Industrial Security - warum Compliance allein nicht vor Cyberangriffen schützt

Viele Industrieunternehmen haben in den vergangenen Jahren viel in Cybersicherheit investiert. Es gibt Zertifizierungen, Audits, Richtlinien, Meldewege und oft auch ein eigenes Security Operations Center. Auf dem Papier sieht das gut aus.

In der Realität bleibt jedoch eine unangenehme Lücke.

Denn industrielle Sicherheit funktioniert anders als klassische IT-Sicherheit. In Büroumgebungen lassen sich Systeme vergleichsweise schnell aktualisieren, austauschen oder neu aufsetzen. In der Produktion ist das deutlich komplizierter. Maschinen, Steuerungen und Anlagen laufen oft über viele Jahre oder sogar Jahrzehnte. Sie wurden nicht dafür gebaut, regelmäßig mit neuen Schnittstellen, Cloud-Anbindungen oder zentralem Monitoring verbunden zu werden.

Genau hier entsteht das eigentliche Problem: Viele Industrieunternehmen sind heute compliant, aber trotzdem verwundbar.

Ein einfaches Beispiel aus der Produktion macht das deutlich. Eine alte Steuerung läuft seit Jahren stabil und zuverlässig. Sie ist ein wichtiger Bestandteil der Anlage und darf nicht einfach abgeschaltet werden, weil sonst der gesamte Produktionsprozess stillsteht. Aus Sicht der Produktion ist das verständlich. Aus Sicht der IT-Sicherheit ist es jedoch ein Risiko, weil solche Systeme oft nicht nach heutigen Sicherheitsstandards entwickelt wurden.

Früher waren viele dieser Systeme weitgehend isoliert. Heute müssen sie zunehmend eingebunden werden. Daten sollen ausgewertet, Prozesse überwacht, Anlagen vernetzt und Risiken dokumentiert werden. Dazu kommen regulatorische Anforderungen, neue Meldepflichten und der Wunsch nach mehr Transparenz.

Die Absicht dahinter ist richtig. Unternehmen sollen ihre Risiken besser kennen und beherrschen. Der Nebeneffekt ist jedoch, dass neue Verbindungen in Umgebungen entstehen, die ursprünglich nicht für diese Offenheit gedacht waren.

Und jede neue Verbindung kann auch ein neuer Angriffspunkt sein.

Alte Anlagen treffen auf neue Anforderungen

In vielen Industriebetrieben existieren zwei Welten nebeneinander. Auf der einen Seite steht die klassische IT mit E-Mail, ERP-Systemen, Cloud-Diensten und Büroarbeitsplätzen. Auf der anderen Seite steht die operative Technologie, kurz OT. Dazu gehören Steuerungen, Sensoren, Maschinen, Produktionslinien, Leitsysteme und Prozessautomatisierung.

Diese OT-Welt wurde vor allem auf Stabilität ausgelegt. Eine Anlage soll zuverlässig laufen. Ein Produktionsprozess soll nicht ausfallen. Sicherheit bedeutete hier lange Zeit vor allem Arbeitssicherheit, Maschinensicherheit und Betriebssicherheit.

Cybersecurity spielte bei vielen älteren Systemen keine zentrale Rolle. Nicht, weil sie unwichtig gewesen wäre, sondern weil die Bedrohungslage eine andere war. Viele Anlagen entstanden in einer Zeit, in der niemand davon ausging, dass industrielle Steuerungen einmal Teil vernetzter Unternehmenssysteme werden würden.

Heute sieht die Lage anders aus. Produktionsanlagen sind stärker verbunden. Daten werden an zentrale Systeme übertragen. Wartung erfolgt teilweise remote. Lieferketten sind global vernetzt. Gleichzeitig interessieren sich nicht mehr nur klassische Cyberkriminelle für solche Umgebungen, sondern auch staatlich unterstützte Akteure.

Für Angreifer ist Industrie besonders interessant, weil ein erfolgreicher Angriff nicht nur Daten verschlüsseln kann. Er kann Produktion stoppen, Lieferketten unterbrechen, Kundenbeziehungen belasten und im schlimmsten Fall auch physische Prozesse beeinflussen.

