IT/OT-Sicherheit  Kritis als Vorbild

Von Maurice Kemmann 4 min Lesedauer

Anbieter zum Thema

Um digitale Resilienz aufzubauen und Anforderungen wie NIS-2 gerecht zu werden, müssen Unternehmen IT- und OT-Sicherheit ganzheitlich betrachten. Welche Maßnahmen dabei entscheidend sind, zeigen fünf zentrale Handlungsfelder.

In vielen Fertigungsbetrieben treffen klassische IT-Systeme auf historisch gewachsene OT-Infrastrukturen. Letztere wurden meist gar nicht für Vernetzung und Digitalisierung konzipiert.(Bild:  © God Image/stock.adobe.com (generiert mit KI))
In vielen Fertigungsbetrieben treffen klassische IT-Systeme auf historisch gewachsene OT-Infrastrukturen. Letztere wurden meist gar nicht für Vernetzung und Digitalisierung konzipiert.
(Bild: © God Image/stock.adobe.com (generiert mit KI))

Eine unangenehme Situation: Die Sicherheitssoftware eines Autozulieferers hatte unbefugte Zugriffe auf die IT-Infrastruktur festgestellt. Das Security-Team reagierte sofort und fuhr betroffene Systeme herunter. Durch das Abschalten musste das Werk die Produktion für einige Stunden stoppen, da die OT-Systeme auf die Verknüpfung mit der IT angewiesen waren.

Solche Angriffe sind häufig, so gab es beispielsweise laut Bitkom im zweiten Quartal 2025 im Durchschnitt 1286 Angriffe pro Woche auf deutsche Unternehmen. Insgesamt waren 2025 rund neun von zehn Unternehmen von Cyberangriffen betroffen. Der dadurch verursachte Schaden lag bei fast 290 Milliarden Euro. Damit liegt Deutschland auf Rang 4 der am stärksten von Computerkriminalität betroffenen Länder weltweit.

Hohe Sicherheitsstandards für IT und OT

Der Vorfall bei dem Zulieferer ist noch glimpflich abgelaufen, trotzdem entstanden durch den Produktionsausfall Lieferverzögerungen und damit ein finanzieller Schaden. Das zeigt deutlich: Vernetzte Produktionssysteme, Wartungszugänge zu Industrieanlagen, Remote-Zugriffe und Partneranbindungen sind eine gefährliche Angriffsfläche, die von Hackern ausgenutzt wird. Fertigungsunternehmen müssen deshalb ihre IT-Security auf den neuesten Stand bringen. Denn spätestens die NIS-2-Richtlinie macht die Sicherheit in der Lieferkette zur gesetzlichen Pflicht. Um dem gerecht zu werden, müssen Zulieferer hohe Sicherheitsstandards anlegen und die IT- und OT-Sicherheit gewährleisten. Eine Schwierigkeit ist dabei die Komplexität der genutzten Systeme. In Fertigungsbetrieben treffen klassische IT-Systeme auf spezialisierte OT-Infrastrukturen, die historisch gewachsen sind und die in der Industrie üblichen langen Betriebszeiten haben. In vielen Fällen wurde die OT gar nicht für Vernetzung und Digitalisierung konzipiert.

Sicherheitsstandards für IT und OT verknüpfen

Zu viele Unternehmen betrachten IT- und OT-Sicherheit als jeweils eigene Bereiche mit unterschiedlichen Aufgaben. Das spiegelt sich in den Unternehmen als technische, personelle und kulturelle Trennung wider. Oft arbeiten die Teams aneinander vorbei und benutzen verschiedene Security-Maßstäbe. Das schafft Zuständigkeitslücken und erhöht letztlich das Risiko. Die erste und wichtigste Aufgabe für Unternehmen ist deshalb die Verzahnung von IT und OT. Die Kritis-Regeln haben dafür bereits wichtige Grundlagen geschaffen. Deshalb ist es sinnvoll, die Sicherheitsstrukturen der kritischen Infrastrukturen als Blaupause für die digitale Resilienz im Mittelstand zu nutzen. Allerdings können Fertiger aus dem Mittelstand die Ansätze der Kritis-Welt nicht eins zu eins übernehmen. Es geht um praxisnahe und leicht skalierbare Prinzipien, die sich speziell an den Bedürfnissen kleiner und mittelgroßer Unternehmen orientieren. Kritis wird dabei als Framework interpretiert, bei dem das Sicherheitsniveau zur jeweiligen Rolle in der Wertschöpfungskette passt.

