SucheKontaktRessourcen
Leitfaden der britischen Cybersicherheitsbehörde

Die OT dokumentieren, ohne sich zu überfordern (Teil 1)

René Krause
Teamlead Service
7.1.2026
3 min

Ende September 2025 wurde der Leitfaden “Creating and maintaining a definitive view of your Operational Technology (OT) Architecture” veröffentlicht. Gerade für kleine und mittelgroße Unternehmen können die Anforderungen überwältigend wirken. Zeit zu priorisieren.

Was ist das für ein Dokument?

“Creating and maintaining a definitive view of your OT architecture” wurde am 29.09.2025 von der britischen Cybersicherheitsbehörde NCSC (UK National Cyber Security Centre) veröffentlicht. Der Leitfaden beschreibt in fünf Schritten, wie Unternehmen ein vollständiges Verständnis ihrer OT-Netzwerke und –Systeme sowie der damit verbundenen Risiken aufbauen und aufrechterhalten können. Diese Dokumentation wird als Basis betrachtet, um anschließend die Operational Technology über den gesamten Lebenszyklus abzusichern.

Das Dokument gilt nicht ausschließlich für den britischen Raum. Als Mitautoren wurden u.a. das BSI, FBI und CISA sowie die jeweiligen Behörden Australiens, Kanadas und Neuseelands eingebunden. Das BSI hat am 1.10.2025 über die Veröffentlichung informiert. Interessenten aus IT und OT können das geballte Wissen als mehrteilige Webseite und als pdf abrufen.

Eine Menge Arbeit?

Der Leitfaden bricht das Projekt, eine umfassende Dokumentation seiner OT-Infrastruktur aufzubauen, in fünf Kernprinzipien oder Schritte herunter. Im ersten Moment können die Anforderungen überwältigen. Die Verantwortlichen in Industrieunternehmen sollten jedoch nicht den Mut verlieren. Der Leitfaden ist als großes “Wünsch-dir-was" verfasst, als “So macht man es, wenn man es absolut perfekt machen möchte UND die Ressourcen dafür hat.”  

Selbstverständlich darf auch hier nach dem Pareto-Prinzip verfahren werden. Low-hanging fruits ernten. Schritt für Schritt alles aufbauen. Hauptsache man fängt an. Denn 60-80 % sind immer noch besser als das “Gar nichts” oder das “Zehn Jahre alt in Pappordnern”, das heute noch in vielen industriellen Infrastrukturen vorherrscht.  

Brechen wir einmal herunter, wie Sie in den einzelnen Schritten möglichst schnell und einfach Ergebnisse erzielen – und wie ein netzbasiertes Angriffserkennungssystem wie Rhebo Industrial Protector Ihnen hilft.

Kernprinzip 1: Prozesse für Dokumentation und Pflege

Aufgabe Umsetzung
Quellen für die Informationsaufnahme identifizieren. Der Leitfaden listet bereits die wichtigsten Quellen, deren Bearbeitung jedoch unterschiedlich komplex sein kann:
  • Asset Inventory: Wenn vorhanden, ist die halbe Miete bereits drin. Das ist jedoch selten der Fall. Die Erstellung ist letztlich Teil dieses Projektes.
  • Anlagendokumentation / Konfiguration / SBOM / HBOM: In der Regel vorhanden, jedoch häufig verteilt, isoliert und sehr umfangreich. Abhängig vom Zulieferer.
  • Mitarbeitende: Sehr gute Quelle für Details und „verstecktes Wissen“ (Erfahrungswerte, standortspezifische Umsetzung), jedoch auch subjektiv gefärbt.
  • Passives Monitoring (Rhebo Industrial Protector) : Kann binnen weniger Minuten eine komplette Netzwerkkarte erstellen (Kernprinzip 3) und über eine Laufzeit weniger Tage relevante Fragen zu Verbindungen und Protokollen (Kernprinzip 4) beantworten.
  • Einmaliges aktives Scannen: In der Regel nur während Stillstandzeiten möglich. Schafft ein punktuelles Asset Inventory, das jedoch einen Großteil der Anforderungen aus Kernprinzip 4 nicht abdeckt.
Festlegen, wie Vollständigkeit, Korrektheit, Konsistenz und Aktualität der dokumentierten Informationen sichergestellt werden. Diese Aufgabe kann schnell zur Sisyphos-Aufgabe werden. Es empfiehlt sich, verschiedene Quellen gegeneinander abzugleichen (z. B. passives Monitoring vs. Konfigurations- und Anlagendokumentation vs. Expertenwissen). Die Aufgabe ist jedoch nicht zwangsläufig zu Beginn zu beantworten, sondern wird sich im Laufe der Zeit auch durch Erfahrungswerte zur Vertraulichkeit der Quellen entwickeln.
Legen Sie fest, wie mit Änderungen und Anpassungen der Dokumentation umgegangen wird.
  • Orientieren Sie sich an den Best Practices des Change Management.
  • Legen Sie mindestens fest:
    • wer Änderungen vornehmen darf (inkl. Freigabeprozess)
    • in welchen Abständen und bei welchen Vorkommnissen (z. B. Einbau neuer Komponenten)

