Startseite » Cybersecurity »

Wie es um die Cybersecurity in der Produktion steht

Zwischen Innovation und Regulatorik
Wie steht es um die Cybersecurity in der Produktion?

24. Juni 2024
5 Minuten Lesezeit
Wie steht es um die Cybersecurity in der Produktion?
Die zunehmende Vernetzung in der Industrie bringt nicht nur eine erhöhte Produktivität, sondern birgt auch neue Sicherheitsrisiken. Bild: kamonrat / stock.adobe.com

Ob EU-Maschinenverordnung, Cyber Resilience Act (CRA) oder NIS-2-Richtlinie: für die Absicherung der Produktion vor Cyberangriffen gibt es im europäischen Raum immer mehr Regularien. Doch wie lassen sich diese am besten umsetzen und worauf müssen Unternehmen dabei achten?

Ein Gastbeitrag von Christoph Schambach, secunet Security Networks AG

Die digitale Transformation in der Produktion hat vielerlei Facetten, darunter die Vernetzung von Anlagen, die Digitalisierung von Fertigungsprozessen und Lieferketten oder auch die Echtzeiterhebung und -verarbeitung von Maschinendaten. Jedoch stellt die Umsetzung Anlagenbauer und -betreiber vor einige Herausforderungen: Lange Lebenszyklen von Maschinen führen dazu, dass neben neuen Produktgenerationen, die im besten Fall nach dem Prinzip „Security by Design“ entwickelt wurden, nach wie vor viele ältere Geräte im Einsatz sind. Die zunehmende Vernetzung bringt gerade hier nicht nur eine erhöhte Produktivität, sondern birgt auch völlig neue Sicherheitsrisiken. Angriffsszenarien wie Sabotage oder Ransomware, die oft finanzielle und operative Konsequenzen für die betroffenen Unternehmen haben, steigern die Anforderungen an die Cybersicherheit. Die möglichen Folgen einer Cyberattacke können gravierend sein. Erfolgreiche Angriffe zielen nicht allein auf den Diebstahl geistigen Eigentums ab, sie können auch wirtschaftliche Schäden durch fehlerhafte Produktion oder den Stillstand der Maschinen verursachen und im Extremfall zu einer Gefährdung des arbeitenden Personals an den Maschinen führen.

Zudem haben Angriffe unter Umständen direkte Auswirkungen auf die gesellschaftliche Versorgung. Durch Angreifer gestohlene und veröffentlichte Konstruktions-, Produktions- oder Kundendaten sind nicht nur rufschädigend, sie schwächen Unternehmen – und damit auch ihren Standort – im internationalen Wettbewerb. Um Europas Industrie und die produzierten Güter sowohl physisch als auch im Cyberraum gegen Vorfälle zu schützen, wurden zahlreiche Gesetzesvorhaben auf den Weg gebracht und zu Teilen auch schon in Kraft gesetzt. Aber was genau steckt dahinter? Und warum sollten gerade produzierende Unternehmen bereits jetzt aktiv werden?

EU-Maschinenverordnung, Cyber Resilience Act (CRA) und NIS-2-Richtlinie

Die Botschaft der EU bei den Regulierungen ist klar: Alle EU-Mitgliedsstaaten sollen sich an dieselben Sicherheitsstandards halten, um ein gemeinsames hohes Sicherheitsniveau aufrechtzuerhalten. Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) werden mit erweiterten Befugnissen ausgestattet, um sicherzustellen, dass die Sicherheit nicht nur auf dem Papier existiert. Der Gesetzgeber hat mittlerweile erkannt, dass eine Kompromittierung jener Unternehmen, die für die Versorgung der Gesellschaft essenzielle Güter herstellen, ebenfalls dringend verhindert werden muss. Für produzierende Unternehmen rückt dies insbesondere drei Richtlinien in den Fokus:

