Das Modell bewertet einen Vorfall anhand von drei Kriterien: Schweregrad (von geringfügiger Störung bis zur katastrophalen Zerstörung), Reichweite (geografische Ausbreitung) und Dauer. Jeder der drei Bereiche wird unabhängig bewertet; die Einzelwerte werden miteinander multipliziert und durch 100 geteilt, woraus sich der OTI Impact Score ergibt. Geprüfte Freiwillige aus der ICS/OT-Branche sollen Vorfälle über ein Online-Portal bewerten, möglichst innerhalb von höchstens zwölf Stunden. Die Idee für ein solches Bewertungssystem hatte Walther-Puri erstmals auf der vorjährigen S4-Konferenz vorgestellt; gemeinsam mit Peterson arbeitete er das Modell in den vergangenen Monaten aus.

Entscheidend ist die Definition: Als OT-Cybervorfall gilt ein Ereignis, bei dem das OT-System nicht mehr normal arbeiten kann – unabhängig davon, ob der Angriff das industrielle Netzwerk direkt erreicht hat. Die meisten Vorfälle treffen nicht das OT-Netz selbst, sondern das IT-Netz der Organisation, was wiederum den Betrieb stört. Als Beispiel nennt der Bericht den Fall Clorox aus dem Jahr 2023, bei dem ein durch Ransomware lahmgelegtes Bestandssystem im IT-Netz Folgen für Produktion und Auslieferung hatte.

Zur Veranschaulichung berechneten die Entwickler Werte für bekannte Vorfälle. Der Angriff auf Colonial Pipeline im Jahr 2021 – eine Ransomware-Attacke auf das IT-Netz, die das Unternehmen zum Stopp des Pipeline-Betriebs zwang und an der US-Ostküste wegen Treibstoffmangels zu einem Notstand führte – erhielt einen Wert von 3,9 (“hohe Auswirkung”): 8 für Schweregrad wegen der Engpässe bei Benzin und Kerosin, 7 für Reichweite, da ein Drittel der US-Bevölkerung betroffen war, und 7 für Dauer, weil das Unternehmen sechs Tage Ausfall hatte und neun Tage bis zur vollständigen Wiederherstellung benötigte. Am anderen Ende steht der Angriff auf ein Wasserversorgungsunternehmen in Muleshoe, Texas, im Jahr 2024, bei dem nach einem Einbruch über eine Fernzugriffsanwendung ein einzelner Tank für 30 bis 45 Minuten überlief. Muleshoe erhielt 0,0 – je 1 für Schweregrad, Reichweite und Dauer, da Trinkwasser sicher geliefert wurde, nur ein System im Ort mit 5.000 Einwohnern betroffen war und die Betreiber nach Entdeckung auf manuellen Betrieb umschalteten.

Hollie Hennessy, Principal Analyst bei Omdia, hält den Score für Entscheider in der OT für nützlich. Laut Omdia-Daten arbeiten rund 45 Prozent der OT-Sicherheitsentscheider in einer reinen OT-Rolle, der Rest stammt aus IT, Infrastruktur, Netzwerk- und Anwendungstechnik. Zwar blieben schwere OT-Angriffe selten, doch hätten in den vergangenen zwölf Monaten 30 bis 40 Prozent der Organisationen einen Vorfall im Zusammenhang mit OT- oder IoT-Systemen erlitten.

Sarah Fluchs, CTO der OT-Beratung Admeritia, betont, letztlich komme es nicht darauf an, ob ein Vorfall gezielt auf OT abzielte, sondern auf die Auswirkungen auf Unternehmen, Geschäft oder Bevölkerung. Sie verweist zudem auf Fälle, in denen ein abgewehrter Vorfall dennoch negative Aufmerksamkeit erhalte. Offen bleibe, wie der Score reale Folgen wie Reputationsschäden erfassen solle und wann ein Vorfall überhaupt als abgeschlossen gelte. Die Organisatoren hoffen auf Unterstützung durch OT-Branchenverbände und möglicherweise Behörden wie die US-amerikanische CISA.