DIN EN IEC 62443 – Die 10 wichtigsten Grundsätze der Cybersicherheit in der Industrieautomation

DIN EN IEC 62443: Industrieautomation ist immer stärker mit IT-Netzen und dem Internet der Dinge verflochten – das bringt enorme Vorteile, aber auch neue Risiken. Maschinen, die früher isoliert waren, werden heute häufig aus der Ferne überwacht, aktualisiert und mit der Cloud verbunden – und damit entsteht eine Angriffsfläche für Cyberattacken. Es überrascht daher nicht, dass die Verordnung (EU) 2023/1230 erstmals ausdrücklich von Maschinenherstellern, Integratoren und Anwendern verlangt, Cybersicherheit bereits in der Phase der Maschinenkonstruktion sowie während Betrieb und Modernisierung der Anlagen zu berücksichtigen. Denn böswillige digitale Eingriffe können Unfälle oder Störungen auslösen, für die der Maschinenhersteller rechtlich verantwortlich gemacht wird. In der Praxis bedeutet das, dass eine Reihe neuer Schutzprinzipien – sowohl technischer als auch organisatorischer Art – umzusetzen ist, um die gesetzlichen Anforderungen zu erfüllen und industrielle Steuerungssysteme gegen heutige OT-Bedrohungen (Operational Technology) abzusichern.

Frühere Vorschriften erfassten böswillige Handlungen nicht; jetzt werden die Folgen dem Hersteller zugerechnet.

Eine speziell für die Cybersicherheit von Maschinen vorgesehene harmonisierte Norm der EU gibt es noch nicht, doch im Rahmen der Konformitätsbewertung kann sich der Hersteller auf anerkannte Standards stützen. Eine besondere Rolle spielt dabei die in der Industrie geschätzte Normenfamilie IEC/ISA 62443. Der neueste Teil DIN EN IEC 62443-2-1:2025 beschreibt, wie ein umfassendes Sicherheitsmanagementprogramm für Steuerungssysteme (Cyber Security Management System) aufgebaut wird, einschließlich u. a. Risikoanalyse, Richtlinien und Verfahren, Organisationsstrukturen, Schulungen sowie kontinuierlicher Überwachung und fortlaufender Verbesserung der Schutzmaßnahmen. Nachfolgend stellen wir die 10 wichtigsten Grundsätze der Cybersicherheit in der Industrieautomation vor, die die Anforderungen neuer Vorschriften und Standards praxisnah umsetzen und dabei helfen, sowohl die OT-Infrastruktur als auch die Sicherheit von Menschen und Prozessen zu schützen.

1. Berücksichtige Cyberbedrohungen in der Risikobeurteilung

Grundlage ist eine bewusste Risikoanalyse für Automatisierungssysteme, die künftig neben klassischen mechanischen oder elektrischen Gefährdungen auch Cyberangriffe einbeziehen muss. Bereits in der Konstruktionsphase ist der Hersteller verpflichtet, potenzielle Szenarien von Cyberattacken (z. B. Fernübernahme der Steuerung, Sabotage von Parametern, Ransomware mit Blockade des HMI) zu analysieren und deren Auswirkungen auf Sicherheit und Betriebscontinuity zu bewerten. In der Praxis bedeutet das die Notwendigkeit einer Inventarisierung aller Geräte und Software, die zum Steuerungssystem gehören, sowie der Identifikation kritischer Punkte – welche Assets sind am stärksten gefährdet und welche Schäden verursacht ihre Kompromittierung. Anschließend sind für jedes Risiko geeignete Gegenmaßnahmen auszuwählen. Wenn beispielsweise eine SPS einen Industrieroboter steuert, besteht das Risiko darin, die Kontrolle zu übernehmen und gefährliche Bewegungen auszulösen – als Gegenmaßnahme kommen hier eine Netztrennung der SPS, starke Zugriffsauthentifizierung und die Überwachung von Befehlen in Frage. Eine Risikobeurteilung unter Einbezug von Cyberbedrohungen ist nun rechtlich gefordert und bildet das Fundament eines Sicherheitsprogramms nach Norm 62443 (der erste Schritt ist genau die Risikoanalyse). Dadurch weiß die Organisation, auf welche Bereiche sie ihre Schutzmaßnahmen zuerst konzentrieren sollte.

