- Das verarbeitende Gewerbe ist über Anhang II der NIS2-Richtlinie als sonstiger kritischer Sektor reguliert. Maschinenbauer ab 50 MA oder 10 Mio. € Umsatz sind betroffen.
- Die größte Herausforderung ist die IT/OT-Konvergenz: Produktionssteuerung (SCADA, SPS, HMI) und klassische IT müssen gemeinsam geschützt werden.
- OT-Systeme haben andere Lebenszyklen, Patch-Anforderungen und Verfügbarkeitsanforderungen als IT-Systeme. Das ISMS muss das abbilden.
- Ein Maschinenbauer mit 120 MA kann die NIS2-Umsetzung in 12 Monaten schaffen, wenn OT-Sicherheit von Anfang an mitgedacht wird.
- Budget-Rahmen: 50.000-80.000 € im ersten Jahr für Beratung, Tools und interne Ressourcen, danach 25.000-40.000 € jährlich für den laufenden Betrieb.
Verarbeitendes Gewerbe und NIS2: Warum du betroffen bist
Der Maschinenbau ist eine Schlüsselbranche der deutschen Wirtschaft. Rund 6.600 Unternehmen mit mehr als 50 Mitarbeitern zählt der VDMA in Deutschland, viele davon Weltmarktführer in ihren Nischen. Und ein erheblicher Teil dieser Unternehmen fällt seit Inkrafttreten des NIS2-Umsetzungsgesetzes unter die neuen Cybersicherheitspflichten.
Das verarbeitende Gewerbe ist in Anhang II der NIS2-Richtlinie als sonstiger kritischer Sektor gelistet. Die deutsche Umsetzung hat diese Zuordnung übernommen und konkretisiert. Betroffen sind unter anderem:
- Maschinenbau (NACE-Abteilung 28)
- Herstellung von Kraftwagen und Kraftwagenteilen (NACE 29)
- Sonstiger Fahrzeugbau (NACE 30)
- Herstellung von Datenverarbeitungsgeräten, elektronischen und optischen Erzeugnissen (NACE 26)
- Herstellung von elektrischen Ausrüstungen (NACE 27)
- Herstellung von Medizinprodukten (teilweise auch über den Gesundheitssektor in Anhang I erfasst)
Die Schwellenwerte sind dieselben wie in allen NIS2-Sektoren: mindestens 50 Mitarbeiter oder mindestens 10 Millionen Euro Jahresumsatz beziehungsweise Jahresbilanzsumme. Für einen Maschinenbauer mit 120 Mitarbeitern und 30 Millionen Euro Umsatz ist die Sache klar: NIS2 gilt, und zwar als wichtige Einrichtung.
Was Maschinenbauer von anderen Sektoren unterscheidet
NIS2-Compliance in einem Maschinenbauunternehmen ist nicht dasselbe wie NIS2-Compliance in einem reinen Bürobetrieb. Der entscheidende Unterschied liegt in der Operational Technology, kurz OT, also der Technik, die Produktionsprozesse steuert und überwacht.
Während ein Dienstleistungsunternehmen hauptsächlich klassische IT-Systeme absichern muss (Server, Arbeitsplätze, Cloud-Dienste, E-Mail), kommt beim Maschinenbauer eine zweite Welt hinzu: Produktionssteuerungen, speicherprogrammierbare Steuerungen (SPS), SCADA-Systeme, Human-Machine-Interfaces (HMI), industrielle Netzwerke und Sensorik. Diese OT-Systeme haben fundamental andere Eigenschaften als IT-Systeme, und genau das macht die NIS2-Umsetzung komplexer.
