OT-Sicherheit im Mittelstand: Warum die Produktionssteuerung ins ISMS gehört

Die blinde Stelle in deinem ISMS

Wenn du ein ISMS aufbaust oder betreibst, hast du vermutlich Server, Firewalls, Laptops und Cloud-Dienste erfasst. Du hast Richtlinien für Passwörter, Backup-Strategien und vielleicht sogar ein Incident-Response-Verfahren. Aber was ist mit der CNC-Fräse in der Fertigungshalle? Mit der SPS, die den Verpackungsprozess steuert? Mit dem SCADA-System, das die gesamte Produktionslinie überwacht?

In vielen mittelständischen Unternehmen existiert eine unsichtbare Grenze zwischen dem, was die IT-Abteilung betreut, und dem, was die Produktionsleitung verantwortet. Diese Grenze ist historisch gewachsen, organisatorisch verankert und fachlich nachvollziehbar. Nur leider interessiert sie einen Angreifer nicht.

Die Realität ist: Produktionsanlagen sind heute vernetzt. Sie kommunizieren über Ethernet, nutzen Windows-basierte Bedienterminals, tauschen Daten mit ERP-Systemen aus und werden teilweise aus der Ferne gewartet. Damit sind sie Angriffsfläche. Und damit gehören sie ins ISMS. Wer noch kein ISMS hat, findet im Leitfaden zum ISMS aufbauen eine praxisnahe Anleitung für den Start.

Was ist OT und was unterscheidet sie von IT?

OT steht für Operational Technology. Der Begriff umfasst alle Hardware- und Softwaresysteme, die physische Prozesse überwachen, steuern oder regeln. Konkret gehören dazu:

Speicherprogrammierbare Steuerungen (SPS / PLC): Die Arbeitspferde der Automatisierung. Sie steuern einzelne Maschinen oder Anlagenteile nach einem programmierten Ablauf. Eine SPS überwacht Sensoren, verarbeitet die Daten und schaltet Aktoren wie Ventile, Motoren oder Heizungen.

SCADA-Systeme (Supervisory Control and Data Acquisition): Übergeordnete Leitsysteme, die mehrere SPS koordinieren und dem Bedienpersonal eine grafische Übersicht über den gesamten Produktionsprozess geben. SCADA-Systeme sammeln Daten aus der gesamten Anlage und ermöglichen zentrale Eingriffe.

DCS (Distributed Control Systems): Verteilte Steuerungssysteme, die vor allem in der Prozessindustrie (Chemie, Pharma, Lebensmittel) zum Einsatz kommen. Sie steuern kontinuierliche Prozesse wie Temperaturregelung, Mischvorgänge oder chemische Reaktionen.

HMI (Human Machine Interface): Die Bedienpanels und Bildschirme, über die Maschinenbediener mit den Steuerungssystemen interagieren. Oft laufen darauf Windows-basierte Softwareoberflächen.

Industrielle Netzwerkkomponenten: Managed Switches, industrielle Router, Protokollkonverter und Gateways, die OT-Netzwerke verbinden und segmentieren.

IoT-Sensoren und Edge Devices: Moderne Ergänzungen der klassischen OT-Welt. Vibrationssensoren, Temperaturfühler mit Funkanbindung, Kamerasysteme für Qualitätskontrolle.

Der fundamentale Unterschied zur IT

In der IT-Sicherheit sprechen wir von der CIA-Triade: Confidentiality, Integrity, Availability. In dieser Reihenfolge. In der OT-Welt ist die Priorität umgekehrt:

Diese Umkehrung hat massive Auswirkungen auf jede Sicherheitsmaßnahme. In der IT kannst du ein kompromittiertes System vom Netz nehmen, analysieren und dann wieder in Betrieb nehmen. In der OT kann genau dieses Vom-Netz-Nehmen den größeren Schaden verursachen als der Angriff selbst.

Ein konkretes Beispiel: Ein Hochofen in einem Stahlwerk läuft kontinuierlich. Ein ungeplanter Stillstand kann den Ofen beschädigen, weil das Material darin erstarrt. Die Wiederinbetriebnahme dauert Wochen und kostet Millionen. Hier ist ein Firewall-Update, das fünf Minuten Downtime verursacht, keine Bagatelle, sondern ein echtes Betriebsrisiko.

