Asset-Inventar-Leitlinien von CISA und BSI

Die Cybersecurity and Infrastructure Security Agency (CISA) hat in Zusammenarbeit mit dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie weiteren Organisationen Empfehlungen zur Einrichtung und Pflege von Asset-Inventaren in kritischen Infrastrukturen veröffentlicht. Damit vollzieht sich ein deutlicher Perspektivenwechsel im Asset-Management: Es gilt nicht mehr nur als technische Best Practice, sondern auch als regulatorische Anforderung und notwendiger Bestandteil des Risikomanagements.

Kategorisierung nach Kritikalität

Für den Energiesektor empfiehlt die Leitlinie, sämtliche OT-Assets nach Kritikalität einzuteilen:

Hohe Kritikalität

Schutzrelais, DCS/SCADA-Kerne, kritische SPS, Leistungstransformatoren, Leistungsschalter, Schaltanlagen, USV/Notstrom: Diese Assets erfordern höchste Sicherheitsmaßnahmen und vorrangiges Patching.

Mittlere Kritikalität

RTUs, Gateways, PMUs, Daten-Historian-Systeme, Netzwerk-Switches/Routers in Steuerungssystemen sowie Umgebungssteuerungen in Leitstellen: Diese Assets benötigen strukturiertes Monitoring und klar definierte Update-Pläne.

Niedrige Kritikalität

Unterstützende Systeme wie Beleuchtung, nicht-kritische Sicherheitstechnik, administrative Arbeitsplätze und Umweltsensoren: Diese Assets erfordern nur Basismaßnahmen und eine dokumentierte Bestandsaufnahme.

Pflichtfelder des Inventars

Neben der Kategorisierung definieren die Behörden Pflichtfelder für jedes Asset sowie eine feste Priorisierung ihrer Erfassung. Beispiele für diese Einstufung sind:

Hochpriorisierte
Felder

Asset-Namen/-Nummern, Rolle/Typ, IP-/MAC-Adresse, Hostname, Hersteller, Modell und physischer Standort

Mittelpriorisierte
Felder

Firmware-/Software-Version

Niedrigpriorisierte
Felder

Seriennummer, Beschreibung und Lifecycle-Metadaten

Die Leitlinien zum Asset-Inventar von CISA, BSI und anderen Branchenorganisationen enthalten verbindliche Maßnahmen für Netzbetreiber

©DisobeyArt - stock.adobe.com

Konsequenzen für Betreiber

Die neuen Leitlinien weisen auf zwei zentrale Punkte hin:

Rechenschaftspflicht

Eine strukturierte Asset-Inventarisierung ist künftig untrennbar mit regulatorischer Compliance, Vorfallreaktionsfähigkeit und Cyber-Resilienz verbunden.

Automatisierung

Manuelle Prozesse werden in den kommenden Jahren zunehmend unzureichend sein – Automatisierung wird daher als Optimum empfohlen.

Wie OMICRON die
Compliance unterstützt

Mit StationGuard können Netzbetreiber ein Asset-Management aufbauen, das sowohl automatisiert ist als auch vollständig den Anforderungen von CISA und BSI entspricht. Die Lösung kombiniert:

Passive Erkennung &
aktive Abfrage

Passive Erkennung und aktive IEC-61850-MMS-Abfragen, um alle hochpriorisierten Felder automatisch zu füllen.

Detaillierte
Dokumentation

Kritikalitätszuweisung und Änderungsdokumentation, um regulatorische Anforderungen an die Nachvollziehbarkeit zu erfüllen.

Direkte
Alarm-Zuordnung

Direkte Schwachstellenkorrelation (über GridOps), um jedes Asset relevanten Security Advisories zuzuordnen – für proaktives Patch- und Maßnahmenmanagement.

Durch die Integration von Asset-Management, Vulnerability-Management und Kritikalitätszuordnung bietet StationGuard eine auditfähige Grundlage für regulatorische Compliance – und ein praxisnahes Werkzeug zur Stärkung der betrieblichen Resilienz.

News und Aktuelles

21. August 2025