Kein Wirtschaftszweig in Deutschland wird häufiger angegriffen als das produzierende Gewerbe. Der Digitalverband Bitkom beziffert den Schaden auf 289,2 Milliarden Euro. Mit NIS2 landet die Verantwortung dafür nicht mehr in der IT-Abteilung, sondern im Büro der Geschäftsführung.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenOT-Sicherheit galt lange als technische Randnotiz für Anlagenbauer, doch der Gesetzgeber sieht die vernetzte Produktion inzwischen als Kernbestandteil der unternehmerischen Sorgfaltspflicht. Der Verband ISACA warnt im Vorfeld seiner Europakonferenz in München vor einem strategischen blinden Fleck: Fast neun von zehn Unternehmen melden Angriffe, und die Fertigungssteuerung steht dabei besonders exponiert.
Das Wichtigste in Kürze
- 87 Prozent der deutschen Unternehmen waren binnen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen, der Gesamtschaden liegt bei 289,2 Milliarden Euro.
- Angriffe zielen zunehmend auf Operational Technology, also auf Maschinensteuerungen, Sensorik und Fertigungsanlagen.
- NIS2 verankert Cyber-Resilienz als Leitungsaufgabe, grobe Fahrlässigkeit kann persönliche Konsequenzen für die Geschäftsführung nach sich ziehen.
- Auch Betriebe unterhalb der Schwellenwerte spüren die Pflichten, weil Großkunden ihre Anforderungen an die Lieferkette durchreichen.
- Als Antwort auf den Fachkräftemangel etablieren sich flexible Modelle wie „CISO as a Service“.
Warum trifft die Bedrohung ausgerechnet die Fertigung?

Die klassische Büro-IT ist in vielen Mittelstandsbetrieben ordentlich abgesichert, mit Firewall, Endpoint-Schutz und Patch-Routine. Die Produktion dagegen läuft oft auf Steuerungen, die vor der Vernetzung geplant wurden und seit Jahren keinen Sicherheitsupdate-Zyklus kennen. Genau dieser Bereich rückt in den Fokus der Angreifer, weil ein Stillstand am Band direkt Umsatz kostet und den Druck zur Lösegeldzahlung erhöht.
Die Zahlen der Bitkom-Studie „Wirtschaftsschutz 2025″ untermauern die Verschiebung. Der Schaden stieg binnen eines Jahres um rund acht Prozent, knapp drei Viertel der Betriebe nehmen eine deutliche Zunahme der Attacken wahr. Wer die eigenen Angriffsflächen bisher nur für die Verwaltung durchdacht hat, sollte den Blick auf die Halle richten: Ein sauber aufgesetztes Threat Model für KMU beginnt mit der Frage, welche Anlagen im Ernstfall wirklich stillstehen dürfen.
Was bedeutet NIS2 für die persönliche Haftung?
Hinter der Neuausrichtung steht die Absicht, Cybersicherheit als integralen Bestandteil der Unternehmensführung zu verankern. Untätigkeit beim Schutz kritischer Systeme lässt sich nicht mehr an die IT delegieren, denn das Leitungsorgan trägt die Verantwortung für ein funktionierendes Risikomanagement.
Vier Fragen, drei mögliche Ergebnisse. Arbeiten Sie die Stufen der Reihe nach ab.
Prüfen Sie Sektor, Beschäftigtenzahl und Jahresumsatz gegen die Schwellenwerte des NIS2-Umsetzungsgesetzes. Betroffene Betriebe registrieren sich beim BSI und melden Vorfälle binnen 24 Stunden.
Ja → Ergebnis AGroßkunden reichen ihre Anforderungen vertraglich an Zulieferer weiter. Sichten Sie Rahmenverträge und Lieferantenfragebögen auf Sicherheitsklauseln, Auditrechte und Meldefristen.
