Die Beiträge der IEC-62443-Cybersecurity-Tagung 2025

Auch dieses Jahr fand am 6. Oktober 2025 im Haus der Ingenieure wieder die traditionelle OVE-Konferenz zum Thema „Sicherheit industrieller Automatisierungssysteme“ statt. Heuer lag ein besonderer Fokus darauf, wie die IEC 62443 Betreiber und Hersteller dabei unterstützt, aktuelle rechtliche Compliance-Anforderungen umzusetzen, wie sie beispielsweise aus der NIS2 oder dem CRA auf die Unternehmen zukommen. Die vortragenden Experten teilten ihre Erfahrungen sowie Berührungspunkte aus der regelmäßigen Anwendung der Norm in ihren Vorhaben. Die heurige Veranstaltung fand auch dieses Jahr in einer hybriden Form statt, um allen interessierten Personen die Möglichkeit zu bieten, die Konferenz mitzuverfolgen und auch die eine oder andere spannende Frage zu stellen. Die Aufzeichnung der freigegebenen Vorträge der Veranstaltung und die Slides sind hier verfügbar.

IEC 62443 – The State of the Standard – Thomas Bleier, B-SEC better secure GmbH & Co KG

Zu Beginn der Veranstaltung durfte ich wie jedes Jahr den aktuellen Entwicklungsstand und die derzeit laufenden Aktivitäten rund um die IEC 62443 darstellen. Die Normenreihe wird kontinuierlich weiterentwickelt und ausgebaut, so befindet sich derzeit beispielsweise der neue Teil 1-6 in Entwicklung, der auf das Thema „Integration von Industrial Internet of Things(IIoT)-Technologien in bestehende industrielle Systeme“ eingeht. Aktuell werden auch weitere Teile der Norm überarbeitet, um sie mit den Anforderungen des CRA zu harmonisieren. Dies betrifft insbesondere die Teile 3-3, 4-1 und 4-2, da hier die technischen und produktbezogenen Sicherheitsanforderungen abgebildet sind, welche auch im CRA gefordert werden.

Die Koordination der IEC-62443-Entwicklung in der CENELEC TC65X WG3 erfolgt in enger Abstimmung mit der ISO/IEC JTC 13/WG 9, um die Anforderungen aus den in Entwicklung befindlichen horizontalen Standards für den CRA einfließen zu lassen. Ziel ist es, die IEC 62443 weiterzuentwickeln und gleichzeitig den steigenden regulatorischen Anforderungen gerecht zu werden. Damit bleibt die IEC 62443 auch künftig der maßgebliche Standard für OT-Security mit einem klaren Fokus auf eine zukunftssichere Integration der Anforderungen aus dem CRA.

OT Security 2025: Progress, Challenges and New Opportunities in the Age of EN 62443 and NIS2 – from Roadmap to Reality – Mario Vukovic, OMV AG

Mario Vukovic bot in seinem Beitrag wertvolle Einblicke, wie die IEC 62443 dem Energiekonzern OMV dabei half, eine systematische OT-Security-Strategie aufzubauen und kontinuierlich weiterzuentwickeln. Aus der Sicht eines Betreibers wurde deutlich, dass Cybersicherheit in industriellen Umgebungen nur dann nachhaltig funktioniert, wenn technische Maßnahmen mit Organisation, Kommunikation und Kultur verzahnt werden. Entscheidend ist, Sicherheit als kontinuierlichen Prozess zu verstehen, der nur im Zusammenspiel von Technik, Mensch und Organisation dauerhaft erfolgreich sein kann.

Cyber-Risiken in der Energiebranche: praxisbasierte Erkenntnisse aus IEC-62443-3-2-Risikobewertungen – Christian Brauner & Jaron Stammler, OMICRON Electronics GmbH

Christian Brauner und Jaron Stammler von der OMICRON Electronics GmbH gaben in ihrem Vortrag spannende Einblicke in die praktische Anwendung der IEC 62443-3-2 im Bereich der Energieversorgung. Die Anwendung der IEC 62443 hat sich als zentrales Werkzeug zur systematischen Risikoanalyse in Projekten, wie beispielsweise aktuell im Bereich Battery Energy Storage (BESS), erwiesen. Ziel ist es, Investitionen abzusichern, die Betriebssicherheit zu gewährleisten und zugleich rechtliche sowie finanzielle Risiken beziehungsweise Schäden zu vermeiden. Entscheidend für den Erfolg solcher Assessments ist eine klare Definition des Scopes, um relevante Bedrohungen realistisch einzuschätzen.

