Mit dem Inkrafttreten des Informationssicherheitsgesetzes (ISG) gelten für Betreiber kritischer Infrastrukturen (KRITIS) neue Anforderungen an die Cybersicherheit. Neben Meldepflichten und klaren Governance-Vorgaben rückt insbesondere die Sicherheit von Operational Technology (OT) in den Fokus.
Denn durch die zunehmende Vernetzung von IT- und OT-Systemen entstehen neue Angriffsflächen: Bereits 80 % der Schweizer KRITIS-Betreiber berichten von Cybervorfällen in OT-Umgebungen, die zu Produktionsausfällen oder Datendiebstahl geführt haben. Unternehmen sollten daher ihre OT-Sicherheitsstrategie gezielt an die neuen gesetzlichen Vorgaben anpassen.
Das Schweizer Informationssicherheitsgesetz (ISG) definiert klare Anforderungen an Betreiber kritischer Infrastrukturen, insbesondere im Bereich der Operational Technology (OT).
Die zentralen Pflichten umfassen:
Vorfälle mit erheblicher Auswirkung auf die Versorgungssicherheit oder öffentliche Sicherheit müssen unverzüglich (in der Regel innerhalb von 24-Stunden) an das Bundesamt für Cybersicherheit (BACS) gemeldet werden.
Betreiber müssen technische und organisatorische Schutzmassnahmen dokumentieren, um die Verfügbarkeit, Integrität und Vertraulichkeit von OT-Systemen zu gewährleisten. Konkrete Massnahmen (gemäss ISG und internationaler Standards wie ISA/IEC 62443):
Netzwerksegmentierung (Isolation von OT- und IT-Systemen).
Regelmässige Risikobewertungen (mindestens jährlich).
Notfall- und Wiederanlaufpläne (inkl. Tests und Aktualisierungen).
Zugangskontrollen (z.B. Multi-Faktor-Authentifizierung für kritische Systeme).
Schulungen und Sensibilisierungsmassnahmen für Mitarbeitende.
Betreiber sind verpflichtet, aktiv mit dem BACS zusammenzuarbeiten, insbesondere bei:
Risikoanalysen (z.B. im Rahmen der nationalen Cybersicherheitsstrategie).
«Betreiber kritischer Infrastrukturen müssen Cybervorfälle, die die Versorgungssicherheit oder öffentliche Sicherheit gefährden, unverzüglich (in der Regel innerhalb von 24-Stunden) dem BACS melden und nachweisen, dass sie angemessene Schutzmassnahmen ergreifen.»
OT-Systeme bilden das Rückgrat kritischer Infrastrukturen. Für ISG-konforme Strategien ist eine präzise Identifikation und Klassifizierung aller relevanten OT-Komponenten notwendig. Eine Schutzbedarfsanalyse hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit sowie die Berücksichtigung von IT-/OT-Abhängigkeiten ermöglichen eine gezielte Risikopriorisierung und die Ableitung regulatorisch relevanter Massnahmen.
Gründe, warum das ISG auch explizit OT adressiert:
Durch die zunehmende Vernetzung von Steuerungssystemen mit der Unternehmens-IT entstehen neue Angriffsvektoren (z. B. Ransomware, die von der IT in die OT übergreift).
Die IT/OT-Konvergenz erfordert Sicherheitsansätze wie Zero Trust, um laterale Bewegungen von Angreifern zwischen IT- und OT-Netzen wirksam zu verhindern.
Zunehmende Angriffe auf OT: Laut BACS haben sich Cyberangriffe auf Schweizer Industrieanlagen seit 2022 verdoppelt – mit Fokus auf Energieversorger und Finanzinfrastrukturen.
Das ISG verlangt kurzfristige, risikobasierte Eingriffe, um akute Bedrohungen in OT-Umgebungen zu reduzieren. Dazu gehören Zugangskontrollen, Patch-Management, Netzwerksegmentierung und Monitoring. Diese Massnahmen sichern die Compliance und gewährleisten die operative Stabilität der OT-Systeme in der unmittelbaren Handlungsphase.
