FOCUS

Sicherheitsbewertung zwischen IT und OT: ein integrierter Ansatz für die Unternehmenssicherheit

Warum Unternehmen ihre Sicherheitslage bewerten müssen; wie sich das Szenario zwischen Informations- und Industriesystemen verändert; zwei Beispiele aus der Praxis.

Während des Europäischen Monats der Cybersicherheit 2025 konzentrieren wir uns auf das Thema: Cybersicherheitsbewertung – vom Risiko zur Behebung.
In der ersten Hälfte des Jahres 2025 wurden in Italien über 1,2 Millionen Warnmeldungen zu offengelegten Daten registriert (Quelle: CRIF Cyber Observatory, La Repubblica). Diese Zahl verdeutlicht: Kein Sektor ist immun gegen Cyberbedrohungen.

Banken, Versicherungsgesellschaften, öffentliche Einrichtungen, produzierende Industrie – alle Organisationen sind heute mit Risiken konfrontiert, die nicht nur IT-bezogen, sondern auch strategischer und operativer Natur sind.

In diesem Zusammenhang ist die Sicherheitsbewertung ein grundlegendes Instrument, um die eigene Gefährdung zu verstehen, Schwachstellen und Lücken aufzuzeigen und einen konkreten Verbesserungsplan zu erstellen. Ihre Stärke liegt in der Fähigkeit, sowohl den IT- (Informationstechnologie) als auch den OT-Bereich (Betriebstechnologie) abzudecken und dabei Unterschiede und Prioritäten hervorzuheben, während ein einheitlicher methodischer Ansatz beibehalten wird.

IT und OT: unterschiedliche Prioritäten, dasselbe Ziel

Die Grundsätze der Sicherheit – Vertraulichkeit, Integrität und Verfügbarkeit – gelten für beide Bereiche, jedoch unterscheiden sich die betrieblichen Prioritäten.

  • In der IT liegt der Schwerpunkt häufig auf der Vertraulichkeit (Schutz sensibler Daten): Netzwerke, Server, Cloud und Informationsressourcen.
  • In der OT haben die Betriebskontinuität und die physische Sicherheit oberste Priorität: Eine durch Malware oder einen Angriff auf Steuerungssysteme verursachte Anlagenabschaltung kann zu erheblichen wirtschaftlichen Verlusten, Produktionsausfällen oder sogar zu Risiken für die Sicherheit von Menschen führen.
simone ogadri

„Gerade aufgrund der unterschiedlichen Prioritäten ist ein integrierter IT/OT-Ansatz unerlässlich: Nur wenn beide Ökosysteme als Teile desselben Puzzles betrachtet werden, können Unternehmen wirklich effektive Sicherheit aufbauen.“

sagt Simone Ogadri, Cybersecurity Engineering Manager bei Italtel.

Sicherheitsbewertung: Das Tool zum Aufbau Ihrer Sicherheit

Eine Security Assessment (Sicherheitsbewertung) ist eine umfassende Analyse, die das Sicherheitsniveau eines Unternehmens in drei Hauptdimensionen bewertet:

  • Technologisch → nicht nur Perimeterschutz, sondern auch eine tiefgehende Analyse von Systemen, Netzwerken und Anwendungen.
  • Organisatorisch → Prozesse, Verfahren, Rollen und Richtlinien, die die Sicherheit beeinflussen.
  • Regulatorisch → Einhaltung von Standards und Vorschriften wie NIS2, ISO 27001, IEC 62443, NIST CSF und der Maschinenrichtlinie.

Die NIS2-Richtlinie verpflichtet Organisationen, einen strukturierten Ansatz zum Management von Cyberrisiken zu verfolgen. Sie müssen ihr Risikobewusstsein nachweisen und angemessene, verhältnismäßige sowie dokumentierte Sicherheitsmaßnahmen umsetzen. In diesem Zusammenhang wird die Security Assessment zum zentralen Instrument für die Compliance: Sie ermöglicht es Unternehmen, ihren aktuellen Sicherheitszustand zu bewerten, Schwachstellen, Compliance-Lücken und Risiken für die operative Kontinuität sowohl in IT als auch OT zu identifizieren.

