NIS2 für das Produzierende Gewerbe
Das Verarbeitende Gewerbe fällt unter NIS2 Anhang II – darunter Maschinenbau, Elektrotechnik, Fahrzeugbau und Medizintechnik. Die zentrale Herausforderung: IT und OT wachsen zusammen, aber die Sicherheitskonzepte hinken hinterher.
Warum das Produzierende Gewerbe?
NIS2 erfasst das Verarbeitende Gewerbe erstmals als sonstigen kritischen Sektor. Die EU-Richtlinie nennt explizit: Herstellung von Medizinprodukten, Herstellung von Datenverarbeitungsgeräten und elektronischen Erzeugnissen, Herstellung von elektrischen Ausrüstungen, Maschinenbau, Herstellung von Kraftwagen und sonstiger Fahrzeugbau.
Unternehmen ab 50 Mitarbeitern oder über 10 Mio. EUR Umsatz (bei gleichzeitig über 10 Mio. EUR Bilanzsumme) fallen als wichtige Einrichtungen unter das BSIG. Für den deutschen Mittelstand betrifft das tausende Betriebe – vom Sondermaschinenbauer mit 70 Mitarbeitern bis zum Automobilzulieferer mit 200.
Das Produzierende Gewerbe hat ein einzigartiges Risikoprofil: Moderne Fertigungsanlagen sind vernetzt (Industrie 4.0, IoT-Sensoren, digitale Zwillinge), aber viele SCADA- und SPS-Systeme stammen aus einer Zeit, als Cybersicherheit kein Thema war. Die Konvergenz von IT und OT schafft neue Angriffsvektoren – ein kompromittiertes Büronetzwerk kann über ungesicherte Übergänge Produktionsanlagen erreichen.
Manufacturing Execution System (MES)
Systeme wie MPDV HYDRA, Forcam, iTAC oder SAP ME, die Fertigungsaufträge steuern, Maschinendaten erfassen und die Rückverfolgbarkeit sicherstellen. Das MES verbindet ERP und Shopfloor. Ein Ausfall stoppt die Produktion oder erzwingt manuelle Steuerung.
SCADA- und SPS-Systeme
Speicherprogrammierbare Steuerungen (Siemens S7, Beckhoff TwinCAT, Allen-Bradley) und übergeordnete SCADA-Systeme für Fertigungslinien, CNC-Bearbeitungszentren und Roboterzellen. Diese OT-Systeme steuern physische Prozesse und haben oft Laufzeiten von 15 bis 20 Jahren. Firmware-Updates sind selten und riskant.
ERP-System
SAP, proALPHA, abas oder Microsoft Dynamics für Auftragsabwicklung, Materialwirtschaft, Produktionsplanung und Finanzbuchhaltung. Für Produktionsunternehmen ist das ERP das zentrale Nervensystem. Eine Kompromittierung betrifft Kundendaten, Konstruktionsdaten und die gesamte Wertschöpfung.
CAD/CAM und Konstruktionsdaten
SolidWorks, Catia, Inventor, Creo oder NX für Produktentwicklung. CAM-Systeme erzeugen NC-Programme für Werkzeugmaschinen. Diese Daten sind häufig das wertvollste geistige Eigentum des Unternehmens. Industriespionage durch Cyberangriffe ist eine reale Bedrohung im Maschinenbau.
Netzwerkinfrastruktur
Büro-IT-Netzwerk, Produktionsnetzwerk (oft Industrial Ethernet oder PROFINET) und die Übergänge dazwischen. Firewalls, Switches, VPN-Zugänge für Fernwartung durch Maschinenhersteller. Die Netzwerksegmentierung zwischen IT und OT ist die kritischste Sicherheitsmaßnahme.
Endgeräte und Büro-IT
Arbeitsplatzrechner in Konstruktion, Vertrieb und Verwaltung, Tablets an Maschinen, Engineering-Workstations mit CAD-Software. Grundschutz erlaubt Gruppierung: '30 Standard-Büroarbeitsplätze' = 1 Eintrag. Engineering-Workstations sind ein separater Eintrag wegen höherer Schutzbedarfe.
1. Beim BSI registrieren
Die §33-BSIG-Registrierung über das MUK-Portal ist die sichtbarste Pflicht. 30 Minuten Aufwand, sofortiger Compliance-Nachweis. Eigenständiger Bußgeldtatbestand bis 500.000 EUR. Erledigen Sie das vor allem anderen.
2. Asset-Inventar aufbauen
Erfassen Sie IT- und OT-Assets getrennt. Listen Sie Ihre Produktionssysteme (MES, SPS, SCADA), IT-Systeme (ERP, CAD/CAM, E-Mail) und die Netzwerkinfrastruktur dazwischen auf. Für jedes Asset: Was tut es, wer betreibt es, welche Firmware-Version läuft, was passiert bei Ausfall? Die OT-Assets sind oft der blinde Fleck.
