NIS-2 für produzierende Unternehmen: Maschinenbau, Fahrzeugbau und Elektronik

Wenn Sie in der Produktion arbeiten, denken Sie bei Cybersicherheit vermutlich zuerst an die Büro-IT. Das ist ein Fehler. Ihre Produktionsanlage ist vernetzt, Ihre Maschinen haben IP-Adressen, und wenn ein Ransomware-Angriff Ihre SPS lahmlegt, steht die Fabrik still. NIS-2 hat das erkannt und das verarbeitende Gewerbe in die Liste der kritischen Sektoren aufgenommen.

Wer ist betroffen?

Die Richtlinie erfasst im Bereich “Verarbeitendes Gewerbe” ziemlich viel.

Medizinprodukte und In-vitro-Diagnostika – wer solche Geräte herstellt, ist drin.

Datenverarbeitungsgeräte, elektronische und optische Erzeugnisse – das umfasst Computer und Peripheriegeräte, Kommunikationsgeräte, Unterhaltungselektronik, Mess- und Navigationsinstrumente, optische Instrumente, magnetische und optische Datenträger.

Elektrische Ausrüstungen – von Elektromotoren über Batterien und Kabel bis zu Beleuchtung und Haushaltsgeräten.

Maschinenbau – Maschinen aller Art, ob für allgemeine oder spezielle Verwendung, Landmaschinen, Werkzeugmaschinen.

Kraftfahrzeuge und Teile – Autos und Motoren, Karosserien und Anhänger, Zulieferteile und Zubehör.

Sonstiger Fahrzeugbau – Schienenfahrzeuge, Flugzeuge und Raumfahrzeuge, Schiffe und Boote, sogar Fahrräder.

Das ist ein weites Feld. Die Größenschwellen kennen Sie vermutlich: Ab 50 Mitarbeitende oder 10 Millionen Euro Umsatz sind Sie eine “wichtige Einrichtung”, ab 250 Mitarbeitende oder 50 Millionen Euro Umsatz eine “besonders wichtige Einrichtung”. Viele mittelständische Produktionsunternehmen in Deutschland erreichen diese Schwellen.

Warum Produktion anders ist

Produktionsunternehmen haben ein Problem, das Büro-IT nicht hat: Operational Technology. OT.

Damit sind alle Systeme gemeint, die direkt mit der Produktion verbunden sind. Speicherprogrammierbare Steuerungen, die Maschinen und Prozesse steuern. SCADA-Systeme, die Produktionslinien überwachen. HMI-Panels, über die Mitarbeiter die Maschinen bedienen. Industrieroboter, die zunehmend vernetzt sind. Sensoren und IoT-Geräte, die Produktionsdaten erfassen.

Diese Systeme haben andere Anforderungen als klassische IT. In der Produktion gilt: Verfügbarkeit geht vor Vertraulichkeit. Wenn ein Server im Büro ausfällt, ist das ärgerlich. Wenn die Produktionslinie steht, kostet das richtig Geld. Pro Stunde. Sicherheitsmaßnahmen dürfen die Produktion nicht stören – zumindest nicht unkontrolliert.

Dann die Legacy-Systeme. Produktionsanlagen haben lange Lebenszyklen. Maschinen laufen 20 oder 30 Jahre. Die Steuerungen laufen auf Betriebssystemen, die längst keine Updates mehr bekommen. Patches sind oft nur mit Herstellerfreigabe möglich, und manche Protokolle wurden nie für Sicherheit entwickelt.

Und dann die Konvergenz. IT und OT wachsen zusammen. Das Büronetzwerk ist mit der Produktion verbunden, weil Daten fließen müssen. Fernwartung ermöglicht Herstellern, Maschinen aus der Ferne zu diagnostizieren. Maschinen sind an die Cloud angebunden. Das ist effizient – und riskant. Ein Angreifer, der ins Büronetzwerk kommt, kann möglicherweise bis in die Produktion vordringen.

Was konkret zu tun ist

Beim Risikomanagement müssen Sie beide Welten im Blick haben. Ein Asset-Inventar, das alle IT- und OT-Systeme erfasst. Netzwerkpläne, die zeigen, was mit was verbunden ist. Eine Analyse, welche Systeme kritisch sind für die Produktion. Die Risikobewertung muss OT-spezifische Bedrohungen berücksichtigen und die physischen Auswirkungen von Cyberangriffen bewerten.

Netzwerksegmentierung ist fundamental. IT und OT müssen getrennt sein – aber kontrolliert. Eine DMZ zwischen beiden Bereichen, klare Regeln, was durchdarf und was nicht. Das Purdue-Modell ist ein bewährter Ansatz für hierarchische Zonierung. Firewalls, die industrielle Protokolle verstehen und inspizieren können. Wo sinnvoll, unidirektionale Gateways – Daten fließen nur in eine Richtung raus, nichts kommt rein.

Schwachstellen- und Patchmanagement ist in OT kompliziert. Nicht alles kann gepatcht werden. Manche Systeme laufen seit Jahren stabil und niemand will sie anfassen. Der Ansatz muss risikobasiert sein: Was ist kritisch, was kann warten? Patches nur mit Herstellerfreigabe einspielen. Wenn Patchen nicht möglich ist, brauchen Sie kompensatorische Maßnahmen – Segmentierung, Monitoring, Zugriffskontrollen. Und nutzen Sie Wartungsfenster für Updates.

