsselte VPN-Kommunikation oder gleichwertig gesicherte Verbindungen |
| Autorisierung | Rollenbasierte Berechtigungen nach Aufgabenbereich |
| Sitzungssteuerung | Zeitlich begrenzte Wartungssitzungen mit definierter Freigabe |
| Überwachung | Protokollierung und, bei kritischen Systemen, Aufzeichnung der Fernaktivitäten |
Fernzugänge müssen über zentrale, kontrollierte Zugangspunkte erfolgen. Direkte Verbindungen zu Steuerungen, Servern oder Automationsgeräten sind zu vermeiden. Jeder externe Benutzer muss eindeutig identifizierbar sein. Gemeinsame Konten oder dauerhaft aktive Herstellerzugänge sind aus Sicherheits- und Nachvollziehbarkeitsgründen nicht zulässig.
Die Autorisierung muss auf dem Prinzip der geringsten Rechte basieren. Ein Dienstleister, der nur eine Lüftungsanlage prüfen soll, darf keinen Zugriff auf Energieversorgung, Zutrittskontrolle oder Laborsteuerungen erhalten. Zugriffsrechte müssen auf System, Zeitraum und Tätigkeit beschränkt werden.
Verfahren für die Fernwartung
Vor jeder Fernwartung ist eine Freigabe durch die zuständige Facility-Management-Stelle oder eine benannte technische Betriebsverantwortung erforderlich. Die Freigabe muss Zweck, betroffene Systeme, Zeitraum, beteiligte Personen und geplante Tätigkeiten enthalten.
Wartungsfenster sind mit dem Gebäudebetrieb, dem akademischen Kalender und gegebenenfalls mit Labor- oder Forschungszeiten abzustimmen. Arbeiten an kritischen Systemen sollten nur durchgeführt werden, wenn fachkundige interne Mitarbeitende verfügbar sind und Auswirkungen auf den Betrieb kontrolliert werden können.
Bei kritischen Systemen ist eine beaufsichtigte Fernwartung vorzusehen. Das bedeutet, dass interne Verantwortliche die Sitzung begleiten, Aktivitäten beobachten und bei unerwarteten Auswirkungen sofort eingreifen können.
Alle durchgeführten Maßnahmen sind zu dokumentieren. Dazu gehören Systemänderungen, Konfigurationsanpassungen, Softwareupdates, Fehlermeldungen, Prüfungen und abschließende Funktionstests. Nach Abschluss der Arbeiten ist der Fernzugriff unverzüglich zu deaktivieren. Temporäre Berechtigungen müssen entfernt oder gesperrt werden.
Risiken im Zusammenhang mit Fernwartung
Fernwartung kann zu unbefugtem externem Zugriff führen, wenn Zugangsdaten kompromittiert, Konten nicht deaktiviert oder Verbindungen nicht ausreichend geschützt werden. Besonders kritisch sind dauerhafte Herstellerzugänge, die außerhalb der Kontrolle der Universität betrieben werden.
Ein weiteres Risiko ist die Einschleusung von Schadsoftware über externe Geräte oder Wartungsumgebungen. Dienstleister können unbeabsichtigt kompromittierte Laptops, unsichere Tools oder nicht geprüfte Software einsetzen. Deshalb sollten technische Mindestanforderungen für Dienstleister definiert und vertraglich geregelt werden.
Fehlende Transparenz über Aktivitäten Dritter kann die Betriebssicherheit erheblich beeinträchtigen. Ohne Protokollierung und klare Zuständigkeit ist im Störungsfall schwer nachvollziehbar, welche Änderung zu welchem Zeitpunkt vorgenommen wurde.
Ziele der Zugriffskontrolle
Die Verwaltung von Zugriffsrechten stellt sicher, dass nur berechtigte Personen OT-Systeme in Universitätsgebäuden bedienen, konfigurieren oder verändern können. Sie schützt den Gebäudebetrieb vor unbeabsichtigten Fehlbedienungen, unbefugten Eingriffen und vorsätzlicher Manipulation.