Jaron Stammler betonte, dass bei Risikobewertungen die Art der Assets wichtiger ist als deren Anzahl. Nur durch die Identifikation kritischer Komponenten und die Bewertung ihrer Verwundbarkeit lassen sich sinnvolle Schutzmaßnahmen ableiten. Er hob außerdem hervor, dass eine wirksame Risikobetrachtung immer interdisziplinär erfolgen muss, also im Zusammenspiel von IT, OT, Betrieb und Security. Die zunehmende Abhängigkeit von vernetzten Systemen ist dabei eines der größten Risiken, das durch Maßnahmen wie Netzwerksegmentierung, aktives Schwachstellenmanagement und den Einsatz von Intrusion Detection-Systemen (IDS) gemindert werden kann.

Christian Brauner ergänzte, dass die Bedrohungslage in der Energiebranche kontinuierlich zunimmt und nur durch regelmäßige Risikoanalysen kalkulierbar bleibt. Die IEC 62443-3-2 bietet hierfür einen klar strukturierten Rahmen zur Bewertung von Eintrittswahrscheinlichkeit und Auswirkung möglicher Angriffe und unterstützt damit ein konsequentes Sicherheitsmanagement für industrielle Automatisierungs- und Kontrollsysteme. Beide Referenten machten deutlich, dass eine strukturierte, standardbasierte Risikobewertung nach IEC 62443 heute unverzichtbar ist, um die Resilienz moderner Energiesysteme sicherzustellen und zukünftige Herausforderungen im Bereich OT-Security proaktiv anzugehen.

Kommunikationskontrolle und Firewall Review in industriellen Netzwerken – Harald Gattermeyer, Anapur AG

In industriellen Netzwerken entscheidet oft eine klare Kommunikationsstruktur über die Sicherheit ganzer Anlagen. Harald Gattermeyer von der Anapur AG zeigte in seinem Beitrag, wie wichtig Transparenz, Nachvollziehbarkeit und regelmäßige Überprüfung von Kommunikationswegen und Firewall-Regeln für eine nachhaltige OT-Security sind. Zentrale Aspekte moderner OT-Sicherheitsstrategien sind die Nachweisbarkeit und Transparenz der implementierten Maßnahmen. Ein Beispiel aus der Praxis zeigte, wie durch gezielte Analyse- und Visualisierungstools ein tieferes Verständnis über bestehende Sicherheitsarchitekturen geschaffen werden kann. Im Fokus stand dabei die Entwicklung spezialisierter Softwarelösungen zur Analyse von Firewall-Regeln, zur Bewertung ihrer Kritikalität und zur grafischen Darstellung komplexer Netzwerkbeziehungen.

Gerade in industriellen Umgebungen zeigt sich, dass OT nicht gleich OT ist: Die Anforderungen an die Netzwerksicherheit unterscheiden sich zwischen verschiedenen Systemen, wie Batteriesystemen, Produktionsanlagen oder Energieverteilnetzen, erheblich. Dennoch gilt die Firewall nach wie vor als „First Line of Defense“. Sie bildet die zentrale Schutzschicht zwischen IT- und OT-Systemen. Entscheidend ist dabei nicht nur ihre Existenz, sondern die Qualität der Netzwerksegmentierung. Oft bleibt unklar, wie konsequent diese tatsächlich umgesetzt ist. Um dies zu verbessern, braucht es einen systematischen Ansatz mit periodischen Überprüfungen, detaillierten Analysen und zentralisiertem Management.

Ein weiterer Schwerpunkt lag auf dem Prozess- und Regelmanagement. Regelmäßige Reviews helfen, veraltete oder redundante Regeln zu identifizieren und zu entfernen. Dabei ist die Unterscheidung zwischen interner und externer Kommunikation essenziell, um High-Risk-Regeln gezielt zu erkennen. Die Visualisierung der Kommunikationsbeziehungen schafft hier Transparenz und fördert den Dialog zwischen IT-, OT- und Sicherheitsverantwortlichen: Welche Regeln sind aktiv, kritisch oder überholt? Wer kommuniziert mit wem und über welche Ports? Die kontinuierliche Analyse und Optimierung der Netzwerksicherheit ermöglicht es, sich schrittweise einem definierten Sollzustand anzunähern. Eine nachvollziehbare Änderungshistorie sorgt zusätzlich für Transparenz über die Zeit. Gerade in OT-Umgebungen, die im Vergleich zur IT oft deutlich starrer und langlebiger sind, sind klare Prozesse, Disziplin und Sichtbarkeit der Schlüssel zu nachhaltiger Sicherheit.