1. Sicherheit als Führungsaufgabe verstehen

Sicherheit ist nicht nur Aufgabe der Fachbereiche, sondern des gesamten Managements. Die Geschäftsleitung muss festlegen, wer verantwortlich ist und was vorrangig zu erledigen ist. Damit wird umgesetzt, was NIS-2 fordert: Die Geschäftsführung ist für das Risikomanagement verantwortlich, Sicherheit wird Teil der Unternehmensführung. Hierfür ist es zwingend notwendig, die Kommunikation zwischen der Geschäftsleitung, der IT und der OT zu verbessern.

2. Intelligentes Monitoring nutzen

Sichtbarkeit ist der erste Schritt zu Widerstandskraft. Wer weiß, was im Netzwerk passiert, kann auch gezielt reagieren. Deshalb benötigen Unternehmen lernfähige Systeme, die Anomalien in IT und OT sichtbar machen. Besonders hilfreich sind Lösungen, die Daten von Maschinen und Steuerungssystemen einbeziehen. So entsteht ein ganzheitliches Lagebild, das kritische Entwicklungen frühzeitig sichtbar macht. Dies ist die technische Basis, um die strengen Meldepflichten von Kritis und NIS-2 zu erfüllen.

3. Dienstleister sind strategische Partner

Servicepartner für Cybersecurity sind mehr als nur Lieferanten. Sie sind wichtige Partner für Managed Services, die ein Security Operation Center (SOC) anbieten können. Damit können auch kleine Fertigungsbetriebe rund um die Uhr auf Expertise und operative Unterstützung zurückgreifen. Hinzu kommt die große Erfahrung von Dienstleistern mit unterschiedlichen Bedrohungsszenarien. Für mittelständische Unternehmen mit begrenzten Ressourcen ist eine solche Zusammenarbeit ein guter Weg, um Sicherheit und Reaktionsschnelligkeit zu verbessern.

4. OT verstehen und segmentieren

Ein häufig unterschätztes Risiko sind überholte Maschinensteuerungen oder fehlkonfigurierte Schnittstellen. Unternehmen sollten ihre OT-Assets systematisch erfassen, segmentieren und absichern. Sie steigern damit die Kontrolle und verringern die Angriffsfläche deutlich. Oft reicht bereits eine einfache Inventarisierung: Welche Steuerungen, Protokolle und Zugänge gibt es überhaupt? Welche Systeme tauschen auf welche Weise Daten aus? Die darauf aufbauende Segmentierung der Netzwerke in Sicherheitszonen erschwert es Angreifern erheblich, sich seitlich zu bewegen und benachbarte Systeme zu schädigen.

Jetzt Newsletter abonnieren

Verpassen Sie nicht unsere besten Inhalte

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

5. Den Notfall nicht nur planen, sondern proben

Ein Plan ist nur so gut, wie er der Praxis standhält. Dafür müssen alle Notfall- und Wiederanlaufpläne regelmäßig getestet und in der Belegschaft verankert werden. Auch hier liegt der Teufel im Detail. Ein guter Plan beantwortet nicht nur technische Fragen, sondern klärt auch Zuständigkeiten, Rollenverteilung, Eskalationswege und die Kommunikation. Dabei stellen sich viele Fragen: Was passiert, wenn bestimmte Anlagen für mehrere Stunden stehen bleiben? Wie verständigen sich IT und OT in der Krise? Wer hat Zugriff auf Backups? Die Antworten auf diese Fragen müssen klar sein, damit ein Plan funktioniert.

Kritis und NIS-2 als Maßstab

Mittelständische Fertiger haben heutzutage eine doppelte Verantwortung: Sie müssen einerseits ihre eigene Produktion und andererseits die Integrität komplexer Lieferketten schützen. Dafür ist nachweisbare Sicherheit nötig. Eine Orientierung an Kritis-Maßstäben und NIS-2-Konformität ist nicht nur eine regulatorische Forderung, sondern ein entscheidendes Qualitätsmerkmal im Wettbewerb. Mit klarer Führung, Transparenz, starken Partnern und praxistauglichen Notfallplänen schaffen auch mittelständische Betriebe ein hohes Sicherheitsniveau für digitale Resilienz und Zukunftsfähigkeit. 

Maurice Kemmann
Geschäftsführer Cosanta

Bildquelle: Cosanta