Eine wirksame Zugriffskontrolle unterstützt die Betriebssicherheit, weil Verantwortlichkeiten eindeutig zugeordnet werden. Jede Änderung an technischen Systemen muss auf eine konkrete Person, Rolle oder genehmigte Tätigkeit zurückgeführt werden können.
Benutzerrollen in universitären OT-Umgebungen
| Benutzergruppe | Zugriffsbereich |
|---|---|
| Facility Operators | Tägliche Betriebsführung und Bedienung technischer Anlagen |
| Systemadministratoren | Vollständiger Konfigurations-, Wartungs- und Administrationszugriff |
| Externe Dienstleister | Temporärer Zugriff für Wartung, Prüfung und Fehlerbehebung |
| Laborpersonal | Eingeschränkter Zugriff auf betrieblich relevante Laborfunktionen |
| Sicherheitsteams | Überwachung, Alarmbearbeitung und Notfallmanagement |
Facility Operators benötigen Zugriff auf Visualisierung, Alarme, Betriebszustände, Zeitprogramme und definierte Sollwerte. Sie sollten technische Anlagen bedienen können, ohne tiefgreifende Systemkonfigurationen zu verändern.
Systemadministratoren benötigen erweiterte Rechte für Server, Datenbanken, Schnittstellen, Benutzerverwaltung, Backup, Wiederherstellung und Systemkonfiguration. Diese Rechte müssen besonders geschützt und streng begrenzt werden.
Externe Dienstleister erhalten nur zeitlich befristeten Zugriff auf die Systeme, für die sie beauftragt wurden. Der Zugriff endet unmittelbar nach Abschluss der Tätigkeit.
Laborpersonal benötigt häufig Zugriff auf spezifische Betriebsparameter, etwa Raumtemperatur, Luftwechselrate oder Medienversorgung. Diese Rechte müssen so gestaltet sein, dass Forschungsprozesse unterstützt werden, ohne übergeordnete Gebäudesicherheit oder zentrale Anlagenfunktionen zu gefährden.
Sicherheitsteams benötigen Zugriff auf Meldungen, Ereignisse und Notfallfunktionen. Dabei muss klar geregelt sein, welche Eingriffe im Ereignisfall zulässig sind.
Grundsätze des Zugriffsmanagements
Zugriffsrechte sind nach dem Prinzip der geringsten Rechte zu vergeben. Jede Person erhält nur die Rechte, die für ihre konkrete Aufgabe erforderlich sind. Allgemeine Administratorrechte dürfen nicht für Routineaufgaben verwendet werden.
Jede Benutzerkennung muss eindeutig einer Person zugeordnet sein. Gruppenkennungen, gemeinsam genutzte Konten oder unpersönliche Standardzugänge sind zu vermeiden, da sie die Nachvollziehbarkeit einschränken.
Berechtigungen sind rollenbasiert zu vergeben. Rollen sollten regelmäßig überprüft und an organisatorische Änderungen angepasst werden. Wenn Mitarbeitende die Abteilung wechseln, Projekte enden oder Dienstleisterverträge auslaufen, müssen Zugriffsrechte sofort angepasst oder entfernt werden.
Inaktive, abgelaufene oder nicht mehr benötigte Konten sind unverzüglich zu sperren. Die regelmäßige Rezertifizierung von Benutzerrechten sollte Teil der Betriebsroutine sein.
Authentifizierungs- und Sicherheitsmaßnahmen
Für OT-Systeme sind starke Passwortregeln festzulegen. Passwörter müssen ausreichend komplex sein, dürfen nicht mehrfach verwendet werden und sind sicher zu speichern. Standardpasswörter von Herstellern müssen vor Inbetriebnahme geändert werden.
Für kritische Systeme und privilegierte Konten ist Multi-Faktor-Authentifizierung einzusetzen. Dies gilt insbesondere für Fernzugriffe, administrative Konten, Gebäudeleittechnik-Server und zentrale Managementplattformen.
