Security wird Pflicht: Neue EU-Vorgaben wie Cyber Resilience Act (CRA), NIS 2 und Maschinenverordnung fordern mehr Security in der Produktion. Matthias Kuczera und Simon Nutz erklären, was Maschinenhersteller und ‑betreiber jetzt wissen müssen – und wie sie ihre Anlagen wirksam schützen.
Die Zahl der Cyberangriffe auf Unternehmen nimmt zu. Was ist der erste Schritt zu mehr Schutz vor solchen Angriffen?
Matthias Kuczera: In der Cybersecurity unterscheidet man zwischen IT- und OT-Sicherheit. IT betrifft die Bürokommunikation, OT hingegen die physischen Prozesse in der Produktion. Wir haben unsere Produkte und Dienstleistungen auf OT-Sicherheit spezialisiert. Zunächst sollten Unternehmen prüfen, ob und in welchem Umfang sie von aktuellen gesetzlichen Vorgaben wie dem Cyber Resilience Act, der NIS-2-Richtlinie oder der neuen Maschinenverordnung betroffen sind. Denn auch der Gesetzgeber hat die hohe Relevanz von Security erkannt. Eine erste Risikoanalyse ist essenziell: Was ist schützenswert? Was könnte passieren? Welche Maßnahmen sind angemessen? Und: Was ist im Ernstfall zu tun?
CRA, NIS 2 und MVO: Was kommt auf Maschinenhersteller und ‑betreiber zu?
Simon, wie stellt sich das Thema Cybersecurity im Feld dar, wenn Du mit Kunden sprichst?
Simon Nutz: Die meisten wissen, dass sie handeln müssen, aber viele sind unsicher, was konkret gefordert ist. Wir leisten viel Aufklärungsarbeit und erklären den Kunden, was auf sie zukommt: Was muss umgesetzt werden? Was betrifft das Unternehmen wirklich? Wir starten mit den Basics: Was soll geschützt werden? Was passiert, wenn eine Anlage oder generell die OT angegriffen wird? Darauf bauen wir passende Schutzkonzepte auf.
Wie bereiten sich Maschinenhersteller unter den aktuellen Rahmenbedingungen bestmöglich vor?
Kuczera: Eigentlich haben Unternehmen ein Eigeninteresse, sich vor Cyberattacken zu schützen. Die Vorgaben der EU sollen lediglich sicherstellen, dass sich alle Unternehmen entsprechend vorbereiten.
Der CRA betrifft alle Produkte mit digitalen Elementen. Ab Dezember 2027 müssen diese ein definiertes Sicherheitsniveau erfüllen. Wer neue Maschinen oder IT-Infrastruktur anschafft, muss CRA-konform handeln. Hersteller, die selbst Produkte auf den Markt bringen, müssen entsprechende Prozesse einhalten. Wir bei Pilz haben beispielsweise einen nach der IEC 62443–4‑1 zertifizierten Entwicklungsprozess und stellen damit die Anforderungen an den Lebenszyklus für eine sichere Produktentwicklung sicher.
Nutz: Wer sich an der IEC 62443 orientiert, macht schon viel richtig. Auch wenn noch nicht alle Normen vollständig vorliegen, ist sie eine solide Grundlage.
Was fordert die NIS-2-Richtlinie?
Nutz: Bei NIS 2 geht es um die Möglichkeit, sich als Unternehmen auf ein Cyberbedrohungsszenario vorzubereiten. Die NIS-2-Richtlinie gilt für Unternehmen mit mehr als 50 Mitarbeitenden oder über 10 Millionen Euro Jahresumsatz. Diese Unternehmen müssen Risiken erkennen und entsprechende Maßnahmen einleiten: Risikomanagement, Backup-Management und Schwachstellenmanagement. Bei einem Angriff besteht künftig Meldepflicht. So können andere Unternehmen schnell prüfen, ob sie ebenfalls betroffen sind.
„Ohne Security keine Safety – das ist die Kernaussage der Maschinenverordnung. Jede Sicherheitsfunktion kann kompromittiert werden und muss geschützt werden.“
Matthias Kuczera, Standards Group bei Pilz
Kuczera: Ein Informationssicherheitsmanagementsystem nach ISO 27001 ist ein eleganter Weg, die Anforderungen zu erfüllen. Alternativ gibt es Informationssicherheitsmanagementsysteme wie TISAX (Trusted Information Security Assessment Exchange). Jedes Unternehmen muss entscheiden, ob es diesen Weg geht oder andere Maßnahmen ergreift.
