ISG und OT-Sicherheit: Neue Anforderungen für KRITIS

ISG und OT-Sicherheit: Neue Anforderungen für KRITIS

Das Informationssicherheitsgesetz (ISG) verschärft die Anforderungen an die OT-Sicherheit in kritischen Infrastrukturen (KRITIS): Neue Meldepflichten, verbindliche Sicherheitsvorgaben und die zunehmende Vernetzung von IT und OT machen eine robuste Cybersicherheitsstrategie heute wichtiger denn je. Erfahren Sie in diesem Artikel, welche Anforderungen das Gesetz stellt – und warum der Schutz vernetzter OT-Systeme für die Cybersicherheit entscheidend ist.

Mit dem Inkrafttreten des Informationssicherheitsgesetzes (ISG) gelten für Betreiber kritischer Infrastrukturen (KRITIS) neue Anforderungen an die Cybersicherheit. Neben Meldepflichten und klaren Governance-Vorgaben rückt insbesondere die Sicherheit von Operational Technology (OT) in den Fokus.

Denn durch die zunehmende Vernetzung von IT- und OT-Systemen entstehen neue Angriffsflächen: Bereits 80 % der Schweizer KRITIS-Betreiber berichten von Cybervorfällen in OT-Umgebungen, die zu Produktionsausfällen oder Datendiebstahl geführt haben. Unternehmen sollten daher ihre OT-Sicherheitsstrategie gezielt an die neuen gesetzlichen Vorgaben anpassen.

ISG-Anforderungen für OT-Verantwortliche

Das Schweizer Informationssicherheitsgesetz (ISG) definiert klare Anforderungen an Betreiber kritischer Infrastrukturen, insbesondere im Bereich der Operational Technology (OT).

Die zentralen Pflichten umfassen:

1. Meldepflicht bei Cybervorfällen (ISG Art. 73a-74f)

Vorfälle mit erheblicher Auswirkung auf die Versorgungssicherheit oder öffentliche Sicherheit müssen unverzüglich (in der Regel innerhalb von 24-Stunden) an das Bundesamt für Cybersicherheit (BACS) gemeldet werden.

Betroffen sind OT-Systeme, die für die Aufrechterhaltung kritischer Dienstleistungen (z.B. Energie, Verkehr, Wasser, Abwasser, Gesundheit) wichtig sind.

Die Meldung erfolgt über das Meldesystem des BACS und muss technische Details, betroffene Systeme und Massnahmen enthalten.

2. Nachweis von Schutzmassnahmen (ISG Art. 64) 

Betreiber müssen technische und organisatorische Schutzmassnahmen dokumentieren, um die Verfügbarkeit, Integrität und Vertraulichkeit von OT-Systemen zu gewährleisten. Konkrete Massnahmen (gemäss ISG und internationaler Standards wie ISA/IEC 62443):

Netzwerksegmentierung (Isolation von OT- und IT-Systemen).

Regelmässige Risikobewertungen (mindestens jährlich).

Notfall- und Wiederanlaufpläne (inkl. Tests und Aktualisierungen).

Zugangskontrollen (z.B. Multi-Faktor-Authentifizierung für kritische Systeme).

Schulungen und Sensibilisierungsmassnahmen für Mitarbeitende.

3. Zusammenarbeit mit dem BACS (ISG Art. 15)

Betreiber sind verpflichtet, aktiv mit dem BACS zusammenzuarbeiten, insbesondere bei:

Risikoanalysen (z.B. im Rahmen der nationalen Cybersicherheitsstrategie).

Vorfalls-Untersuchungen (Forensik, Ursachenanalyse).

«Betreiber kritischer Infrastrukturen müssen Cybervorfälle, die die Versorgungssicherheit oder öffentliche Sicherheit gefährden, unverzüglich (in der Regel innerhalb von 24-Stunden) dem BACS melden und nachweisen, dass sie angemessene Schutzmassnahmen ergreifen.»

