GxP & IT-Praxistipps für den Mittelstand | Blog Christof Layher

Wenn Sicherheit erst nach dem Projekt kommt, ist es zu spät – OT-Security in der Realität der Industrie

Geschrieben von Christof Layher | Mar 15, 2026 10:29:59 AM

Cybersecurity in Produktionssystemen.

Nicht im Büro.
Nicht im Rechenzentrum.

Sondern dort, wo Anlagen laufen, Roboter sich bewegen und Medikamente produziert werden.

Das ist eine andere Welt.
Und wer sie einmal gesehen hat, merkt schnell:

Viele Sicherheitsprobleme haben weniger mit Hackern zu tun – und mehr mit Architektur, Prozessen und Entscheidungen, die Jahre vorher getroffen wurden.

In diesem Beitrag möchte ich einige Punkte aus dem Gespräch vertiefen.

OT ist nicht einfach „IT in der Produktion“

Viele IT-Leute gehen zunächst davon aus, dass Produktionssysteme im Grunde dasselbe sind wie klassische IT.

Server.
Netzwerke.
Software.

Teilweise stimmt das auch.

Aber sobald man näher an den eigentlichen Prozess kommt, wird es anders.

OT - also Operational Technology - steuert physische Prozesse: Pumpen, Ventile, Roboter, Produktionsanlagen oder Stromnetze. Während IT hauptsächlich Informationen verarbeitet, beeinflusst OT direkt die reale Welt.

Das führt zu völlig anderen Prioritäten.

In vielen industriellen Systemen gilt:

  1. Verfügbarkeit schlägt alles
  2. Deterministische Kommunikation ist entscheidend
  3. Stillstand ist extrem teuer

Ein Produktionssystem darf nicht einfach neu gestartet werden wie ein Laptop.

Und genau hier beginnt das Spannungsfeld zwischen IT-Security und OT-Realität.

Das historische Problem der Industrie-IT

Ein wichtiger Punkt wird oft übersehen:

Viele industrielle Systeme wurden nie für vernetzte Umgebungen entwickelt.

Ursprünglich waren Produktionsanlagen:

  • physisch isoliert
  • proprietär
  • ohne Internetanbindung

Security war schlicht kein Thema.

Erst mit der zunehmenden Digitalisierung und Vernetzung wurden diese Systeme plötzlich Teil der Unternehmens-IT.

Damit wächst auch die Angriffsfläche. Studien zeigen, dass immer mehr industrielle Geräte öffentlich erreichbar sind und häufig bekannte Schwachstellen enthalten.

Das Ergebnis:

Eine Infrastruktur, die ursprünglich nicht für Cybersecurity gebaut wurde, hängt heute im Netzwerk.

Warum Regulierung plötzlich eine große Rolle spielt

Genau aus diesem Grund entstehen neue regulatorische Rahmenwerke.

Ein besonders wichtiger Baustein ist der Cyber Resilience Act (CRA) der EU.

Der CRA definiert erstmals verbindliche Sicherheitsanforderungen für Produkte mit digitalen Elementen, also Hardware und Software, die mit Netzwerken verbunden sind.

Die Idee dahinter ist simpel:

Security darf nicht erst beim Betreiber anfangen.

Sie muss bereits im Produkt selbst vorhanden sein.

Der CRA verpflichtet Hersteller deshalb unter anderem dazu:

  • Security bereits in der Entwicklung zu berücksichtigen
  • Sicherheitsupdates über den gesamten Produktlebenszyklus bereitzustellen
  • Schwachstellen strukturiert zu behandeln und offenzulegen
  • Sicherheitsinformationen transparent zu dokumentieren

Damit verschiebt sich Verantwortung.

Von den Betreibern
hin zu den Herstellern.

Und das ist für viele Industriebereiche ein Paradigmenwechsel.

Standards wie IEC 62443: der Sicherheitsbauplan der Industrie

Neben Regulierung spielen auch technische Standards eine wichtige Rolle.