Die Unterschiede zwischen IT und OT
| Eigenschaft | IT-Systeme | OT-Systeme |
|---|---|---|
| Lebenszyklus | 3-5 Jahre | 10-25 Jahre |
| Patch-Fähigkeit | Regelmäßig, oft automatisiert | Selten, herstellerabhängig, Produktionsstopp nötig |
| Verfügbarkeit | Geplante Wartungsfenster möglich | 24/7 Betrieb, Stillstand kostet sofort |
| Priorität | Vertraulichkeit > Integrität > Verfügbarkeit | Verfügbarkeit > Integrität > Vertraulichkeit |
| Protokolle | TCP/IP, HTTP, TLS | OPC UA, Modbus, Profinet, EtherNet/IP |
| Betriebssystem | Windows Server, Linux (aktuell) | Windows XP/7 embedded, proprietäre RTOS |
| Zuständigkeit | IT-Abteilung | Produktionstechnik, Instandhaltung |
| Netzwerk | Segmentiert, Firewalls | Oft flache Netzwerke, wenig Segmentierung |
Diese Unterschiede bedeuten: Du kannst nicht einfach dein IT-Sicherheitskonzept auf die OT übertragen. Ein Patch, der auf einem Büro-PC problemlos läuft, kann eine Produktionssteuerung zum Absturz bringen. Ein Vulnerability-Scan, der in der IT Routine ist, kann eine SPS in den Fehlerzustand versetzen. Und eine Firewall-Regel, die den Zugriff blockiert, kann dafür sorgen, dass die Fräsmaschine keine neuen Programme empfängt.
IT/OT-Konvergenz: Die zentrale Herausforderung
In den letzten zehn Jahren hat sich in der produzierenden Industrie ein tiefgreifender Wandel vollzogen. Produktionssysteme, die früher isoliert liefen (das sogenannte Air Gap), sind zunehmend mit dem IT-Netzwerk und dem Internet verbunden. Die Gründe sind nachvollziehbar: Fernwartung durch den Maschinenhersteller, zentrale Erfassung von Produktionsdaten, Integration mit dem ERP-System, Predictive Maintenance durch Cloud-basierte Analysen.
Diese IT/OT-Konvergenz bringt erhebliche Produktivitätsgewinne, aber sie vergrößert die Angriffsfläche massiv. Ein Ransomware-Angriff, der über eine Phishing-Mail in der Buchhaltung beginnt, kann sich über das Netzwerk bis zur Produktionssteuerung ausbreiten, wenn keine Segmentierung existiert. Der Norsk-Hydro-Angriff von 2019 und der Colonial-Pipeline-Vorfall von 2021 haben gezeigt, dass solche Szenarien keine Theorie sind.
Für die NIS2-Umsetzung bedeutet das: Dein ISMS muss beide Welten abdecken. Die Risikoanalyse muss IT- und OT-Assets gleichermaßen erfassen. Die Schutzmaßnahmen müssen die unterschiedlichen Anforderungen berücksichtigen. Und die Verantwortlichkeiten müssen klar geregelt sein, denn in vielen Unternehmen liegen IT und OT noch in getrennten Abteilungen mit wenig Abstimmung.
Die typische Risikolandschaft eines Maschinenbauers
Bevor du Maßnahmen planst, brauchst du ein klares Bild der Risiken. Für einen mittelständischen Maschinenbauer sieht die Bedrohungslandschaft typischerweise so aus:
Risiken auf der IT-Seite
- Ransomware: Der Klassiker, und für produzierende Unternehmen besonders schmerzhaft. Wenn das ERP-System verschlüsselt wird, stehen Auftragseingang, Produktionsplanung und Versand still.
- Phishing und Social Engineering: Produktionsmitarbeiter, die Schichtpläne per E-Mail erhalten, Einkäufer, die Lieferantenrechnungen öffnen, Vertriebsmitarbeiter, die Kundenanfragen bearbeiten. Die Angriffsfläche ist groß.
- Kompromittierung von Fernzugängen: VPN-Zugänge für Homeoffice-Mitarbeiter, Fernwartungszugänge für Maschinenhersteller, Zugänge für externe IT-Dienstleister.
- Cloud-Risiken: Wenn Konstruktionsdaten (CAD-Dateien, Fertigungszeichnungen) in der Cloud liegen, sind das hochsensible Geschäftsgeheimnisse.