Zugriffskontrollen für OT-Systeme: Eigene Benutzerverzeichnisse oder lokale Konten, keine gemeinsamen Accounts (auch wenn das historisch oft so gewachsen ist), privilegierte Zugriffe besonders schützen, Fernzugriffe nur über VPN mit MFA und idealerweise über Jump-Server.

Monitoring für OT ist ein eigenes Thema. Netzwerkbasierte Anomalieerkennung kann verdächtige Kommunikation entdecken. Überwachung von Prozesswerten kann Manipulation aufdecken. Alarmierung bei ungewöhnlichen Zugriffen. Die Integration in ein SIEM ist möglich, aber mit Vorsicht – OT-Systeme vertragen nicht jeden Scan.

Incident Response für OT hat Besonderheiten. Forensik muss ohne Produktionsausfall funktionieren. Systeme zu isolieren kann schwierig sein, wenn sie physische Prozesse steuern. Die Wiederherstellung muss die Prozesse berücksichtigen – Sie können nicht einfach alles ausschalten und neu hochfahren. Koordination mit der Produktion ist essenziell.

Business Continuity in der Produktion heißt: Kann ich Maschinen manuell steuern als Fallback? Habe ich Redundanz für kritische Prozesse? Kann ich schnell aus Backups wiederherstellen? Habe ich Ersatzteile für kritische Komponenten auf Lager?

IEC 62443: Der Standard, den Sie kennen sollten

Für OT-Sicherheit gibt es einen etablierten Standard: IEC 62443. Eine Normenreihe, die verschiedene Aspekte abdeckt.

Die wichtigsten Teile: IEC 62443-2-1 für das Security Management System bei Betreibern. IEC 62443-3-3 für technische Anforderungen an Systeme. IEC 62443-4-1 für sichere Produktentwicklung beim Hersteller.

Der Standard definiert vier Security Level: SL 1 schützt gegen zufällige Fehler, SL 2 gegen einfache Angriffe, SL 3 gegen fortgeschrittene Angriffe, SL 4 gegen staatliche Akteure. Welches Level angemessen ist, hängt von Ihrer Risikoanalyse ab.

Zertifizierungen nach IEC 62443 sind möglich für Unternehmen (Ihre Prozesse), für Produkte und Komponenten, und für Integratoren. Das kann ein Wettbewerbsvorteil sein, wenn Ihre Kunden auf OT-Security achten.

Der praktische Fahrplan

Phase 1 ist Bestandsaufnahme. Asset Discovery: Finden Sie alle vernetzten Geräte, auch die, von denen niemand mehr wusste. Netzwerkanalyse: Wer kommuniziert mit wem? Kritikalitätsbewertung: Was darf auf keinen Fall ausfallen? Schwachstellenanalyse: Wo sind die bekannten Probleme?

Phase 2 ist Architektur. Planen Sie die Zonierung, definieren Sie die Übergänge zwischen IT und OT, konzipieren Sie sichere Fernzugriffe, planen Sie das Monitoring.

Phase 3 ist Umsetzung. Netzwerksegmentierung – physisch oder logisch trennen. Zugriffskontrollen – Authentifizierung und Autorisierung einrichten. Monitoring – Erkennungsfähigkeiten aufbauen. Backup – OT-Systeme einbeziehen.

Phase 4 ist laufender Betrieb. Kontinuierliches Monitoring, regelmäßige Reviews, Übungen für Incident Response, Updates nach Risikoanalyse.

Der Cyber Resilience Act kommt auch noch

Neben NIS-2 sollten Hersteller den Cyber Resilience Act auf dem Radar haben. Der stellt Anforderungen an Produkte mit digitalen Elementen: Security by Design, Schwachstellenmanagement über den gesamten Produktlebenszyklus, Software Bill of Materials, CE-Kennzeichnung für Cybersicherheit.

Für Maschinenbauer und Elektronikproduzenten bedeutet das: Die Produkte, die Sie herstellen, müssen in Zukunft auch Sicherheitsanforderungen erfüllen. Das ist eine andere Baustelle als die eigene NIS-2-Compliance, aber sie kommt.

Der Punkt

Produzierende Unternehmen haben es mit NIS-2 nicht leicht. Die OT-Welt hat andere Regeln als die IT-Welt. Legacy-Systeme, Verfügbarkeitsanforderungen, Herstellerabhängigkeiten – das macht Cybersicherheit kompliziert.

Aber es ist beherrschbar. Der Schlüssel liegt darin, IT und OT gemeinsam zu betrachten, risikobasiert vorzugehen und IEC 62443 als Orientierung zu nutzen. Und immer daran denken: Sicherheit darf die Produktion nicht stoppen – aber ein Ransomware-Angriff tut das definitiv.

Die Investition in OT-Security ist keine Bürokratie, sondern Schutz. Die Angriffe auf Produktionsunternehmen in den letzten Jahren – Norsk Hydro, Honda, JBS, Colonial Pipeline – haben gezeigt, was passiert, wenn die Produktion stillsteht. Sie wollen nicht der nächste sein.