Ein Angriff auf ein einzelnes Werk bleibt deshalb selten ein einzelnes Problem. Wenn ein Zulieferer ausfällt, kann das Auswirkungen auf Kunden, Partner und ganze Branchen haben. Besonders kritisch wird es dort, wo es keine schnelle Alternative gibt. Spezialchemie, Pharma, Energie, Maschinenbau oder Automobilzulieferung sind dafür typische Beispiele.

Compliance ersetzt keine echte Verteidigungsfähigkeit

Das Problem liegt nicht darin, dass Unternehmen nichts tun. Viele tun sehr viel. Sie erfüllen Vorgaben, dokumentieren Prozesse, bestehen Audits und investieren in Sicherheitstechnik.

Aber Compliance ist nicht automatisch Verteidigung.

Ein Unternehmen kann zertifiziert sein und trotzdem nicht wissen, wer im Ernstfall eine Produktionssteuerung vom Netz nehmen darf. Es kann ein modernes Monitoring einsetzen und trotzdem keine klare Antwort darauf haben, wer bei einem Alarm entscheidet. Es kann einen Incident-Response-Plan besitzen und trotzdem feststellen, dass dieser Plan nur für IT-Systeme funktioniert, nicht aber für eine laufende Produktionsanlage.

Genau hier entsteht das Industrial-Security-Paradox. Die Organisation wirkt formal abgesichert, ist operativ aber nicht ausreichend vorbereitet.

Ein Warnsignal kann im Security-Team sichtbar sein. Die OT-Ingenieure verstehen vielleicht, welche Maschine betroffen ist. Das Management erkennt die geschäftlichen Folgen eines Produktionsstopps. Aber wenn diese drei Perspektiven nicht sauber zusammengeführt werden, entsteht keine schnelle Entscheidung.

Und im Ernstfall ist genau das entscheidend.

Denn bei Industrial Security geht es nicht nur darum, einen Angriff zu erkennen. Es geht darum, unter Zeitdruck die richtigen Maßnahmen zu treffen, ohne die Produktion unnötig zu gefährden. Soll eine Anlage heruntergefahren werden? Darf eine Verbindung getrennt werden? Wer informiert Kunden und Behörden? Welche Auswirkungen hat ein Eingriff auf Sicherheit, Qualität und Lieferfähigkeit?

Diese Fragen lassen sich nicht erst während eines Vorfalls klären.

Die Lieferkette wird zum Prüfstand

Hinzu kommt ein weiterer Punkt: Industrieunternehmen stehen nicht nur gegenüber Behörden unter Druck. Auch Kunden und Geschäftspartner schauen genauer hin.

Wer Teil einer internationalen Lieferkette ist, muss zunehmend erklären können, wie widerstandsfähig die eigene Produktion ist. Früher reichte es oft, Zertifikate vorzulegen oder allgemeine Sicherheitsrichtlinien zu beschreiben. In Zukunft werden die Fragen konkreter.

Kunden wollen wissen, ob ein Zulieferer ein eigenes OT-Sicherheitsprogramm hat. Sie wollen wissen, wie Meldepflichten geregelt sind, ob Notfallpläne getestet wurden und ob kritische Abhängigkeiten bekannt sind. Denn aus Sicht des Kunden ist ein Cyberangriff beim Lieferanten nicht nur dessen Problem. Er kann die eigene Produktion treffen.

Damit wird Industrial Security auch zu einem Wettbewerbsfaktor.

Unternehmen, die ihre Risiken kennen und erklären können, wirken verlässlicher. Unternehmen, die nur auf Zertifikate verweisen, aber keine belastbaren Antworten geben können, geraten unter Druck.

Das bedeutet nicht, dass jedes mittelständische Industrieunternehmen sofort die gleichen Sicherheitsstrukturen wie ein Großkonzern aufbauen muss. Aber es bedeutet, dass Verantwortung, Entscheidungswege und technische Abhängigkeiten klarer werden müssen.

Zwischen Technik, Verantwortung und Geschäftsrisiko

Industrial Security darf nicht allein als Aufgabe der IT-Abteilung verstanden werden. Sie betrifft Produktion, Instandhaltung, Management, Recht, Einkauf und Vertrieb. Denn ein Ausfall industrieller Systeme ist nicht nur ein technischer Vorfall, sondern ein Geschäftsrisiko.

