Menue

    • OT-Security-Management-System OSMS

    Home / Referenzen / OT-Security-Management-System OSMS

    Aufbau eines OT-Security-Management-Systems (OSMS)  

    OT-Security Organisation als Basis für Compliance und gelebte Security

    Gesetze und Normen (wie KAS 51 oder NIS 2) fordern eine Security Organisation, sprich Management-Systeme. Unternehmen müssen gegenüber Behörden oder Auditoren nachweisen, wie Cybersecurity im Betrieb organisiert ist – mit einer strategischen Ausrichtung über alle Ebenen, klaren Verantwortlichkeiten, fundierten Prozessen und systematischer Dokumentation. 

    Ein OSMS sorgt dafür, dass Risiken systematisch erkannt, Maßnahmen implementiert und deren Wirksamkeit kontinuierlich überprüft werden – so kann die Anlage sicher, zuverlässig und compliant betrieben werden.

    Für die Erweiterung eine Sondermüllverbrennungsanlage, sollte für einen Anlagenbereich in der Errichtungsphase ein OSMS aufgesetzt werden.

    anapur erstellte für den Kunden auf Basis von IEC 62443 und ISO 27001 ein dokumentiertes OT-Security-Management-System, um Compliance-Anforderungen nachweislich zu erfüllen und Sicherheitskultur im Betrieb nachhaltig zu verankern.

    Unser Kunde

    Unser Kunde ist ein international tätiges Unternehmen für die Entsorgung und Behandlung gefährlicher Abfälle. Das Unternehmen bietet Lösungen entlang der gesamten Entsorgungskette – von der Sammlung über die Aufbereitung bis zur finalen Verwertung oder Beseitigung – insbesondere für Industrie, Chemie und Pharma.

    Aufgabe

    Der Kunde erweiterte eine Sondermüllverbrennungsanlage um einen zusätzlichen Anlagenbereich mit OT-Infrastruktur, einschließlich sicherheitsrelevanter Automatisierungssysteme. Dieser befand sich zum Zeitpunkt des Projekts in der Errichtungsphase.

    Der Betrieb unterliegt der Störfallverordnung und ist unter anderem verpflichtet, die Cyber-Security-Anforderungen gemäß KAS-51 umzusetzen.

    Abgeleitet aus einem vorangegangenen OT-Security-Assessment sollte für den neuen Betrieb ein Security-Management-System errichtet werden:

    • als Grundlage für die Erfüllung Compliance Anforderungen für die Betriebsgenehmigung und den späteren laufenden Betrieb und
    • als Basis für effektive und gelebte OT-Security.  

    anapur erstellte das Management System unter Betrachtung von OT und IT auf Basis der Normen IEC 62443 und ISO 27001.

    Dabei wurde die Anbindung an die bestehenden Governance-, Sicherheits- und Managementstrukturen der zentralen Unternehmensorganisation berücksichtigt. Gleichzeitig adressiert das OSMS die standortspezifischen Besonderheiten der Anlage.

    Warum war anapur der richtige Dienstleister für das Projekt?

    • 20+ Jahre Erfahrung und Expertise in OT-Security und Safety
    • umfassende Branchenerfahrung in der Prozessindustrie
    • tiefgreifendes Verständnis für Technik und Organisation:
      gesetzliche Anforderungen, Anlagen, Systeme und Prozesse –
      Was ist nötig, was ist möglich?
    • strukturierte und effiziente Vorgehensweise
    • Maßgeschneidert für den Kunden und die Gegebenheiten vor Ort – damit OT-Security auch lebbar ist
    • neutraler und herstellerunabhängiger Dienstleister

    Ablauf 

    Im Rahmen der Erweiterung der Müllverbrennungsanlage wurde zunächst ein OT-Security-Assessment – mit Fokus auf Funktionaler Sicherheit und Anforderungen aus KAS 51 und TRBS 1511-1 – durchgeführt, um bestehende Sicherheitsmaßnahmen zu analysieren und die Anforderungen der neuen Anlage frühzeitig zu berücksichtigen.

    Auf Basis der gewonnenen Erkenntnisse, wurde anapur mit der Errichtung eines OT-Security-Managementsystem (OSMS) beauftragt, das vorhandene Maßnahmen strukturiert, Prozesse für Risikomanagement und Compliance ergänzt und die erweiterte Anlage von Beginn an in einem systematischen Sicherheitsrahmen betreibt.

