IoT/OT-Sicherheitsrichtlinie

Die IoT/OT-Sicherheitsrichtlinie (P35) legt einen umfassenden Satz verbindlicher Anforderungen an die Informationssicherheit für die Bereitstellung, den Betrieb, die Überwachung und die Außerbetriebnahme von Internet of Things (IoT) und Operational-Technology-(OT)-Systemen in der gesamten Organisation fest. Ihr primäres Ziel ist es, diese Technologien in das Cybersicherheitsmanagementsystem der Organisation zu integrieren und einen robusten Schutz vor Kompromittierung, Missbrauch oder Produktionssabotage sicherzustellen. Der Geltungsbereich dieser Richtlinie umfasst alle IoT- und OT-Systeme, unabhängig davon, ob sie unternehmenseigen, geleast oder von Drittparteien bezogen sind, die in jeder operativen, administrativen oder Produktionsumgebung eingesetzt werden. Zu den abgedeckten IoT-Geräten gehören Umweltsensoren, Zugangskontrollmechanismen, intelligente Beleuchtung, Überwachungstechnik und Wearables, während OT-Systeme von speicherprogrammierbaren Steuerungen (SPS) und SCADA-Systemen/Verteilte-Prozessleitsysteme-Plattformen bis hin zu HMI-Bedienpanels und Feldsteuergeräten reichen. Die Richtlinie beschreibt Anforderungen über alle Umgebungen (On-Premises, Cloud, Edge), Lebenszyklusphasen (Design, Beschaffung, Bereitstellung, Betrieb, Außerbetriebnahme) und Interessenträger hinweg, einschließlich interner Benutzer, Integratoren, Drittanbieter und Auftragnehmer. Zentrale Ziele sind der Schutz dieser Infrastrukturen vor Bedrohungen wie Denial-of-Service, unbefugtem Zugriff, Ransomware und Manipulation von Firmware. Die Richtlinie schreibt die Anwendung von Sicherheit durch Technikgestaltung und Verteidigung in der Tiefe vor und verlangt, dass alle Bereitstellungen zentrale Standardkontrollen wie ISO/IEC 27001 sowie branchenrelevante Leitlinien (IEC 62443, NIST SP 800-82) erfüllen. Sichere Integration in den Sicherheitsbetrieb, einschließlich Incident-Response-Eskalation, Klassifizierung geschäftskritischer OT-Ereignisse und die Dokumentation organisationsübergreifender Verfahren, ist ein integraler Bestandteil. Governance-Anforderungen spezifizieren Gerätesicherheitskonfigurationen (eindeutige Zugangsdaten, hardwaregebundene Zertifikate, Secure Boot), erzwingen strikte Netzwerksegmentierung zwischen IT/OT und untersagen unsichere Protokolle, sofern diese nicht abgesichert und im Rahmen der Risikoakzeptanz akzeptiert sind. Überwachung und Bedrohungserkennung erfolgen kontinuierlich; Geräte- und Netzwerkaktivitäten werden mit industriellen Netzwerkerkennungstools, SIEM-Regelsätzen, Deep Packet Inspection und Protokollaufbewahrung geprüft. Sicherheits-Patches und Validierung signierter Firmware sind integraler Bestandteil, und die Außerbetriebnahme von End-of-Life-Geräten erfordert Fernlöschung bzw. Gerätelöschung oder Neuaufsetzung, Widerruf von Geräte-Authentifizierungsdaten sowie Aktualisierungen im Inventar der Werte. Ausnahmebehandlung und Risikobehandlung sind für Legacy-Systeme, die Anforderungen nicht erfüllen können, klar definiert und erfordern formale Dokumentation, Risikominderungsmaßnahmen, eingeschränkte Subnetze und Überwachung. Die Richtlinie ist eng mit verwandten Richtlinien zu Risikomanagement, Inventar der Werte, Endpunktschutz, Protokollierungs- und Überwachungsrichtlinie, Incident-Response sowie Audit und Compliance integriert. Überprüfungen erfolgen jährlich oder bei wesentlichen Änderungen an Systemen, Lieferanten oder der Bedrohungslage, um die fortlaufende Ausrichtung an regulatorischen, vertraglichen und operativen Anforderungen sicherzustellen. Durchsetzungsmechanismen umfassen Audit-Überprüfungen, Disziplinarverfahren, Lieferantensanktionen und die Eskalation rechtlicher Maßnahmen bei regulatorischem Verstoß oder Sabotage.