Genau deshalb reicht es nicht, nur neue Sicherheitssoftware einzuführen. Unternehmen müssen wissen, welche Anlagen kritisch sind, welche Systeme miteinander verbunden sind und wo alte Technik neue Risiken erzeugt. Sie müssen entscheiden, welche Risiken akzeptiert werden können und welche nicht.

Dazu gehört auch eine ehrliche Bestandsaufnahme. Viele Unternehmen wissen erstaunlich wenig darüber, welche OT-Komponenten tatsächlich im Einsatz sind. Manche Systeme wurden über Jahre erweitert, angepasst oder durch Dienstleister betreut. Dokumentation fehlt oder ist veraltet. In solchen Umgebungen ist es schwer, Sicherheit zuverlässig zu steuern.

Der erste Schritt ist daher oft nicht die nächste große Sicherheitslösung. Der erste Schritt ist Transparenz.

Welche Anlagen sind kritisch? Welche Systeme sind alt? Welche Schnittstellen bestehen zur IT? Welche Dienstleister haben Zugriff? Welche Prozesse würden bei einem Ausfall sofort stehen bleiben? Und wer darf im Ernstfall welche Entscheidung treffen?

An dieser Stelle ist es hilfreich sich folgende Fragen zu stellen und die damit einhergehenden Vor- und Nachteile abzuwägen:

  • Welche Produktionssysteme sind für den Geschäftsbetrieb wirklich kritisch?
  • Gibt es ein eigenes Sicherheitskonzept für OT oder nur ein übertragenes IT-Konzept?
  • Wer entscheidet im Notfall über Eingriffe in laufende Anlagen?
  • Sind alte Steuerungen, Schnittstellen und Fernwartungszugänge vollständig dokumentiert?
  • Wurden Notfallpläne auch mit Produktion und Management getestet?
  • Wissen Kunden und Partner, wie abhängig sie von einzelnen Werken oder Anlagen sind?
  • Wird Industrial Security als technisches Thema oder als Geschäftsrisiko behandelt?

Europas Industrie ist stark, weil sie komplexe Produkte zuverlässig herstellen kann. Genau diese Stärke macht sie aber auch verwundbar. Je stärker Lieferketten, Produktionssysteme und digitale Schnittstellen miteinander verbunden sind, desto größer wird die Wirkung einzelner Schwachstellen.

Compliance bleibt wichtig. Sie schafft Regeln, Nachweise und Verbindlichkeit. Aber sie ersetzt keine klare Verantwortung, keine getesteten Abläufe und keine echte Widerstandsfähigkeit.

Am Ende wird nicht das Unternehmen am besten geschützt sein, das die meisten Dokumente vorweisen kann. Sondern das Unternehmen, das im Ernstfall weiß, was zu tun ist.

Cookies für das beste Erlebnis

Mit der Auswahl "Akzeptiere Tracking" erlauben Sie uns die Verwendung von Cookies, Pixeln, Tags und ähnlichen Technologien. Wir nutzen diese Technologien, um Ihre Geräte- und Browsereinstellungen zu erfahren, damit wir Ihre Aktivität nachvollziehen können. Dies tun wir, um die Funktionalität der Website sicherzustellen und stetig zu verbessern. Wir können diese Daten an Dritte – etwa Social Media Werbepartner wie Google, Facebook und Instagram – zu Marketingzwecken weitergeben. Bitte besuchen Sie unsere Datenschutzerklärung für weitere Informationen. Dort erfahren Sie auch wie wir Ihre Daten für erforderliche Zwecke wie z.B. Sicherheit, Warenkorbfunktion, Anmeldung verwenden.

Akzeptieren
Cookie-Einstellungen verwalten
x

Hilfe nötig?

Ich bin Ihr digitaler Assistent und möchte es Ihnen so einfach wie möglich machen. Was würde Ihnen gerade helfen?
Erinnere mich in ein paar Wochen.
Verbinde mich mit einem Experten.
Danke, jetzt nicht.