OT-Systeme im Fokus des ISG

OT-Systeme bilden das Rückgrat kritischer Infrastrukturen. Für ISG-konforme Strategien ist eine präzise Identifikation und Klassifizierung aller relevanten OT-Komponenten notwendig. Eine Schutzbedarfsanalyse hinsichtlich Verfügbarkeit, Integrität und Vertraulichkeit sowie die Berücksichtigung von IT-/OT-Abhängigkeiten ermöglichen eine gezielte Risikopriorisierung und die Ableitung regulatorisch relevanter Massnahmen. 

Gründe, warum das ISG auch explizit OT adressiert:

Durch die zunehmende Vernetzung von Steuerungssystemen mit der Unternehmens-IT entstehen neue Angriffsvektoren (z. B. Ransomware, die von der IT in die OT übergreift).

Die IT/OT-Konvergenz erfordert Sicherheitsansätze wie Zero Trust, um laterale Bewegungen von Angreifern zwischen IT- und OT-Netzen wirksam zu verhindern.

Zunehmende Angriffe auf OT: Laut BACS haben sich Cyberangriffe auf Schweizer Industrieanlagen seit 2022 verdoppelt – mit Fokus auf Energieversorger und Finanzinfrastrukturen.

Die Abhängigkeit von Lieferketten und Drittanbietern (z. B. Wartungsfirmen, Cloud-Dienste) stellt ein häufiges Einfallstor dar – das ISG fordert daher entsprechende vertragliche Sicherheitsklauseln.

ISG: Sofortmassnahmen für OT-Verantwortliche

Das ISG verlangt kurzfristige, risikobasierte Eingriffe, um akute Bedrohungen in OT-Umgebungen zu reduzieren. Dazu gehören Zugangskontrollen, Patch-Management, Netzwerksegmentierung und Monitoring. Diese Massnahmen sichern die Compliance und gewährleisten die operative Stabilität der OT-Systeme in der unmittelbaren Handlungsphase.

1. Asset-Discovery inkl. OT/IT-Schnittstellen

Passive Netzwerkanalyse zur Identifikation aller OT-Assets – einschliesslich Legacy-SPS und bislang unbekannter Verbindungen.

Dokumentation der Schnittstellen zu IT-Systemen (z.B. Fernwartung, ERP-Anbindungen).

2. Notfall-Meldeweg zum BACS definieren (24-Stunden-Frist!)

Klare Eskalationspfade festlegen. Wer meldet wann an das BACS?

Vorlagen für Meldungen vorbereiten.

Testmeldung durchführen, um den Prozess zu validieren.

3. Verantwortlichkeiten auf Geschäftsführungsebene verankern.

CISO oder OT-Sicherheitsbeauftragten benennen.

Regelmässige Berichte an die Geschäftsleitung (z.B. quartalsweise Risikostatus).

Mehr zu OT Security ServicesTechnik & Prozesse für OT-Sicherheit nach ISG

Die ISG-Konformität erfordert das Zusammenspiel technischer und organisatorischer Massnahmen. Kontinuierliches Monitoring, Incident-Response- und Wiederanlaufpläne, Backup-Strategien sowie klare Verantwortlichkeiten und Schulungen stellen sicher, dass OT-Systeme dauerhaft geschützt sind und die Audit-Readiness jederzeit nachgewiesen werden kann.

Praxisnahe Massnahmen für verbesserte OT-Sicherheit sind:

1. Segmentierung & Netzwerkzugangskontrolle

Umsetzung eines Zonenmodells nach ISA/IEC 62443:

– Produktionszone (kritische Steuerungen)

– Wartungszone (Fernzugriffe, Updates)

– Externe Zone (Lieferanten, Cloud-Dienste) 

Einsatz von Firewalls mit OT-spezifischen Regeln (z. B. Modbus-/DNP3-Filterung).

Strikte Netzwerksegmentierung zwischen IT- und OT-Umgebungen sowie innerhalb der OT-Zonen.

