Fraunhofer-Institut für Produktionstechnologie IPT
Fraunhofer-Institut für Produktionstechnologie IPT
Manager Technician Industrial Engineer working and control robotics with monitoring system softwar
© iStock.com/ipopba

Sicherheit für Produktionsnetzwerke

Werden IT- und OT-Sicherheit von Anfang an mitgedacht, können Unternehmen die Vorteile einer vernetzten, digitalen Produktion voll ausschöpfen – für effiziente Abläufe, mehr Flexibilität und reibungslose Zusammenarbeit.

© iStock.com/ipopba

Cybersecurity, computer hacker with hoodie and obscured face, computer code overlaying image
© Igor Stevanovic/stock.adobe.com

Cybersecurity in der vernetzten Produktion

Produzierende Unternehmen, die ihre Maschinen und Anlagen vernetzen, sind besonders gefährdet durch Sicherheitslücken und Angriffe auf ihre IT-Infrastruktur. Unser Whitepaper »Cybersecurity in der vernetzten Produktion« beschreibt, wie Unternehmen sich schützen können.

mehr Info

© Igor Stevanovic/stock.adobe.com

NIS2-Richtlinie: Ist Ihr Unternehmen betroffen?

Als Reaktion auf die steigende Zahl von Cyberangriffen hat die Europäische Union 2023 die NIS2-Richtlinie zur Stärkung der Cybersicherheit in der industriellen Produktion eingeführt. Diese Richtlinie definiert rechtliche Maßnahmen, die von allen Zulieferanten und Unternehmen mit entscheidender wirtschaftlicher und gesellschaftlicher Bedeutung umgesetzt werden müssen. Insbesondere KMU werden angesprochen.

IT-Sicherheit in der Produktion

Cyberangriffe verursachen Milliardenschäden – auch in der Produktion. Die Europäische Union reagiert mit neuen Gesetzen, Normen und Richtlinien zur Cybersicherheit. Für kleine und mittlere Unternehmen (KMU) wird es immer schwieriger, die komplexen Sicherheitsanforderungen zu überblicken, ihre Relevanz zu erkennen und passende Maßnahmen zu ergreifen.

Sicherheit ist kein Nice-to-Have, sondern gesetzliche Pflicht

Die digitale Transformation eröffnet produzierenden Unternehmen enorme Potenziale, birgt aber auch neue Risiken. Durch zunehmende Vernetzung, KI-gestützte Systeme, AR/VR und intelligente Produktionsprozesse entstehen immer mehr Angriffsflächen für Cyberattacken. Besonders betroffen: heterogene IT/OT-Umgebungen und veraltete Legacy-Systeme.

Mit der NIS-2-Richtlinie, dem Cyber Resilience Act (CRA) und der überarbeiteten EU-Maschinenverordnung verpflichtet die EU produzierende Unternehmen dazu, ihre Systeme rechtskonform und umfassend abzusichern. Diese Vorgaben sind verbindlich: Bei Missachtung drohen Bußgelder und wirtschaftliche Schäden.

Potenziale von IT- und OT-Sicherheit ausschöpfen

Über die Abwehr von Gefahren hinaus können gut gesicherte IT-Systeme sich auch positiv auf die Wertschöpfung der Fertigung auswirken: Sichere Kommunikation zwischen Maschinen oder mit Zuliefern kann beispielsweise dabei helfen, Lagerflächen zu verkleinern und die Produktqualität verbessern. 

Was wir bieten

  • Klare Orientierung im Normen-Dschungel
  • Individuell abgestimmte Sicherheitsstrategien für Ihre Branche
  • Integration von IT-/OT-Security in bestehende Systeme
  • Unterstützung bei Risikoanalyse, Umsetzung und Dokumentation
  • Zukunftssichere Positionierung Ihres Unternehmens

Anforderungen gemeinsam bewältigen: Wir begleiten Sie gern!

NIS-2

Wir unterstützen Sie bei

  • der Bewertung der NIS-2-Relevanz 
  • der Identifikation von Sicherheitslücken durch Gap-Analysen
  • dem Aufbau eines Informationssicherheitsmanagementsystems (ISMS) sowie der Umsetzung von Meldepflichten und Vorfallmanagement
  • der Auswahl geeigneter Schutzmaßnahmen für Ihre IT- und OT-Systeme
  • praxisnahen Schulungen für Mitarbeitende und Führungskräfte zur Stärkung des Sicherheitsbewusstseins