Einer der wichtigsten ist die IEC 62443.

Diese internationale Normenreihe beschreibt, wie industrielle Automatisierungs- und Steuerungssysteme sicher gestaltet werden können.

Das Besondere daran:

Sie betrachtet nicht nur Technik.

Sondern auch:

  • Organisation
  • Prozesse
  • Architektur
  • Verantwortlichkeiten

Die Norm verfolgt dabei einen risikobasierten Ansatz und definiert Sicherheitsniveaus, die sich an möglichen Angreifern orientieren.

Damit wird Security systematisch planbar.

Zumindest theoretisch.

Der eigentliche Knackpunkt: Security by Design

Der größte Fehler in vielen Projekten passiert viel früher.

Ganz am Anfang.

In vielen Industrieprojekten läuft es ungefähr so:

  1. Anlage planen
  2. Systeme entwickeln
  3. Integration durchführen
  4. kurz vor Inbetriebnahme: „Wir brauchen noch Security“

Das Problem:

Zu diesem Zeitpunkt sind die Architekturentscheidungen längst gefallen.

Und dann wird Security zum teuren Nachrüstprojekt.

Dabei ist die wichtigste Erkenntnis eigentlich banal:

Security funktioniert nur, wenn sie von Anfang an Teil der Architektur ist.

Oder anders gesagt:

Wenn Sicherheit erst kurz vor Go-Live diskutiert wird, ist das Projekt bereits verloren.

Warum Risikoanalysen so wichtig sind

Ein Punkt aus dem Gespräch ist mir besonders wichtig.

Security ist keine Checkliste.

Sie ist eine Priorisierungsaufgabe.

In komplexen Systemen kann man nie alles absichern.

Deshalb braucht man ein Werkzeug, um Entscheidungen zu treffen.

Genau dafür sind Risikoanalysen da.

Richtig eingesetzt helfen sie dabei:

  • kritische Prozesse zu identifizieren
  • Angriffsflächen zu verstehen
  • Maßnahmen zu priorisieren
  • Ressourcen sinnvoll einzusetzen

Der eigentliche Wert einer Risikoanalyse liegt nicht im Dokument.

Sondern im Systemverständnis, das dabei entsteht.

Viele Unternehmen verstehen ihre eigenen digitalen Prozesse danach deutlich besser als vorher.

Die größte Illusion der Cybersecurity

Ein letzter Gedanke.

Viele Security-Diskussionen drehen sich um spektakuläre Angriffe.

Nation-State-Hacker.
Zero-Day-Exploits.
Cyberkrieg.

In der Realität sieht es meistens anders aus.

Die meisten erfolgreichen Angriffe nutzen:

  • schlecht konfigurierte Systeme
  • bekannte Schwachstellen
  • fehlende Updates
  • offene Schnittstellen

Also Dinge, die eigentlich vermeidbar wären.

Security beginnt deshalb selten mit High-Tech.

Sondern mit:

  • Architektur
  • Dokumentation
  • Verantwortlichkeiten
  • und gesundem technischen Menschenverstand.

Fazit: Digitales Mindset bedeutet auch Sicherheitsdenken

Wenn wir über digitale Transformation sprechen, denken viele zuerst an Datenplattformen, KI oder Automatisierung.

Aber ein digitales Mindset bedeutet auch:

Verantwortung für die Systeme zu übernehmen, auf denen unsere Industrie läuft.

Gerade in regulierten Branchen wie Pharma, Biotech oder MedTech ist das kein theoretisches Thema.

Es geht um:

  • Produktionssicherheit
  • Lieferfähigkeit
  • und letztlich um Patienten.

Security ist kein Selbstzweck.

Aber ohne Security funktioniert Digitalisierung langfristig nicht.

Podcast ansehen

Das komplette Gespräch mit Sarah Fluchs über OT-Security, Cyber Resilience Act und Risikoanalysen findest du hier:

 https://youtu.be/dsT4jc_kmdk 

 
Vollständigen Beitrag anzeigen