2. Resilienz & Wiederanlauf

Backup-Strategie für OT-Systeme (inkl. Offline-Backups z.B. für SPS-Konfigurationen).

Wiederanlaufpläne für kritische Prozesse (z.B. Stromversorgung, Zahlungsabwicklung).

Regelmässige Tests (mindestens einmal jährlich). 

3. Einbindung externer Dienstleister

Aufnahme von Security-Klauseln in Verträge (z. B. Meldepflichten bei Vorfällen, Audit-Rechte).

Bewertung von Lieferanten nach anerkannten Sicherheitsstandards (z. B. ISO/IEC 27001).

OT-Security: Compliance und Reporting nach ISG

Für ISG-konforme OT- und IT-Sicherheitsstrategien ist die Dokumentation der Massnahmen und Kontrollen unverzichtbar. Compliance-Nachweise ermöglichen es, regulatorische Anforderungen gegenüber Aufsichtsbehörden oder Auditoren transparent darzustellen.

Ein strukturiertes Reporting unterstützt zudem das Management bei der strategischen Steuerung der Informationssicherheit, erlaubt die frühzeitige Identifikation von Schwachstellen und stellt sicher, dass Audit-Readiness kontinuierlich gewährleistet ist.

Systematische Dokumentation der Tätigkeiten

Dokumentation von Risikobewertungen auf Basis der ISA/IEC 62443-Methodik, einschliesslich der identifizierten Risiken und der daraus abgeleiteten Schutzmassnahmen.

Lückenlose Erfassung aller Änderungen an OT-Systemen – etwa Firewall-Regeln oder Patches – inklusive Verantwortlichkeit, Zeitpunkt und Begründung.

Regelmässige und protokollierte Incident-Response-Tests mit Dokumentation der Ergebnisse sowie abgeleiteten Massnahmen für den Ernstfall.

Im Falle eines meldepflichtigen Vorfalls müssen folgende Punkte klar kommuniziert werden:

Betroffene Systeme und Angriffsvektoren. Welche Teile Ihrer Infrastruktur waren, betroffen, und wie erfolgte der Angriff.

Auswirkungen des Vorfalls, z. B. Produktionsausfälle, Datenverlust oder Einschränkungen kritischer Prozesse.

Ergriffene Massnahmen, wie der Vorfall eingedämmt wurde, welche Schritte zur Wiederherstellung eingeleitet wurden, und wie soll ein erneutes Auftreten verhindert werden.

Jährliche Risiko- und Compliance-Reviews – Kontinuierliche Verbesserung:

Interne Audits mit Checklisten nach ISO/IEC 27001, um Schwachstellen zu identifizieren und zu beheben.

Externe Prüfungen der OT-Sicherheit durch externe Stellen. Dokumentieren der Ergebnisse und Umsetzung der Massnahmen Empfehlungen.

Fazit: ISG stärkt OT-Sicherheit und Resilienz

Das Informationssicherheitsgesetz bietet die Chance,

die Cyberresilienz von OT-Systemen zu erhöhen,

Betriebsunterbrüche durch klare Prozesse zu minimieren,

sowie Vertrauen bei Kunden, Partnern und Behörden zu stärken. 

Das ISG schafft damit nicht nur regulatorische Klarheit, sondern setzt auch wichtige Impulse für den nachhaltigen Ausbau der OT-Sicherheit. Entscheidend ist dabei die konsequente Umsetzung der Anforderungen im operativen Betrieb, um Risiken frühzeitig zu erkennen und die Widerstandsfähigkeit kritischer Systeme dauerhaft zu erhöhen.

In der Praxis zeigt sich, dass insbesondere eine strukturierte Herangehensweise an Governance, Prozesse und technische Schutzmassnahmen den grössten Hebel für eine robuste OT-Resilienz bietet.

Gerne unterstützen wir Sie bei der ISG-Umsetzung und liefern Ihnen massgeschneiderte Empfehlungen für Ihre OT-Sicherheit. Kontaktieren Sie uns hierzu gerne und jederzeit!

Mehr zu OT Security Services