Risiken auf der OT-Seite
- Ungesicherte Fernwartungszugänge: Viele Maschinenhersteller verlangen permanente VPN-Tunnel oder TeamViewer-Zugänge zu ihren Maschinen. Diese Zugänge sind oft nicht segmentiert, nicht protokolliert und nicht zeitlich beschränkt.
- Veraltete Betriebssysteme: Produktionssteuerungen, die unter Windows XP oder Windows 7 Embedded laufen, erhalten keine Sicherheitsupdates mehr. Ein Austausch ist oft nicht möglich, weil die Steuerungssoftware nur auf diesen Systemen zertifiziert ist.
- Flache Netzwerkarchitektur: In vielen Produktionsumgebungen gibt es keine Segmentierung zwischen verschiedenen Maschinengruppen, zwischen Produktionsnetz und Office-Netz oder zwischen IT und OT.
- USB-basierte Angriffe: Wenn Mitarbeiter Programme per USB-Stick auf CNC-Maschinen laden, ist das ein Einfallstor, das keine Firewall der Welt abfängt.
- Fehlende Überwachung: Während IT-Netzwerke typischerweise durch Firewalls, IDS/IPS und Endpoint-Protection überwacht werden, läuft der Datenverkehr in OT-Netzwerken oft unkontrolliert.
Risiken an der Schnittstelle IT/OT
- Laterale Bewegung: Ein Angreifer, der über die IT einbricht, bewegt sich ins OT-Netzwerk, weil keine Segmentierung existiert.
- Gemeinsame Credentials: Wenn die gleichen Admin-Accounts für IT- und OT-Systeme verwendet werden, kompromittiert ein gestohlenes Passwort beide Welten.
- ERP-zu-Produktion-Schnittstelle: Automatische Auftragsübergabe vom ERP an die Produktionssteuerung erfordert Netzwerkverbindungen, die sorgfältig abgesichert sein müssen.
NIS2-Maßnahmen für den Maschinenbau: Was du konkret tun musst
Artikel 21 der NIS2-Richtlinie definiert zehn Mindestmaßnahmen. Für den Maschinenbau haben einige davon eine besondere Ausprägung.
Risikoanalyse: IT und OT gemeinsam betrachten
Die Risikoanalyse muss beide Welten umfassen. Das klingt selbstverständlich, scheitert aber in der Praxis oft daran, dass IT-Abteilung und Produktionstechnik getrennt arbeiten. Für eine vollständige Risikoanalyse brauchst du:
- Asset-Inventar der OT: Welche Steuerungen, SPS, HMI-Panels, industriellen Switches und Sensoren gibt es? Welche Software-Versionen laufen? Welche Netzwerkverbindungen bestehen?
- Netzwerkplan IT/OT: Wo gibt es Übergänge zwischen IT- und OT-Netzwerk? Welche Firewalls oder Segmentierungen existieren? Welche Datenflüsse laufen zwischen den Welten?
- Risikobetrachtung pro Produktionslinie: Was passiert, wenn Linie 1 ausfällt? Wie lange kann das Unternehmen ohne Linie 2 produzieren? Welche Maschinen sind am kritischsten?
- Bedrohungsszenarien für OT: Ransomware in der Produktionssteuerung, Manipulation von Maschinenprogrammen, Ausfall der Fernwartungszugänge, physische Sabotage.
Netzwerksegmentierung: Das Purdue-Modell
Für die Trennung von IT und OT hat sich das Purdue-Modell (auch ISA-95-Modell) als Referenzarchitektur etabliert. Es definiert verschiedene Ebenen:
| Ebene | Bezeichnung | Beispiele |
|---|---|---|
| 5 | Enterprise Network | Internet, Cloud-Dienste, externe Partner |
| 4 | Business Network | ERP, E-Mail, Fileserver, Intranet |
| 3 | Site Operations | MES (Manufacturing Execution System), Historian, Fernwartungsserver |
| 2 | Area Control | SCADA, HMI, Engineering Workstations |
| 1 | Basic Control | SPS, DCS, Regler |
| 0 | Process | Sensoren, Aktoren, Maschinen |
Zwischen den Ebenen stehen Firewalls und eine sogenannte Demilitarized Zone (DMZ) zwischen IT (Ebene 4-5) und OT (Ebene 0-3). Datenverkehr zwischen IT und OT läuft ausschließlich über definierte, kontrollierte Verbindungen in der DMZ.