Zusätzlich kommt in der OT-Welt der Aspekt Safety hinzu. Wenn eine Steuerung versagt, können Menschen verletzt oder getötet werden. Ein manipulierter Drucksensor in einer chemischen Anlage, eine falsch gesteuerte Roboterachse in der Montage, ein deaktiviertes Sicherheitsventil in einer Dampfkesselanlage: Das sind keine abstrakten Szenarien, sondern dokumentierte Vorfälle.

Warum OT-Sicherheit gerade jetzt auf die Agenda muss

Drei Entwicklungen machen OT-Sicherheit zu einem Thema, das nicht mehr aufgeschoben werden kann:

1. Die Bedrohungslage hat sich verschärft

Ransomware-Gruppen haben entdeckt, dass Produktionsunternehmen besonders zahlungswillig sind. Der Grund ist einfach: Jede Stunde Produktionsstillstand kostet reales Geld. Bei einem mittelständischen Maschinenbauer können das schnell 50.000 bis 200.000 Euro pro Tag sein. Die Bereitschaft, ein Lösegeld zu zahlen, ist entsprechend hoch.

Die Angriffsmuster haben sich dabei weiterentwickelt. Während frühe Ransomware-Angriffe primär IT-Systeme trafen und die Produktion nur indirekt durch den Ausfall von ERP oder Auftragssteuerung beeinträchtigten, zielen aktuelle Kampagnen gezielt auf OT-Netzwerke. Malware-Familien wie PIPEDREAM (auch INCONTROLLER genannt) wurden speziell für industrielle Steuerungssysteme entwickelt und können SPS verschiedener Hersteller direkt manipulieren.

2. NIS2 fordert die Einbeziehung aller relevanten Systeme

Die NIS2-Richtlinie und das deutsche Umsetzungsgesetz machen keinen Unterschied zwischen IT und OT. Artikel 21 fordert ein Risikomanagement, das alle Netz- und Informationssysteme abdeckt. Wenn du produzierendes Gewerbe bist und unter NIS2 fällst (ab 50 Mitarbeitern oder 10 Mio. Euro Umsatz in regulierten Sektoren wie verarbeitendes Gewerbe, Chemie, Lebensmittel oder Energie), dann gehört deine Produktionsinfrastruktur in den Geltungsbereich deines ISMS.

Das BSI hat in seinen technischen Richtlinien und Orientierungshilfen mehrfach klargestellt, dass eine Beschränkung des ISMS auf die klassische IT-Infrastruktur nicht ausreicht, wenn das Unternehmen OT-Systeme betreibt, die für die Erbringung der kritischen Dienstleistung relevant sind.

3. Die EU-Maschinenverordnung 2023/1230 bringt Cybersecurity-Pflichten für Maschinen

Ab dem 20. Januar 2027 ersetzt die neue EU-Maschinenverordnung 2023/1230 die bisherige Maschinenrichtlinie 2006/42/EG. Die neue Verordnung enthält erstmals explizite Cybersecurity-Anforderungen für Maschinen mit digitalen Elementen.

Konkret bedeutet das: Maschinen, die Software enthalten oder mit Netzwerken verbunden sind, müssen so konstruiert sein, dass eine Verbindung mit externen Geräten keine gefährliche Situation erzeugt. Die Sicherheitsfunktionen der Maschine dürfen durch absichtliche oder unabsichtliche digitale Eingriffe nicht beeinträchtigt werden.

Für Betreiber von Maschinen im Mittelstand hat das zwei Konsequenzen. Erstens: Neue Maschinen, die du ab 2027 kaufst, müssen diese Anforderungen erfüllen und der Hersteller muss das durch die CE-Kennzeichnung bestätigen. Zweitens: Deine bestehende Maschinenbasis wird dadurch nicht automatisch sicher. Du musst weiterhin eigene Maßnahmen ergreifen, um die Risiken deiner vernetzten Bestandsanlagen zu managen.

