Cyber Resilience für vernetzte Systeme

Warum Cybersecurity für Produktionsverantwortliche jetzt strategisch relevant wird

Die Absicherung von Operations Technology (OT)-Systemen entwickelt sich derzeit von einer technischen Spezialdisziplin zu einem strategischen Handlungsfeld für Produktions- und Betriebsverantwortliche. Was lange primär als IT-Thema betrachtet wurde, beeinflusst heute zunehmend Verfügbarkeit, Resilienz, Compliance und Wettbewerbsfähigkeit industrieller Unternehmen.

Treiber dafür sind nicht nur die fortschreitende Digitalisierung von Produktionsumgebungen und die zunehmende Vernetzung von Maschinen und Anlagen. Parallel steigen auch die regulatorischen Anforderungen an Hersteller und Betreiber vernetzter Systeme deutlich an. Mit dem Cyber Resilience Act (CRA) und der neuen Maschinenverordnung wird Cybersecurity zunehmend zu einem festen Bestandteil von Produktverantwortung und Risikomanagement.

Drei Entwicklungen erhöhen aktuell den Handlungsdruck

1. Wachsende Vernetzung erhöht die Angriffsfläche

Produktionsanlagen, industrielle Steuerungen und vernetzte Maschinen sind heute deutlich stärker miteinander verbunden als noch vor wenigen Jahren. Remote-Zugriffe, IoT-Komponenten, Cloud-Anbindungen und gewachsene Schnittstellen zwischen IT- und OT-Systemen schaffen neue Abhängigkeiten und potenzielle Risiken.

Gleichzeitig werden Cyberangriffe zunehmend automatisiert und skalierbar – beispielsweise durch den Einsatz künstlicher Intelligenz (KI). Dadurch lassen sich heute Schwachstellen schneller identifizieren und ausnutzen als früher. Besonders kritisch sind dabei fehlende Transparenz über Kommunikationsbeziehungen, unklare Verantwortlichkeiten oder historisch gewachsene Netzwerkstrukturen.

Für Produktionsverantwortliche entstehen daraus zentrale Fragestellungen:

• Wo bestehen kritische Abhängigkeiten innerhalb unserer Produktions- und Systemlandschaft?

• Welche Kommunikationsbeziehungen sind sicherheitsrelevant?

• Welche Risiken entstehen durch externe Zugriffe oder gewachsene Strukturen?

• Welche Systeme sind kritisch für Verfügbarkeit, Sicherheit und Betrieb?

In vielen Unternehmen liegt das grösste Risiko nicht in fehlender Technologie, sondern in fehlender Transparenz über die eigene OT-Landschaft.

2. Regulatorische Anforderungen werden verbindlich

Parallel zur technologischen Entwicklung steigt die regulatorische Relevanz von OT-Sicherheit deutlich an. Mit dem Cyber Resilience Act (CRA) etabliert die EU erstmals verbindliche Cybersecurity-Anforderungen für digitale Produkte über deren gesamten Lebenszyklus hinweg. Hersteller vernetzter Systeme müssen künftig nachweisen, dass Sicherheitsaspekte bereits im Entwicklungsprozess berücksichtigt werden — beispielsweise durch „Security by Design“ und „Security by Default“.

Zusätzlich gewinnt die neue Maschinenverordnung (EU) 2023/1230 an Bedeutung. Ab Januar 2027 werden Cybersecurity-Aspekte verbindlicher Bestandteil der Konformitätsbewertung nahezu aller Maschinen und Anlagen.

Cybersecurity entwickelt sich damit zunehmend zu einem Faktor für:

• Marktzugang

• Lieferfähigkeit

• Kundenvertrauen

• Haftungs- und Betriebsrisiken

Wichtig ist dabei die Unterscheidung zwischen regulatorischen Anforderungen und normativen Frameworks. Während CRA und Maschinenverordnung regulatorische Vorgaben definieren, bietet beispielsweise IEC 62443 einen methodischen Rahmen zur strukturierten Absicherung industrieller Systeme und der Fähigkeit “Security by Design” mit einer nachhaltigen Entwicklungsfähigkeit umzusetzen.

3. OT-Sicherheit wird zur organisatorischen Querschnittsaufgabe

Viele Unternehmen starten OT-Security-Initiativen noch immer technologiegetrieben — etwa durch einzelne Security-Lösungen oder isolierte Infrastrukturmassnahmen. Nachhaltige OT-Sicherheit entsteht jedoch nicht primär durch Einzeltechnologien, sondern durch ein systematisches Verständnis der eigenen Risiken, Verantwortlichkeiten und kritischen Prozesse.

Erfolgreiche Unternehmen betrachten OT-Sicherheit deshalb zunehmend als organisationsübergreifende Managementaufgabe zwischen:

• Operations

• Engineering

• IT

• Produktentwicklung

• Compliance

• Management

Im Zentrum stehen dabei:

• Transparenz über Systeme, Abhängigkeiten und Kommunikation

• Klare Verantwortlichkeiten

• Strukturierte Risikobewertung

• Integration von Security-Aspekten in Entwicklungs-, Betriebs- und Wartungsprozesse

• Frühzeitige Berücksichtigung regulatorischer Anforderungen

  
  

Wie Unternehmen strukturiert vorgehen können

Aus unserer Sicht bewährt sich ein schrittweises und methodisches Vorgehen statt isolierter Einzelmassnahmen.

Ein sinnvoller Einstieg besteht häufig darin,

• Transparenz über bestehende OT- und Kommunikationsstrukturen zu schaffen,

• kritische Abhängigkeiten und Risiken sichtbar zu machen,

• regulatorische Betroffenheit einzuordnen,

• Verantwortlichkeiten zu klären und

• priorisierte Handlungsfelder abzuleiten.

Darauf aufbauend können Unternehmen ihre Sicherheitsarchitektur, Prozesse und Governance-Strukturen gezielt weiterentwickeln.

Gerade für Produktionsverantwortliche wird OT-Sicherheit damit zunehmend zu einem strategischen Bestandteil resilienter Betriebs- und Produktionsstrukturen.

Fazit

OT-Sicherheit entwickelt sich aktuell von einem technischen Spezialthema zu einer strategischen Managementaufgabe. Treiber dafür sind nicht nur neue technologische Risiken, sondern vor allem steigende Anforderungen an Resilienz, Compliance und langfristige Wettbewerbsfähigkeit.

Insbesondere für CEO, COO und Leiter Operations wird es entscheidend, Security, Betriebsstabilität und regulatorische Anforderungen frühzeitig zusammenzudenken — nicht erst im Rahmen einzelner Sicherheitsvorfälle oder regulatorischer Prüfungen.