2. Segmentiere das Netz und minimiere die Angriffsfläche (DIN EN IEC 62443

Ein weiterer zentraler Grundsatz ist eine sichere Architektur des Steuerungssystems. Entwirf Steuerungslösungen mit Blick auf Cybersicherheit – so, dass Angriffsmöglichkeiten bereits auf Netzwerk- und Hardwareebene begrenzt werden. Vor allem: segmentiere OT-Netze und trenne sie mithilfe von Firewalls und Pufferzonen (DMZ) von Büronetzwerken und dem Internet. In der Praxis bedeutet das die Umsetzung einer Architektur aus Zonen und Conduits (zones & conduits) gemäß Referenzmodellen (z. B. Purdue), sodass z. B. Geräte auf Produktionsebene nicht direkt aus dem Unternehmensnetz oder öffentlichen Netzen sichtbar sind. Direkten Zugriff auf Steuerungen aus dem Internet zu verhindern ist absolut grundlegend – wenn eine Maschine Daten nach außen übertragen muss, setze dies über einen sicheren Vermittlungsserver um, statt die Steuerung direkt online zu exponieren.

Die zweite Säule einer sicheren Architektur ist die Minimierung der Angriffsfläche. Entferne unnötige Zugangspunkte und Funktionen, die für den Maschinenbetrieb nicht erforderlich sind. Deaktiviere ungenutzte Netzwerkschnittstellen, Ports und Dienste, damit ein potenzieller Angreifer weniger Wege in das System hat. Wähle industrielle Komponenten, die Sicherheitsfunktionen unterstützen (z. B. Steuerungen mit Authentifizierungsmechanismen und Protokollverschlüsselung). Entwirf das System so, dass sichere Software-Updates der Geräte möglich sind – neue Vorschriften weisen darauf hin, dass bereits in der Konstruktionsphase Mechanismen für sichere Aktualisierungen und zur Begrenzung der „Angreifbarkeit“ des Systems vorzusehen sind. So ermöglicht der Einsatz von Segmentierung und Firewalls künftig, ausgewählte Systemzonen zu aktualisieren, ohne während des Update-Prozesses das Gesamtsystem Risiken auszusetzen. Ein gut konzipiertes industrielles Netzwerk sollte außerdem das Prinzip Defense in Depth (Schutz in der Tiefe) umsetzen – mehrere aufeinanderfolgende Schutzmaßnahmen auf unterschiedlichen Ebenen, sodass das Überwinden einer Barriere nicht sofort den vollständigen Zugriff auf das System ermöglicht.

3. Kontrolliere Identitäten und Benutzerberechtigungen

Zugriffsmanagement in OT-Umgebungen muss sehr restriktiv sein. Es ist klar festzulegen, wer worauf im Steuerungssystem Zugriff hat, und dies konsequent einzuhalten. Jeder Benutzer (z. B. Instandhaltungsingenieur, Bediener, Remote-Servicetechniker) sollte ein eindeutiges, einer konkreten Person zugeordnetes Konto besitzen – das Teilen von Konten, insbesondere administrativer Konten, oder die Nutzung vom Gerätehersteller vorgegebener Standardpasswörter ist untersagt. Konten dürfen nur die minimal erforderlichen Rechte gemäß dem Prinzip der geringsten Privilegien erhalten – z. B. benötigt ein HMI-Bediener keinen Zugriff auf die Konfiguration von Netzwerkswitches, und ein Instandhaltungstechniker sollte keine Rechte als IT-Domänenadministrator haben.

Sehr wichtig ist die Einführung starker Authentifizierungsmechanismen. Setze die Anforderung starker Passwörter (ausreichend lang und komplex) sowie einen regelmäßigen Wechsel der Zugangspasswörter durch. Wo möglich, implementiere Mehrfaktor-Authentifizierung (MFA) – z. B. per Token oder mobiler App für einen Remote-Servicetechniker, der sich mit der Steuerung verbindet. Die Norm IEC 62443 legt besonderen Wert auf ein korrektes Management von Zugangsdaten, Passwörtern und Benutzern in industriellen Systemen. In der Praxis bedeutet das auch eine regelmäßige Überprüfung der Konten (sofortiges Entfernen oder Sperren des Zugriffs für Personen, die ihn nicht mehr haben sollten, z. B. nach dem Ausscheiden eines Mitarbeiters oder nach Abschluss der Tätigkeit eines Auftragnehmers).