Die Verordnung wirkt dabei nicht isoliert, sondern ergänzt NIS2 und den Cyber Resilience Act. Während NIS2 Betreiber in die Pflicht nimmt und der Cyber Resilience Act Hersteller digitaler Produkte adressiert, schließt die Maschinenverordnung die Lücke für den Maschinenbau. Für Unternehmen, die Maschinen sowohl herstellen als auch betreiben, entsteht damit ein Regulierungsdreieck, das OT-Sicherheit von allen Seiten einfordert.

Die typischen OT-Schwachstellen im Mittelstand

Bevor du Maßnahmen planst, hilft es, die typischen Schwachstellen zu kennen, die in mittelständischen Produktionsumgebungen immer wieder auftreten:

Fehlende Netzwerksegmentierung

Der Klassiker: IT- und OT-Netzwerk hängen am selben Switch. Eine saubere Netzwerksegmentierung ist der wichtigste erste Schritt. Oder es gibt zwar getrennte VLANs, aber die Firewall-Regeln dazwischen sind so offen, dass die Trennung nur kosmetisch ist. In der Praxis bedeutet das: Ein kompromittierter Büro-PC kann direkt auf die Steuerung einer Produktionsanlage zugreifen.

Veraltete Betriebssysteme

SPS-Programmierumgebungen und HMI-Panels laufen häufig auf Windows 7 oder sogar Windows XP. Nicht aus Nachlässigkeit, sondern weil der Maschinenhersteller seine Software nur für diese Betriebssysteme zertifiziert hat. Ein Update ist oft nicht möglich, ohne die Herstellergarantie zu verlieren oder teure Neuzertifizierungen auszulösen.

Standard-Passwörter und fehlende Authentifizierung

Viele industrielle Protokolle wie Modbus, Profinet oder EtherNet/IP wurden in einer Zeit entwickelt, als Netzwerksicherheit kein Thema war. Sie bieten schlicht keine Authentifizierung. Wer Zugriff auf das Netzwerk hat, kann Steuerungsbefehle senden. Dazu kommen Default-Passwörter auf HMI-Panels und Engineering-Workstations, die seit der Inbetriebnahme nie geändert wurden.

Unkontrollierte Fernwartungszugänge

Maschinenhersteller und Wartungsdienstleister benötigen regelmäßig Fernzugriff auf die Anlagen. Häufig läuft das über TeamViewer, VPN-Zugänge mit geteilten Credentials oder sogar über direkt aus dem Internet erreichbare Ports. Die Zugänge werden nach der Wartung nicht deaktiviert und niemand protokolliert, wer wann auf welche Anlage zugreift.

Kein Patch-Management

Software-Updates für OT-Systeme sind komplex. Sie erfordern Herstellerfreigaben, Tests in Staging-Umgebungen (die es oft nicht gibt) und geplante Produktionsstillstände. In der Folge werden Patches gar nicht oder nur mit massiver Verzögerung eingespielt. Bekannte Schwachstellen bleiben über Jahre offen.

Fehlendes Monitoring

Während in der IT-Welt SIEM-Systeme, Endpoint Detection und Netzwerk-Monitoring zum Standard gehören, ist das OT-Netzwerk oft eine Black Box. Es gibt keine Protokollierung, kein Alerting, keine Anomalie-Erkennung. Wenn ein Angreifer im OT-Netzwerk aktiv ist, merkt es niemand, bis die Anlage steht.

OT-Sicherheit ins ISMS integrieren: Der Fahrplan

Die Integration von OT-Sicherheit in dein ISMS muss nicht als Mammutprojekt starten. Folgender Ansatz hat sich in der Praxis bewährt:

Schritt 1: OT-Asset-Inventar erstellen

Du kannst nicht schützen, was du nicht kennst. Ein strukturiertes IT-Asset-Management bildet auch hier die Grundlage. Der erste und wichtigste Schritt ist eine vollständige Bestandsaufnahme aller OT-Assets. Für jedes System dokumentierst du:

Basisdaten: Name, Standort, Hersteller, Modell, Firmware-/Softwareversion, IP-Adresse (falls vorhanden), Netzwerkzone

Kritikalität: Wie wichtig ist dieses System für den Produktionsprozess? Was passiert bei einem Ausfall? Wie lange dauert die Wiederherstellung? Gibt es Redundanz?

