Industrial Cyber Security: Cybersicherheit in der Produktion
Neben gesteigerter Produktivität birgt die Digitalisierung und Vernetzung von Anlagen und Maschinen ein hohes Risiko für Cyberangriffe. Darüber hinaus wachsen die Anforderungen an die Cybersicherheit neuer Produkte. Der Schutz vor Cyberbedrohungen ist daher essenziell für langfristigen Erfolg – nicht nur wegen neuer Regularien wie dem Cyber Resilience Act (CRA), der NIS-2 und dem Delegated Act der Radio Equipment Directive (RED), sondern auch, um die Resilienz des eigenen Netzwerks und das der Kunden zu schützen. Wir unterstützen Sie auf diesem Weg – pragmatisch, mit individuellen Sicherheistlösungen abgestimmt auf Ihre Risiken..
Vernetzte Systeme: Eine Herausforderung für die Cyber Security in der Industrie 4.0
Ob Spionage, Sabotage oder Erpressung, Cyber Kriminalität gibt es in den verschiedensten Ausprägungen. Gezielte Angriffe haben das Potenzial, gesamte Produktionslandschaften lahmzulegen oder digitale Produkte in der Breite unbrauchbar zu machen – mit gravierenden finanziellen Folgen und Reputationsschäden. Viele Industrieunternehmen haben die Risiken durch Cyberbedrohungen erkannt, wähnen sich allerdings in falscher Sicherheit, wie beispielsweise die Cyber Security Fachleute des Fraunhofer-Institut für Produktionstechnologie IPT in Aachen zeigen.
Um der wachsenden Bedrohungslage entgegenzuwirken und Risiken zu minimieren, hat die EU ihre Vorgaben erneuert und neue Richtlinien beschlossen. Relevant für Betreiber und Hersteller im Industriesektor sind vor allem drei Richtlinien: Die NIS-2-Richtlinie wird bereits im Oktober 2024 in nationales Recht überführt. Die Radio Equipment Directive (RED) ist bereits in Kraft. Mit dem RED Delegated Act wurden jedoch neue Anforderungen beschlossenen, dieab August 2025 verpflichtend werden. Der im Oktober 2024 verabschiedete Cyber Resilience Act (CRA) wird ab 2027 verbindlich gelten.
Die EU-Regularien CRA und NIS-2 im Detail
CRA: Erfolgreiche Cyber Security Systementwicklung und -integration
Der Cyber Resilience Act (CRA) soll sicherstellen, dass vernetzte Produkte entlang ihres gesamten Lebenszyklus gegen unberechtigten Zugriff und Manipulation geschützt sind. Er gilt sowohl für Hersteller als auch Lieferanten und Importeure von Produkten mit digitalen Elementen, die in der EU vertrieben werden. Im B2B-Bereich sind zahlreiche Komponenten für Industrie-, Umwelt- und Energietechnologie von dieser Verordnung betroffen, beispielsweise Sensoren, Steuersysteme, Software- und Hardwareprodukte mit direkter oder indirekter Datenverbindung zu einem anderen Gerät oder Netzwerk.
Hersteller digitaler Produkte für den industriellen Gebrauch müssen die strukturierte, risikobasierte Betrachtung sowie Umsetzung und Nachweis von Cyber Security in allen Phasen der Wertschöpfungskette berücksichtigen. Das beinhaltet unter anderem einen Secure Engineering Process, verständliche Anleitungen, maschinenlesbare Software-Bill-of-Materials (SBOMs) sowie Risikoanalysen und das Schwachstellenmanagement über den gesamten Lebenszyklus. Erfüllen sie diese Anforderungen nicht, erhalten sie keine CE-Kennzeichnung und damit keinen Zugang zum europäischen Markt. Darüber hinaus drohen Nachbesserungen, Produktrückrufe oder Geldstrafen.
Sie stellen ein Produkt mit digitalen Elementen her? Dann beraten wir Sie gerne, wie Sie die Anforderungen des CRA pragmatisch umsetzen können. Gerne übernehmen wir auch Cyber Security Aktivitäten im Engineering Prozess des Produkts – beispielsweise entlang der international anerkannten Norm IEC 62443.
NIS-2: Cyber Security für den sicheren IT/OT Betrieb
Die NIS-2 Richtlinie stellt eine erweiterte Initiative dar, um die Sicherheit von Netz- und Informationssystemen innerhalb des europäischen Binnenmarktes zu stärken. Betroffen sind Unternehmen, die in „wesentlichen und wichtigen Einrichtungen“ in kritischen Sektoren aktiv sind – beispielsweise im Bereich Maschinenbau, Energie, Gesundheit oder Lebensmittel. Dies kann auch Hersteller von Automatisierungslösungen, Steuerungen oder Sensoren, mit denen Anlagen- und Maschinenbauer zusammenarbeiten, einschließen.