Ja → Ergebnis BMaschinensteuerungen, Sensorik und Fernwartungszugänge gehören inventarisiert, segmentiert und dokumentiert. Eine reine Büro-IT-Betrachtung deckt die Fertigung nicht ab.
Nein → akuter HandlungsbedarfDas Leitungsorgan haftet persönlich für ein funktionierendes Risikomanagement. Halten Sie Zuständigkeit, Freigaben und Schulungsnachweise schriftlich fest, sonst fehlt im Ernstfall der Entlastungsbeweis.
Unklar → Ergebnis C prüfenRegistrierung, Risikomanagement und Meldewege sofort aufsetzen. Die Geschäftsführung haftet persönlich.
Die Pflichten kommen über den Vertrag. Konformität entscheidet über den nächsten Auftrag.
Kein Freifahrtschein: Ein Produktionsstillstand kostet unabhängig von jeder Richtlinie bares Geld.
Viele kleine und mittlere Unternehmen erreichen die offiziellen Schwellenwerte nicht. Über die Lieferkette greifen die Vorgaben trotzdem: Große Kunden reichen ihre Anforderungen an Zulieferer weiter und machen Konformität zur Bedingung für den nächsten Auftrag. Den regulatorischen Rahmen dazu bündeln unsere Cybersecurity-Grundlagen für KMU.
Die Zeiten, in denen eine Cyberattacke als delegierbares IT-Problem galt, sind mit NIS2 endgültig vorbei. Ein Angriff auf die Produktionssteuerung ist aus Sicht der neuen Gesetzgebung ein Versäumnis der unternehmerischen Sorgfaltspflicht“, Chris Dimitriadis, Chief Global Strategy Officer bei ISACA
— Markus Seyfferth, Chefredakteur Dr. Web
Wie schließt der Mittelstand die Kompetenzlücke?
Der Fachkräftemarkt gibt die passenden Spezialisten schlicht nicht her, und die Budgets vieler Betriebe erlauben keine eigene Sicherheitsabteilung. Als pragmatische Antwort etablieren sich geteilte Modelle. Fractional CISOs übernehmen die Rolle stundenweise, klären Governance-Fragen und bauen die Nachweisdokumentation auf, ohne eine Vollzeitstelle zu blockieren.
Die Absicherung ersetzt allerdings keine Technik. Eine Police greift erst nach dem Schaden, und die Versicherer verlangen inzwischen belastbare Kontrollen, bevor sie überhaupt zeichnen. Welche Voraussetzungen dabei üblich sind, zeigt unsere Analyse zur Cyberversicherung im Mittelstand.
Kostenfaktor oder Wettbewerbsvorteil?
Der Schutz der Produktion verschmilzt gerade mit der Kernstrategie. Nachweisbare Resilienz wird zum Verkaufsargument gegenüber Großkunden, die ihre Zulieferer prüfen, bevor sie Verträge verlängern. Beginnen Sie mit einer ehrlichen Inventur: Welche Anlagen hängen am Netz, wer darf aus der Ferne zugreifen, und wie lange dauert eine Wiederherstellung nach einem Verschlüsselungsangriff?
Den strategischen Austausch dazu sucht die Branche im Herbst. Die ISACA Europe Conference findet vom 7. bis 9. Oktober 2026 in München statt und stellt Governance, OT-Resilienz und Lieferkettensicherheit ins Zentrum.
Beide Welten tragen dasselbe Haftungsrisiko, folgen aber völlig verschiedenen Regeln.
Mehr Newshunger?
- Bug Bounty statt Jahres-Pentest: Reicht das für NIS2?
- JumpServer: Open-Source-Lösung für Privileged Access Management
- Ungemeldete Zero-Days auf GitHub: Wie reagieren?
- Backup-Strategie: Wie sichern Sie Daten? So geht es 2026
- Schwere Sicherheitslücken häufen sich um KI-Modell-Release
- BSI-Bericht: IT-Sicherheit öffentlicher Ladesäulen hat ernste Lücken