Alle Versuche eines administrativen Zugriffs sollten überwacht und protokolliert werden (dazu mehr in Grundsatz 5). Zusätzlich empfiehlt sich für besonders kritische Vorgänge das Prinzip Vier-Augen – z. B. sollte eine Änderung der Konfiguration einer Sicherheitssteuerung die Bestätigung durch eine zweite berechtigte Person erfordern. Eine strenge Kontrolle von Identitäten und Berechtigungen erschwert potenziellen Angreifern die Bewegung im OT-Netz selbst dann, wenn sie irgendwie hineingelangen, und minimiert zugleich das Risiko von Fehlern oder Missbrauch durch das Personal. Denken wir daran, dass laut Berichten zu den größten Schwachstellen gerade schwache/Standardpasswörter sowie eine unsachgemäße Benutzerverwaltung zählen – daher braucht dieser Bereich eine konsequente Richtlinie.

4. Schütze die Integrität von Steuerungssystemen (DIN EN IEC 62443)

Die Integrität von Software und Konfiguration von Steuerungssystemen – wie PLC-Steuerungen, SCADA-Systeme, HMI-Panels oder industrielle Netzwerkgeräte – muss unbedingt vor unautorisierten Änderungen geschützt werden. Die neue EU-Verordnung weist ausdrücklich auf die Notwendigkeit hin, Maschinen vor unbefugter Änderung der Software zu schützen, und betont die Anforderung der Integritätskontrolle von Steuerungssystemen. In der Praxis bedeutet dies die Umsetzung von Mechanismen, die Änderungen an der Steuerungslogik ohne entsprechende Freigabe verhindern.

Beispiele für bewährte Praktiken sind: die Nutzung von Schreibschutz-Funktionen in Steuerungen (viele PLC verfügen über einen Run/Prog-Modusschalter oder ein Passwort, das das Einspielen neuer Logik verhindert), der Einsatz digitaler Signaturen oder Prüfsummen zur Verifikation, dass das Geräteprogramm nicht verändert wurde, sowie die Einführung einer Versions- und Änderungsverwaltung für Konfigurationsdateien. Jede Änderung am Steuerungsprogramm sollte geplant, von einer verantwortlichen Person autorisiert und in der Dokumentation festgehalten werden. Der Maschinenhersteller muss im Rahmen der Konformitätsbewertung heute nachweisen, welche Schutzmaßnahmen er angewendet hat – z. B. dass Steuerungslogik und zentrale Einstellungen gegen unerwünschte Eingriffe abgesichert sind.

Man darf die physische Sicherheit von OT-Systemen als Bestandteil des Integritätsschutzes nicht außer Acht lassen. Ein Angreifer mit physischem Zugriff auf den Schaltschrank könnte z. B. ein nicht autorisiertes Gerät anschließen oder die Steuerung auf Werkseinstellungen zurücksetzen. Kontrolliere daher, wer Zugriff auf die Infrastruktur hat – abschließbare Schaltschränke, Plomben an Kommunikationsports, Überwachung von Bereichen mit Schlüsselkomponenten – all das erschwert direkte Manipulation. Zur Systemintegrität gehört auch die Gewissheit, dass ausschließlich freigegebene Geräte und Software im Einsatz sind – in der Sicherheitsrichtlinie sollte festgelegt werden, dass z. B. keine nicht verifizierten oder nicht inventarisierten Geräte an das OT-Netz angeschlossen werden dürfen. Dieser Ansatz reduziert die Wahrscheinlichkeit, dass jemand unbemerkt ein schädliches Gerät oder eine manipulierte Firmware ins System einbringt.