Umsetzung von Compliance-Anforderungen bei der Entwicklung sicherer Systeme – Stephan Hutterer, CyberUP GmbH

Nach der Pause gab Stephan Hutterer Einblicke in diepraktische Umsetzung der Anforderungen des Cyber Resilience Act (CRA) und zeigte mögliche Stolperfallen sowie wertvolle Tipps für eine effiziente und zielgerichtete Realisierung auf. Der CRA ist eine EU-Verordnung zur Stärkung der Cybersicherheit digitaler Produkte, deren zentrales Ziel es ist, einheitliche Security-Anforderungen für alle Produkte mit digitalen Elementen im EU-Binnenmarkt zu etablieren. Die Verordnung gilt auch für nicht-europäische Hersteller, sobald ihre Produkte im EU-Markt verfügbar sind. Die Meldepflichten für Schwachstellen gelten bereits ab September 2026. Ab 11.12.2027 wird der CRA dann verbindlich für alle Produkte, die ab diesem Stichtag neu in der EU verkauft oder bereitgestellt werden.

Die Kernanforderungen umfassen die Festlegung technischer Sicherheitsanforderungen, operative Pflichten wie die Bereitstellung von Sicherheitsupdates sowie eine umfassende Dokumentationspflicht interner Nachweise für Behörden. Die CE-Kennzeichnung dient als Nachweis der Konformität. Für die praktische Umsetzung empfahl Stephan Hutterer, nicht mit der Anforderungsdefinition zu beginnen, sondern zunächst klare Risikoanalysen und -modelle für jedes Produkt aufzubauen. Das Risikomodell muss über den gesamten Lebenszyklus des Produkts gepflegt werden, wobei der Anwendungskontext eine zentrale Rolle spielt. Zur Risikobewertung können Frameworks wie Threat Modelling (z. B. STRIDE oder MITRE ATT&CK) genutzt werden. Die Norm IEC 62443 (insbesondere Teil 4-1) bietet zudem methodische Unterstützung für den Secure System Development Lifecycle (SSDLC) und hilft, einen standardisierten und auditierbaren Prozess zur CRA-Umsetzung zu etablieren.

Stephan Hutterer hielt abschließend fest, dass der Weg zur Konformität stark vom Produktumfeld abhängt, und betonte die Notwendigkeit, frühzeitig ein Risikomodell aufzubauen, Prozesse zu dokumentieren und laufende Reviews durchzuführen, um die Compliance erfolgreich zu gewährleisten.

Mit der 62443 zur CRA-Compliance – Peter Panholzer, Limes Security GmbH

Peter Panholzer von der Limes Security GmbH zeigte in seinem Vortrag anhand von Beispielen, dass die Anforderungen aus dem Cyber Resilience Act (CRA) und die Festlegungen in der IEC 62443-4-2 in weiten Teilen bereits deckungsgleich sind. Die 62443-4-2 ist in manchen Aspekten sogar detaillierter. Außerdem beleuchtete er die praktische Umsetzung des neuen CRA. Das zentrale Thema: Viele Unternehmen unterschätzen den technischen Aufwand, um ihre Produkte CRA-konform zu gestalten. Es besteht dringender Handlungsbedarf, da die Übergangsfrist bereits 2027 endet und die Aufwände für die Nachweispflichten erheblich sein können. Die derzeit entwickelten harmonisierten Normen sollen dabei Herstellern die nötige Rechtssicherheit bieten.