Der Prozess beginnt mit der Datenerhebung vor Ort: Interviews mit IT- und OT-Teams, Analyse der Netzwerkarchitektur und Durchführung von Schwachstellenbewertungskampagnen. Dadurch werden verborgene Probleme aufgedeckt und die Analyse in messbare Maßnahmen umgesetzt. Die Dauer reicht von einigen Wochen (bei mittelständischen Unternehmen) bis zu mehreren Monaten (bei multinationalen Konzernen mit komplexen IT-/OT-Infrastrukturen).

simone ogadri

„Eine entscheidende Phase ist die Identifizierung von Lücken – nicht nur technischen (unzureichende Absicherung, fehlende Segmentierung, fehlende Zugriffskontrollen, exponierte Anwendungen), sondern auch verfahrenstechnischen und organisatorischen Unstimmigkeiten, die Risiken darstellen können. Hier wird die Analyse tiefer und reicht bis zum Kern der Unternehmensführung.“

fügt Simone Ogadri hinzu.

Sobald die Bewertungsgrundlage festgelegt ist, folgt eine Risikobewertung, bei der Standards wie ISO 27005, ISO 31000 und IEC 62443 angewendet werden. Diese wird durch Risikomatrizen sowie vorhandene oder individuell erstellte Bedrohungskataloge unterstützt. Die Risiken werden nach Eintrittswahrscheinlichkeit und Auswirkung klassifiziert, und es werden Best-Practice-Gegenmaßnahmen definiert, um einen Sanierungsplan (Remediation Plan) vorzubereiten.

Die Ergebnisse der Risikobewertung führen zu einem aktualisierten Gap-Analysis-Dokument, das um alle Elemente ergänzt wird, die für die Umsetzung der in der NIS2-Richtlinie definierten Sicherheitsmaßnahmen erforderlich sind.

Anschließend folgt die Remediation Roadmap – ein strukturierter Plan mit konkreten, schrittweisen Maßnahmen. Dieser geht über die Behebung einzelner Schwachstellen hinaus: Er definiert einen evolutionären Entwicklungsweg, der beispielsweise die Einführung einer Zero-Trust-Architektur, die Stärkung von Zugriffskontrollsystemen und die Einführung kontinuierlicher Überwachung umfassen kann.

simone ogadri

„Eine Sicherheitsbewertung ist ein Prozess – von der Sensibilisierung über die Risikoanalyse bis hin zu einem operativen Plan, der das Unternehmen sicherer, widerstandsfähiger und bereit für zukünftige Herausforderungen macht. Das Ergebnis ist nicht nur eine Liste von Problemen, sondern eine klare, umsetzbare Vision, die das Unternehmen bei gezielten und nachhaltigen Entscheidungen leitet“

fährt Simone Ogadri fort.

girl watching in camera in front of datacenter

Den richtigen Partner auswählen

Eine effektive Security Assessment erfordert einen Partner mit interdisziplinärer Expertise – eine Kombination aus regulatorischem Wissen (NIS2, ISO, IEC), technischem Know-how (IT, OT, Cloud, Netzwerke) und organisatorischer Weitsicht (Prozesse, Governance, Risikomanagement).

simone ogadri

„Der Schlüssel liegt darin, sich auf einen spezialisierten Berater zu verlassen, der eine strukturierte Methodik und greifbare Ergebnisse gewährleistet. Unsere Praxiserfahrung bestätigt diesen Mehrwert: Wir haben Unternehmen in verschiedenen Branchen mit vollständigen Security Assessments unterstützt.
Im Versicherungssektor haben wir die Sicherheit und Richtlinien eines großen europäischen Konzerns gestärkt. Im Industriesektor führte eine NIS2-orientierte Bewertung bei einem führenden Scannerhersteller zu Verbesserungen im Incident Management, in der OT-Resilienz und der betrieblichen Kontinuität

schließt Simone Ogadri.

In einer Welt mit exponentiell wachsenden Bedrohungen ist die Sicherheitsbewertung keine Formalität, sondern eine strategische Investition. Sie hilft Unternehmen dabei, ihren Wert zu schützen, die Betriebskontinuität sicherzustellen und ihren Ruf zu wahren.

Vor allem aber beweist sie, dass IT und OT nicht länger als getrennte Welten betrachtet werden können – nur ein integrierter Ansatz kann heute die Sicherheit von morgen schaffen.

TECH KEYWORDS

CYBERSECURITY ASSESSMENT

RISK MANAGEMENT

OT SECURITY

NIS2 COMPLIANCE

ZERO TRUST ARCHITECTURE

SHARE THE PAGE
Linkedin-icon
Instagram icon
X-icon

Italtel logo
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.