5. Überwache Systeme und protokolliere Ereignisse

Kontinuierliches Monitoring der Aktivitäten im industriellen Netzwerk und auf den Geräten ist der Schlüssel zur frühzeitigen Erkennung von Vorfällen. Viele Industrieunternehmen beginnen erst, diese Fähigkeit aufzubauen – dabei ist eine der Anforderungen neuer Vorschriften die Protokollierung sowohl autorisierter als auch unautorisierter Eingriffe in sicherheitsrelevante Steuerungssysteme. Entsprechend sind Mechanismen zu implementieren, die Ereignislogs aus wesentlichen OT-Komponenten sammeln: aus Steuerungen (Diagnoseereignisse, Fehler, Anmeldeversuche), aus HMI/SCADA-Bedienstationen, aus industriellen Servern sowie aus Netzwerkkomponenten (Firewalls, Switches). Besonderes Augenmerk ist auf die Protokollierung von Konfigurations- und Softwareänderungen zu legen – jedes aufgespielte PLC-Programm, jede Rezepturänderung oder Anpassung von Sicherheitsparametern sollte in den Logs nachvollziehbar sein (wer hat was wann geändert). Das ist nicht nur eine Sicherheitsanforderung, sondern auch ein wertvoller Audit-Nachweis der Konformität.

Neben der reinen Aufzeichnung von Ereignissen ist auch deren aktive Überwachung und Analyse erforderlich. In OT-Umgebungen empfiehlt sich der Einsatz dedizierter IDS/IPS-Systeme oder SIEM-Lösungen, die auf industrielle Protokolle ausgelegt sind und verdächtige Aktivitäten im Steuerungsnetz erkennen können (z. B. ungewöhnliche Kommandos an Steuerungen, Netzwerkscans, Kommunikation außerhalb definierter Muster). Das laufende Monitoring sämtlicher Systemänderungen – etwa Updates, die Installation neuer Programme oder Firmware-Änderungen – wurde als eines der zentralen Schutzkriterien in industriellen Netzen anerkannt. So lassen sich potenzielle Sicherheitsverletzungen schneller erkennen. Wenn beispielsweise nachts eine Kommunikation zwischen einer Steuerung und einer unbekannten IP-Adresse auftritt oder eine Änderung am PLC-Programm außerhalb des geplanten Servicefensters vorgenommen wird, sollte das Monitoring-System einen Alarm auslösen.

Wichtig ist, dass für das OT-Monitoring ein konkretes Team oder eine verantwortliche Person benannt ist und die gesammelten Logs regelmäßig geprüft werden. Unternehmen, die bereits ein SOC für IT betreiben, sollten die Integration von OT-Daten oder den Aufbau eines separaten OT-SOC in Betracht ziehen. Eine schnelle Erkennung und Reaktion auf einen Vorfall kann häufig verhindern, dass ein Angriff eskaliert, bevor er physische Schäden oder Produktionsstillstände verursacht. Nicht vergessen: Was wir nicht messen oder beobachten, können wir nicht wirksam schützen. Viele Angriffe auf die Industrie wurden erst im Nachhinein entdeckt – deshalb ist proaktives Monitoring heute eine Notwendigkeit, kein Luxus.

6. Verwalte Updates und Schwachstellen

Das Management von Software-Updates und das Schließen von Schwachstellen in industriellen Systemen gehört zu den schwierigsten, aber wichtigsten Aufgaben. OT-Umgebungen zeichnen sich häufig durch lange Lebenszyklen der Geräte (20 Jahre und mehr) aus und erfordern einen kontinuierlichen Betrieb – das erschwert regelmäßige Aktualisierungen. Dennoch verlangen neue Vorschriften, dass der Hersteller die Möglichkeit zur Softwareaktualisierung bei erkannten Schwachstellen bereitstellt, ohne dabei neue Risiken zu schaffen. Praktisch bedeutet das: Wähle bereits in der Planungsphase Komponenten, für die der Hersteller Support und Sicherheits-Patches zusichert; plane im Maschinenbetrieb Wartungsfenster für Updates ein; teste Patches zunächst offline, bevor du sie in der Produktion einsetzt.

