Cybersecurity für Industrie & Produktion

Die industrielle Produktion hat in den letzten Jahren eine tiefgreifende Digitalisierung erfahren. Industrie 4.0, vorausschauende Wartung, digitale Zwillinge und Cloud-basierte Produktionsplanung vernetzen heute Systeme, die früher in vollständiger Isolation betrieben wurden: Speicherprogrammierbare Steuerungen (SPS), SCADA-Systeme, DCS-Plattformen und Feldgeräte kommunizieren mit ERP-Systemen, Lieferantenportalen und Cloud-Diensten.

Diese Vernetzung schafft reale Angriffsflächen. Ein Angreifer, der einen Mitarbeiter über Phishing kompromittiert, kann – bei fehlender Segmentierung – von der Office-IT in die Produktionssteuerung gelangen. Ransomware, die in der IT-Umgebung gestartet wird, kann sich in OT-Netzwerke ausbreiten und Steuerungssysteme kompromittieren. Notpetya 2017 hat gezeigt, wie ein solcher Angriff innerhalb von Stunden einen weltweiten Produktionsstopp verursachen kann – mit Schäden in Milliardenhöhe.

OT-Systeme sind darüber hinaus strukturell verwundbar: Lange Lebenszyklen (15-30 Jahre), herstellerspezifische Protokolle, eingeschränkte Patch-Möglichkeiten und die absolute Priorität von Verfügbarkeit machen klassische IT-Sicherheitsmaßnahmen nicht direkt übertragbar. Wer OT-Sicherheit mit IT-Werkzeugen und IT-Denkweise angehen möchte, riskiert Produktionsausfälle durch die Sicherheitsmaßnahmen selbst.

IEC 62443 ist die internationale Normreihe für Cybersicherheit in industriellen Automatisierungs- und Steuerungssystemen (IACS). Sie definiert Sicherheitsanforderungen für Betreiber, Systemintegratoren und Komponentenhersteller auf vier Sicherheitsstufen (Security Levels 1-4) und fordert eine zonenbasierte Netzwerksegmentierung, die auf einer Risikobewertung der Produktionsumgebung basiert.

Das Zonenkonzept nach IEC 62443 unterteilt die Produktionsinfrastruktur in Zonen mit unterschiedlichem Schutzbedarf und definiert Conduits – Übergangspunkte zwischen Zonen – die gezielt überwacht und gefiltert werden. Dieses Modell ist deutlich wirkungsvoller als eine einfache Firewall zwischen IT und OT: Es begrenzt den Blast Radius eines erfolgreichen Angriffs auf eine Zone und verhindert, dass sich Schadsoftware unkontrolliert ausbreiten kann.

Für Industrieunternehmen, die NIS2-pflichtig sind oder Lieferant von KRITIS-Betreibern sind, wird IEC 62443 zunehmend zum Standard-Nachweis. Wir begleiten die Implementierung von IEC 62443 pragmatisch: Asset Discovery und Zoneneinteilung, Gap-Analyse gegenüber den relevanten Normteilen, priorisierter Maßnahmenplan unter Berücksichtigung von Produktionsanforderungen und – wo gefordert – Unterstützung bei der Zertifizierung.

NIS2 trifft Industrieunternehmen in zwei Rollen: als potenziell direkt betroffene Einrichtungen (insbesondere in der Fertigung kritischer Produkte, im Maschinenbau und in Transportzweigen) und als Lieferanten von wesentlichen Einrichtungen. Letzteres ist für viele mittelständische Unternehmen der unmittelbarere Hebel: Kunden, die NIS2-pflichtig sind, werden ihre Lieferanten zunehmend auf Cybersicherheitsreife prüfen und vertraglich verpflichten.

Supply Chain Security ist eine explizite NIS2-Anforderung: Betroffene Unternehmen müssen die Cybersicherheitsmaßnahmen ihrer direkten Lieferanten bewerten. Das erzeugt Druck die gesamte Lieferkette hindurch. Industrieunternehmen, die heute nicht auf Anfragen zur Sicherheitsreife reagieren können, werden Aufträge verlieren – unabhängig von der technischen Qualität ihrer Produkte.

Wir unterstützen Industrieunternehmen dabei, auf diese Anfragen vorbereitet zu sein: Sicherheitsdokumentation, ISO 27001-Vorbereitung, NIS2-Betroffenheitsanalyse und – wo eine direkte Zertifizierung noch zu früh ist – zumindest eine substanzielle Selbstauskunft mit Nachweis der wesentlichen Maßnahmen. Das verschafft Zeit und schützt Geschäftsbeziehungen.