Zum Hauptinhalt springen

Cybersicherheit in der vernetzten Fertigung: Schutz für KMU

Stand: Juli 2025
3D-Illustration eines Serverraums mit Datenknoten – Big Data und Cloud-Computing.
© shutterstock/whiteMocca
Cybersicherheit beginnt im Computersystem: Basis für den Schutz von KMU in der vernetzten Fertigung.

Durch die fortschreitende Digitalisierung in Industrie und Gewerbe rücken auch kleine und mittlere Unternehmen (KMU) immer mehr in den Fokus von Cyberkriminellen. Deren Aktivitäten können durch die Nutzung modernster Informationstechnologien sowie elektronischer Infrastrukturen einen enormen wirtschaftlichen Schaden anrichten.

KMUs kämpfen daher zunehmend gegen Angriffe mit Malware (schädliche Software), gegen Datenlecks durch Sicherheitslücken in einer Software oder Dienstverweigerung (DoS). 

Die Verbindung von Informationstechnologie (IT) und Betriebstechnologie (OT) in Industrie und Gewerbe schafft smarte, datenbasierte Systeme mit Vorteilen wie Automatisierung und Echtzeitüberwachung. Allerdings erhöht sie auch die Sicherheitsrisiken, da OT-Systeme anfälliger für Cyberangriffe sind, vor allem wegen veralteter Systeme, offener Kommunikationsprotokolle und komplexer Lieferketten.

Die bekannten IT-Sicherheitsmaßnahmen sind oft nicht ausreichend, weshalb spezielle Sicherheitslösungen notwendig sind.

In der vernetzten Fertigungsindustrie sind verschiedene Bereiche potenzielle Ziele für Cyberangriffe. Zu den wichtigsten gehören Produktionsanlagen, Maschinen, Sensoren, Aktoren, Controller aber auch CAD-Software, G-Codes oder Stereolithografie-Dateien.

Gesetzliche Vorgaben und Richtlinien auf nationaler Ebene

Außenansicht des Reichstaggebäudes. Auf dem Dach wehen die EU- und Deutschlandfahne. Der Vordergrund ist von Bäumen verdeckt.
© Getty Images/Westend61
Cybersicherheitsgesetze: Der Bundestag als Ursprung nationaler Richtlinien für die Industrie

Es gibt aktuell gesetzliche Vorgaben der Europäischen Union (EU), die eine Implementierung sowohl technischer als auch organisatorischer Maßnahmen zur Stärkung der IT-Sicherheit und damit der Abwehr von Cyberangriffen erfordern. In Deutschland sind folgende Maßnahmen relevant:

  • KRITIS-Dachgesetz zum Schutz kritischer Infrastrukturen wurde am 6.11.2024 verabschiedet (Grundlage: EU-Richtlinie zur Resilienz kritischer Einrichtungen RCE, EU 2022/2557)
  • Novellierung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG durch das NIS2 Umsetzungsgesetz im Jahr 2025 geplant (Grundlage: EU-Richtlinie NIS 2, EU 2022/2555)
  • Technische Richtlinie TR-03183 wurde vom BSI herausgegeben und beschreibt die Cyber-Resilienz-Anforderungen an Hersteller und Produkte. (Grundlage: als Vorbereitung auf den zukünftigen Cyber Resilience Act CRA, EU 2024/2847)
     

Welche KMUs sind zur Umsetzung von Maßnahmen zur Cybersicherheit verpflichtet?

Zwei Personen stehen an einem Tisch in einer Werkshalle und schauen auf einen Laptop
© GettyImages / Tom Werner
Zwei Mitarbeitende eines KMU analysieren Cybersecurity-Maßnahmen an einem Laptop in einer vernetzten Fertigungsumgebung.

Das KRITIS-Dachgesetz zielt auf den Schutz physischer Anlagen ab und wird nur große Anlagenbetreiber in die Pflicht nehmen. Dagegen nimmt die NIS2-Richtlinie die IT- und Netzwerksicherheit in den Fokus und betrifft Unternehmen verschiedener Sektoren.

Die deutsche Umsetzung unterscheiden zwischen Sektoren „besonders wichtiger Einrichtungen“ und Sektoren „wichtiger Einrichtungen“ (s. u.).

Zusätzlich zu den Sektoren gelten für KMUs folgende Kriterien:

  • Unternehmen mit 50 oder mehr Beschäftigten und/oder
  • Unternehmen mit einem Jahresumsatz oder einer Jahresbilanzsumme von mehr als 10 Millionen Euro.

Auch wenn Unternehmen nach obigen Kriterien nicht betroffen sind, sind sie gemäß NIS2UmsuCG zur Einführung eines Risikomanagementsystems sowie zur Meldung-, Registrierung-, Nachweis und Unterrichtung verpflichtet.

Mein Unternehmen ist voraussichtlich betroffen. Welche Pflichten kommen auf mich zu?

Zu den allgemeinen Pflichten gehören gemäß dem Gesetzesentwurf die Einführung eines Risikomanagementsystems sowie Melde-, Registrierungs-, Nachweis- und Unterrichtungspflichten. Eine Besonderheit ist die Einführung von Haftungspflichten für Geschäftsleitungen, das heißt betroffene Unternehmen müssen Cyber- und Netzwerksicherheit zur obersten Priorität erklären.  