Für ein mittelständisches Unternehmen muss die Umsetzung nicht perfekt dem Purdue-Modell entsprechen. Aber drei Grundprinzipien solltest du einhalten:
- Physische oder logische Trennung zwischen Office-Netz und Produktionsnetz. Mindestens eine Firewall mit restriktiven Regeln.
- Keine direkten Internetzugänge aus dem Produktionsnetz. Fernwartung läuft über einen Jump-Server in der DMZ.
- Kein gemeinsamer Active Directory für IT und OT. Wenn OT-Systeme Domänen-Accounts brauchen, nutze ein separates AD oder lokale Accounts.
Patch-Management: Die OT-Herausforderung
In der IT ist Patch-Management relativ geradlinig: Patches testen, ausrollen, fertig. In der OT ist das deutlich komplizierter. Viele Gründe sprechen dagegen, Produktionssteuerungen einfach zu patchen:
- Der Maschinenhersteller hat die Software nur für eine bestimmte OS-Version zertifiziert
- Ein Patch erfordert einen Produktionsstopp, der erst beim nächsten geplanten Stillstand möglich ist
- Es gibt schlicht keine Patches mehr, weil das Betriebssystem End-of-Life ist
Die NIS2-konforme Lösung ist nicht, alle OT-Systeme auf dem neuesten Stand zu halten (das ist oft unmöglich), sondern die Risiken bewusst zu managen:
- Kompensatorische Maßnahmen dokumentieren: Wenn ein System nicht gepatcht werden kann, welche anderen Schutzmaßnahmen greifen? Netzwerksegmentierung, Application Whitelisting, Zugriffsbeschränkungen, Monitoring?
- Risikoakzeptanz formal genehmigen: Die Geschäftsführung muss das Restrisiko kennen und formal akzeptieren, dass bestimmte Systeme nicht gepatcht werden. Diese Entscheidung wird dokumentiert und regelmäßig überprüft.
- Virtual Patching: Intrusion-Prevention-Systeme vor ungepatchten OT-Systemen können bekannte Exploits blockieren, ohne dass das System selbst verändert wird.
Incident Response: Produktionsspezifische Szenarien
Der Incident-Response-Plan muss OT-spezifische Szenarien abdecken. Ein Ransomware-Angriff auf die Produktionssteuerung erfordert andere Reaktionen als ein kompromittierter Mailserver.
Wichtige Fragen für den OT-Incident-Response-Plan:
- Kann die Produktion manuell weiterlaufen, wenn die digitale Steuerung ausfällt?
- Wer hat die Befugnis, die Produktion im Notfall herunterzufahren?
- Wie werden Maschinenhersteller in den Incident-Response-Prozess eingebunden (Fernwartungsdiagnose)?
- Gibt es Offline-Backups der Maschinenprogramme und Konfigurationen?
- Wie lange dauert die Wiederherstellung einer Produktionslinie aus dem Backup?
Die BSI-Meldepflicht gilt auch für Vorfälle, die ausschließlich OT-Systeme betreffen. In ISMS Lite lassen sich IT- und OT-Assets in einem gemeinsamen Inventar führen und die Risikobewertung differenziert nach Verfügbarkeits- und Integritätsanforderungen durchführen. Wenn ein Cyberangriff die Produktion stilllegt, ist das ein erheblicher Sicherheitsvorfall, der innerhalb von 24 Stunden gemeldet werden muss.
Business Continuity: Produktion als Kernprozess
Für einen Maschinenbauer ist die Produktion der zentrale Geschäftsprozess. Der Business-Continuity-Plan muss daher besonders die Produktionsverfügbarkeit adressieren:
- Recovery Time Objective (RTO): Wie schnell muss die Produktion nach einem Vorfall wieder laufen? Jeder Tag Stillstand kostet bei einem 30-Millionen-Euro-Unternehmen schnell 100.000 Euro oder mehr.
