Um digitale Resilienz aufzubauen und Anforderungen wie NIS-2 gerecht zu werden, müssen Unternehmen IT- und OT-Sicherheit ganzheitlich betrachten. Welche Maßnahmen dabei entscheidend sind, zeigen fünf zentrale Handlungsfelder.
In vielen Fertigungsbetrieben treffen klassische IT-Systeme auf historisch gewachsene OT-Infrastrukturen. Letztere wurden meist gar nicht für Vernetzung und Digitalisierung konzipiert.
Eine unangenehme Situation: Die Sicherheitssoftware eines Autozulieferers hatte unbefugte Zugriffe auf die IT-Infrastruktur festgestellt. Das Security-Team reagierte sofort und fuhr betroffene Systeme herunter. Durch das Abschalten musste das Werk die Produktion für einige Stunden stoppen, da die OT-Systeme auf die Verknüpfung mit der IT angewiesen waren.
Solche Angriffe sind häufig, so gab es beispielsweise laut Bitkom im zweiten Quartal 2025 im Durchschnitt 1286 Angriffe pro Woche auf deutsche Unternehmen. Insgesamt waren 2025 rund neun von zehn Unternehmen von Cyberangriffen betroffen. Der dadurch verursachte Schaden lag bei fast 290 Milliarden Euro. Damit liegt Deutschland auf Rang 4 der am stärksten von Computerkriminalität betroffenen Länder weltweit.
Hohe Sicherheitsstandards für IT und OT
Der Vorfall bei dem Zulieferer ist noch glimpflich abgelaufen, trotzdem entstanden durch den Produktionsausfall Lieferverzögerungen und damit ein finanzieller Schaden. Das zeigt deutlich: Vernetzte Produktionssysteme, Wartungszugänge zu Industrieanlagen, Remote-Zugriffe und Partneranbindungen sind eine gefährliche Angriffsfläche, die von Hackern ausgenutzt wird. Fertigungsunternehmen müssen deshalb ihre IT-Security auf den neuesten Stand bringen. Denn spätestens die NIS-2-Richtlinie macht die Sicherheit in der Lieferkette zur gesetzlichen Pflicht. Um dem gerecht zu werden, müssen Zulieferer hohe Sicherheitsstandards anlegen und die IT- und OT-Sicherheit gewährleisten. Eine Schwierigkeit ist dabei die Komplexität der genutzten Systeme. In Fertigungsbetrieben treffen klassische IT-Systeme auf spezialisierte OT-Infrastrukturen, die historisch gewachsen sind und die in der Industrie üblichen langen Betriebszeiten haben. In vielen Fällen wurde die OT gar nicht für Vernetzung und Digitalisierung konzipiert.
Sicherheitsstandards für IT und OT verknüpfen
Zu viele Unternehmen betrachten IT- und OT-Sicherheit als jeweils eigene Bereiche mit unterschiedlichen Aufgaben. Das spiegelt sich in den Unternehmen als technische, personelle und kulturelle Trennung wider. Oft arbeiten die Teams aneinander vorbei und benutzen verschiedene Security-Maßstäbe. Das schafft Zuständigkeitslücken und erhöht letztlich das Risiko. Die erste und wichtigste Aufgabe für Unternehmen ist deshalb die Verzahnung von IT und OT. Die Kritis-Regeln haben dafür bereits wichtige Grundlagen geschaffen. Deshalb ist es sinnvoll, die Sicherheitsstrukturen der kritischen Infrastrukturen als Blaupause für die digitale Resilienz im Mittelstand zu nutzen. Allerdings können Fertiger aus dem Mittelstand die Ansätze der Kritis-Welt nicht eins zu eins übernehmen. Es geht um praxisnahe und leicht skalierbare Prinzipien, die sich speziell an den Bedürfnissen kleiner und mittelgroßer Unternehmen orientieren. Kritis wird dabei als Framework interpretiert, bei dem das Sicherheitsniveau zur jeweiligen Rolle in der Wertschöpfungskette passt.
