Bd. 67 Nr. 9 (2025): atp magazin

atp magazin 9/2025

IT/OT-Security - Regularien vs. Pragmatismus

Die Ausgabe 9-2025 des atp magazins stellt Cybersicherheit in den Mittelpunkt – von den grundlegenden Security- Basics über neue OT-Security-Anforderungen bis hin zu globalen Bedrohungsanalysen im Energiesektor. Praxisnahe Beiträge beleuchten den Schutz kritischer  Infrastrukturen, industrielle Automatisierung und gesetzliche Vorgaben, ergänzt durch strategische Ansätze und internationale Beispiele.

Damit wird deutlich, dass IT- und OT-Security längst nicht nur ein Thema für spezialisierte Fachbereiche ist, sondern unmittelbar die klassische Automatisierungstechnik in der Prozess- und Chemieindustrie betrifft. Gerade hier, wo hochkomplexe Anlagen, sensible Produktionsprozesse und ein hoher Grad an Vernetzung zusammentreffen, sind zuverlässige Sicherheitskonzepte entscheidend, um den Betrieb zu schützen und die Verfügbarkeit dauerhaft sicherzustellen.

Unsere Autorinnen und Autoren und die Redaktion bieten Ihnen einen umfassenden Überblick über aktuelle Herausforderungen aber auch sinnvolle Lösungen rund um IT- und OT-Security.

Das Interview-Highlight

„Das Entscheidende bleiben die Security-Basics“

Mit NIS2 und dem Cyber Resilience Act (CRA) kommen zukünftig neue EU-Anforderungen auf die Hersteller und Betreiber der Prozessindustrie zu und erhöhen den Regulierungsdruck spürbar. Warum das nachhaltig wenig bringt, welche Auswirkungen diese Regulierungswelle auf die Branche hat und wie die vielen verschiedenen Anforderungen harmonisiert werden können, erklärt Dipl. Phys. Jens Wiesner, Referatsleiter „Industrielle Automatisierungs- und Steuerungssysteme“ im Bundesamt für Sicherheit in der Informationstechnik (BSI) im Interview.

Die peer-reviewten Hauptbeiträge

„Ist meine Kommunikation nachweislich sicher?“

PROFINET – Zukünftige OT-Security Anforderungen

Security in der industriellen Kommunikation ist eine Notwendigkeit, um Anlagen resilient zu betreiben. Hierzu liefern gängige Normen wie die IEC62443 wichtige Ansätze. Neben die intrinsische Motivation sich gegen Angriffe und mögliche Schäden abzusichern, treten jedoch zunehmend auch externe regulatorische Anforderungen. Hersteller, Integratoren und Betreiber von Produktionsanlagen müssen sich mit NIS2, dem CRA, oder auch der Maschinenverordnung (MVO) auseinandersetzen. Dieser Beitrag zeigt, wie das Kommunikationsprotokoll PROFINET zurzeit ertüchtigt wird, um die Anforderungen zu erfüllen.

„Bin ich ein potenzielles Ziel für Cyberangriffe?“

A global analysis of cyber threats to the energy sector

Der Aufwand, der für Security betrieben wird, bzw. betrieben werden sollte, hängt auch immer vom individuellen Risiko ab. Bei der gängigen Definition „Risiko ist Schadensausmaß mal Eintrittswahrscheinlichkeit“ ist gerade der zweite Faktor schwer zu bestimmen und kann sich dynamisch ändern. Hier spielen oft sogar geopolitische Faktoren eine Rolle. Generative KI kann dazu genutzt werden die Bedrohung besser einzuschätzen. Der vorliegende Beitrag zeigt dies eindrücklich am Beispiel des Energiebereichs. Die vorgeschlagene Vorgehensweise und der über GitHub verfügbare
Code lassen sich aber leicht auf andere Domänen adaptieren.

„Wie berechne ich die Ausfallwahrscheinlichkeit meiner Sicherheitseinrichtung?“

Die Bedeutung der PFH und ihre Berechnung

Die Probability of Failure on Demand (PFD) ist im Bereich der funktionalen Sicherheit eine gängige
Größe. Die EN 61508 fordert jedoch für Sicherheitsfunktionen, die im Mittel häufiger als einmal
pro Jahr angefordert werden, die Berechnung einer sogenannten PFH, der „Wahrscheinlichkeit eines
gefahrbringenden Ausfalls pro Stunde“. In der derzeitigen Fassung der Norm finden sich verschiedene
Berechnungsformeln für die PFH, die je nach gegebenen Randbedingungen zu wählen sind. Dies macht das Vorgehen fehleranfällig. Im vorliegenden Beitrag wird diese Problematik umgangen, indem eine allgemeingültige Formel zur Berechnung der PFH hergeleitet wird. Die Anwendung der neuen Formel wird anhand zweier konkreter Beispiele demonstriert und die Korrektheit der Ergebnisse wird mit Hilfe von Monte-Carlo-Simulationen verifiziert.

„Wie bewerte ich die Security in modularen Anlagen?“

Evolution der OT-Security durch modulare Anlagenkonzepte Teil 2: Risikoabschätzung

Modulare Anlagen erfordern neue Ansätze im Security-Engineering, da klassische Schutzkonzepte auf
die spezifischen Anforderungen verteilter, herstellerübergreifender Systemlandschaften nicht direkt
übertragbar sind. Der Beitrag zeigt, dass die Bewertung und Sicherstellung der Security getrennt auf
den zwei Ebenen der Module (PEAs) und der Anlage erfolgen sollte. Darauf aufbauend kann auf Anlagenebene eine Risikoanalyse bezogen auf die spezifischen Einsatzbedingungen, entsprechend dem in VDI/VDE 2182 Blatt 1 beschriebenen Prozessmodell, orgenommen werden.

„Schon wieder eine neue Programmiersprache?“

Rust for industrial automation

Viele von uns arbeiten inzwischen mit Python. Performante und kritische Anwendungen werden aber meist in C oder C++ entwickelt. Rust ist hier eine alternative Sprache mit hoher Performanz und besserer Sicherheit. Sie wird deshalb immer wichtiger als Ergänzung zu Python und ersetzt dort inzwischen oft C/C++ wie der aktuelle Report State of Python 2025 von der Python Software Foundation (PSF) zeigt. Im vorliegenden Beitrag wird untersucht, inwieweit Rust bereits für den Einsatz in der Automatisierungstechnik geeignet ist. Hierbei spielen insbesondere die Interoperabilität mit bestehendem Code und die Einhaltung von Standards zum Software-Entwurf für funktional sichere Systeme eine Rolle.

Veröffentlicht: 18.09.2025

Hauptbeitrag / Peer-Review