    Im ersten Schritt hat anapur die bestehende Dokumentation gesichtet und Interviews mit Verantwortlichen vor Ort geführt. Auf Basis der relevanten Normen IEC 62443 und ISO 27001 und der Gegebenheiten vor Ort erstellte anapur ein OT-Security-Management-System unter Berücksichtigung der OT- und IT-Infrastruktur.

    Betrachtet wurden dabei insbesondere die folgenden Punkte: 

    • Errichtung OT-Security Governance / Sicherheitsleitlinie
    • Klare Zuständigkeiten und Verantwortlichkeiten
    • Gefährdungs- und Risikoanalyse: Identifikation kritischer Assets, Betrachtung von Auswirkungen
    • Technische und organisatorische Schutzmaßnahmen
      wie Netzwerksegmentierung, (Remote-) Zugriffskontrolle, Patchmanagement, Back-Up & Restore
    • Management of Change
    • Incident Management
    • Überwachung und Wirksamkeitskontrolle
    • Dokumentation und kontinuierliche Verbesserung

    Durch unsere strukturierte und effiziente Vorgehensweise wurde das Zeitbudget des Kunden minimal belastet.

    Als Ergebnis erhielt der Kunde – auf Basis des zum Projektzeitpunkt erreichten Errichtungsstand der Anlage – eine vollständige, auditfähige Dokumentation inklusive Management-Zusammenfassung, priorisiertem Maßnahmenplan, klar definierten Rollen und Prozessen, Architekturübersichten sowie konkreten Handlungsempfehlungen für die nachhaltige Weiterentwicklung der OT-Security.

    Projekterfolg

    Nachweisliche Compliance: Das OSMS ist ein grundlegender Baustein, der in Gesetzen und Normen gefordert wird. Mit der Errichtung und Dokumentation des OSMS erhält der Kunde einen Nachweis für Compliance-Anforderungen gegenüber Behörden und zugelassenen Prüfstellen, als Grundlage für die Betriebsgenehmigung und für den laufenden Betrieb.

    Gelebte Sicherheit: Das Management-System bildet gleichzeitig die Grundlage für die Etablierung einer nachhaltigen Sicherheitskultur im Unternehmen. 

    Effizienz und Passgenauigkeit: Durch unsere langjährige Erfahrung haben wir unseren Kunden effizient zu seinem Ziel gebracht. Wir verstehen, was nötig und was möglich ist. Das Ergebnis: Ein Management-System, das auf gängigen Normen und Erfahrungswerten basiert,  sich in die bestehende Unternehmensstruktur integriert und so als Blaupause auch auf andere Standorte übertragbar ist. Gleichzeitig berücksichtigt es standortspezifische Anforderungen und ist damit vor Ort umsetzbar und nachhaltig lebbar.  

    Darüber hinaus hat der Prozess zusätzlichen Mehrwert für den Kunden geschaffen:

    OT-Security-Awareness und Kompetenzerweiterung: Der Aufbauprozess konnte auch genutzt werden, um im Betrieb das Bewusstsein für OT-Security-Themen zu stärken und Kompetenzen bei den Mitarbeitenden nachhaltig zu erweitern.

    Neutrale und unabhängige Begleitung bei Produktauswahl: Im Rahmen der Anlagenerweiterung standen Produktentscheidungen im Bereich Cybersecurity an. Als neutraler, unabhängiger Partner mit langjähriger OT-/PLS-Erfahrung konnten wir den Kunden im Prozess gezielt mit den richtigen Fragen begleiten und ihm so eine verlässliche Grundlage für zielgerichtete und wirksame Security-Investitionen liefern.

    AUFGABE
    • Aufbau eines OT-Security Management Systems nach IEC 62443 / ISO 27001
    • Ziel: Sicherheit erhöhen, Compliance erfüllen und Sicherheitskultur etablieren
    • für eine Anlage in der Errichtungsphase
    BESONDERHEITEN
    • Störfallbetrieb: Safety wird mitgedacht
    • Mehrwert: Kompetenzerweiterung und fundierte Basis für Produktauswahl 
    PROJEKTERFOLG
    • Effektiv: Struktur und Dokumentation für erhöhte Cybersecurity
    • Compliant: Nachweis ggü. Behörden und zugelassenen Prüfstellen
    • Lebbar: Basis für nachhaltige Sicherheitskultur im Betrieb
    • Passgenau: auf die spezifischen Anforderungen zugeschnitten und damit umsetzbar