1. Sicherheit als Führungsaufgabe verstehen
Sicherheit ist nicht nur Aufgabe der Fachbereiche, sondern des gesamten Managements. Die Geschäftsleitung muss festlegen, wer verantwortlich ist und was vorrangig zu erledigen ist. Damit wird umgesetzt, was NIS-2 fordert: Die Geschäftsführung ist für das Risikomanagement verantwortlich, Sicherheit wird Teil der Unternehmensführung. Hierfür ist es zwingend notwendig, die Kommunikation zwischen der Geschäftsleitung, der IT und der OT zu verbessern.
2. Intelligentes Monitoring nutzen
Sichtbarkeit ist der erste Schritt zu Widerstandskraft. Wer weiß, was im Netzwerk passiert, kann auch gezielt reagieren. Deshalb benötigen Unternehmen lernfähige Systeme, die Anomalien in IT und OT sichtbar machen. Besonders hilfreich sind Lösungen, die Daten von Maschinen und Steuerungssystemen einbeziehen. So entsteht ein ganzheitliches Lagebild, das kritische Entwicklungen frühzeitig sichtbar macht. Dies ist die technische Basis, um die strengen Meldepflichten von Kritis und NIS-2 zu erfüllen.
3. Dienstleister sind strategische Partner
Servicepartner für Cybersecurity sind mehr als nur Lieferanten. Sie sind wichtige Partner für Managed Services, die ein Security Operation Center (SOC) anbieten können. Damit können auch kleine Fertigungsbetriebe rund um die Uhr auf Expertise und operative Unterstützung zurückgreifen. Hinzu kommt die große Erfahrung von Dienstleistern mit unterschiedlichen Bedrohungsszenarien. Für mittelständische Unternehmen mit begrenzten Ressourcen ist eine solche Zusammenarbeit ein guter Weg, um Sicherheit und Reaktionsschnelligkeit zu verbessern.
4. OT verstehen und segmentieren
Ein häufig unterschätztes Risiko sind überholte Maschinensteuerungen oder fehlkonfigurierte Schnittstellen. Unternehmen sollten ihre OT-Assets systematisch erfassen, segmentieren und absichern. Sie steigern damit die Kontrolle und verringern die Angriffsfläche deutlich. Oft reicht bereits eine einfache Inventarisierung: Welche Steuerungen, Protokolle und Zugänge gibt es überhaupt? Welche Systeme tauschen auf welche Weise Daten aus? Die darauf aufbauende Segmentierung der Netzwerke in Sicherheitszonen erschwert es Angreifern erheblich, sich seitlich zu bewegen und benachbarte Systeme zu schädigen.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
5. Den Notfall nicht nur planen, sondern proben
Ein Plan ist nur so gut, wie er der Praxis standhält. Dafür müssen alle Notfall- und Wiederanlaufpläne regelmäßig getestet und in der Belegschaft verankert werden. Auch hier liegt der Teufel im Detail. Ein guter Plan beantwortet nicht nur technische Fragen, sondern klärt auch Zuständigkeiten, Rollenverteilung, Eskalationswege und die Kommunikation. Dabei stellen sich viele Fragen: Was passiert, wenn bestimmte Anlagen für mehrere Stunden stehen bleiben? Wie verständigen sich IT und OT in der Krise? Wer hat Zugriff auf Backups? Die Antworten auf diese Fragen müssen klar sein, damit ein Plan funktioniert.
Kritis und NIS-2 als Maßstab
Mittelständische Fertiger haben heutzutage eine doppelte Verantwortung: Sie müssen einerseits ihre eigene Produktion und andererseits die Integrität komplexer Lieferketten schützen. Dafür ist nachweisbare Sicherheit nötig. Eine Orientierung an Kritis-Maßstäben und NIS-2-Konformität ist nicht nur eine regulatorische Forderung, sondern ein entscheidendes Qualitätsmerkmal im Wettbewerb. Mit klarer Führung, Transparenz, starken Partnern und praxistauglichen Notfallplänen schaffen auch mittelständische Betriebe ein hohes Sicherheitsniveau für digitale Resilienz und Zukunftsfähigkeit.