  1. Die EU-Maschinenverordnung (EU) 2023/1230 bringt wesentliche Änderungen für die Konstruktion und den Bau von Maschinenprodukten mit sich. Als EU-Verordnung wird sie im Gegensatz zur bisherigen Richtlinie unmittelbar verbindlich für alle Wirtschaftsbeteiligten in den Mitgliedsstaaten sein. Ziel ist es, die Anforderungen an die Maschinensicherheit ab Januar 2027 an den aktuellen Stand der Technik anzupassen – einschließlich Digitalisierung, funktionaler Sicherheit, selbstlernender Systeme und Cybersicherheit. Ein zentraler Aspekt ist die Forderung, dass die Verbindung von Maschinen mit externen Geräten oder dem Internet kein Sicherheitsrisiko darstellen darf.
  2. Der Cyber Resilience Act (CRA) legt Anforderungen für Produkte mit digitalen Elementen fest, um die Cybersicherheit über den gesamten Lebenszyklus, einschließlich Softwareupdates, zu sichern. Dieser Gesetzentwurf zielt darauf ab, Endverbraucher und Unternehmen vor Produkten mit unzureichenden IT-Sicherheitsfunktionen zu schützen – mit einem Umsetzungszeitraum von 12 bis 24 Monaten. Das Europäische Parlament hat dem CRA am 12. März zugestimmt. Jetzt müssen die Mitgliedstaaten das Gesetz noch bestätigen.
  1. Die NIS-2 Richtlinie, die seit Januar 2023 gilt, kategorisiert Wirtschaftssektoren als ‚essential‘ (wesentlich) und ‚important‘ (wichtig). Produzierende Unternehmen gehören zur Kategorie „wichtige Einrichtungen“ und sind eingeordnet in die Sektoren Produktion, Chemie, Ernährung und verarbeitendes Gewerbe. Sie müssen sich im Bereich Informations-, IT- und OT-Sicherheit entsprechend den Anforderungen des Gesetzes aufstellen und ihre Unternehmensprozesse schützen. Die Richtlinie stärkt den Binnenmarkt und schafft klare Vorgaben für die Cybersicherheit, die entlang dieser Kategorisierung in nationales Recht umgesetzt werden. Bis Oktober 2024 haben sie Zeit, die Richtlinie in nationales Recht umzusetzen. Deutschland erarbeitet aktuell das Umsetzungsgesetz.

Wie bereiten sich Unternehmen am besten vor?

Die Implementierung der Sicherheitsvorgaben aller Richtlinien ist als Marathon, nicht als Sprint zu sehen. Unternehmen sollten zunächst prüfen, ob und wie sie von den neuen Gesetzen betroffen sein werden. Ein Information Security Management System (ISMS), das Risikomanagement und die Umsetzung von Maßnahmen zur Erreichung eines angemessenen Risiko- und IT-Sicherheitsniveaus in der OT sind unerlässlich. Dazu gehören auch die Umsetzung und Aufrechterhaltung der IT-Sicherheitstechnologien, die dem aktuellen Stand der Technik entsprechen müssen. IT-Security Berater und Beraterinnen können unterstützen und maßgeschneiderte Konzepte für die angemessene Umsetzung bieten.

Schritt für Schritt zu mehr Cybersecurity

Für mehr Cybersecurity können sich Unternehmen zudem an folgenden sieben Schritten orientieren:

  1. Bestandsaufnahme – Risiken identifizieren
  2. Individuelle Maßnahmen ableiten
  3. Zugangsberechtigungen implementieren (Netzsegmentierung)
  4. Firewalls installieren und Einstellungen überprüfen
  5. Physische Sicherheitslösungen einsetzen
  6. Pentests zur Überprüfung der Robustheit durchführen
  7. Bei der Neuentwicklung von Maschinen und Komponenten den Grundsatz „Security by Design“ berücksichtigen

Ob EU-Maschinenverordnung, CRA oder NIS-2: die neuen Regularien werden zur Chefsache. Denn halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. So werden zum Beispiel beim CRA bis zu 15 Mio. Euro bzw. 2,5 Prozent des Jahresumsatzes fällig. Daher wird das konsequente Umsetzen einer ganzheitlichen Cybersecurity-Strategie zum wesentlichen Bestandteil. Neben technischen Maßnahmen wie die Absicherung der Netzwerke und Geräte zählt dazu auch ein Blick auf die Absicherung der Unternehmensprozesse und die Sensibilisierung für das Thema bei der Belegschaft. (ah)

Unsere Whitepaper-Empfehlung
Teilen:
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie


Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de