- Recovery Point Objective (RPO): Wie viel Datenverlust bei Maschinenprogrammen, Aufträgen und Qualitätsdaten ist akzeptabel?
- Manuelle Rückfallverfahren: Können kritische Maschinen im Notfall manuell oder mit lokalen Programmen betrieben werden?
- Ersatzteilbevorratung: Gibt es Ersatz für kritische Steuerungskomponenten (SPS, HMI-Panels, Industrial Switches)?
Praxisbeispiel: Maschinenbauer mit 120 Mitarbeitern
Schauen wir uns an, wie ein konkretes Unternehmen die NIS2-Umsetzung angehen kann.
Ausgangslage:
PräzisionsTech GmbH (fiktives Beispiel) ist ein Maschinenbauer mit Sitz in Baden-Württemberg. 120 Mitarbeiter, 32 Millionen Euro Jahresumsatz. Das Unternehmen fertigt Präzisionsteile für die Automobilindustrie und Medizintechnik. Die Produktion umfasst CNC-Fräsen, Drehmaschinen, Schleifmaschinen und eine automatisierte Montagelinie. Die Steuerung läuft über eine Mischung aus Siemens SINUMERIK (CNC), Siemens S7-1500 (SPS für die Montagelinie) und einem lokalen MES-System.
Die IT-Infrastruktur besteht aus einem lokalen Serverschrank mit zwei physischen Servern (Hyper-V), einem Cloud-basiertem ERP-System (proAlpha als SaaS), Microsoft 365 für Kommunikation und Zusammenarbeit, einem CAD/CAM-System auf lokalen Engineering-Workstations und einer VPN-Lösung für Homeoffice und Fernwartung.
Ein formales ISMS existiert nicht. Die IT wird von einem zweiköpfigen Team betreut (IT-Leiter plus Systemadministrator). Grundlegende Sicherheitsmaßnahmen sind vorhanden: Firewall, Endpoint-Protection, regelmäßige Backups der IT-Systeme. Die OT-Sicherheit wurde bislang nicht systematisch betrachtet. Zwischen dem Office-Netzwerk und dem Produktionsnetzwerk gibt es ein separates VLAN, aber die Firewall-Regeln sind großzügig konfiguriert.
Phase 1: Bestandsaufnahme (Monat 1-2)
Betroffenheitsanalyse: PräzisionsTech fällt mit 120 Mitarbeitern und 32 Millionen Euro Umsatz klar unter NIS2. Verarbeitendes Gewerbe (Maschinenbau, NACE 28) ist ein Sektor in Anhang II. Einstufung: wichtige Einrichtung.
ISB benennen: Der IT-Leiter übernimmt die Rolle des ISB mit 50 % Zeitanteil. Langfristig soll ein dedizierter ISB eingestellt werden, aber für den Start reicht die Teilzeitlösung.
Asset-Inventar erstellen:
IT-Assets (Auszug):
- 2 Hyper-V-Hosts mit insgesamt 12 VMs
- Microsoft 365 Tenant (Exchange Online, SharePoint, Teams)
- proAlpha ERP (SaaS)
- 6 CAD/CAM-Workstations (SolidWorks, hyperMILL)
- FortiGate Firewall
- Veeam Backup
OT-Assets (Auszug):
- 8 CNC-Bearbeitungszentren (Siemens SINUMERIK 840D sl, verschiedene Baujahre 2012-2023)
- 4 CNC-Drehmaschinen (verschiedene Hersteller)
- 2 Schleifmaschinen
- 1 automatisierte Montagelinie (Siemens S7-1500, 3 HMI-Panels)
- 1 MES-System (lokaler Server, Windows Server 2016)
- 3 Industrial Switches (Siemens SCALANCE)
- 2 Fernwartungsrouter (Maschinenhersteller)
Netzwerktopologie dokumentieren: Das IT-Team erstellt einen vollständigen Netzwerkplan, der sowohl IT- als auch OT-Netze umfasst. Dabei wird deutlich, dass die VLAN-Trennung zwar existiert, aber die Firewall-Regeln zwischen den VLANs zu offen sind. Der MES-Server kommuniziert direkt mit dem ERP und mit den Produktionssteuerungen, ohne dass diese Verbindungen eingeschränkt oder überwacht werden.