Abhängigkeiten: Welche anderen Systeme sind betroffen, wenn dieses System ausfällt? Welche Systeme müssen laufen, damit dieses System funktioniert? Gibt es Abhängigkeiten zur IT (ERP, MES, Auftragssteuerung)?

Recovery-Steps: Was genau muss getan werden, um dieses System nach einem Ausfall wiederherzustellen? Wer kann das? Welche Backups gibt es? Wie lange dauert es?

Verantwortlichkeiten: Wer ist für den Betrieb zuständig? Wer für die Wartung? Wer hat Zugriffsrechte?

Dieses Inventar ist die Grundlage für alles Weitere. Ohne es kannst du keine sinnvolle Risikobewertung durchführen und keine wirksamen Maßnahmen planen. In ISMS Lite lassen sich OT-Assets mit Kritikalität, Abhängigkeitsketten und Recovery-Steps dokumentieren, sodass im Notfall alle relevanten Informationen an einem Ort verfügbar sind.

Schritt 2: Geltungsbereich des ISMS erweitern

Wenn dein ISMS bisher nur die IT-Infrastruktur abdeckt, musst du den Geltungsbereich (Scope) formal erweitern. Das bedeutet: Die OT-Systeme werden im Scope-Dokument genannt, die relevanten Standorte und Prozesse werden einbezogen, und die Verantwortlichkeiten werden angepasst.

Dabei musst du nicht alles auf einmal einbeziehen. Ein pragmatischer Ansatz ist, mit den kritischsten OT-Systemen zu beginnen, also denjenigen, deren Ausfall den größten Schaden verursacht. Das sind typischerweise die zentralen SCADA-Systeme und die SPS, die sicherheitsrelevante Funktionen steuern.

Schritt 3: OT-spezifische Risikobewertung durchführen

Die Risikobewertung für OT-Systeme folgt demselben Grundprinzip wie für IT-Systeme: Du identifizierst Bedrohungen, bewertest Schwachstellen und ermittelst die Auswirkung eines Vorfalls. Die Bewertungskriterien müssen aber an die OT-Welt angepasst werden.

Bei der Auswirkung berücksichtigst du nicht nur finanzielle Schäden und Datenverlust, sondern auch:

• Personenschäden (Safety)
• Umweltschäden (bei chemischen oder energietechnischen Anlagen)
• Produktionsstillstand (Dauer und Kosten)
• Qualitätsprobleme (fehlerhafte Produkte, Rückrufaktionen)
• Reputationsschaden (besonders bei sicherheitsrelevanten Branchen)

Schritt 4: Maßnahmen definieren und umsetzen

Basierend auf der Risikobewertung definierst du Maßnahmen. Dabei gilt: Nicht alles auf einmal, sondern priorisiert nach Risiko. Die typischen Quick Wins sind:

Netzwerksegmentierung: IT und OT durch eine Firewall trennen. Nur die wirklich notwendigen Verbindungen zulassen (z.B. ERP-Anbindung über definierte Schnittstellen). Das allein reduziert die Angriffsfläche massiv.

Fernwartung absichern: Alle Remote-Access-Zugänge inventarisieren, zentral über einen Jump-Server führen, mit Multi-Faktor-Authentifizierung absichern und protokollieren. Temporäre Zugänge nach der Wartung automatisch deaktivieren.

Backup und Recovery: Für alle kritischen SPS-Programme und SCADA-Konfigurationen Backups erstellen und regelmäßig testen. Dokumentieren, wie ein System im Notfall wiederhergestellt wird.

Awareness: Produktionsmitarbeiter und Instandhalter in die Security-Awareness-Schulungen einbeziehen. Die Inhalte müssen auf OT-spezifische Risiken zugeschnitten sein: USB-Sticks an Maschinensteuerungen, Social Engineering bei Wartungsdienstleistern, physische Zugangskontrollen zu Schaltschränken.

Schritt 5: Richtlinien und Prozesse anpassen

Deine bestehenden ISMS-Richtlinien müssen um OT-spezifische Aspekte erweitert werden:

Zugangsrichtlinie: Um physischen Zugang zu Schaltschränken und Bedienpanels erweitern. Regeln für Wartungszugänge definieren.