Mein Unternehmen ist voraussichtlich nicht betroffen. Soll ich mich dennoch um Cybersicherheit bemühen?

Ja, unbedingt! Auch wenn das Unternehmen nicht zu den Sektoren sehr wichtiger bzw. wichtiger Einrichtungen gehört beziehungsweise hinsichtlich Mitarbeitendenanzahl und Finanzkennzahlen unterhalb der genannten Schwellenwerte liegt, sollten Sie in Ihrer Organisation ein Mindestniveau an Cybersicherheit etablieren. Außerdem kann es passieren, dass Ihre Kunden vom Gesetz betroffen sind und von Ihnen als Zulieferer verlangen, dieselben oder vergleichbare Sicherheitsanforderungen zu erfüllen.

Je digitalisierter und vernetzter das Unternehmen ist, umso mehr sollten Investitionen in die Cybersicherheit als Investition in die Zukunfts- und Wettbewerbsfähigkeit des Unternehmens begriffen werden. 

Das BSI empfiehlt ein schrittweises Vorgehen, um das firmenindividuelle Cybersicherheitsniveau zu erhöhen:

  • Bestandsaufnahme & Ziele: Zuerst wird eine Bestandsaufnahme vorgenommen, d. h. wo werden Daten erhoben, welche Software bzw. Hardware ist im Einsatz und wie hoch wird das Bedrohungspotential eingeschätzt. Dem Thema Cybersicherheit sollte eine hohe Priorität zugewiesen werden. Außerdem wird angeraten, ein Risikomanagement mit firmenrelevanten Cyberrisiken einzuführen.
  • Maßnahmen: Der nächste Schritt ist die Auswahl, Entwicklung und Umsetzung von Sicherheitsmaßnahmen. Dazu gehören unterschiedliche Basismaßnahmen sowie Maßnahmenkombinationen.
  • Kontinuierlicher Betrieb: Wurde schließlich ein Mindestniveau an Sicherheit errichtet, sollte das Cybersicherheitsprogramm im Unternehmen kontinuierlich aufrechterhalten, weiterentwickelt und verbessert werden. Mittlerweile gibt es verschiedene Anlaufstellen und Initiativen für eine Vernetzung zur Selbsthilfe im Bereich Cybersicherheit.  
     
Beiblatt

KEDi Tipps: Schrittweiser Aufbau von Cybersicherheit für KMUs

Wir geben Ihnen einen kompakten Überblick, um die Cybersicherheit in Ihrem Unternehmen zu steigern.

PDF 120 KB KEDi Tipps: Schrittweiser Aufbau von Cybersicherheit für KMUs

Am liebsten würde ich gar nichts machen. Kann ich nicht einfach eine Cyberversicherung abschließen?

Auch wenn Sie eine Cyberversicherung finden, sind Sie gesetzlich weiterhin verpflichtet, bestimmte Vorgaben zu erfüllen. Früher konnten nur Unternehmen mit einem hohem Sicherheitsniveau oder Sicherheitsrisiko eine Versicherungspolice abschließen. Inzwischen sind die Anforderungen für KMUs gesenkt worden.

Versicherungsanbietende verlangen die Implementierung von Basismaßnahmen wie Anti-Viren-Programme, Firewalls, Back-Ups und Mehrfaktorauthentifizierung. Allerdings sind oft nur Teilrisiken versicherbar, z. B. Lösegeldforderungen oder Betriebsunterbrechungen. Es wird empfohlen, sich dazu von unabhängigen Versicherungsmaklerinnen und -maklern beraten zu lassen, sowie Erfahrungen aus Ihrem Netzwerk oder bei Branchenverbänden einzuholen.

Das könnte auch interessant sein

Zwei Personen in Arbeitskleidung schauen auf einen Monitor.
© Shutterstock/Gorodenkoff

Energiedatenmanagement

Ein Energiemanagementsystem unterstützt, Effizienzpotenziale zu identifizieren und zu heben. Auf unserer Themenseite erläutern wir alles rund um Aufbau, Umsetzung und Fördermöglichkeiten.

Mehr erfahren
Schaubild: OPC UA als zentrales Instrument zur Vernetzung aller Maschinen und Anlagen eines Unternehemens
© Funtap/Shutterstock

Standardisierte Datenübertragung

Die automatisierte und standardisierte Datenübertragung zwischen Maschinen und Anlagen ist unabdingbar für die Digitalisierung. Dafür braucht es einheitliche Kommunikationsprotokolle. Wir erklären Ihnen die Vorteile des Kommunikationsframeworks OPC UA.

Mehr erfahren
Zwei Personen sitzen an einem Tisch und schauen auf ihre Unterlagen. Davor steht ein Laptop.
© shutterstock / fizkes

Förderwegweiser

Digitalisierung bietet immense Chancen, Ihre Energieeffizienz zu steigern und gleichzeitig die Kosten zu senken. Um Sie bei diesem Vorhaben zu unterstützen, bieten Bund und Länder eine Vielzahl an Förderprogrammen.

Mehr erfahren

Ihre Ansprechperson

Ein Platzhalterbild für Portraits - ein Avatar einer künstlichen Person.
© KEDi

Dr. Jörg Erdsack

KEDi Seniorexperte Industrie

< zurück