Was früher als IT-Thema in der Unternehmensverwaltung verortet war, ist längst im Herzen der Industrie angekommen – direkt an der Produktionslinie. Ransomware-Angriffe legen nicht mehr nur Server lahm, sondern ganze Fertigungen. Lieferketten werden über kompromittierte Schnittstellen infiltriert, und selbst mittelständische Betriebe geraten zunehmend ins Visier professionell organisierter Angreifer.

Vor diesem Hintergrund gewinnt die Frage nach robuster Cybersecurity in der Industrie eine neue Dringlichkeit. Im Gespräch mit Christian Bücker, Geschäftsführer der Bücker IT-Security GmbH, geht es darum, wie Unternehmen auf diese Entwicklung reagieren können, welche Rolle die Verschmelzung von IT und OT spielt und warum klassische Sicherheitskonzepte in modernen Produktionsumgebungen oft nicht mehr ausreichen.

INDUSTRIAL Production: Welche aktuellen Cyber-Bedrohungen sehen Sie heute als die größten Risiken für Industrieunternehmen – insbesondere im produzierenden Gewerbe?

Christian Bücker: Die größte Gefahr ist und bleibt ganz klar die gefürchtete Betriebsunterbrechung. In der Industrie bedeutet ein Cyberangriff nicht ‚nur‘ Datenverlust, sondern im schlimmsten Fall einen vollständigen Produktionsstillstand.

Besonders kritisch ist dabei die Kombination aus zwei Faktoren: Zum einen die zunehmende Abhängigkeit der Produktion von der IT, zum anderen die vielen veralteten Systeme in der OT, die oft nicht mehr gepatcht werden können.

Diese Systeme sind verwundbar und extrem empfindlich – schon kleine Kommunikationsstörungen können Prozesse aus dem Takt bringen. Wird dann sogar Ransomware eingesetzt und Produktionssysteme werden verschlüsselt, drohen langfristige Ausfälle, insbesondere wenn Backups fehlen.

Neu sind dabei die Geschwindigkeit und Automatisierung der Angriffe. Wir sehen inzwischen erste Szenarien, in denen Angriffe vollautomatisiert durch KI gesteuert werden. Schwachstellensuche, Angriffsausführung und laterale Bewegungen im Netzwerk werden komplett ohne menschliches Zutun übernommen. Gerade in Produktionsumgebungen mit vielen älteren Systemen erhöht das die Erfolgswahrscheinlichkeit zusätzlich.

Das macht die Bedrohungslage deutlich dynamischer als noch vor wenigen Jahren.

Wie verändert die zunehmende Vernetzung von IT- und OT-Systemen (z. B. in Smart Factories) die Anforderungen an moderne Sicherheitsarchitekturen?

Die klassische Trennung zwischen IT und OT existiert bei den meisten unserer Kunden nicht mehr. Früher waren Produktionsnetze oft physisch isoliert, heute sind sie verbunden mit der IT oder der Cloud, um smarter zu produzieren.

Das bringt zentrale Herausforderungen mit sich: Der Übergang zwischen IT und OT muss exakt kontrolliert werden. Es geht darum, ganz klar zu definieren, wer mit wem kommunizieren darf und wie.

Gleichzeitig funktionieren viele klassische Security-Mechanismen im OT-Umfeld nicht. Da man keine Agenten auf den OT-Geräten installieren kann, wie dies in der IT üblich ist, verlagern sich Sicherheitskonzepte stärker ins Netzwerk.

Anomalien müssen also im Netzwerk erkannt werden, ohne dabei die sensiblen Systeme aktiv zu scannen. Solche „Scans“ können in der OT zu ungewollten Ausfällen führen, wenn sie nicht abgestimmt und mit entsprechender Vorsicht durchgeführt werden.

Industrieunternehmen investieren stark in Digitalisierung und Automatisierung. Welche typischen Sicherheitslücken entstehen dabei erfahrungsgemäß?

Die zunehmende Digitalisierung und Automatisierung führt vor allem zu einer engen Verzahnung von IT- und OT-Systemen und genau hier entstehen die größten Sicherheitslücken. Produktionsanlagen werden heute häufig direkt aus zentralen IT-Systemen wie ERP-Lösungen gesteuert, wodurch Schnittstellen und Kommunikationswege entstehen. In der Praxis sind diese Übergänge oft nicht ausreichend abgesichert: Es fehlt an klar definierten Regeln, welche Daten überhaupt übertragen werden dürfen, über welche Protokolle und zu welchen Zeitpunkten. Dadurch entstehen unnötige offene Kommunikationspfade, die Angreifern potenziell Zugang zur Produktion bieten.