Die Norm IEC 62443 spielt eine entscheidende Rolle, da sie einen praktischen und technischen Umsetzungsrahmen liefert: Es besteht eine enge Überlappung zwischen den Sicherheitsanforderungen des CRA und der Norm, wobei insbesondere IEC 62443-4-1 hilft, die CRA-Anforderungen im Produktentwicklungsprozess umzusetzen. Der CRA fordert weitreichende technische Maßnahmen, wie etwa sichere Standardkonfigurationen („Security by Default“), die Auslieferung von Systemen mit der minimal notwendigen Funktionalität („Least Functionality“) und die Verpflichtung sicherzustellen, dass Updates Schwachstellen tatsächlich beheben. Peter Panholzer betonte, dass schon kleine gesetzliche Textpassagen eine breite Kette von Sicherheitsmaßnahmen auslösen können. Gerade bei Industrial Automation & Control Systems (IACS) ist die Integrität ein essenzieller Faktor. Die Kombination aus IEC 62443-4-1 und IEC 62443-4-2 liefert demnach eine gute Grundlage für CRA-konforme Produkte.

CRA für Hersteller: Anforderungen, Prozesse, Praxis – Johann Schlaghuber, Siemens AG

Johann Schlaghuber gab einen praxisorientierten Überblick über die aktuellen regulatorischen Vorgaben aus Sicht eines Herstellers mit klarem Fokus auf den Anforderungen des Cyber Resilience Act (CRA) und der operativen Übersetzung in Unternehmensprozesse. Entscheidend sei der risikobasierte Ansatz: Maßnahmen und Prüfpflichten richten sich nach dem Sicherheitsrisiko des jeweiligen Produkts und können von geringfügigen Anforderungen bis hin zu sehr strengen Prüf- und Meldepflichten reichen. Entsprechend stuft der CRA Produkte in Kategorien ein – von Standard-Produkten über wichtige bis kritische Produkte –, wobei Verstöße nicht nur Bußgelder, sondern im Extremfall auch Produktrückrufe nach sich ziehen können.

Aus Sicht der Produktentwicklung und des operativen Betriebs stehen vor allem Prozess- und Organisationsanforderungen im Vordergrund. Johann Schlaghuber betonte, dass ein etabliertes Incident-Response-Verfahren verpflichtend und dass effektives Schwachstellenmanagement stark prozessgetrieben ist: Unternehmen brauchen dedizierte Zuständigkeiten, dokumentierte Abläufe für die koordinierte Meldung von Schwachstellen und sichere Mechanismen zur Verteilung von Updates, inklusive der Möglichkeit, fehlerhafte Updates zurückzunehmen. Damit diese operativen Pflichten auditierbar erfüllt werden können, sind etablierte Normen und Frameworks hilfreich: ISO/IEC 27001 für Informationssicherheits-Management und ISO 22301 für Business-Continuity-Management dienen als sinnvolle Referenzpunkte, weil sie Information Security, Industrial Security und Resilienz-Prozesse verbinden.

Wichtig ist außerdem, dass Patch-Management und Threat-Monitoring eng mit dem Vulnerability-Management abgestimmt sind, um schnelle, nachweisbare Reaktionen auf entdeckte Schwachstellen zu ermöglichen. Ein weiteres zentrales Thema war die Nachvollziehbarkeit von Softwarekomponenten: SBOMs (Software Bill of Materials) schaffen Transparenz über Abhängigkeiten, während CBOMs (Cryptographic Bill of Materials) die eingesetzten kryptografischen Verfahren und Schlüssellängen dokumentieren. Als praktische Empfehlung nannte Johann Schlaghuber, vor dem Produktlaunch noch einmal einen vollständigen Schwachstellenscan durchzuführen und die Ergebnisse zu dokumentieren. Dies erhöht die Audit-Tauglichkeit und erleichtert spätere Nachweise gegenüber Behörden.

Insgesamt plädierte er dafür, regulatorische Anforderungen nicht als rein juristische Last, sondern als Chance für robuste Produktentwicklung und resiliente Betriebsprozesse zu sehen: Eine frühzeitige Einbettung von Risikoanalyse, klaren Prozessen und Nachvollziehbarkeit schafft nicht nur Compliance-Sicherheit, sondern stärkt auch die Produkte und das Vertrauen der Endkunden.

Auch in diesem Jahr durften wir uns über zahlreiche Teilnehmende an der Veranstaltung sowohl vor Ort als auch online freuen, und an dieser Stelle möchte ich mich bei allen Vortragenden für ihre Beiträge, bei den Sponsoren für die Unterstützung und beim Organisationsteam des OVE für die Durchführung der Veranstaltung bedanken. Im nächsten Jahr wollen wir die Tradition fortsetzen und im Herbst 2026 wieder eine IEC-62443-Cybersecurity-Tagung durchführen. Wir freuen uns natürlich auch jetzt schon über Ideen für Vorträge dazu – bitte einfach ein kurzes Mail an t@b-sec.net senden.