Automatische Sitzungszeitüberschreitungen verhindern, dass unbeaufsichtigte Arbeitsstationen oder Browser-Sitzungen missbraucht werden. Engineering-Workstations, Bedienplätze und mobile Wartungsgeräte müssen gegen unbefugte Nutzung geschützt werden.
Soweit technisch möglich, sollte ein zentrales Identitäts- und Berechtigungsmanagement verwendet werden. Administrative Zugangsdaten sind besonders zu schützen, getrennt von Standardbenutzerkonten zu verwalten und nur für genehmigte Tätigkeiten einzusetzen.
Zweck des Patch-Managements
Patch-Management dient der sicheren und stabilen Aktualisierung von OT-Systemen. Es korrigiert bekannte Schwachstellen, verbessert Softwarestabilität und reduziert das Risiko, dass Angreifer bekannte Sicherheitslücken in Gebäudesystemen ausnutzen.
Im universitären Gebäudebetrieb muss Patch-Management besonders sorgfältig geplant werden, weil technische Anlagen häufig durchgehend verfügbar sein müssen. Ein ungeprüftes Update kann Betriebsstörungen verursachen, Schnittstellen beeinträchtigen oder Steuerungsfunktionen verändern. Deshalb benötigt jede Aktualisierung eine technische Bewertung, eine Testphase, eine Umsetzungsplanung und eine Nachkontrolle.
Herausforderungen in universitären OT-Umgebungen
Universitätsgebäude enthalten oft heterogene und alternde Automationssysteme mit unterschiedlichen Kompatibilitätsanforderungen und betrieblichen Einschränkungen.
| Herausforderungsbereich | Betriebliche Auswirkung |
|---|---|
| Altsysteme | Eingeschränkte Unterstützung moderner Sicherheitsupdates |
| Kontinuierlicher Betrieb | Begrenzte Wartungsfenster und geringe Toleranz für Ausfälle |
| Herstellerabhängigkeiten | Verzögerungen durch geprüfte oder freigegebene Updates |
| Forschungseinrichtungen | Hohe Empfindlichkeit gegenüber Betriebsunterbrechungen |
| Multi-System-Integration | Kompatibilitätsrisiken bei vernetzten Systemlandschaften |
Altsysteme sind häufig nicht mehr vollständig vom Hersteller unterstützt. In solchen Fällen muss das Risiko durch zusätzliche Schutzmaßnahmen wie Segmentierung, Zugriffsbeschränkung, Überwachung oder Ersatzplanung reduziert werden.
Kontinuierlicher Betrieb ist in Universitäten ein zentrales Thema. Bibliotheken, Rechenzentren, Tierhaltungen, Labore, Kühllager, Reinräume und Sicherheitsbereiche können nicht beliebig abgeschaltet werden. Wartungsfenster müssen daher sorgfältig mit Nutzern und Verantwortlichen abgestimmt werden.
Patch-Management-Prozess
| Prozessphase | Hauptaktivität |
|---|---|
| Asset-Identifikation | Ermittlung betroffener Geräte, Server, Anwendungen und Schnittstellen |
| Risikobewertung | Bewertung der Schwachstelle, Kritikalität und betrieblichen Auswirkungen |
| Test | Validierung in einer kontrollierten Umgebung oder an nicht kritischen Systemen |
| Umsetzungsplanung | Terminierung, Ressourcenplanung und Abstimmung mit betroffenen Bereichen |
| Installation | Kontrollierte Bereitstellung und Installation der Updates |
| Verifikation | Prüfung der stabilen Systemfunktion nach der Aktualisierung |
Zunächst müssen betroffene Assets eindeutig identifiziert werden. Dazu gehören Server, Automationsstationen, Bedienplätze, Datenbanken, Gateways, Steuerungen und eingebundene Drittanwendungen.
In der Risikobewertung wird geprüft, wie kritisch die Schwachstelle ist, ob das System exponiert ist und welche betrieblichen Folgen ein Ausfall hätte. Nicht jede Aktualisierung hat dieselbe Priorität. Kritische Sicherheitslücken in erreichbaren Systemen sind bevorzugt zu behandeln.