Patch-Management-Richtlinie: OT-spezifische Prozesse für risikobasiertes Patching aufnehmen. Compensating Controls für Systeme definieren, die nicht gepatcht werden können.

Incident-Response-Plan: OT-spezifische Szenarien aufnehmen. Eskalationswege definieren, die sowohl IT-Security als auch Produktionsleitung einbeziehen. Klar festlegen, wer die Entscheidung trifft, ob eine Anlage im Notfall heruntergefahren wird.

Change-Management: Jede Änderung an OT-Systemen (Firmware-Updates, Konfigurationsänderungen, neue Netzwerkverbindungen) muss dokumentiert und freigegeben werden.

Schritt 6: Monitoring aufbauen

Beginne mit passivem Netzwerk-Monitoring. Spezialisierte OT-Security-Tools wie Nozomi Networks, Claroty oder Dragos können den Netzwerkverkehr im OT-Netzwerk passiv mitlesen, ohne die Steuerungssysteme zu beeinflussen. Sie erkennen Anomalien, identifizieren unbekannte Geräte und warnen bei verdächtigen Kommunikationsmustern.

Der Vorteil passiver Ansätze: Sie erfordern keine Änderung an den Steuerungssystemen selbst und stellen kein Risiko für die Verfügbarkeit dar. Das ist in der OT-Welt entscheidend, weil aktive Scanner oder Agents auf empfindlichen Steuerungssystemen Probleme verursachen können.

Die organisatorische Herausforderung

Die größte Hürde bei der Integration von OT-Sicherheit ins ISMS ist oft nicht technisch, sondern organisatorisch. IT und OT haben in vielen Unternehmen unterschiedliche Berichtslinien, unterschiedliche Budgets und unterschiedliche Kulturen.

Die IT-Abteilung berichtet typischerweise an den CFO oder CIO. Die Produktionstechnik an den COO oder Produktionsleiter. Wenn der ISB aus der IT kommt (was in den meisten Fällen so ist), hat er keine Weisungsbefugnis gegenüber der Produktionstechnik. Und die Produktionstechniker haben oft berechtigte Bedenken, dass IT-Security-Maßnahmen ihre Anlagen instabil machen oder Produktionsstillstände verursachen.

Die Lösung liegt in drei Ansätzen:

Gemeinsame Governance: Etabliere ein OT-Security-Board, in dem IT-Security und Produktionstechnik gleichberechtigt vertreten sind. Entscheidungen über Sicherheitsmaßnahmen in der OT werden gemeinsam getroffen.

Pilotprojekte statt Großprojekte: Beginne mit einer einzelnen Produktionslinie oder einem überschaubaren Anlagenteil. Zeige, dass OT-Security-Maßnahmen die Produktion nicht gefährden, sondern stabilisieren. Erfolgsgeschichten überzeugen mehr als Powerpoint-Folien.

Gemeinsame Sprache finden: IT-Security-Fachleute müssen lernen, in Produktionsbegriffen zu denken. Und Produktionstechniker müssen verstehen, warum Cybersicherheit kein reines IT-Thema mehr ist. Gemeinsame Workshops und Schulungen helfen, Brücken zu bauen.

OT-Assets in ISMS Lite dokumentieren

Die Dokumentation von OT-Assets unterscheidet sich von der IT-Asset-Dokumentation in einigen wesentlichen Punkten. Du brauchst zusätzliche Felder für:

Kritikalitätsbewertung: Nicht nur die Vertraulichkeit der Daten, sondern die Auswirkung auf Produktion, Safety und Umwelt. Eine fünfstufige Skala (von „informativ" bis „lebensbedrohlich") hat sich bewährt.

Abhängigkeitsketten: OT-Systeme sind oft in komplexen Ketten miteinander verbunden. Wenn SPS A ausfällt, stoppt nicht nur Maschine A, sondern auch die nachgelagerten Maschinen B, C und D, weil der Materialfluss unterbrochen ist. Diese Abhängigkeiten müssen dokumentiert sein, damit du im Notfall die richtigen Prioritäten setzen kannst.