Phase 2: Risikoanalyse und Maßnahmenplanung (Monat 3-4)
Die Risikoanalyse deckt kritische Schwachstellen auf:
| Risiko | Bewertung | Maßnahme | Priorität |
|---|---|---|---|
| Ransomware über Office-Netz erreicht Produktion | Kritisch | Netzwerksegmentierung verschärfen, separate Firewall-Zone für OT | Sofort |
| CNC-Steuerungen ohne Sicherheitsupdates | Hoch | Netzwerksegmentierung, Application Whitelisting, Virtual Patching | Kurzfristig |
| Unkontrollierte Fernwartungszugänge der Maschinenhersteller | Hoch | Zentrale Fernwartungsplattform, Zugänge nur bei Bedarf aktivieren, Logging | Kurzfristig |
| Keine OT-Backups | Hoch | Backup der Maschinenprogramme, SPS-Konfigurationen und MES-Daten | Sofort |
| USB-Sticks an CNC-Maschinen | Mittel | USB-Policy, zentrale Programmverteilung über DNC-Server | Mittelfristig |
| Kein Monitoring im OT-Netzwerk | Mittel | OT-spezifisches Monitoring (z.B. Nozomi Networks, Claroty) | Mittelfristig |
Kernrichtlinien erstellen:
- Informationssicherheitsleitlinie (übergreifend IT + OT)
- OT-Sicherheitsrichtlinie (spezifisch für Produktionsumgebung)
- Incident-Response-Plan (mit OT-spezifischen Szenarien)
- Fernwartungsrichtlinie (Regelungen für Maschinenhersteller-Zugriff)
- Backup-Richtlinie (IT + OT)
- Zugangsrichtlinie (differenziert nach IT- und OT-Bereichen)
Phase 3: Technische Umsetzung (Monat 5-8)
Netzwerksegmentierung umsetzen (Monat 5-6): Die bestehende FortiGate wird durch ein größeres Modell ersetzt, das auch den OT-Verkehr inspizieren kann. Die Netzwerkarchitektur wird nach dem Purdue-Modell überarbeitet:
- Office-VLAN (Ebene 4-5): Arbeitsplätze, Server, Cloud-Zugänge
- DMZ (Ebene 3.5): Fernwartungsserver, Datengateway zwischen IT und OT
- OT-VLAN (Ebene 2-3): MES, SCADA/HMI, Engineering Workstations
- Maschinen-VLANs (Ebene 0-1): Separate VLANs pro Produktionslinie
Firewall-Regeln werden restriktiv konfiguriert: Nur definierte Verbindungen zwischen den Zonen sind erlaubt, alles andere wird blockiert und geloggt.
OT-Backup aufbauen (Monat 5): Alle Maschinenprogramme, SPS-Konfigurationen und MES-Daten werden systematisch gesichert. Für CNC-Programme wird ein DNC-Server (Distributed Numerical Control) eingerichtet, der als zentrale Programmverwaltung und gleichzeitig als Backup dient. SPS-Projekte werden versioniert in einem separaten Repository gespeichert.
Fernwartung zentralisieren (Monat 6-7): Die direkten VPN-Tunnel der Maschinenhersteller werden durch eine zentrale Fernwartungsplattform ersetzt. Zugänge werden nur bei Bedarf aktiviert, sämtliche Sessions werden protokolliert, und ein Mitarbeiter der PräzisionsTech überwacht die Fernwartungssitzungen.
MFA einführen (Monat 7): Multi-Faktor-Authentifizierung wird für alle VPN-Zugänge, Admin-Accounts, Cloud-Dienste und den Fernwartungsserver eingeführt. Für den Produktionsbereich wird ein differenzierter Ansatz gewählt: HMI-Panels authentifizieren über RFID-Badge plus PIN, keine volle MFA, da die Verfügbarkeit nicht beeinträchtigt werden darf.