Vor der Installation ist zu testen, ob das Update mit bestehenden Anwendungen, Treibern, Schnittstellen und Steuerungsprogrammen kompatibel ist. Nach der Installation müssen Funktion, Kommunikation, Alarme, Trends, Zeitprogramme und Schnittstellen geprüft werden.
Betriebliche Anforderungen
Vor jeder Aktualisierung ist ein vollständiges Backup relevanter Systeme und Konfigurationen zu erstellen. Dazu gehören Serverdaten, Datenbanken, Steuerungsprogramme, Projektdateien und Gerätekonfigurationen.
Rollback-Verfahren müssen vorab definiert sein. Wenn ein Update fehlschlägt oder den Betrieb beeinträchtigt, muss der vorherige stabile Zustand schnell wiederhergestellt werden können.
Updates sind mit akademischen Abläufen, Prüfungszeiten, Laborplänen und Forschungsbetrieb zu koordinieren. Besonders in Laboren oder technischen Sonderbereichen müssen Nutzer frühzeitig informiert werden.
Alle installierten Patches sind zu dokumentieren. Die Dokumentation muss Datum, System, Version, Verantwortliche, Testergebnis, Besonderheiten und abschließenden Systemstatus enthalten.
Zweck der Systemhärtung
Systemhärtung reduziert Angriffsflächen, indem unnötige Funktionen, Dienste, Konten, Kommunikationswege und Softwarekomponenten entfernt oder eingeschränkt werden. Ziel ist ein sicherer Betriebszustand, der nur die Funktionen erlaubt, die für den Gebäudebetrieb tatsächlich erforderlich sind.
Für Facility-Management-Systeme ist Systemhärtung besonders wichtig, da viele OT-Komponenten dauerhaft betrieben werden und nur selten ersetzt werden. Eine konsequente Härtung verbessert die Grundsicherheit und verringert die Wahrscheinlichkeit, dass Fehlkonfigurationen oder Standardfunktionen ausgenutzt werden.
Härtungsmaßnahmen für OT-Systeme
| Härtungsbereich | Sicherheitsmaßnahme |
|---|---|
| Benutzerkonten | Entfernen von Standardkonten, ungenutzten Konten und unnötigen Rechten |
| Netzwerkdienste | Deaktivieren nicht benötigter Kommunikationsdienste |
| Gerätekonfiguration | Sichere Einstellungen für Steuerungen, Gateways und Bediengeräte |
| Softwaremanagement | Entfernen nicht unterstützter oder nicht benötigter Anwendungen |
| Kommunikationsports | Einschränkung ungenutzter Ports und Protokolle |
Standardkonten und Standardpasswörter sind vor der Inbetriebnahme zu entfernen oder zu ändern. Nicht benötigte Benutzergruppen und administrative Rechte sind zu deaktivieren.
Nicht erforderliche Netzwerkdienste erhöhen die Angriffsfläche und sollten abgeschaltet werden. Dies betrifft zum Beispiel alte Fernwartungsdienste, unverschlüsselte Verwaltungsprotokolle oder nicht genutzte Dateifreigaben.
Gerätekonfigurationen müssen sicher dokumentiert und gegen unbefugte Änderung geschützt werden. Steuerungen, Gateways und Bediengeräte sollten nur die notwendigen Kommunikationsbeziehungen zulassen.
Nicht unterstützte Software darf nicht dauerhaft auf OT-Systemen betrieben werden, wenn dadurch Sicherheitsrisiken entstehen. Engineering-Tools, alte Treiber oder Hilfsprogramme müssen regelmäßig überprüft werden.
Härtungsanforderungen für Universitäten
Universitäten benötigen standardisierte Sicherheitskonfigurationen über den gesamten Campus. Ein einheitlicher Basisstandard erleichtert Betrieb, Wartung, Auditierung und Störungsanalyse.
Labor- und forschungsnahe Automationssysteme sind besonders zu schützen. Hier können Fehlfunktionen nicht nur technische Störungen verursachen, sondern auch Forschungsergebnisse, Proben, Geräte oder Sicherheitsbedingungen gefährden.