Cyber Resilience Act

Wir begleiten Sie bei

  • der Prüfung der CRA-Relevanz für Ihre Produkte und Geschäftsmodelle
  • der Integration von »Security by Design«, konform mit der Normreihe IEC 62443
  • der Erstellung von Risikoanalysen, CE-Kennzeichnung und technischer Dokumentation
  • dem Aufbau von Prozessen für Schwachstellenmanagement, Updates und Patch-Strategien
  • der Entwicklung kontinuierlicher Sicherheits- und Marktüberwachung

EU-Maschinenverordnung

Wir unterstützen Sie bei

  • der Identifikation betroffener Maschinen und Anforderungen der EU-Maschinenverordnung
  • der Integration von IT-Security in Maschinensicherheitsbewertung und Risikobeurteilung
  • der CE-Kennzeichnung inklusive technischer Dokumentation
  • der Entwicklung sicherer Vernetzungslösungen und praxisnahen Schulungen

Anwendungsbeispiele aus der Praxis

Alle ausklappen Alle einklappen

Sichere OT-Cloud-Schnittstelle für KMU

Herausforderung

Ein produzierendes Unternehmen wollte Bedienungsinformationen und Sensordaten aus seinem industriellen Automatisierungs- und Steuerungssystem (IACS) in eine Cloud-Umgebung überführen. Das IACS war jedoch für den Einsatz in abgeschotteten Feldbussystemen konzipiert – ohne die erforderlichen Sicherheitsmechanismen, um nahtlos in die bestehende IT- und Sicherheitsarchitektur integriert zu werden.

Unsere Lösung

Wir analysierten die bestehende Systemarchitektur inklusive aller relevanten OT-Assets, Kommunikationswege, Protokolle und Schnittstellen. Auf Basis einer detaillierten Bedrohungsmodellierung und Risikobewertung entwickelten wir ein passgenaues Sicherheitskonzept. Durch die Einführung eines Security Gateways als abgesicherten Kommunikationspunkt wurde eine Defense-in-Depth-Strategie mit Zero-Trust-Prinzip erfolgreich implementiert.

Ergebnis

  • Erfüllung aktueller Sicherheitsanforderungen und regulatorischer Vorgaben laut NIS-2
  • Sichere und skalierbare Anbindung an Cloud-Umgebungen
  • Schutz der Produktionsprozesse durch mehrschichtige Sicherheitsarchitektur
  • Klare Rollenverteilung und Verantwortlichkeiten im Sicherheitsmanagement
  • Höheres Vertrauen bei Kunden und Partnern durch nachweisbare IT-Sicherheit

Sicher in den Markt: Produkt-Security-Audit für Produkthersteller

Herausforderung

Ein Hersteller industrieller Automatisierungslösungen wollte ein neues vernetztes Produkt, bestehend aus Hardware, Softeware und Cloud-Komponenten, in den europäischen Markt einführen. Die Herausforderung: fehlende interne Kapazitäten im Bereich Industrial Security Compliance und unzureichende Dokumentation im Entwicklungsprozess. Gleichzeitig mussten regulatorische Vorgaben wie der Cyber Resilience Act (CRA) eingehalten werden.

Unsere Lösung

Wir führten ein Industrial Product Security Audit (IPSA) durch, basierend auf der Normreihe IEC 62443. Dabei wurden bestehende Prozesse analysiert, ein sicherer Produktentwicklungslebenszyklus (PDLC) aufgebaut und eine systematische Bedrohungs- und Risikoanalyse durchgeführt. Technische Anforderungen an Komponenten haben wir definiert und in konkrete Handlungsempfehlungen überführt, Mitarbeitende im gesamten Prozess geschult und begleitet.

Ergebnis

  • Erfüllung regulatorischer Anforderungen gemäß CRA
  • Minimierung von Cyberrisiken und höhere Produktsicherheit
  • Transparente Entwicklungsprozesse bilden Vertrauen bei Kunden und Partnern
  • Wettbewerbsvorteil durch nachweisbare Security Compliance

EU-Compliance: Wichtige Gesetze und Regularien im Überblick

Alle ausklappen Alle einklappen

  • Mit dem Inkrafttreten der Network and Information Security 2 Direktive (NIS2) im Frühjahr 2023, die seit dem 18. Oktober 2024 in nationales Recht umgesetzt sein muss, setzt die Europäische Union ein klares Signal. Diese Richtlinie erweitert die Definition sicherheitskritischer Schlüsselsektoren auch auf Unternehmen des produzierenden Gewerbes.

