Bedrohungsszenarien für OT-Systeme entstammen oft vorgefertigten Katalogen und haben wenig mit den individuell zu schützenden Assets zu tun. Eine formale Vorgehensweise zur Auswahl und Begründung von Bedrohungsszenarien fehlt.
Eine Möglichkeit das Problem zu lösen ist STPA, STPA ist die Abkürzung für System-theoretic Process Analysis und wurde am MIT entwickelt. Es ist eine neue auf der Systemtheorie basierende Analysemethode für sicherheitskritische Systeme.
Florian Wagner und Stefan Suchi erklären, wie STPA für OT-Security angewandt werden kann: Schadensszenarien werden als ein Kontrollproblem gesehen, wenn Security-Randbedingungen nicht eingehalten werden. Eine unsichere Kontroll-Aktion („Ein Ventil wird nicht geöffnet, wenn der Druck im Kessel zu hoch ist“) gilt es zu verhindern, um Schadensszenarien zu vermeiden. Anschließend wird der Frage nachgegangen, wie diese unsicheren Kontroll-Aktionen durch Manipulation des Systems hervorgerufen werden könnten. Daraus werden die schützenswerten Assets identifiziert. Im Ergebnis erhält man eine schlüssige und rückverfolgbare Argumentation zwischen Schadenszenarien und Assets.