Engineering-Workstations müssen sicher eingerichtet werden. Sie sollten aktuelle Sicherheitssoftware, eingeschränkte Benutzerrechte, kontrollierte Schnittstellen und dokumentierte Softwarestände besitzen.
Übergeordnete Server, Datenbanken und Managementplattformen sind besonders kritisch. Sie müssen durch sichere Benutzerverwaltung, eingeschränkte Dienste, regelmäßige Backups, Protokollierung und kontrollierte Administration geschützt werden.
Feldgeräte, Automationsstationen und Controller sind ebenfalls in die Härtung einzubeziehen. Auch wenn sie nur begrenzte Sicherheitsfunktionen bieten, können sichere Passwörter, eingeschränkte Kommunikationspfade und dokumentierte Konfigurationen das Risiko deutlich reduzieren.
Verifikation und Compliance
Systemhärtung muss regelmäßig überprüft werden. Härtungschecklisten helfen dabei, einheitliche Mindeststandards umzusetzen und Abweichungen sichtbar zu machen.
Konfigurationsaudits sollten in festgelegten Abständen durchgeführt werden. Dabei wird geprüft, ob Systeme noch dem freigegebenen Sicherheitsstandard entsprechen oder ob unautorisierte Änderungen erfolgt sind.
Sicherheitsbaselines dienen als Referenz für den zulässigen Betriebszustand. Jede Abweichung ist zu bewerten, zu genehmigen oder zu korrigieren.
Änderungen an gehärteten Systemen müssen in das Change-Management eingebunden werden. Dadurch wird verhindert, dass Wartungsarbeiten oder Projektänderungen unbeabsichtigt Sicherheitsmaßnahmen aufheben.
Zweck der Reaktion auf Sicherheitsvorfälle
Prozesse zur Reaktion auf Sicherheitsvorfälle dienen dazu, Angriffe, Fehlkonfigurationen, unbefugte Zugriffe oder technische Störungen in OT-Umgebungen frühzeitig zu erkennen, einzudämmen und den sicheren Betrieb wiederherzustellen.
Für Universitäten ist eine strukturierte Incident-Response-Fähigkeit besonders wichtig, weil Gebäudesysteme Lehre, Forschung, Sicherheit und Infrastrukturversorgung unterstützen. Eine unkoordinierte Reaktion kann Betriebsstörungen vergrößern oder sicherheitsrelevante Anlagen beeinträchtigen.
Häufige OT-Sicherheitsvorfälle
| Vorfallart | Mögliche Auswirkung |
|---|---|
| Unbefugter Zugriff | Manipulation von Gebäudesystemen oder Betriebsparametern |
| Malware-Infektion | Unterbrechung von Automationsdiensten oder Managementsystemen |
| Netzwerkeindringen | Kompromittierung betrieblicher Daten und Steuerungskommunikation |
| Denial of Service | Verlust der Systemverfügbarkeit |
| Konfigurationsänderungen | Unsichere oder instabile Betriebszustände |
Unbefugter Zugriff kann dazu führen, dass Sollwerte, Zeitprogramme, Alarme oder Steuerungslogiken verändert werden. Dies kann Komfort, Energieeffizienz, Sicherheit und Anlagenverfügbarkeit beeinträchtigen.
Malware kann Bedienplätze, Server oder Engineering-Systeme stören. In OT-Umgebungen kann bereits der Ausfall einzelner Systeme erhebliche betriebliche Auswirkungen haben.
Ungeplante Konfigurationsänderungen sind besonders kritisch, wenn sie nicht dokumentiert sind. Sie können zu schleichenden Fehlfunktionen, falschen Alarmen oder instabilen Anlagenzuständen führen.