Ein weiteres Risiko ergibt sich aus der zunehmenden Nutzung von Cloud-Diensten. Sensordaten aus der Produktion werden häufig zur Analyse und Optimierung in externe Systeme übertragen. Dabei zeigt sich immer wieder, dass diese Datenübertragungen nicht konsequent abgesichert werden. Etwa durch fehlende oder unzureichende Verschlüsselung. In solchen Fällen können Angreifer den Datenverkehr nicht nur einsehen, sondern auch gezielt manipulieren.

Insgesamt kommen diese neuen Schwachstellen zusätzlich zu den ohnehin bestehenden Sicherheitsanforderungen hinzu. Security darf kein nachgelagertes Projekt sein, sondern muss integraler Bestandteil jeder Digitalisierungsinitiative sein.

Ransomware als Produktionsrisiko? Wie hat sich die Bedrohung durch Ransomware in den letzten Jahren entwickelt, und warum sind gerade Industrieunternehmen besonders betroffen?

Ransomeware ist ein hochprofessionelles Geschäftsmodell geworden. Für Angreifer ist die Industrie besonders attraktiv, weil hier die Hebelwirkung enorm ist. Ein oft zitierter Satz bringt es gut auf den Punkt: ‚IT-Security schützt Daten – OT-Security schützt Umsatz.‘

Fällt die IT aus, kann ein Unternehmen oft noch eingeschränkt weiterarbeiten. Steht jedoch die Produktion, entstehen sofort massive wirtschaftliche Schäden. Genau das nutzen Angreifer aus.

Hinzu kommt: Angriffe sind heute sehr gut organisiert. Täter analysieren ihre Ziele teilweise über Wochen, bewerten Umsatzdaten, wählen gezielt den ‚perfekten Zeitpunkt‘ für die Attacke aus, um maximale Lösegeldforderungen zu stellen.

Wie gut sind mittelständische Industrieunternehmen heute im Ernstfall tatsächlich auf einen Cyberangriff vorbereitet – und wo sehen Sie die größten Defizite in der Incident Response?

Die Realität ist leider oft ernüchternd. Im OT-Bereich sind viele Unternehmen noch schlecht oder gar nicht vorbereitet  . Häufige Schwachstellen sind ein fehlendes oder unvollständiges Asset Inventory, mangelnde Fähigkeiten zur Netzwerkanalyse und Angriffserkennung und eine unzureichende Transparenz und Kontrolle über die Kommunikationswege.

Viele Unternehmen, die mit uns ins Gespräch kommen, beginnen tatsächlich bei null. Deshalb ist ein sinnvoller erster Schritt: Transparenz schaffen – also verstehen, welche Systeme vorhanden sind und wie sie miteinander kommunizieren.

Darauf aufbauend braucht es Angriffserkennung, also Network Detection & Response, Frühwarnsysteme wie Deception-Technologien und klar definierte Reaktionsprozesse.

Gerade im OT-Umfeld ist Vorsicht bei automatischen Gegenmaßnahmen geboten, da ein falscher Eingriff die Produktion stilllegen kann.

Viele Unternehmen lagern Security-Services aus: Welche Vorteile und Risiken sehen Sie bei Managed Security Services im industriellen Umfeld?

Grundsätzlich sind Managed Services im Security-Umfeld ein großer Vorteil. Die meisten Unternehmen können die nötige Spezialisierung und die 24/7-Abdeckung schlicht intern gar nicht leisten.

Ein professioneller Anbieter bringt kontinuierliche Überwachung, tiefes Analyse-Know-how und einen Erfahrungsschatz aus vielen Umgebungen mit sich.

Die Herausforderung liegt allerdings in der Auswahl des richtigen Partners. Neben der fachlichen Kompetenz ist insbesondere ein tiefes Verständnis für die spezifischen Anforderungen und Rahmenbedingungen industrieller Umgebungen entscheidend.

Inwiefern beeinflusst der Mangel an qualifizierten Cybersecurity-Spezialisten die Sicherheitslage in der Industrie?

