Kein Wirtschaftszweig in Deutschland wird häufiger angegriffen als das produzierende Gewerbe. Der Digitalverband Bitkom beziffert den Schaden auf 289,2 Milliarden Euro. Mit NIS2 landet die Verantwortung dafür nicht mehr in der IT-Abteilung, sondern im Büro der Geschäftsführung.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

OT-Sicherheit galt lange als technische Randnotiz für Anlagenbauer, doch der Gesetzgeber sieht die vernetzte Produktion inzwischen als Kernbestandteil der unternehmerischen Sorgfaltspflicht. Der Verband ISACA warnt im Vorfeld seiner Europakonferenz in München vor einem strategischen blinden Fleck: Fast neun von zehn Unternehmen melden Angriffe, und die Fertigungssteuerung steht dabei besonders exponiert.

Das Wichtigste in Kürze

  • 87 Prozent der deutschen Unternehmen waren binnen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen, der Gesamtschaden liegt bei 289,2 Milliarden Euro.
  • Angriffe zielen zunehmend auf Operational Technology, also auf Maschinensteuerungen, Sensorik und Fertigungsanlagen.
  • NIS2 verankert Cyber-Resilienz als Leitungsaufgabe, grobe Fahrlässigkeit kann persönliche Konsequenzen für die Geschäftsführung nach sich ziehen.
  • Auch Betriebe unterhalb der Schwellenwerte spüren die Pflichten, weil Großkunden ihre Anforderungen an die Lieferkette durchreichen.
  • Als Antwort auf den Fachkräftemangel etablieren sich flexible Modelle wie „CISO as a Service“.

Warum trifft die Bedrohung ausgerechnet die Fertigung?

Schild „PERSÖENLICH HAFTBAR“ an Industrietaster mit orangem Pilzknopf
Produktionsanlagen in Mittelstandsbetrieben sind oft ungeschützt und werden vermehrt von Cyberkriminellen angegriffen, da Ausfallzeiten direkt finanzielle Verluste bedeuten

Die klassische Büro-IT ist in vielen Mittelstandsbetrieben ordentlich abgesichert, mit Firewall, Endpoint-Schutz und Patch-Routine. Die Produktion dagegen läuft oft auf Steuerungen, die vor der Vernetzung geplant wurden und seit Jahren keinen Sicherheitsupdate-Zyklus kennen. Genau dieser Bereich rückt in den Fokus der Angreifer, weil ein Stillstand am Band direkt Umsatz kostet und den Druck zur Lösegeldzahlung erhöht.

Die Zahlen der Bitkom-Studie „Wirtschaftsschutz 2025″ untermauern die Verschiebung. Der Schaden stieg binnen eines Jahres um rund acht Prozent, knapp drei Viertel der Betriebe nehmen eine deutliche Zunahme der Attacken wahr. Wer die eigenen Angriffsflächen bisher nur für die Verwaltung durchdacht hat, sollte den Blick auf die Halle richten: Ein sauber aufgesetztes Threat Model für KMU beginnt mit der Frage, welche Anlagen im Ernstfall wirklich stillstehen dürfen.

Was bedeutet NIS2 für die persönliche Haftung?

Hinter der Neuausrichtung steht die Absicht, Cybersicherheit als integralen Bestandteil der Unternehmensführung zu verankern. Untätigkeit beim Schutz kritischer Systeme lässt sich nicht mehr an die IT delegieren, denn das Leitungsorgan trägt die Verantwortung für ein funktionierendes Risikomanagement.

NOT-AUS
Haftungs-Check NIS2: Trifft die Pflicht Ihre Produktion?

Vier Fragen, drei mögliche Ergebnisse. Arbeiten Sie die Stufen der Reihe nach ab.

1
Fallen Sie direkt unter NIS2?

Prüfen Sie Sektor, Beschäftigtenzahl und Jahresumsatz gegen die Schwellenwerte des NIS2-Umsetzungsgesetzes. Betroffene Betriebe registrieren sich beim BSI und melden Vorfälle binnen 24 Stunden.

Ja → Ergebnis A
2
Beliefern Sie einen NIS2-pflichtigen Kunden?

Großkunden reichen ihre Anforderungen vertraglich an Zulieferer weiter. Sichten Sie Rahmenverträge und Lieferantenfragebögen auf Sicherheitsklauseln, Auditrechte und Meldefristen.

Ja → Ergebnis B
3
Steht Ihre OT im Risikomanagement?

Maschinensteuerungen, Sensorik und Fernwartungszugänge gehören inventarisiert, segmentiert und dokumentiert. Eine reine Büro-IT-Betrachtung deckt die Fertigung nicht ab.

Nein → akuter Handlungsbedarf
4
Wer trägt die Verantwortung namentlich?

Das Leitungsorgan haftet persönlich für ein funktionierendes Risikomanagement. Halten Sie Zuständigkeit, Freigaben und Schulungsnachweise schriftlich fest, sonst fehlt im Ernstfall der Entlastungsbeweis.