Incident-Response-Prozess
| Reaktionsphase | Hauptaktivitäten |
|---|---|
| Erkennung | Identifikation ungewöhnlicher Ereignisse, Alarme oder Systemverhalten |
| Bewertung | Einschätzung der betrieblichen Auswirkungen und Kritikalität |
| Eindämmung | Isolierung betroffener Systeme und Begrenzung der Ausbreitung |
| Wiederherstellung | Wiederaufnahme sicherer Betriebsfunktionen |
| Dokumentation | Erfassung, Auswertung und Berichterstattung des Vorfalls |
In der Erkennungsphase werden technische Alarme, Netzwerkereignisse, Benutzeraktivitäten, Störungsmeldungen und ungewöhnliche Anlagenzustände ausgewertet. Facility-Management-Teams müssen wissen, welche Anzeichen auf einen OT-Sicherheitsvorfall hinweisen können.
Die Bewertung bestimmt, welche Systeme betroffen sind, ob Sicherheit oder Betrieb gefährdet sind und welche Sofortmaßnahmen erforderlich sind. Dabei ist zwischen IT-Sicherheitsrisiken und gebäudetechnischen Betriebsrisiken zu unterscheiden.
Bei der Eindämmung können betroffene Netzwerksegmente isoliert, Zugänge gesperrt, Fernwartungen deaktiviert oder Systeme in einen sicheren Betriebszustand versetzt werden. Maßnahmen dürfen jedoch nicht unkontrolliert durchgeführt werden, wenn dadurch technische Sicherheitseinrichtungen beeinträchtigt werden könnten.
Die Wiederherstellung erfolgt kontrolliert. Systeme werden geprüft, bereinigt, aus Backups wiederhergestellt oder neu konfiguriert. Vor der Rückkehr in den Normalbetrieb sind Funktionstests und Plausibilitätsprüfungen durchzuführen.
Rollen und Verantwortlichkeiten
Das Facility Management koordiniert die betrieblichen Maßnahmen, bewertet Auswirkungen auf Gebäude, Nutzer und technische Anlagen und sorgt für die sichere Aufrechterhaltung oder Wiederherstellung des Betriebs.
Die IT-Sicherheitsabteilung unterstützt bei Analyse, Eindämmung, Netzwerkbewertung, Protokollauswertung und forensischer Untersuchung. Eine enge Zusammenarbeit zwischen IT und Facility Management ist zwingend erforderlich.
Hersteller und Dienstleister können notwendig sein, wenn Spezialwissen zu Automationssystemen, Steuerungen oder proprietären Plattformen erforderlich ist. Ihre Einbindung muss kontrolliert und dokumentiert erfolgen.
Bei schwerwiegenden Vorfällen ist eine Eskalation an die Universitätsleitung erforderlich. Dies gilt insbesondere, wenn Forschung, Lehre, Gebäudesicherheit, Datenschutz oder kritische Infrastruktur betroffen sind.
Betroffene Nutzergruppen, Fakultäten, Laborleitungen und Betriebsverantwortliche müssen situationsgerecht informiert werden. Die Kommunikation sollte sachlich, abgestimmt und handlungsorientiert erfolgen.
Maßnahmen nach dem Vorfall
Nach einem Sicherheitsvorfall ist eine Ursachenanalyse durchzuführen. Ziel ist es, den Auslöser, den Angriffsweg, betroffene Systeme und vorhandene Schwachstellen zu verstehen.
Systemschwachstellen sind zu bewerten und zu beheben. Dazu können Patch-Management, Systemhärtung, Anpassung von Zugriffsrechten, Verbesserung der Segmentierung oder zusätzliche Überwachung gehören.
Betriebliche Verfahren sind zu aktualisieren, wenn der Vorfall zeigt, dass Zuständigkeiten, Meldewege oder technische Maßnahmen unzureichend waren.
Sicherheitskontrollen müssen verbessert werden. Dazu gehören strengere Fernwartungsprozesse, bessere Protokollierung, gezieltere Alarmierung oder zusätzliche Schulungen.
Erkenntnisse aus dem Vorfall sind in die Sensibilisierung von Mitarbeitenden einzubeziehen. Facility-Management-Teams, Betreiber, Administratoren und Dienstleister sollten verstehen, welche Maßnahmen künftig erforderlich sind.
