newsonline24

Karg erklärt, wie der System Under Consideration (SUC) klar definiert werden muss, damit keine Komponenten übersehen werden – weder aus zu engem Blickwinkel noch aus zu großer Verallgemeinerung. Im Interview wird deutlich: Die Risikoanalyse nach IEC 62443-3-2 benötigt zwei Stufen – eine initiale Bewertung ausschließlich nach Auswirkungsklassen wie Vertraulichkeit, Integrität oder Verfügbarkeit, gefolgt von der detaillierten Analyse, sobald Risiken identifiziert sind.

Ein zentrales Element ist das Modellieren von Zonen und Conduits – die logische Aufteilung von Systemen und deren Verbindungen, damit unterschiedliche Schutzanforderungen und Schnittstellen klar zugeordnet sind. Liegt ein Risiko oberhalb des tolerablen Bereichs vor, erfolgt eine vertiefte Analyse. Interventionen wie Firewalls, Verschlüsselung, organisatorische Maßnahmen und vielem mehr werden iterativ eingeführt und deren Wirkung bewertet.

Stefan Karg betont außerdem, dass Unternehmen, gerade kleine und mittlere, oft vor Herausforderungen stehen: mangelnde Erfahrung, begrenzte Ressourcen, kein geeignetes Werkzeug. ICS begegnet dem mit der Plattform SECIRA, die Risikoanalysen entlang des IEC 62443-3-2 Ansatzes strukturiert, transparent und skalierbar macht – inklusive Dokumentation und Auditfähigkeit.

Warum dieses Interview lesen lohnt

• Es enthält praxisnahe Antworten, wie eine Risikoanalyse in OT-Umgebungen Schritt für Schritt aufgebaut wird.
• Es vermittelt, wie Unternehmen klare Verantwortlichkeiten definieren und Sicherheitsniveaus festlegen.
• Es beleuchtet, wie normkonforme Risikoeinschätzungen in vielen Fällen auch Compliance-Vorgaben wie NIS2 oder CRA stützen.
• Leser bekommen Einblicke in Tools und Methoden, die bei echten Umsetzungsprojekten in Industrie und Bahntechnik verwendet werden.

>> zum Interview mit Stefan Karg