Schwachstellenmanagement (Monat 7-8): Für IT-Systeme wird ein regulärer Patch-Zyklus etabliert: Kritische Patches innerhalb von 72 Stunden, normale Patches innerhalb von 30 Tagen. Für OT-Systeme wird ein separater Prozess definiert: Patches werden zunächst vom Maschinenhersteller freigegeben, dann in einem Wartungsfenster eingespielt. Für Systeme, die nicht gepatcht werden können, werden kompensatorische Maßnahmen dokumentiert und das Restrisiko formal akzeptiert.
Phase 4: Organisatorische Maßnahmen (Monat 8-10)
Schulungsprogramm:
- Alle Mitarbeiter: Online-Schulung zu Cyberhygiene (Phishing, Passwörter, USB-Sticks, Meldewege)
- Produktionsmitarbeiter: Zusatzschulung zu OT-spezifischen Risiken (keine privaten USB-Sticks an Maschinen, verdächtiges Verhalten der Steuerungen melden)
- IT-Team: Vertiefungsschulung zu OT-Sicherheit, Netzwerksegmentierung, Incident Response
- Geschäftsführung: NIS2-Pflichten, persönliche Haftung, Genehmigungsrolle im ISMS
Lieferantenbewertung: PräzisionsTech identifiziert 12 kritische IT/OT-Lieferanten und bewertet deren Sicherheitsniveau:
- IT-Dienstleister (Managed Services)
- proAlpha (ERP-SaaS)
- Microsoft (M365)
- Siemens (Maschinensteuerungen, Fernwartung)
- Weitere Maschinenhersteller
- CAD/CAM-Softwareanbieter
- Backup-Lösung
- Firewall-Anbieter
Für jeden Lieferanten wird ein Sicherheitsfragebogen versendet und die Ergebnisse dokumentiert. Bestehende Verträge werden um Sicherheitsklauseln ergänzt.
Business-Continuity-Plan: Für jede Produktionslinie wird definiert: maximale Ausfallzeit, manuelle Rückfallverfahren, Wiederherstellungsprozess und benötigte Ressourcen. Der Plan wird in einer Tabletop-Übung getestet, bei der ein Ransomware-Szenario simuliert wird.
Phase 5: Audit und Verbesserung (Monat 10-12)
Internes Audit: Systematische Prüfung aller NIS2-Mindestmaßnahmen, sowohl im IT- als auch im OT-Bereich. Feststellungen werden dokumentiert und Korrekturmaßnahmen definiert.
Management-Review: Die Geschäftsführung bewertet den Stand der Informationssicherheit, genehmigt das Restrisiko-Register und beschließt das Budget für das Folgejahr.
BSI-Registrierung: Falls noch nicht geschehen, wird die Registrierung beim BSI abgeschlossen.
Zeitplan und Budget auf einen Blick
| Phase | Zeitraum | Schwerpunkt | Geschätzter Aufwand (extern) |
|---|---|---|---|
| 1 | Monat 1-2 | Bestandsaufnahme, Asset-Inventar | 5.000-8.000 € |
| 2 | Monat 3-4 | Risikoanalyse, Richtlinien | 10.000-15.000 € |
| 3 | Monat 5-8 | Technische Umsetzung | 20.000-35.000 € |
| 4 | Monat 8-10 | Schulungen, Lieferanten, BCM | 8.000-12.000 € |
| 5 | Monat 10-12 | Audit, Management-Review | 5.000-8.000 € |
| Gesamt | 12 Monate | 48.000-78.000 € |
Dazu kommen interne Personalkosten (ISB mit 50 % Zeitanteil, Mitarbeit des IT-Teams und der Produktionstechnik) sowie Investitionen in Hardware und Software (neue Firewall, Fernwartungsplattform, ggf. OT-Monitoring-Lösung). Realistisch solltest du für das erste Jahr ein Gesamtbudget von 80.000 bis 130.000 Euro einplanen, inklusive interner Kosten. Wer die Tool-Kosten im Rahmen halten will: ISMS Lite bietet den kompletten Funktionsumfang ab 500 Euro pro Jahr oder als Einmalkauf für 2.500 Euro, ohne Seat-Lizenzen oder versteckte Kosten.