In der klassischen IT-Security verändert sich die Lage aktuell durch die KI – viele Standardaufgaben werden zunehmend automatisiert.

Im OT-Umfeld sieht es jedoch anders aus: Hier ist der Fachkräftemangel ein echtes Problem. OT-Security setzt ein tiefes Verständnis industrieller Protokolle und Produktionsprozesse voraus. Gleichzeitig müssen Sicherheitsmaßnahmen so umgesetzt werden, dass sie die funktionale Sicherheit und die Verfügbarkeit der Produktion nicht beeinträchtigen. Gerade das Zusammenspiel von Safety und Security ist sehr wichtig.

OT-Security ist nach unserer Erfahrung in vielen Unternehmen noch kein etabliertes Themenfeld – das verschärft die Situation zusätzlich.

Wie gut ist das Prinzip „Security by Design“ bereits in industriellen IT- und Automatisierungsprojekten verankert?

Durch den Cyber Resilience Act (CRA) bewegt sich hier aktuell sehr viel. Hersteller werden stärker verpflichtet, Sicherheit bereits in der Entwicklung zu berücksichtigen und langfristig Updates sicherzustellen. Das verbessert die Situation deutlich!

Allerdings besteht eine große Herausforderung weiterhin in den Bestandsanlagen. Viele Produktionsumgebungen basieren auf älteren Systemen, in denen ‚Security by Design‘ nie vorgesehen war. Die Altlasten werden Unternehmen noch lange begleiten.

Welche Rolle spielen Cyberrisiken in der Lieferkette (Supply Chain Attacks), und wie können Industrieunternehmen sich besser absichern?

Supply-Chain-Risiken beschränken sich nicht nur auf die Kommunikation mit Lieferanten und Partnern, sondern umfassen die gesamte Lieferkette. Neben Angriffen wie Phishing oder manipulierten E-Mails besteht aber auch das Risiko, dass gelieferte Systeme, Komponenten oder Software bereits kompromittiert sind und dadurch Schwachstellen in die eigene Umgebung eingebracht werden. Gerade letzteres gewinnt stark an Bedeutung. Unternehmen müssen sicherstellen, dass ihre Lieferanten sichere Entwicklungsprozesse einsetzen, gesetzliche Vorgaben, wie etwa CRA, erfüllen und Integrität entlang der Lieferkette gewährleisten. Innovative Ansätze gehen sogar so weit, dass Systeme erst beim Kunden aktiviert werden können, um Manipulationen während des Transports auszuschließen.

Lassen SIe uns einen Blick auf die Zukunft der industriellen Cybersecurity werfen: Welche technologischen Entwicklungen, etwa KI-gestützte Angriffserkennung oder Zero-Trust-Architekturen, werden die industrielle IT-Sicherheit in den nächsten fünf Jahren am stärksten prägen?

Langfristige Prognosen sind aktuell schwierig, da die Entwicklung gerade extrem dynamisch ist. Dennoch zeichnen sich zwei zentrale Themen ab: Zum einen wird KI-gestützte Anomalieerkennung im Bereich Network Detection and Response (NDR) zunehmend an Bedeutung gewinnen, da viele OT-Systeme nicht direkt abgesichert werden können und daher die Analyse des Netzwerkverkehrs in den Fokus rückt. Zum anderen werden Deception-Technologien wichtiger, bei denen gezielt platzierte Täuschungselemente eine sehr frühe und zuverlässige Angriffserkennung mit gleichzeitig niedriger Fehlalarmrate ermöglichen.

In der Kombination bieten beide Ansätze eine sehr hohe Erkennungsrate. Klar ist aber auch: Die Zukunft wird ein ständiges Katz-und-Maus-Spiel zwischen Angreifern und Verteidigern bleiben. Insbesondere durch den zunehmenden Einsatz von KI auf beiden Seiten.

Über den Interview-Partner:

Christian Bücker ist Geschäftsführer der Bücker IT-Security GmbH, einer auf IT- und OT-Sicherheit spezialisierten Einheit der Bechtle-Gruppe. Das Unternehmen mit Sitz in Hille unterstützt seit vielen Jahren mittelständische Unternehmen und öffentliche Auftraggeber bei der Absicherung ihrer IT- und kritischen Infrastrukturen.

Herzlichen Dank für das Interview!