Governance-Struktur
Eine wirksame OT-Sicherheits-Governance erfordert klare Verantwortlichkeiten, definierte Betriebsprozesse und eine geregelte Zusammenarbeit zwischen Facility Management, IT-Abteilungen, Laborverantwortlichen, Sicherheitsorganisation und externen Dienstleistern.
Die Governance muss festlegen, wer für OT-Systeme verantwortlich ist, wer Änderungen genehmigt, wer Zugriffe verwaltet, wer Vorfälle koordiniert und wer die Einhaltung von Sicherheitsvorgaben überprüft. Ohne klare Verantwortlichkeiten entstehen Lücken im Betrieb, bei der Wartung und in der Sicherheitsüberwachung.
Für Universitäten sollte die Governance campusweit gelten, aber die Besonderheiten einzelner Gebäude und Forschungsbereiche berücksichtigen. Kritische Einrichtungen wie Rechenzentren, Labore, Tierhaltungen, Reinräume oder Energiezentralen benötigen ergänzende Regelungen.
Dokumentationsanforderungen
| Dokumentationstyp | Zweck |
|---|---|
| Netzwerkarchitekturdiagramme | Transparenz über OT-Infrastruktur, Schnittstellen und Segmentierung |
| Zugriffsprotokolle | Nachvollziehbarkeit von Benutzeraktivitäten |
| Wartungsnachweise | Dokumentation von Systemeingriffen und technischen Arbeiten |
| Patch-Register | Nachweis installierter Updates und Systemstände |
| Vorfallberichte | Analyse, Nachverfolgung und Bewertung von Sicherheitsereignissen |
Netzwerkarchitekturdiagramme müssen aktuell gehalten werden. Sie sollten Netzwerkzonen, Firewalls, Server, Steuerungen, Schnittstellen, Fernzugriffspunkte und externe Verbindungen abbilden.
Zugriffsprotokolle dienen der Nachvollziehbarkeit. Sie müssen zeigen, wer wann auf welches System zugegriffen hat und welche wesentlichen Aktionen durchgeführt wurden.
Wartungsnachweise dokumentieren technische Eingriffe, Prüfungen, Reparaturen, Konfigurationsänderungen und Funktionskontrollen. Sie sind wichtig für Betriebssicherheit, Gewährleistung, Auditierung und Störungsanalyse.
Patch-Register ermöglichen die Bewertung des Sicherheitsstands. Sie zeigen, welche Systeme aktuell sind, welche Updates fehlen und welche Risiken noch offen sind.
Vorfallberichte dokumentieren Ablauf, Auswirkungen, Maßnahmen und Erkenntnisse aus Sicherheitsereignissen. Sie bilden die Grundlage für Verbesserungen im Betrieb.
Kontinuierliche Verbesserung
OT-Sicherheit ist kein einmaliges Projekt, sondern ein dauerhafter Betriebsprozess. Regelmäßige Sicherheitsbewertungen helfen, neue Risiken, technische Veränderungen und organisatorische Schwachstellen zu erkennen.
Zugriffsrechte sind regelmäßig zu überprüfen. Änderungen bei Personal, Dienstleistern, Forschungsprojekten oder Gebäuden müssen zeitnah in der Berechtigungsstruktur abgebildet werden.
Die Wirksamkeit der Segmentierung muss getestet werden. Dabei wird geprüft, ob Netzwerkzonen korrekt getrennt sind, ob unerlaubte Verbindungen blockiert werden und ob Monitoring-Systeme auffällige Ereignisse erkennen.
Incident-Response-Verfahren sollten regelmäßig geübt werden. Übungen helfen, Rollen, Kommunikationswege, Entscheidungsprozesse und technische Maßnahmen zu verbessern.
Kontinuierliche Überwachung betrieblicher Risiken unterstützt einen stabilen Gebäudebetrieb. Dazu gehören technische Zustandsdaten, Sicherheitsereignisse, Wartungsinformationen, Schwachstellenbewertungen und Rückmeldungen aus dem operativen Betrieb.