Mit der neuen AK-Praxis „Patchmanagement“ stellt der NAMUR-Arbeitskreis 4.18 „Automation Security“ praxisnahe Empfehlungen für den sicheren Umgang mit Software-Updates in Automatisierungssystemen vor. Die kostenfreie Veröffentlichung (Stand: 19.02.2026) richtet sich insbesondere an IT- und OT-Verantwortliche in der Prozessindustrie und greift ein zentrales Spannungsfeld auf: Wie lassen sich Sicherheitslücken zeitnah schließen, ohne die Verfügbarkeit kritischer Produktionsanlagen zu gefährden? Außerdem veröffentlichte die Interessengemeinschaft die überarbeitete NE 21 zur elektromagnetischen Verträglichkeit.
Fokus: Cybersecurity bei maximaler Anlagenverfügbarkeit
Patchmanagement wird als wesentlicher Bestandteil einer ganzheitlichen Cybersecurity-Strategie verstanden. Ziel ist es, das sogenannte „Zeitfenster der Gefährdung“ – also den Zeitraum zwischen Bekanntwerden einer Schwachstelle und Installation des Patches – so kurz wie möglich zu halten. Gleichzeitig betont die AK-Praxis die besonderen Anforderungen industrieller Systeme:
- Hohe Verfügbarkeitsanforderungen
- Lange Lebenszyklen von Anlagen
- Abhängigkeiten zwischen Hard-, Firmware- und Softwareständen
- Herstellerfreigaben und regulatorische Anforderungen (z. B. GxP-Umgebungen)
Insbesondere in Prozessleitsystemen und in Level-0/1-Systemen gemäß Purdue-Modell (z. B. SPS, Schutzsysteme, Turbomaschinensteuerungen) kann ein unkoordiniertes Patchen erhebliche Auswirkungen auf Sicherheit und Produktion haben.
Strukturierter Patchmanagement-Prozess
Die AK-Praxis beschreibt einen klar strukturierten Prozess, der folgende Schritte umfasst:
- Inventarisierung aller Systeme (inkl. Softwarestände und SBOM)
- Identifikation relevanter Schwachstellen (z. B. über CSAF, CVE, Herstellerinformationen)
- Risikobasierte Klassifizierung (u. a. unter Berücksichtigung von CVSS und Exposition)
- Test und Verträglichkeitsprüfung (idealerweise in einer Offline-Testumgebung)
- Freigabe- und Rollenkonzept
- Dokumentierte Installation inklusive Backup-Strategie
- Kontrolle, Korrektur und Integration ins Change-Management
Für unterschiedliche Kritikalitätsstufen werden klare Zeitvorgaben formuliert – von „unverzüglich“ bei kritischen Zero-Day-Schwachstellen bis hin zur Installation im geplanten Anlagenstillstand.
Automatisierung als Zukunftsperspektive
Ein zentrales Zukunftsthema ist die stärkere Automatisierung des Patchmanagements. Mit dem Common Security Advisory Framework (CSAF) sieht die AK-Praxis ein großes Potenzial, insbesondere bei Identifikation und Bewertung von Schwachstellen. Die AK-Praxis „Patchmanagement“ liefert eine praxisorientierte Handlungsanleitung für Betreiber industrieller Automatisierungssysteme. Sie verbindet Cybersecurity-Anforderungen mit den realen Betriebsbedingungen der Prozessindustrie – und schafft damit eine fundierte Grundlage für ein strukturiertes, risikobasiertes Patchmanagement in OT-Umgebungen.
Die vollständige AK-Praxis ist zum kostenfreien Download verfügbar:
Zum DownloadNAMUR überarbeitet NE 21 zur elektromagnetischen Verträglichkeit
Die NE 021 „Elektromagnetische Verträglichkeit von Betriebsmitteln der Prozess- und Labortechnik“ legt praxisnahe Anforderungen zur Ermittlung der elektromagnetischen Störfestigkeit von Betriebsmitteln der Automatisierungs- und Laborleittechnik in der Prozessindustrie fest. Sie definiert einheitliche EMV-Anforderungen für Geräte in definierten EMV-Umgebungen, basierend auf der in NE 098 beschriebenen Umfeldklassifizierung – unabhängig von bestehenden Produktnormen.
Die NAMUR-Empfehlung wurde vollständig überarbeitet und an die technischen Rahmenbedingungen der NAMUR-Mitgliedsunternehmen angepasst. Als Grundlage dienen nationale und internationale Normen, weitere NAMUR-Dokumente sowie umfangreiche betriebliche Praxiserfahrungen. Ergänzend beschreibt die NE 21 spezielle, auf die Prozessindustrie zugeschnittene Prüfungen ohne direkten Normbezug.
Themen zum EMV-Verhalten spezieller Messverfahren und Schnittstellen sind nicht mehr Bestandteil der NE 21 und werden separat im AK-Praxis-Dokument des AK 3.12 behandelt.
Weitere Informationen gibt es unter www.namur.net.