Der erste Schritt ist eine aktuelle Bestandsführung aller Komponenten des OT-Systems – inklusive Informationen zu Firmware- und Softwareständen sowie installierten Patches. So lässt sich schnell beurteilen, welche Elemente betroffen sind, wenn eine neue Schwachstellenwarnung erscheint. Es ist sinnvoll, Sicherheitsbulletins der Automatisierungsanbieter zu abonnieren und Datenbanken wie CVE zu nutzen. Wird eine Schwachstelle z. B. in einer PLC-Steuerung oder einem SCADA-System bekannt, ist das Risiko zu bewerten (ist unsere Instanz betroffen, wie kritisch ist die Lücke im jeweiligen Kontext) und es ist zu entscheiden, ob ein Update durchgeführt oder temporäre Maßnahmen umgesetzt werden. Ist ein Patch des Herstellers verfügbar, sollte er bei nächster Gelegenheit eingespielt werden – nach vorherigem Test unter Laborbedingungen oder auf einem identischen System. In der Produktionsumgebung muss jedes Update mit besonderer Sorgfalt und gemäß Verfahren erfolgen, um den технологischen Prozess nicht zu stören und die funktionale Sicherheit nicht zu beeinträchtigen.

Wenn sich eine bestimmte Schwachstelle aus irgendeinem Grund nicht sofort schließen lässt (z. B. weil dafür ein längerer Produktionsstillstand nötig wäre), setze kompensierende Schutzmaßnahmen um. Das können zusätzliche Firewall-Regeln sein, die den betreffenden Angriffsvektor blockieren, eine Systemkonfiguration, die die Bedrohung beseitigt, oder sogar das physische Trennen des verwundbaren Geräts bis zum Update. Entscheidend ist, Schwachstellenmeldungen nicht zu ignorieren – fehlende Software-Updates gehören zu den Hauptgründen, warum Angriffe auf Industrieumgebungen erfolgreich sind. Führe daher ein Register der verfügbaren Updates und ihres Umsetzungsstatus. Bewährt hat sich außerdem eine regelmäßige Auditierung des Systems auf fehlende Patches sowie die Prüfung der Konfigurationskonformität mit Sicherheits-Benchmarks. So wird deine OT-Infrastruktur zunehmend schwerer anzugreifen – regelmäßige Updates von Steuerungen und Software erhöhen das Schutzniveau deutlich.

7. Sorge für einen sicheren Fernzugriff (DIN EN IEC 62443)

Fernzugriff auf Maschinen und Steuerungssysteme ist oft unverzichtbar – etwa für den Geräteservice durch den Hersteller, die Unterstützung durch Experten oder die komfortable Überwachung einer verteilten Infrastruktur. Jede Remote-Verbindung ist jedoch ein potenzielles Einfallstor für Angreifer und muss daher maximal sicher umgesetzt werden. Oberstes Prinzip: keine unkontrollierten Verbindungen aus dem Internet in das OT-Netz. Die Trennung des Steuerungsnetzes vom öffentlichen Netz ist eine der grundlegenden Empfehlungen – sie eliminiert viele Risiken. Natürlich lässt sich OT in der Praxis nicht immer vollständig isolieren, weil man z. B. eine Maschine aus der Ferne warten oder Daten in die Cloud senden möchte. Deshalb ist die Einführung dedizierter, abgesicherter Fernzugriffskanäle erforderlich.

Nutze VPN oder andere verschlüsselte Tunnelverfahren für Remote-Verbindungen – verbinde dich niemals mit einem „nackten“ Protokoll über das Internet direkt mit der Steuerung. Der Fernzugriff sollte über eine DMZ-Zone im industriellen Netzwerk geführt werden, in der ein Server oder ein vermittelndes Gateway platziert ist. Ziehe den Einsatz spezialisierter Lösungen für den Fernzugriff auf OT in Betracht (auch bekannt als Industrial Remote Access Gateways), die die Identität von Benutzer und Gerät authentifizieren, nur erlaubte Protokolle tunneln und eine vollständige Sitzungsaufzeichnung führen. Mehrfaktor-Authentifizierung ist beim Zugriff von außerhalb des Werks praktisch Pflicht – ein Passwort allein reicht nicht; ergänze z. B. einen Hardware-Token oder eine mobile App zur Bestätigung der Anmeldung. Auch das Prinzip der geringsten Privilegien gilt hier: Ein Remote-Nutzer sollte nur Zugriff auf ausgewählte Geräte und Funktionen haben, nicht auf das gesamte Netz.