Zusätzlich zu den Anforderungen des Leitfadens gilt selbstverständlich:

1. Definieren Sie eine für das Projekt verantwortliche Person, die den Hut auf hat.

2. Vermeiden Sie, alles mit einem Mal machen zu wollen. Gerade bei begrenzten Ressourcen und gleichzeitig verteilter oder komplexer Infrastruktur ist es sinnvoll, mit einem abgegrenzten Bereich der OT zu starten und den Scope des Projekts nach und nach zu erweitern. Starten Sie mit Ihrer zentralen OT, bevor Sie den Blick auf verteilte Anlagen (z. B. Umspannwerke etc.) werfen.

Kernprinzip 2: Sicherer Umgang mit OT-Dokumentation

Der “definitive view” Ihrer OT-Infrastruktur hat den Wert von Kronjuwelen. Für Sie bildet er die Basis für effizientes Asset Management und zielgerichtete OT-Sicherheit. Für Angreifende ist es das Manual für den größtmöglichen Schaden. Dementsprechend müssen Sie sich zum einen über den Wert bewusst sein und sicherstellen, dass nur autorisierte Personen Zugriff auf die Informationen haben.

Dennoch: Die ersten beiden Punkte der Tabelle sind eher Aufgaben für Perfektionisten (die 20% nach Pareto). Sie sind relevant, aber zum Verfeinern und Spezifizieren der Maßnahmen. Um das Projekt zum Laufen zu bringen, sollte vorerst eine generelle Informationssicherheit gewährleistet werden.  

Aufgabe Umsetzung
Informationstypen kategorisieren.
  • Informationsquellen sichten und dokumentieren, welche Arten von Informationen zur OT im Unternehmen existieren (Design, Business, Identität und Autorisierung, Betrieb, Sicherheit).
  • Zweck und Eigenschaften jeder Information dokumentieren.
Wert der OT-Informationen für Angreifende bewerten. Grundsätzlich kann davon ausgegangen werden, dass jegliche Information für Angreifende einen Wert besitzt. So können selbst aus oberflächlichsten Informationen wie „Gerätehersteller“ Ableitungen zu Schwachstellen, Verbindungen, Verortung in der Infrastruktur und verwendeten Protokollen gemacht werden, die wiederum für einen Angriff wichtig sind.
Verhindern, dass OT-Dokumentation in die falschen Hände gerät.
  • Die Informationen sollten in einer sicheren Cloud oder lokal abgelegt werden.
  • Zugangsbeschränkungen einrichten. Der Zugang sollte auf wenige Mitarbeitende beschränkt sein, die im Projekt für die Pflege der Informationen zuständig sind.
  • Schreib- und Leserechte entsprechend der Rollen und Verantwortung zuweisen.
  • Daten-Backup erstellen, das ohne Netzwerkzugang gespeichert wird.

Jetzt kann es mit dem Dokumentieren losgehen. Im zweiten Teil des Blogposts wird erklärt, wie ein passives netzbasiertes Angriffserkennungssystem (NIDS) die Dokumentation ermöglicht und wichtige Informationen strukturiert finden hilft.