Regulierung : Industrie muss Arbeitsschutz und Produktsicherheit cybersicher machen

Im Juli 2025 hat das Bundesministerium für Arbeit und Soziales einen ersten Entwurf für ein Gesetz vorgelegt, das maschinenrechtliche Vorschriften neu regeln soll. Das muss das Ministerium auch, denn dazu verpflichtet die EU-Maschinenverordnung 2023/1230 sämtliche Mitgliedsstaaten. Die Verordnung gilt ab dem 20. Januar 2027 in Deutschland, in Teilen schon jetzt. Inhaltlich umfasst das Gesetz Verfahrensbestimmungen sowie Bußgeld- und Straftatbestände.

Die Verordnung enthält wesentliche „Sicherheits- und Gesundheitsschutzanforderungen an Konstruktion und Bau von Maschinen, dazugehörigen Produkten und unvollständigen Maschinen“. Ordnungswidrig handelt zum Beispiel jemand, der Vorschriften oder Gebrauchsanleitungen für eine Maschine nicht oder nicht in der vorgeschriebenen Weise bereitstellt. Das Produktsicherheitsgesetz fordert bereits, dass Verbraucher die nötigen Informationen erhalten, um Risiken beurteilen und sich vor ihnen schützen zu können.

Neue Sicherheitsgefahren

Der Gesetzentwurf erwähnt zwar nicht ausdrücklich Gefahren durch Cyberangriffe. Doch aufgrund der weiter zunehmenden Vernetzung von Information und Operative Technologies wird die Cybersecurity mit Blick auf Arbeitsschutz und Produktsicherheit immer wichtiger. So müssen Unternehmen ihre Produktionssysteme mit ähnlich hohen Sicherheitsstandards schützen wie ihre IT-Infrastruktur.

Für den Arbeitsschutz gilt: Wenn Cyberangriffe Maschinen manipulieren und diese in Folge nicht mehr vorhersehbar reagieren, kann die Gesundheit der Mitarbeitenden gefährdet sein. Ein mögliches Szenario: Die betroffene Maschine könnte giftige Gase freisetzen oder Einzelteile durch die Luft schleudern.

Ein Cyberangriff kann auch dazu führen, dass die Maschine plötzlich nur noch defekte Produkte herausspuckt. Gelangen die Produkte in den Handel, sind ihre Besitzer – eventuell erst nach längerer Zeit – etwa durch Kurzschlüsse oder Verpuffungen gefährdet. Über das Internet vernetzte Geräte können selbst nach dem Kauf jederzeit angegriffen und manipuliert werden.

Was heißt Cybersecurity für die Produktion?

Damit wird klar: Cybersecurity bedeutet für vernetzte Fertigungssysteme weit mehr als nur Firewall und Virenschutz. Es sind technische, organisatorische und prozessuale Maßnahmen zu ergreifen, um Fertigungsanlagen – inklusive Maschinen, Sensoren, Steuerungen, Anwendungen, IT/OT-Schnittstellen und Cloud-Dienste – vor digitalen Angriffen zu schützen.

Zu den wichtigsten Schritten gehören: Netzwerksegmentierung, Zugriffskontrollen, Patch- und Update-Management, Intrusion Detection und Monitoring, Schutz von Schnittstellen und Anwendungen, Backup- und Recovery-Konzepte sowie Schulungen der Mitarbeitenden in IT und Produktion. Damit lässt sich nicht nur die Sicherheit von Menschen und Maschinen gewährleisten, sondern auch die Verfügbarkeit und Zuverlässigkeit der Produktionsprozesse.

Konkrete Risikoprüfung

Doch all das ist einfacher gesagt als getan: Veraltete Anlagen, heterogene Systeme und Lieferkettenrisiken erschweren die Arbeit. Zunächst sind daher alle Maschinen, Steuerungen, Sensoren und Schnittstellen inklusive Hardware, Firmware-Versionen, Anwendungen, Protokolle und Remote-Zugänge zu erfassen. Denn nur was bekannt ist, lässt sich schützen. Anschließend folgt die Bedrohungs- und Schwachstellenanalyse. Zu den technischen Prüfungen gehören unter anderem Netzwerkanalysen und Penetrationstests. Organisatorisch sind etwa Zugriffsrechte und Verantwortlichkeiten zu kontrollieren.

Viele Unternehmen starten mit einem Security-Audit für jede kritische Maschine und leiten daraus priorisierte Maßnahmen wie eine Netzwerksegmentierung ab. Danach wird ein regelmäßiger Prüfzyklus etabliert. Das laufende Monitoring umfasst etwa Intrusion Detection für OT-Netze, Log- und Ereignisanalysen sowie zunehmend auch Anomalie-Erkennung mit Künstlicher Intelligenz oder Machine Learning.

Governance und Verantwortung

In einer zunehmend softwaregetriebenen Industrie bedeutet Cybersecurity nicht nur Technikschutz, sondern auch klare Governance- und Verantwortungsstrukturen. Nur dann funktioniert Sicherheit als strategischer Unternehmensfaktor – und nicht nur als „IT-Thema“ am Rand. Das beinhaltet:

• Verankerung in der Unternehmensstrategie: Sicherheitsziele werden in Geschäftsziele integriert, wie Lieferzuverlässigkeit, Kundenschutz, Compliance.
• Risikomanagement statt technischer Reaktion: Cyberrisiken werden wie Finanz- oder Produktionsrisiken gemessen, bewertet und gesteuert.
• Sicherheitskultur fördern: Die Führungsebene muss klar zeigen, dass Sicherheit Priorität hat.

Zu den neuen Verantwortungsbereichen zählt der OT-Sicherheitschef. Er trägt die Gesamtverantwortung für die Sicherheitsstrategie im Produktionsumfeld und stellt sicher, dass „Security by Design“ in Software und Steuerungstechnik stets mitgedacht wird. Teil des Teams sind die IT/OT-Koordinatoren. Sie achten darauf, dass IT-Security und Produktionssicherheit Hand in Hand gehen und haben bei Bedarf Cloud-Anwendungen, Remote-Zugänge und mobile Geräte außerhalb der Unternehmensgrenze im Blick.

Durch die IT/OT-Konvergenz wird Cybersecurity nicht nur für einen reibungslosen Betrieb, sondern auch für Arbeitsschutz und Produktsicherheit immer wichtiger. Dabei kommen künftig verstärkt Konzepte aus dem IT-Bereich wie die sichere Bereitstellung und der Schutz von Anwendungen sowie API-Security auch in der OT zum Einsatz. So sollten sich Fertigungsunternehmen jetzt schon damit beschäftigen, um für die Zukunft gerüstet zu sein.

Chris Dercks ist Regional Vice President für Mittel- und Osteuropa beim Cybersecurity-Anbieter F5.