Back to overview
Autor/en
19.05.2025

OT-Security und öffentlicher Verkehr: Erschlagen durch die Menge der Risiken?

Die IT-Security operationeller Systeme (OT Security) mit Schwerpunkt auf den öffentlichen Verkehr beschränkt sich oftmals darauf, generelle regulatorische Vorgaben aufzulisten, den Verkauf von Tools ins Zentrum stellt oder Schreckensszenarien zu präsentieren. 
Tatsache ist, dass der Schutz kritischer Infrastrukturen vielerorts Lücken aufweist und demzufolge enorme Schäden entstehen (mittlerweile weltweit im dreistelligen Milliardenbereich). Die Wiederherstellung des Normalbetriebs dauert günstigenfalls Tage, oft aber Wochen. Es ist einfach, zu kritisieren. Die richtige Frage aber ist, wie eine Verbesserung der Situation effektiv erreicht werden kann.


Zu beachten sind folgende Punkte, die allgemein für IT-Sicherheit zutreffen:
  • insbesondere bei kleineren Unternehmen kann nicht beliebig viel Geld in Security investiert werden
  • Produkte alleine helfen nichts, es braucht auch eine Sicht auf Prozesse und Ausbildung von Mitarbeitern
  • Domänenwissen ist notwendig, um Risiken wirklich abschätzen zu können und zielgerichtete Massnahmen zu ergreifen
  • Lücken können auch durch Drittparteien geöffnet werden (Risiko Lieferketten), zum Teil auch durch Bequemlichkeit oder Grobfahrlässigkeit
  • Da sich das Umfeld stetig ändert (intern, Bedrohungslage etc.) muss die Sicherheit fortlaufend analysiert und die Massnahmen angepasst werden
  • Die immer schnellere Einführung «neuer» Technik und stets weitergehende Integration erlaubt es vielen Betrieben nicht, mit den notwendigen Vorkehrungen für einen sicheren Betrieb mitzuhalten.
     

Angesichts des Umfangs des ganzen Themas könnte man leicht resignieren, jedoch kann mit wenigen Massnahmen bereits eine massive Verbesserung erreicht werden


Um die aufgeführten Probleme zielgerichtet und mit den richtigen Prioritäten angehen zu können, ist es erforderlich, Risiken bezüglich Security im Betrieb sorgfältig einzuschätzen. Eine Risikoanalyse muss eine Übersicht über verschiedene Bedrohungen beinhalten und nicht ausschliesslich OT-Security im Fokus haben. So können Aufwände abgeschätzt und Mittel sinnvoll eingesetzt werden. Natürlich ist Domänenwissen erforderlich, um die notwendige Tiefe in dieser Arbeit zu erreichen.
Die Öffnung operationeller Systeme durch Integration in grössere Verbünde sowie der erhöhte Grad der Automatisierung schaffen neue Gefahrenquellen. Auch hierfür ist Domänenwissen gefragt, damit Risiken erkannt werden können.


Hinzu kommt, dass Massnahmen zur Erhöhung der Resilienz gegenüber Angriffen auf kritische Infrastrukturen ein sinnvolles Arbeiten nicht so weit behindern dürfen, dass dadurch entweder direkt mehr Schaden angerichtet wird oder Massnahmen durch das Personal sabotiert werden. Wir haben Erfahrung im Bereich Risk Management, Analyse von Vorfällen und OT Security und insbesondere im Bahnbereich fundiertes Wissen zu Technik, Kommunikationsmitteln, Prozessen und verstehen die Geschäftsziele in diesem Bereich. Diese Kombination von Expertise ist notwendig für ein zielgerichtetes Vorgehen. Unser Fokus liegt auf Risikoanalysen, Planung, Prozessen, Einbettung von Massnahmen in den Betrieb.


 Weitere Informationen über OT-Security: OT-Security, ein Überblick | Emch+Berger