„Sicherheit ist kein Zustand, sondern ein Prozess.“ Mit diesem Leitmotiv führt Stefan Karg, Head of Rail Security bei ICS, durch das Interview über den IEC 62443-3-2 Standard und seinen entscheidenden Beitrag zur OT-Sicherheit. Gerade in sensibilisierten Branchen wie kritischen Infrastrukturen liefert die Norm ein Rahmenwerk, um systematisch Risiken zu identifizieren, zu bewerten und gezielt zu reduzieren.
Karg erklärt, wie der System Under Consideration (SUC) klar definiert werden muss, damit keine Komponenten übersehen werden – weder aus zu engem Blickwinkel noch aus zu großer Verallgemeinerung. Im Interview wird deutlich: Die Risikoanalyse nach IEC 62443-3-2 benötigt zwei Stufen – eine initiale Bewertung ausschließlich nach Auswirkungsklassen wie Vertraulichkeit, Integrität oder Verfügbarkeit, gefolgt von der detaillierten Analyse, sobald Risiken identifiziert sind.
Ein zentrales Element ist das Modellieren von Zonen und Conduits – die logische Aufteilung von Systemen und deren Verbindungen, damit unterschiedliche Schutzanforderungen und Schnittstellen klar zugeordnet sind. Liegt ein Risiko oberhalb des tolerablen Bereichs vor, erfolgt eine vertiefte Analyse. Interventionen wie Firewalls, Verschlüsselung, organisatorische Maßnahmen und vielem mehr werden iterativ eingeführt und deren Wirkung bewertet.
Stefan Karg betont außerdem, dass Unternehmen, gerade kleine und mittlere, oft vor Herausforderungen stehen: mangelnde Erfahrung, begrenzte Ressourcen, kein geeignetes Werkzeug. ICS begegnet dem mit der Plattform SECIRA, die Risikoanalysen entlang des IEC 62443-3-2 Ansatzes strukturiert, transparent und skalierbar macht – inklusive Dokumentation und Auditfähigkeit.
Warum dieses Interview lesen lohnt
Karg erklärt, wie der System Under Consideration (SUC) klar definiert werden muss, damit keine Komponenten übersehen werden – weder aus zu engem Blickwinkel noch aus zu großer Verallgemeinerung. Im Interview wird deutlich: Die Risikoanalyse nach IEC 62443-3-2 benötigt zwei Stufen – eine initiale Bewertung ausschließlich nach Auswirkungsklassen wie Vertraulichkeit, Integrität oder Verfügbarkeit, gefolgt von der detaillierten Analyse, sobald Risiken identifiziert sind.
Ein zentrales Element ist das Modellieren von Zonen und Conduits – die logische Aufteilung von Systemen und deren Verbindungen, damit unterschiedliche Schutzanforderungen und Schnittstellen klar zugeordnet sind. Liegt ein Risiko oberhalb des tolerablen Bereichs vor, erfolgt eine vertiefte Analyse. Interventionen wie Firewalls, Verschlüsselung, organisatorische Maßnahmen und vielem mehr werden iterativ eingeführt und deren Wirkung bewertet.
Stefan Karg betont außerdem, dass Unternehmen, gerade kleine und mittlere, oft vor Herausforderungen stehen: mangelnde Erfahrung, begrenzte Ressourcen, kein geeignetes Werkzeug. ICS begegnet dem mit der Plattform SECIRA, die Risikoanalysen entlang des IEC 62443-3-2 Ansatzes strukturiert, transparent und skalierbar macht – inklusive Dokumentation und Auditfähigkeit.
Warum dieses Interview lesen lohnt
- Es enthält praxisnahe Antworten, wie eine Risikoanalyse in OT-Umgebungen Schritt für Schritt aufgebaut wird.
- Es vermittelt, wie Unternehmen klare Verantwortlichkeiten definieren und Sicherheitsniveaus festlegen.
- Es beleuchtet, wie normkonforme Risikoeinschätzungen in vielen Fällen auch Compliance-Vorgaben wie NIS2 oder CRA stützen.
- Leser bekommen Einblicke in Tools und Methoden, die bei echten Umsetzungsprojekten in Industrie und Bahntechnik verwendet werden.