Recovery-Steps: Detaillierte Anleitungen für die Wiederherstellung im Notfall. Wer muss was in welcher Reihenfolge tun? Welche Werkzeuge und Ersatzteile werden benötigt? Wie lange dauert jeder Schritt? Diese Informationen sind im Ernstfall Gold wert, denn der Spezialist, der das System kennt, ist vielleicht gerade im Urlaub.

Wartungsinformationen: Wartungszyklen, letzte Firmware-Version, Herstellersupport-Status, Wartungsverträge, Ansprechpartner beim Hersteller.

Ein gutes OT-Asset-Register ist kein einmaliges Projekt, sondern ein lebendiges Dokument. Jede Änderung an der Produktionsinfrastruktur muss sich darin widerspiegeln. Am besten integrierst du die Pflege des OT-Asset-Registers in dein Change-Management: Keine Änderung an einer Produktionsanlage ohne Aktualisierung des Registers.

Die ersten drei Monate: Ein realistischer Plan

Falls du jetzt denkst „das ist alles richtig, aber wo fange ich an", hier ein pragmatischer 90-Tage-Plan:

Monat 1: Sichtbarkeit schaffen

• OT-Asset-Inventar erstellen (auch wenn es anfangs unvollständig ist)
• Netzwerkdiagramm der Produktionsinfrastruktur zeichnen
• Fernwartungszugänge inventarisieren
• Verantwortlichkeiten zwischen IT und OT klären

Monat 2: Quick Wins umsetzen

• IT/OT-Netzwerksegmentierung prüfen und verbessern
• Fernwartungszugänge absichern
• Backups kritischer SPS-Programme erstellen
• Standard-Passwörter auf HMI-Panels ändern

Monat 3: ISMS-Integration starten

• Geltungsbereich des ISMS formal erweitern
• OT-spezifische Risikobewertung für die kritischsten Systeme durchführen
• Incident-Response-Plan um OT-Szenarien erweitern
• Erste Awareness-Maßnahmen für Produktionsmitarbeiter

Nach diesen drei Monaten hast du eine solide Grundlage, auf der du systematisch weiterarbeiten kannst. Perfekt wird es nicht sein, aber du hast die wichtigsten Lücken geschlossen und kannst bei einer NIS2-Prüfung nachweisen, dass du OT-Sicherheit aktiv angehst.

Regulatorischer Ausblick

Die regulatorische Landschaft für OT-Sicherheit wird in den nächsten Jahren dichter. Neben NIS2 und der EU-Maschinenverordnung 2023/1230 sind weitere Entwicklungen relevant:

Cyber Resilience Act (CRA): Ab 2027 müssen Hersteller digitaler Produkte, darunter auch industrielle Steuerungssysteme, Cybersecurity-Anforderungen über den gesamten Produktlebenszyklus erfüllen. Das bedeutet: Die OT-Produkte, die du in Zukunft kaufst, werden sicherer sein. Aber der Übergang dauert, und deine Bestandsanlagen sind davon nicht betroffen.

IEC 62443: Der internationale Standard für industrielle Cybersicherheit gewinnt zunehmend an Bedeutung. Immer mehr Maschinenhersteller lassen sich nach IEC 62443 zertifizieren. Für Betreiber bietet der Standard einen strukturierten Rahmen für OT-Security-Maßnahmen.

Branchenspezifische Standards: In regulierten Branchen wie Energie (BDEW Whitepaper, IT-Sicherheitskatalog), Wasser (IT-Sicherheitsleitfaden W 1060) oder Chemie (NAMUR-Empfehlungen) gibt es zusätzliche Anforderungen, die OT-Sicherheit explizit adressieren.

Die Botschaft ist klar: OT-Sicherheit ist kein optionales Zusatzthema, sondern wird von allen Seiten regulatorisch eingefordert. Je früher du anfängst, desto besser bist du vorbereitet.

Weiterführende Artikel

• IT/OT-Konvergenz: Risiken an der Schnittstelle zwischen Büro und Produktion
• Purdue-Modell erklärt: Netzwerkzonen in der Produktion
• SCADA und SPS absichern: Praxismaßnahmen ohne Produktionsstopp
• Risikobewertung für OT-Systeme: Andere Prioritäten als in der IT
• EU-Maschinenverordnung 2023/1230: Cybersecurity-Anforderungen ab 2027