Präventive Maßnahmen wie physische Sicherheit (Zäune, verschlossene Türen), technische Sicherheit (Antivirus, Updates, Backups) und organisatorische Sicherheit (Prozesse, Mitarbeiterschulung) sind die ersten Schritte. Die Entdeckung von fehlgeschlagenen oder gelungenen Angriffen durch Intrusion Detection und Monitoring Systeme ist dann wichtig, wenn grundlegende Maßnahmen (Firewall, Authentifizierungssysteme) nicht greifen. Das gesamte Netz sollte in mehrere Zonen, die mit Sicherheitssystemen getrennt werden, aufgeteilt werden. Das SCADA-Netz ist dabei unbedingt vom Office-Netz zu trennen und jeder Zugriff sollte stark kontrolliert werden. Eine Ausrichtung an einem ICS-Sicherheitsstandard (z.B. ISA99/IEC 62443) ist sehr zu empfehlen.
Denn ohne Organisation nützt der ganze technische Aufwand eventuell nichts.
Weiterhin sollte ein Security Incident Response Team gebildet werden, das für den Fall der Fälle vorbereitet ist und weiß, was zu tun ist, damit einem Angriff entgegengewirkt werden kann und die Auswirkungen nicht zu einer Katastrophe werden. Dabei können Richtlinien wie NERC, CIP, CFATS, ISO 27001, IEC 62443 und NIST 800-53 und Empfehlungen vom BSI und der ENISA helfen. Damit das Team effizient arbeiten kann, müssen entsprechende Richtlinien für Sicherheitsvorfälle existieren, welche diese richtig einordnen. Dazu werden Vorfälle z.B. in die Stufen normal, Eskalation und Notfall kategorisiert.
IT-Sicherheit für ICS muss (wie übrigens in der Business-IT auch), gemanaged werden. Das neue IT-Sicherheitsgesetz verlangt eine dauerhafte Prüfung und Verbesserung der IT-Sicherheit.
Dazu sollte ein Cybersicherheitsmanagement-System (CSMS) eingerichtet werden. Der Standard IEC 62443 beschreibt, wie ein solches CSMS aufgebaut und betrieben werden kann. Dabei orientiert es sich stark an der ISO 27001, die ein Management-System für die Business-IT beschreibt.