Eine bewährte Praxis ist die Umsetzung von Fernzugriff auf Anforderung – das heißt, die Verbindung wird nur dann aktiviert, wenn ein Bedarf besteht (z. B. Service), und nur mit Zustimmung eines verantwortlichen Mitarbeiters vor Ort. Nach Abschluss der Arbeiten wird der Fernzugriff wieder geschlossen. Dadurch lässt sich das „Zeitfenster“ verkleinern, in dem das System exponiert ist. Überwache außerdem die Aktivitäten in Remote-Sitzungen – ein SIEM-/Monitoring-System sollte Ereignisse von Remote-Nutzern gesondert hervorheben. Begrenze die Nutzungsmöglichkeiten des Fernzugriffs zudem auf das absolut Notwendige. Beispielsweise kann ein externer Experte die Anzeige von HMI-Daten benötigen, während Änderungen an der Steuerungskonfiguration ein höheres Autorisierungsniveau erfordern sollten. Einen sicheren Fernzugriff bereitzustellen ist organisatorisch und technisch oft anspruchsvoll, aber unverzichtbar – viele OT-Vorfälle begannen mit unzureichend abgesicherten Remote-Verbindungen (z. B. einem offenen VPN-Port mit einem trivialen Passwort). Verhindere das, indem du die Architektur des Fernzugriffs ebenso sorgfältig planst wie die lokalen Schutzmaßnahmen.

8. Erstelle Backups und teste die Systemwiederherstellung

Regelmäßige Backups (backup) sind die letzte Verteidigungslinie gegen die Folgen eines erfolgreichen Angriffs oder einer Störung. In industriellen Umgebungen kann der Verlust zentraler Steuerungsdaten oder Gerätekonfigurationen die Produktion über lange Zeit lahmlegen; deshalb sind aktuelle Sicherungskopien aller kritischen OT-Komponenten zwingend erforderlich. Eine Backup-Policy in der Automatisierung sollte u. a. umfassen: Kopien von PLC-Programmen, Konfigurationen von SCADA-Systemen, Prozessdatenbanken, Konfigurationen von Netzwerkgeräten sowie virtuelle Maschinen oder Industrie-Server, sofern diese eingesetzt werden. Laut Experten ist das Vorhandensein eines Verfahrens zur Datensicherung und zur Systemwiederherstellung eine der grundlegenden Anforderungen an die OT-Sicherheit – eine Kopie allein hilft nicht, wenn sich der Betrieb der Maschine nicht schnell wiederherstellen lässt.

Backups sind regelmäßig nach einem festgelegten Zeitplan zu erstellen, der an die Änderungsdynamik des Systems angepasst ist. Wenn sich z. B. die Programme an der Produktionslinie einmal pro Quartal ändern, sollte ein Backup mindestens nach jeder wesentlichen Änderung erfolgen. Bewahre alle Kopien an einem sicheren Ort auf – idealerweise getrennt vom Produktionsnetz (offline), damit Ransomware oder andere Malware sie nicht verschlüsseln oder löschen kann. Ein gängiger Ansatz ist die 3-2-1-Regel: drei Kopien auf zwei unterschiedlichen Medien, davon eine außerhalb des Unternehmensstandorts.

Genauso wichtig wie das Erstellen von Backups ist das Testen der Wiederherstellungsprozedur. Was nützen Kopien, wenn wir sie im Notfall nicht schnell und sicher einsetzen können? Führe daher in regelmäßigen Abständen eine Übung zur Wiederherstellung der Konfiguration aus dem Backup durch – lässt sich die Steuerung auf neuer Hardware wieder in Betrieb nehmen? Ermöglicht die Projektkopie des HMI tatsächlich die Wiederherstellung des Bedienbildschirms? Tests sollten idealerweise unter kontrollierten Bedingungen stattfinden (z. B. auf Testgeräten), aber von Zeit zu Zeit lohnt sich auch die Simulation eines Ausfalls eines kritischen Elements und das Durchspielen eines vollständigen disaster recovery. So lässt sich verifizieren, wie lange die Wiederherstellung der Steuerung dauert und ob die Verfahren vollständig sind.

Solide Backups und ein Notfallplan minimieren nicht nur Stillstandszeiten nach einem Angriff, sondern geben auch Sicherheit in Bezug auf die Einhaltung von Vorschriften – gemäß den neuen Anforderungen muss die Kontinuität des sicheren Maschinenbetriebs über den gesamten Lebenszyklus gewährleistet sein. Backups sind ein Baustein zur Sicherstellung dieser Kontinuität. Im schlimmsten Fall (z. B. Sabotage der Maschinensoftware) können Ingenieurinnen und Ingenieure dank der Sicherungskopien den Betrieb der Anlagen schnell wiederherstellen, und Du vermeidest enorme finanzielle Schäden sowie Reputationsverluste.