Sicherheit beginnt in der Maschine
Die neue Maschinenverordnung gibt vor, dass nun auch Security-Aspekte bei der Beurteilung der Maschinensicherheit betrachtet werden müssen. Wie geht ein Maschinenhersteller oder ‑betreiber dabei am besten vor?
Kuczera: Ohne Security keine Safety – das ist die Kernaussage der Maschinenverordnung. Es muss jetzt geprüft werden, ob eine Sicherheitsfunktion kompromittiert werden kann und daher entsprechend geschützt werden muss. Auch wenn die MVO erst 2027 greift, ist eine Umsetzung schon jetzt sinnvoll. Security-Lücken existieren real in der Maschine, also in der OT. Ich muss wissen, was meine Maschine macht und was der Worst Case ist, wenn jemand Unbefugtes sie kontrolliert. Sind die Daten vertraulich? Ist die Verfügbarkeit entscheidend? Danach analysiere ich, wie ein Angreifer vorgehen könnte und sichere die Steuerung ab. Denn diese kontrolliert die Anlage und darf nicht ungeschützt im Internet exponiert werden. Auch Fehlanwendungen durch Bedienfehler müssen berücksichtigt werden. Wichtig ist die enge Kommunikation zwischen Hersteller und Betreiber. Nur der Betreiber kennt das konkrete Risiko in seiner Anwendung.
Pilz Podcast #43 || OT-Security kommt – aber wie gehe ich damit um?
Industrial Security Consulting von Pilz
Wie geht Pilz bei seinen Kunden vor, um ein passendes Sicherheitskonzept inklusive Security zu erstellen?
Nutz: Wir starten mit einer Schutzbedarfsanalyse: Geht es um Verfügbarkeit, funktionale Sicherheit oder Know-how? Danach folgt ein detailliertes Risk Assessment. Wir analysieren alle Assets, spielen Angriffsszenarien durch und entwickeln Schutzmaßnahmen. Diese bewerten wir auf ihre Wirksamkeit. Der Prozess ist zyklisch: Was heute sicher ist, kann morgen veraltet sein. Unser Vorteil: Wir kennen die Anlagen durch unser Safety-Know-how und arbeiten an den relevanten Normen mit, z. B. IEC 62443.
„Wir kennen die Angriffspunkte in der Anlage und entwickeln gemeinsam mit unseren Kunden wirksame Schutzkonzepte.“
Simon Nutz, Industrial Security bei Pilz
Kuczera: Genau.Pilz bringt seine Erfahrung aktiv in Normungsgremien ein. Aktuell entsteht die EN 50742 – eine Norm zum Schutz vor Korrumpierung von Maschinen. Wir erwarten den ersten Entwurf Ende des Jahres.
Schulungen für mehr Security-Kompetenz
Gibt es auch Schulungen zu Industrial Security?
Nutz: Ja, unser gesamtes Schulungsportfolio wurde an die Maschinenverordnung angepasst. In allen Kursen ist Security ein Bestandteil. Zusätzlich bieten wir zwei spezialisierte Schulungen:
- Grundlagen Industrial Security
- CESA – Certified Expert for Security in Automation
Das Basis-Training vermittelt theoretisches Know-how und praktische Beispiele. Im CESA-Training vertiefen wir die IEC 62443 und Teilnehmer qualifizieren sich als Security-Experten für industrielle Automatisierungssysteme.
Das Interview führte Johannes Gillar und ist in der KEM Konstruktion|Automation, Ausgabe 06/2025 erschienen.
In 6 Schritten zu Industrial Security – Was Unternehmen jetzt tun sollten
1. Risikoanalyse durchführen
Welche Assets sind schützenswert? Was ist der Worst Case?
2. Security in die Safety-Strategie integrieren
Sicherheitsfunktionen müssen vor Manipulation geschützt werden.
3. Kommunikation mit Betreibern stärken
Nur sie kennen das konkrete Einsatzszenario und Risiko.
4. Firewall und Zugriffsschutz einrichten
Basismaßnahmen wie Netztrennung und Zugriffskontrolle sind essenziell.
5. Normen und Gesetze beachten
CRA, NIS 2 und MVO definieren klare Anforderungen.
6. Security zyklisch bewerten
Ein einmaliges Risk Assessment reicht nicht – Bedrohungen verändern sich.
Lernen Sie die Industrial Security Trainings von Pilz kennen: Industrial Security Trainings nach IEC 62443
Das Original-Interview führte Johannes Gillar und ist in der KEM Konstruktion|Automation, Ausgabe 06/2025 erschienen.
Loading...