Die NIS-2 fordert eine strukturierte Cyber Security Betrachtung für den IT/OT Betrieb und definiert Maßnahmen, um Auswirkungen von Sicherheitsvorfällen zu verhindern oder minimieren. Betroffene Unternehmen müssen unter anderem ihren Schutz vor Cyberangriffen erhöhen, spezifische Security-Standards einhalten und gewährleisten, dass ihre Systeme ständig auf dem aktuellen Stand sind.
Sie sind von der NIS-2 Verordnung betroffen? Wir beraten Sie gerne zur Strategie und den Prozessen rund um die Umsetzung der NIS2 und den nationalen Anforderungen sowie Standards der ISO 27001. Als erster Schritt bietet sich ein Cyber Security Check Up an, beispielsweise angelehnt an DIN SPEC 27076.
RED: Cyber Security für vernetzte Funkgeräte
Die EU RED Delegated Act für Cyber Security (RED DA) gilt für alle Hersteller von Produkten mit Funkschnittstellen (z.B. WiFi, Bluetooth, Radar, …) oder von Produkten, die solche fest verbaut haben. Der RED DA stellt dabei zusätzliche Anforderungen an die Cyber Security dieser Produkte.
Funkvernetzte Maschinen wie Steuerungen und Roboter in der Fertigung müssen nach RED angemessen gegen Hackerangriffe geschützt werden, zum Eigenschutz aber auch zum Schutz der angrenzenden Netze. Zudem dürfen keine Betriebsunterbrechungen durch Cyberangriffe auftreten. Der neue EN 18031 Standard beleuchtet, was in dem Kontext als angemessen angesehen werden kann. Funkprodukte, die nicht RED-konform entwickelt wurden, dürfen keine CE-Kennzeichnung mehr erhalten und damit nicht mehr in der EU vertrieben werden.
Sie fallen unter den RED DA? Dann beraten wir Sie gerne, wie Sie die Anforderungen der RED pragmatisch umsetzen können.
Sie haben ein konkretes Anliegen?
Sprechen Sie uns an. Wir unterstützen Sie gerne mit unserer Expertise in der Cyber Security für die Produktion und Industrie 4.0.
Herausforderungen effizient & pragmatisch meistern: Unsere Cyber Security Services für Ihre Produktion
Wir unterstützen Sie mit individueller Cyber Security Beratung und passgenauen Cyber Security Lösungen, Regularien umzusetzen und Ihr Unternehmen effizient für Cyberbedrohungen zu wappnen. Dabei berücksichtigen wir Ihre individuellen Anforderungen, technischen Randbedingungen und bestehenden Prozesse – von der Cyber Security Strategieberatung, Prozess- und Methodikberatung über Cyber Security Risikobewertung, Konzeptionen, Softwareentwicklungen und Testing. Aktuelle Vorschriften wie UNECE r155/156, EU CRA, NIS2, ISO/SAE 21434, IEC 62443, TS 50701 beziehen wir selbstverständlich immer mit ein.
Mit unseren Beratungsangeboten unterstützen wir Sie dabei, Sicherheitsrisiken frühzeitig zu erkennen und gezielt zu minimieren. Gemeinsam entwickeln wir eine maßgeschneiderte Sicherheitsstrategie, die Ihre IT/OT-Infrastruktur ganzheitlich schützt. Wir begleiten Sie bei der Einführung effektiver Sicherheitsprozesse und -methoden – von der Risikoanalyse über Schwachstellenmanagement bis hin zum Lieferantenmanagement. So setzen wir gemeinsam ein umfassendes und praxistaugliches Sicherheitskonzept um und erhöhen die Resilienz gegen Cyberbedrohungen und -angriffe.
Mit unserem Dienstleistungsangebot im Cyber Security Engineering unterstützen wir Sie dabei, Cybersicherheit praxisorientiert und effizient umzusetzen. Das schließt bspw. eine fundierte Risikobewertung ein: Wir ermitteln potenzielle Schadensszenarien, modellieren Angriffspfade und decken mit Risikoanalysen Schwachstellen systematisch auf. Aufbauend auf diesen Erkenntnissen erarbeiten wir ein individuelles Konzept, das notwendige Sicherheitsmechanismen definiert. Die Security-Anforderungen setzen wir technisch um und schaffen eine robuste und vertrauenswürdige Softwarebasis. Gleichzeitig prüfen wir die Wirksamkeit dieser Maßnahmen kontinuierlich durch Cyber Security Tests.