3. IT/OT-Segmentierung prüfen
Die wichtigste Sofortmaßnahme für produzierende Unternehmen: Prüfen Sie, ob Ihr Produktionsnetzwerk vom Büro-IT-Netzwerk getrennt ist. Oft gibt es historisch gewachsene Übergänge, über die ein Ransomware-Angriff aus dem Büronetz die Produktionsanlagen erreichen kann. Eine Firewall zwischen IT und OT mit restriktiven Regeln ist der höchste Sicherheitsgewinn.
4. Vorfallmeldung einrichten
Definieren Sie, was für Ihr Unternehmen ein erheblicher Sicherheitsvorfall ist. Im Produzierenden Gewerbe kann das der Stillstand einer Fertigungslinie durch Ransomware ebenso sein wie der Diebstahl von Konstruktionsdaten. Stellen Sie den BSI-Meldeprozess sicher (24h/72h/1 Monat) und bestimmen Sie, wer die Entscheidung trifft.
5. Lieferanten und Fernwartung dokumentieren
Maschinenhersteller haben oft VPN-Fernwartungszugänge zu Ihren Produktionsanlagen. Dokumentieren Sie alle Fernwartungszugänge, deren Zweck und die vereinbarten Sicherheitsmaßnahmen. Auch ERP-Wartung, Cloud-Dienste und IT-Dienstleister gehören ins Lieferantenverzeichnis. Prüfen Sie, ob Fernwartungszugänge nur bei Bedarf aktiviert werden oder dauerhaft offen sind.
Die OT/IT-Konvergenz ist die größte Herausforderung. Moderne Industrie-4.0-Konzepte verbinden Maschinen mit dem Internet, sammeln Echtzeitdaten und ermöglichen Fernwartung. Gleichzeitig laufen auf vielen Fertigungsanlagen Betriebssysteme, die seit Jahren keine Sicherheitsupdates mehr erhalten. Windows XP in einer CNC-Steuerung ist keine Seltenheit. Diese Systeme können oft nicht einfach aktualisiert werden, weil der Maschinenhersteller die Kompatibilität nicht garantiert.
Fernwartungszugänge sind ein besonderes Risiko. Fast jede größere Maschine hat einen VPN-Zugang für den Hersteller. In vielen Betrieben sind diese Zugänge dauerhaft aktiv und nicht überwacht. Unter NIS2 müssen Sie diese Zugänge dokumentieren, minimieren und überwachen. Der Grundschutz-Baustein IND.2.7 adressiert explizit die Fernwartung im industriellen Umfeld.
Der Schutz von Konstruktions- und Fertigungsdaten (CAD, NC-Programme, Rezepturen) ist ein oft unterschätztes Thema. Im Maschinenbau und in der Automobilzulieferung sind diese Daten das wertvollste geistige Eigentum. Ein Cyberangriff, der diese Daten abgreift, kann existenzbedrohend sein – auch wenn die Produktion weiterlauft. Die Risikobewertung muss neben Verfügbarkeit auch Vertraulichkeit adressieren.
Häufig gestellte Fragen
Unser Unternehmen stellt Maschinen her, keine Endprodukte. Sind wir trotzdem betroffen?
Ja. NIS2 Anhang II erfasst das Verarbeitende Gewerbe breit: Maschinenbau, Elektrotechnik, Fahrzeugbau, Medizintechnik. Es kommt nicht darauf an, ob Sie B2B oder B2C produzieren. Entscheidend sind Sektor (Verarbeitendes Gewerbe/Herstellung) und Größe (ab 50 Mitarbeiter oder entsprechende Finanzkennzahlen).
Unsere SPS-Systeme können nicht gepatcht werden. Was tun?
Das ist ein typisches Problem im Produzierenden Gewerbe und dem BSI bekannt. Der Grundschutz-Ansatz für nicht patchbare OT-Systeme: Netzwerksegmentierung (OT-Netz vom IT-Netz trennen), Zugriffsbeschränkung (nur autorisierte Personen), Überwachung (Netzwerkverkehr im OT-Segment protokollieren) und kompensierende Maßnahmen dokumentieren. Sie müssen nicht patchen, aber begründen, warum nicht, und zeigen, welche alternativen Schutzmaßnahmen Sie ergriffen haben.
Wir haben viele Fernwartungszugänge für Maschinenhersteller. Ist das ein Problem?
Es ist ein häufiges Risiko, das adressiert werden muss. Unter NIS2 müssen Sie alle Fernwartungszugänge dokumentieren und bewerten. Best Practice: Zugänge nur bei Bedarf aktivieren (nicht dauerhaft offen), Sitzungen protokollieren, Zugang auf bestimmte Maschinen beschränken und vertragliche Sicherheitsanforderungen mit dem Hersteller vereinbaren.
Wie lange dauert die NIS2-Umsetzung für ein Produktionsunternehmen?
Für ein Unternehmen mit 80 bis 200 Mitarbeitern rechnen Sie mit 4 bis 8 Monaten. Der OT-Bereich macht es tendenziell aufwendiger als bei reinen IT-Unternehmen: Die Asset-Erfassung im Shopfloor dauert länger, die Risikobewertung muss IT und OT abdecken, und die Netzwerksegmentierung erfordert möglicherweise Investitionen in Hardware. Starten Sie trotzdem jetzt – der BSI-Registrierung und den Grundlagen steht nichts im Weg.