9. Schule das Personal und baue eine Kultur der Cybersicherheit auf

Der Faktor Mensch spielt eine enorme Rolle in der industriellen Sicherheit – sowohl als schwächstes Glied als auch als potenziell stärkster Schutz, wenn das Personal sich der Risiken bewusst ist. Deshalb sind regelmäßige Schulungen und Sensibilisierung aller Personen, die an Betrieb und Instandhaltung von OT-Systemen beteiligt sind, absolut notwendig. Die Norm IEC 62443-2-1 betont die Bedeutung einer klaren Organisationsstruktur und von Schulungen, indem sie Rollen, Pflichten und das erforderliche Bewusstseinsniveau des Personals im Bereich Cybersicherheit präzisiert. Einfach gesagt: Jede Mitarbeiterin und jeder Mitarbeiter – von der Bedienperson bis zur Leitung der Instandhaltung – muss die Grundlagen von Cyberbedrohungen im eigenen Arbeitsumfeld verstehen und die Schutzverfahren kennen.

Das Schulungsprogramm sollte auf die Zielgruppen zugeschnitten sein. Automatisierungsingenieurinnen und -ingenieure sollten sichere Praktiken erlernen (z. B. wie Steuerungen korrekt zu konfigurieren sind, damit keine Hintertüren offenbleiben, wie auf ungewöhnliche systemseitige Sicherheitsalarme zu reagieren ist). Produktionsbedienerinnen und -bediener sollten verdächtige Symptome erkennen (z. B. ungewöhnliches HMI-Verhalten, das auf Malware hindeuten kann) und wissen, an wen sie das melden. Die IT-Abteilung sollte die Besonderheiten industrieller Netze kennenlernen, um bei Schutzmaßnahmen besser mit OT zusammenzuarbeiten. Selbst das Management sollte eine grundlegende Sensibilisierung erhalten, welche Folgen ein Angriff auf einen Produktionsstandort haben kann und warum Investitionen in Sicherheit so wichtig sind.

Der Aufbau einer Kultur der Cybersicherheit bedeutet, dass die Einhaltung von Regeln zu einem selbstverständlichen Teil der Arbeit wird. Das erreicht man u. a. durch: die Förderung guter Praktiken (z. B. das Hervorheben von Mitarbeitenden, die eine Schwachstelle oder einen Vorfall erkannt und gemeldet haben), Nulltoleranz gegenüber dem Umgehen von Schutzmaßnahmen (z. B. die Nutzung privater USB-Sticks in Steuerungssystemen, das Anschließen unbekannter Laptops an das Produktionsnetz), sowie eine kontinuierliche Kommunikation über Bedrohungen. Sinnvoll sind regelmäßige Auffrischungssessions oder kurze Phishing-Trainings, um die Aufmerksamkeit des Personals hochzuhalten. Wenn das Unternehmen bereits Sicherheitsrichtlinien und -verfahren hat, stelle sicher, dass sie nicht nur im Regal verstauben – die Mitarbeitenden müssen sie kennen und verstehen. Häufig hängt es von der schnellen Reaktion des Personals ab, ob ein Angriff bereits im Ansatz gestoppt wird (z. B. durch das Trennen einer infizierten Maschine vom Netzwerk). Ein risikobewusstes und gut geschultes Team wird damit zum wichtigsten „Firewall“ für die OT-Infrastruktur.

