Back to overview
A clock mounted on a ceiling of a train station with vibrant light streaks suggesting movement.
Bild: Shutterstock
Autor/en
08.07.2025

OT-Security: Geschäftsziele

Security muss die Umsetzung von Geschäftszielen der Unternehmen im öffentlichen Verkehr unterstützen. Es ist nicht zielführend, alle möglichen Massnahmen einführen zu wollen. Security steht im Konflikt zu anderen Themen und die Anstrengungen laufen Gefahr, erlahmen oder sabotiert zu werden.

 
Definition der Ziele

Um eine konkrete Risikoabschätzung und Planung vornehmen zu können, müssen zunächst die zu erreichenden Ziele definiert werden. Zudem sollte identifiziert werden, was sich mit sinnvollem Einsatz von Ressourcen nicht erreichen lässt. Diese Zieldefinition bildet auch die Grundlage für zukünftige Anpassungen an die Bedrohungslage und Entscheidungen über Massnahmen im Bereich OT-Security.

Geschäftsziele in Hinblick auf OT-Security
  • Keine Beeinträchtigung der Safety als Folge von OT-Security-Vorfällen
  • Einen möglichst durchgehenden Betrieb zu vernünftigen Kosten zu ermöglichen
  • Schnelle Wiederherstellung des Normalbetriebs nach Cyber-Vorfällen mit akzeptablem Aufwand - dies ermöglicht auch die Wiederherstellung in anderen Fällen mit ähnlichen Konsequenzen
  • Einhaltung regulatorischer Vorgaben

Andere Ziele wie Zertifizierungen sind zweitrangig und kommen erst, wenn obige Ziele erreicht sind.

Massnahmen

Zur Erreichung der oben genannten Ziele sind Massnahmen in folgenden Bereichen erforderlich:

  • Prävention und Monitoring
  • Reaktion (solange man nicht am Boden liegt)
  • Wiederherstellung (wenn man am Boden liegt)

 

Regulatorische Vorgaben sollen diese Punkte unterstützen. Die dazugehörigen Dokumente sind jedoch keine Kochrezepte, sondern sollen bei der Ausarbeitung eigener Massnahmen helfen.

Die Massnahmen beziehen sich auf das Gesamtsystem, die Subsysteme sowie vor allem aber auf die Prozesse und die Ausbildung des Personals. Eine Firewall oder Crypto-Box allein ist keine Versicherung.

Es müssen Prozesse etabliert sein, die nicht umgangen werden dürfen, nur weil sie die Arbeit behindern oder unsinnig erscheinen. Menschen sind hier sehr erfindungsreich und durchschauen Unsinn schnell.

Verantwortlichkeiten müssen klar definiert sein, damit jede Rolle ihre Aufgaben auch wirklich wahrnehmen kann. 

 

Weitere Informationen über OT-Security: 

OT-Security, ein Überblick | Emch+Berger

OT-Security und öffentlicher Verkehr: Erschlagen durch die Menge der Risiken? | Emch+Berger