Unklar → Ergebnis C prüfen
Ihr Ergebnis
A: Direkt pflichtig

Registrierung, Risikomanagement und Meldewege sofort aufsetzen. Die Geschäftsführung haftet persönlich.

B: Indirekt gebunden

Die Pflichten kommen über den Vertrag. Konformität entscheidet über den nächsten Auftrag.

C: Vorerst frei

Kein Freifahrtschein: Ein Produktionsstillstand kostet unabhängig von jeder Richtlinie bares Geld.

Der teuerste Fehler: Die Fertigungssteuerung bleibt im Risikoregister unerwähnt, weil niemand sie der IT zurechnet. Beginnen Sie mit der Inventur der vernetzten Anlagen, danach folgen Segmentierung, Notfallplan und Restore-Test.

Viele kleine und mittlere Unternehmen erreichen die offiziellen Schwellenwerte nicht. Über die Lieferkette greifen die Vorgaben trotzdem: Große Kunden reichen ihre Anforderungen an Zulieferer weiter und machen Konformität zur Bedingung für den nächsten Auftrag. Den regulatorischen Rahmen dazu bündeln unsere Cybersecurity-Grundlagen für KMU.

Die Zeiten, in denen eine Cyberattacke als delegierbares IT-Problem galt, sind mit NIS2 endgültig vorbei. Ein Angriff auf die Produktionssteuerung ist aus Sicht der neuen Gesetzgebung ein Versäumnis der unternehmerischen Sorgfaltspflicht“, Chris Dimitriadis, Chief Global Strategy Officer bei ISACA

— Markus Seyfferth, Chefredakteur Dr. Web

Wie schließt der Mittelstand die Kompetenzlücke?

Der Fachkräftemarkt gibt die passenden Spezialisten schlicht nicht her, und die Budgets vieler Betriebe erlauben keine eigene Sicherheitsabteilung. Als pragmatische Antwort etablieren sich geteilte Modelle. Fractional CISOs übernehmen die Rolle stundenweise, klären Governance-Fragen und bauen die Nachweisdokumentation auf, ohne eine Vollzeitstelle zu blockieren.

Die Absicherung ersetzt allerdings keine Technik. Eine Police greift erst nach dem Schaden, und die Versicherer verlangen inzwischen belastbare Kontrollen, bevor sie überhaupt zeichnen. Welche Voraussetzungen dabei üblich sind, zeigt unsere Analyse zur Cyberversicherung im Mittelstand.

Kostenfaktor oder Wettbewerbsvorteil?

Der Schutz der Produktion verschmilzt gerade mit der Kernstrategie. Nachweisbare Resilienz wird zum Verkaufsargument gegenüber Großkunden, die ihre Zulieferer prüfen, bevor sie Verträge verlängern. Beginnen Sie mit einer ehrlichen Inventur: Welche Anlagen hängen am Netz, wer darf aus der Ferne zugreifen, und wie lange dauert eine Wiederherstellung nach einem Verschlüsselungsangriff?

Den strategischen Austausch dazu sucht die Branche im Herbst. Die ISACA Europe Conference findet vom 7. bis 9. Oktober 2026 in München statt und stellt Governance, OT-Resilienz und Lieferkettensicherheit ins Zentrum.

Büro-IT gegen Produktions-OT: Wo liegt Ihr schwaches Glied?

Beide Welten tragen dasselbe Haftungsrisiko, folgen aber völlig verschiedenen Regeln.

Büro-IT Laptops, Server, Mail, Cloud
Patch-Zyklus Monatlich bis wöchentlich, automatisiert über Verteilwerkzeuge
Lebensdauer der Systeme 3 bis 5 Jahre
Wartungsfenster Nachts oder am Wochenende, Neustart jederzeit möglich
Schutzziel Nummer eins Vertraulichkeit der Daten
Typischer Reifegrad Firewall, Endpoint-Schutz, Backup, Rechteverwaltung im Einsatz
Produktions-OT Steuerungen, Sensorik, Fernwartung
Patch-Zyklus Selten bis nie, Hersteller-Freigabe blockiert das Update
Lebensdauer der Systeme 10 bis 20 Jahre
Wartungsfenster Nur im Betriebsstillstand, jeder Neustart kostet Produktion
Schutzziel Nummer eins Verfügbarkeit der Anlage
Typischer Reifegrad Flaches Netz, geteilte Passwörter, offene Fernwartung
Der Hebel: Ein Steuerungsrechner lässt sich nicht wie ein Notebook patchen. Trennen Sie Produktions- und Büronetz sauber, protokollieren Sie jeden Fernzugriff und definieren Sie, wie lange ein Wiederanlauf nach einem Verschlüsselungsangriff dauern darf.

Mehr Newshunger?

4,3 11 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?