10. Lege Richtlinien fest und verbessere die OT-Sicherheit kontinuierlich nach DIN EN IEC 62443

Der letzte Grundsatz ist ein systematischer Ansatz und kontinuierliche Verbesserung. Cybersicherheit in der industriellen Automatisierung ist kein Projekt, das man „abarbeitet“ und abhakt – sie ist ein fortlaufender Prozess des Risikomanagements. Erforderlich ist die Einführung formaler OT-Sicherheitsrichtlinien sowie von Vorgehensweisen, die als Leitplanke für die gesamte Organisation dienen. In diesen Richtlinien sind u. a. zu definieren: der Verantwortungsbereich (wer für die Sicherheit der Steuerungssysteme verantwortlich ist – häufig werden dedizierte Rollen oder OT-Security-Teams geschaffen), Zugriffsregeln, Anforderungen an Lieferanten und Integratoren (z. B. Zertifizierung, ein festgelegtes Security Level der Komponenten gemäß IEC 62443), Verfahren zur Incident Response und zur Meldung von Schwachstellen, Anforderungen an Backups, Updates, Audits usw. Ein solcher Regelkatalog sorgt für konsistentes Handeln – Sicherheit ist dann nicht mehr Ermessenssache, sondern wird gesteuert.

Das Festlegen von Richtlinien ist jedoch erst der Anfang. Entscheidend ist die Einführung eines Mechanismus zur kontinuierlichen Überprüfung und Verbesserung dieser Regeln. Die Bedrohungslage entwickelt sich weiter, neue Technologien (z. B. IoT, AI in der Industrie) und neue Schwachstellen entstehen – die Organisation muss sich daran anpassen. Deshalb sollten OT-Richtlinien und -Verfahren mindestens einmal pro Jahr (oder häufiger, wenn es der Kontext erfordert) auf Aktualität und Wirksamkeit überprüft werden. Es empfiehlt sich, interne Audits oder externe Expertinnen und Experten einzubeziehen, die die Übereinstimmung der Praxis mit den festgelegten Standards prüfen und Verbesserungslücken aufzeigen. Kontinuität im Sicherheitsansatz bedeutet außerdem, dass Cybersicherheit die Maschine über ihren gesamten Lebenszyklus begleitet – von der Konstruktion über den Betrieb bis hin zu Änderungen und der Außerbetriebnahme. So sollte beispielsweise jede wesentliche digitale Änderung (neues Kommunikationsmodul, Firmware-Update, Integration mit einem neuen IT-System) eine erneute Risiko- und Konformitätsbewertung der Schutzmaßnahmen gegenüber den Anforderungen nach sich ziehen. Das ist inzwischen eine formale Anforderung – nach einer „wesentlichen Änderung” der Maschine muss der Hersteller oder Betreiber bewerten, ob dadurch neue Gefährdungen entstanden sind und ob die Schutzmaßnahmen bei Bedarf verschärft wurden.

Bei der kontinuierlichen Verbesserung unterstützt die zuvor erwähnte Norm DIN EN IEC 62443-2-1:2025, die systematisierte Anforderungen an ein IACS-Sicherheitsprogramm (Industrial Automation and Control Systems) enthält. Die Umsetzung eines solchen Programms gemäß der Norm bedeutet, ein Bündel aus Richtlinien, Verfahren und Praktiken einzuführen, aufrechtzuerhalten und fortlaufend zu verbessern, das Risiken systematisch und wiederholbar auf ein akzeptables Niveau reduziert. Der Standard betont, dass Schutzmaßnahmen technische, physische, prozedurale und kompensierende Maßnahmen umfassen sollten und dass die Organisation in jedem dieser Bereiche Reife anstreben sollte. Kurz gesagt: Im Unternehmen ist ein konsistentes OT-Cybersicherheits-Managementsystem aufzubauen, das lebt und sich gemeinsam mit dem Unternehmen weiterentwickelt.

Mit einem solchen Ansatz vermeiden wir die Denkfalle, dass eine einmalige Investition in Hardware oder Software das Problem erledigt. Wie Fachleute betonen, ist der Schutz der digitalen Ressourcen eines Unternehmens ein fortlaufender Prozess und keine einmalige Einführung einer konkreten Lösung. Wenn wir eine Strategie auf Basis der oben genannten Grundsätze aufbauen und regelmäßig aktualisieren, machen wir unsere industriellen Systeme fit für aktuelle und künftige Herausforderungen – und erfüllen dabei zugleich rechtliche Anforderungen, Kundenerwartungen und die eigenen Sicherheitsstandards. Cyberbedrohungen in der Automatisierung werden sich verändern; mit soliden Grundlagen und einer Sicherheitskultur können wir ihnen jedoch wirksam begegnen.

Quellen: Neue Anforderungen der Verordnung (EU) 2023/1230 Empfehlungen des Standards DIN EN IEC 62443