Passive Netzwerkanalyse zur Identifikation aller OT-Assets – einschliesslich Legacy-SPS und bislang unbekannter Verbindungen.
CISO oder OT-Sicherheitsbeauftragten benennen.
Regelmässige Berichte an die Geschäftsleitung (z.B. quartalsweise Risikostatus).
Die ISG-Konformität erfordert das Zusammenspiel technischer und organisatorischer Massnahmen. Kontinuierliches Monitoring, Incident-Response- und Wiederanlaufpläne, Backup-Strategien sowie klare Verantwortlichkeiten und Schulungen stellen sicher, dass OT-Systeme dauerhaft geschützt sind und die Audit-Readiness jederzeit nachgewiesen werden kann.
Umsetzung eines Zonenmodells nach ISA/IEC 62443:
Produktionszone (kritische Steuerungen)
Wartungszone (Fernzugriffe, Updates)
Externe Zone (Lieferanten, Cloud-Dienste)
Einsatz von Firewalls mit OT-spezifischen Regeln (z. B. Modbus-/DNP3-Filterung).
Strikte Netzwerksegmentierung zwischen IT- und OT-Umgebungen sowie innerhalb der OT-Zonen.
Backup-Strategie für OT-Systeme (inkl. Offline-Backups z.B. für SPS-Konfigurationen).
Wiederanlaufpläne für kritische Prozesse (z.B. Stromversorgung, Zahlungsabwicklung).
Regelmässige Tests (mindestens einmal jährlich).
Aufnahme von Security-Klauseln in Verträge (z. B. Meldepflichten bei Vorfällen, Audit-Rechte).
Bewertung von Lieferanten nach anerkannten Sicherheitsstandards (z. B. ISO/IEC 27001).
Für ISG-konforme OT- und IT-Sicherheitsstrategien ist die Dokumentation der Massnahmen und Kontrollen unverzichtbar. Compliance-Nachweise ermöglichen es, regulatorische Anforderungen gegenüber Aufsichtsbehörden oder Auditoren transparent darzustellen.
Ein strukturiertes Reporting unterstützt zudem das Management bei der strategischen Steuerung der Informationssicherheit, erlaubt die frühzeitige Identifikation von Schwachstellen und stellt sicher, dass Audit-Readiness kontinuierlich gewährleistet ist.
Systematische Dokumentation der Tätigkeiten
Im Falle eines meldepflichtigen Vorfalls müssen folgende Punkte klar kommuniziert werden:
Betroffene Systeme und Angriffsvektoren. Welche Teile Ihrer Infrastruktur waren, betroffen, und wie erfolgte der Angriff.
Jährliche Risiko- und Compliance-Reviews - Kontinuierliche Verbesserung:
Interne Audits mit Checklisten nach ISO/IEC 27001, um Schwachstellen zu identifizieren und zu beheben.
Das Informationssicherheitsgesetz bietet die Chance,
die Cyberresilienz von OT-Systemen zu erhöhen,
Betriebsunterbrüche durch klare Prozesse zu minimieren,
Das ISG schafft damit nicht nur regulatorische Klarheit, sondern setzt auch wichtige Impulse für den nachhaltigen Ausbau der OT-Sicherheit. Entscheidend ist dabei die konsequente Umsetzung der Anforderungen im operativen Betrieb, um Risiken frühzeitig zu erkennen und die Widerstandsfähigkeit kritischer Systeme dauerhaft zu erhöhen.
In der Praxis zeigt sich, dass insbesondere eine strukturierte Herangehensweise an Governance, Prozesse und technische Schutzmassnahmen den grössten Hebel für eine robuste OT-Resilienz bietet.
Gerne unterstützen wir Sie bei der ISG-Umsetzung und liefern Ihnen massgeschneiderte Empfehlungen für Ihre OT-Sicherheit. Kontaktieren Sie uns hierzu gerne und jederzeit!
Bildlegende: mit KI generiertes Bild