    Sie verpflichtet Unternehmen dazu, geeignete technische und organisatorische Maßnahmen zum Schutz ihrer IT- und OT-Systeme zu treffen und Cybervorfälle unverzüglich zu melden. Ziel ist es, die Resilienz gegenüber Cyberangriffen europaweit zu erhöhen und ein einheitliches Sicherheitsniveau sicherzustellen. Für viele Unternehmen bedeutet NIS-2 erstmals eine direkte gesetzliche Verantwortung im Bereich Cybersicherheit – mit konkreten Vorgaben, Haftungsregelungen und Sanktionen bei Verstößen.

    Deshalb prüfen wir für Sie, ob die NIS2-Richtlinie auf Ihr Unternehmen zutrifft, und begleiten Sie bei der Umsetzung, damit Sie den Compliance-Anforderungen gerecht werden.

    Nutzen Sie unser Anfrageformular oder kontaktieren Sie uns direkt, um zu erfahren, ob Sie betroffen sind.

  • Mit dem Cyber Resilience Act (CRA) setzt die Europäische Union einen weiteren Meilenstein im Bereich Cybersicherheit. Die Verordnung, die Ende 2024 in Kraft getreten ist, verpflichtet Hersteller und Anbieter digitaler Produkte zu umfassenden Sicherheitsmaßnahmen – über den gesamten Lebenszyklus hinweg.

    Ziel des CRA ist es, ein einheitliches Schutzniveau für sogenannte »Produkte mit digitalen Elementen« zu schaffen. Dazu zählen unter anderem vernetzte Geräte, Software und industrielle Steuerungssysteme. Unternehmen müssen künftig nachweisen, dass ihre Produkte grundlegende Sicherheitsanforderungen erfüllen – von der Entwicklung über das Inverkehrbringen bis hin zu Updates und Support. Auch Meldepflichten bei Sicherheitsvorfällen sind vorgesehen.

    Im Fokus stehen Hersteller, Händler und Importeure, die künftig verpflichtet sind, die IT-Sicherheit bereits während der Entwicklung (Security by Design) und über den gesamten Lebenszyklus ihrer Produkte hinweg sicherzustellen. Der CRA verlangt unter anderem Risikoanalysen, regelmäßige Sicherheitsupdates, die Behebung von Schwachstellen sowie eine klare Dokumentation.

    Für viele Unternehmen bedeutet der CRA eine grundlegende Veränderung in Entwicklung, Qualitätssicherung und Produktverantwortung – mit klar definierten Pflichten, CE-Kennzeichnungsvorgaben und Marktüberwachungsmaßnahmen bei Nichteinhaltung.

    Deshalb prüfen wir für Sie, ob Ihre Produkte unter den Anwendungsbereich des CRA fallen, und unterstützen Sie bei der Umsetzung – praxisnah und zielgerichtet.

    Sprechen Sie uns an, um Klarheit zu gewinnen und Ihre Systeme zu sichern.

  • Mit der EU-Maschinenverordnung (EU) 2023/1230 stellt die Europäische Union die Weichen für ein modernes, sicheres und digitales Maschinenrecht. Die Verordnung ist am 19. Juli 2023 in Kraft getreten und gilt ab dem 20. Januar 2027 verbindlich in allen Mitgliedstaaten.

    Im Fokus stehen die Sicherheit und Konformität von Maschinen und verbundenen Produkten – unter Berücksichtigung digitaler Technologien, wie Software, Künstlicher Intelligenz und Remote-Zugriff. Die Verordnung stellt klare Anforderungen an Konstruktion, Risikobeurteilung und Dokumentation. Auch neue Pflichten für Hersteller, Importeure und Händler sind festgelegt, einschließlich der CE-Kennzeichnung und Marktüberwachung.

    Für produzierende Unternehmen bedeutet das: IT-Security wird zu einem festen Bestandteil der Maschinensicherheit – und damit auch zur Voraussetzung für die CE-Kennzeichnung.

    Deshalb analysieren wir für Sie, ob und wie die neue Maschinenverordnung Ihre Produkte betrifft, und unterstützen Sie bei der sicheren Umsetzung – vom Risikomanagement bis zur technischen Dokumentation.

    Kontaktieren Sie uns, um sich optimal auf die neue Rechtslage vorzubereiten.

Das könnte Sie auch interessieren

IT/OT-Testlabor für Cybersecurity-Szenarien

Das Forschungsprojekt »CSII« unterstützt Industrieunternehmen bei der Einhaltung der NIS2-Richtlinie, der EU-Maschinenverordnung oder dem CRA.

Zum Projekt

5G-Sierra: Sichere 5G Infrastrukturen

Im Forschungsprojekt 5G-Sierra entwickelt das Fraunhofer IPT sichere 5G-Anwendungsfälle für die vernetzte, adaptive Produktion.​

Zum Projekt

Downloads