Porträtfoto Thomas Bleier
DI Thomas Bleier, MSc
OVE-OEK-Vorsitzender des TSK MR65 und der AG MR65 IACS Security |
OVE-Informationstechnik, Arbeitsgruppenleiter Cyber Security

Chief Security Improvement Officer und Geschäftsführer
B-SEC better secure GmbH & Co KG

Verwandte Themen
#Digitalisierung#Kommunikationsnetze
Energieeffiziente Funkkommunikation

Mobilfunkkommunikationssysteme bilden mehr und mehr das „zentrale Nervensystem“ für die Digitalisierung vieler vertikaler Branchen wie Transport und Fertigung. Der Energieverbrauch ist dabei ein wichtiger Parameter, da das Mooresche Gesetz bald an physikalische Grenzen stößt.

weitelesen mehr erfahren
Logo AAL AUSTRIA
#Digitalisierung#Mensch & Digitalisierung
AAL im Zeichen von Ethik und assistiven Technologien

Der aktuelle Informationstechnik-Newsletter zum Schwerpunkt AAL wirft einen Blick auf bevorstehende Veranstaltungen im Herbst und gibt Einblicke in die Arbeitskreise "Ethik" und "Assistierende Technologien".

weitelesen mehr erfahren
Mario Drobics
#Digitalisierung#Cyber Security & Data Spaces
Datenräume als Schlüssel zur digitalen Zukunft

Datenräume sind die Basis für einen effizienten und sicheren Datenaustausch in Industrie, Tourismus, Katastrophenschutz und Energiemanagement. Mit Prinzipien wie Souveränität und Interoperabilität eröffnen sie neue Möglichkeiten für Innovationen und nachhaltige Geschäftsmodelle.

weitelesen mehr erfahren

Das Element kann nicht angezeigt werden. Um das Element zu sehen, akzeptieren Sie die Marketing-Cookies.

Cookie-Einstellungen öffnen
Kontakt
Verband
Jobs
Presse
Shop
EN
Datenschutzeinstellungen

Auf unserer Webseite werden Cookies verwendet. Einige davon werden zwingend benötigt, während es uns andere ermöglichen, Ihre Nutzererfahrung auf unserer Webseite zu verbessern.

Essentiell

Essentielle Cookies werden für grundlegende Funktionen der Webseite benötigt. Dadurch ist gewährleistet, dass die Webseite einwandfrei funktioniert.

Name
omCookieConsent
Beschr.

Speichert die vom Benutzer gewählten Cookie-Einstellungen.

Speicherdauer
365 Tage
Provider
Oliver Pfaff - Olli macht's

Marketingcookies umfassen Tracking und Statistikcookies

Name
_ga, _gid, _gat, __utma, __utmb, __utmc, __utmd, __utmz
Beschr.

Diese Cookies werden von Google Analytics verwendet, um verschiedene Arten von Nutzungsinformationen zu sammeln, einschließlich persönlicher und nicht-personenbezogener Informationen. Weitere Informationen finden Sie in den Datenschutzbestimmungen von Google Analytics unter https://policies.google.com/privacy. Gesammelte nicht personenbezogene Daten werden verwendet, um Berichte über die Nutzung der Website zu erstellen, die uns helfen, unsere Websites / Apps zu verbessern. Diese Informationen werden auch an unsere Kunden / Partner weitergegeben.

Speicherdauer
Mehrere - variieren zwischen 2 Jahren und 6 Monaten oder noch kürzer.
Provider
Google LLC
Name
Youtube
Beschr.

Werden zur Anzeige von YouTube Videos und Speicherung von User-Einstellungen genutzt.

Speicherdauer
Aktuelle Browsersitzung
Provider
YouTube
Name
fbp, FR
Beschr.

Wird von Facebook genutzt, um eine Reihe von Werbeprodukten anzuzeigen, zum Beispiel Echtzeitgebote dritter Werbetreibender.

Speicherdauer
3 Monate
Provider
FACEBOOK
Datenschutz