Ab dem zweiten Jahr sinkt der Aufwand deutlich auf geschätzte 25.000 bis 40.000 Euro für externe Unterstützung plus die laufenden internen Kosten für den ISB und die regelmäßigen Reviews und Audits.
Häufige Fehler bei Maschinenbauern
Aus der Praxis lassen sich einige typische Stolperfallen identifizieren:
OT ignorieren. Der häufigste Fehler ist, das ISMS nur auf die IT zu beziehen und die Produktion auszuklammern. NIS2 kennt diese Unterscheidung nicht. Wenn ein Cyberangriff deine Produktion stilllegt, ist das ein meldepflichtiger Sicherheitsvorfall, unabhängig davon, ob er über die IT oder die OT eingetreten ist.
Maschinenhersteller nicht einbinden. Viele OT-Sicherheitsmaßnahmen erfordern die Zusammenarbeit mit dem Maschinenhersteller: Patch-Freigaben, Fernwartungsregelungen, Kompatibilitätsprüfungen. Binde die Hersteller frühzeitig ein und kläre, welche Sicherheitsmaßnahmen ohne Verlust der Gewährleistung möglich sind.
Alles auf einmal wollen. Die OT-Sicherheit eines gewachsenen Produktionsbetriebs lässt sich nicht in drei Monaten auf den neuesten Stand bringen. Priorisiere nach Risiko, fange mit der Netzwerksegmentierung und den Fernwartungszugängen an und arbeite dich dann zu den weiteren Maßnahmen vor.
Verfügbarkeit unterschätzen. In der IT kann man für Sicherheitsmaßnahmen Wartungsfenster einplanen. In der Produktion kostet jede Stunde Stillstand bares Geld. Plane alle OT-bezogenen Maßnahmen so, dass sie die Produktion minimal beeinträchtigen, idealerweise während geplanter Stillstände (Betriebsferien, Wochenenden, Wartungsfenster).
IT und OT nicht zusammenbringen. Wenn IT-Abteilung und Produktionstechnik getrennt an der Sicherheit arbeiten, entstehen Lücken an den Schnittstellen. Bilde ein gemeinsames Team oder zumindest eine regelmäßige Abstimmungsrunde für die IT/OT-Sicherheit.
Was du jetzt tun solltest
Wenn du Geschäftsführer oder IT-Leiter eines Maschinenbauunternehmens bist und NIS2 umsetzen musst, fang mit diesen drei Schritten an:
- Betroffenheit formal klären und dokumentieren. Sektor, Mitarbeiterzahl, Umsatz und die daraus resultierende Einstufung.
- OT-Asset-Inventar erstellen. Bevor du irgendetwas anderes machst, musst du wissen, was in deiner Produktion an vernetzter Technik läuft. Das weiß in vielen Unternehmen niemand vollständig.
- IT und OT an einen Tisch bringen. Organisiere einen Workshop mit IT-Leiter, Produktionsleiter und Geschäftsführung. Besprecht die aktuelle Situation, die Risiken und den weiteren Weg.
Die NIS2-Umsetzung im verarbeitenden Gewerbe ist komplexer als in reinen Bürobetrieben, aber sie ist machbar. Der Schlüssel liegt darin, die OT-Sicherheit von Anfang an mitzudenken und nicht als nachträglichen Annex zu behandeln. Dein ISMS muss beide Welten abdecken, denn ein Angreifer unterscheidet nicht zwischen IT und OT.
Weiterführende Artikel
- NIS2 für den Mittelstand: Was du wissen musst und was jetzt zu tun ist
- Risikobewertung im ISMS: Methoden, Kriterien und Praxisbeispiele
- Netzwerksegmentierung für KMU: Praxisleitfaden für den Mittelstand
- ISMS aufbauen: Der komplette Leitfaden für Unternehmen mit 50 bis 500 Mitarbeitern
- NIS2-Bußgelder: Wer haftet und wie hoch sind die Strafen?