OT-Sicherheit: Die unterschätzte Schwachstelle in der deutschen Industrie

Wenn die Produktionslinie stillsteht

Ein Automobilzulieferer in Bayern. Freitagabend, 22:15 Uhr. Die Nachtschicht startet – und plötzlich zeigen alle Terminals denselben roten Bildschirm. Ransomware. Drei Tage später: Die Linie steht immer noch, die Liefertermine gegenüber dem OEM sind gerissen, der Schaden geht in die Millionen. Und die Eingangsschleuse war ein Fernwartungszugang einer Wartungsfirma mit einem Passwort aus dem Jahr 2018.

Dieses Szenario ist keine Fiktion. Die Fertigungsindustrie ist laut IBM X-Force Threat Intelligence Index der am häufigsten angegriffene Sektor weltweit. Deutschland ist global das zweithäufigste Ziel von Angriffen auf industrielle Infrastrukturen – und 80 % der Ransomware-Angriffe treffen laut Polizeilicher Kriminalstatistik kleine und mittlere Unternehmen.

Warum OT anders ist als IT

In der klassischen IT – Büro-PCs, Server, Cloud-Dienste – sind Sicherheitsupdates, Verschlüsselung und Monitoring Standard. In der Operational Technology (OT) – Steuerungssysteme, SCADA-Anlagen, CNC-Maschinen, Roboter – sieht die Welt anders aus:

• Lange Lebenszyklen: Eine Spritzgussmaschine läuft 20 Jahre. Die Steuerung darunter wurde nicht für regelmäßige Sicherheitsupdates gebaut – oft läuft darunter Windows XP Embedded ohne Patchmöglichkeit.
• Verfügbarkeit vor Sicherheit: In der IT gilt: Im Zweifel Patch und neu starten. In der OT gilt: Das System darf nicht stehen. Wartungsfenster für Security-Updates gibt es selten.
• Gewachsene Netzwerke: Maschinen, die ursprünglich isoliert liefen, sind heute mit IIoT-Sensorik, Cloud-Diensten und ERP-Systemen verbunden. Die Segmentierung, die das sicher machen würde, wurde häufig nie nachgebaut.
• Remote-Zugänge: Wartungsfirmen, Maschinenhersteller, Servicetechniker – alle haben Zugänge. Nicht alle sind sicher konfiguriert, nicht alle werden aktiv überwacht.

Das Ergebnis: Angreifer brauchen keinen aufwendigen Zero-Day-Exploit. Ein kompromittiertes Passwort eines Wartungsdienstleisters reicht.

NIS2 ändert die Rechtslage fundamental

Mit dem NIS2-Umsetzungsgesetz (in Kraft seit Dezember 2025) wird OT-Sicherheit für produzierende Unternehmen aus dem freiwiligen Bereich in den rechtlich verpflichtenden überführt. Betroffen sind Unternehmen ab 50 Mitarbeitern in regulierten Sektoren – darunter ausdrücklich Fertigung, Maschinenbau, Chemie, Lebensmittelproduktion und Logistik.

Die Pflichten sind konkret: Risikomanagement für IT und OT, Meldepflicht bei erheblichen Vorfällen innerhalb von 24 Stunden, Lieferkettenkontrollen und – besonders relevant – die persönliche Haftung der Geschäftsführung bei nachweisbarer Vernachlässigung. Bei Bußgeldern drohen bis zu 20 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Der Unterschied zu früher: Es reicht nicht mehr, die IT-Sicherheit zu delegieren. OT muss explizit adressiert werden, dokumentiert und in ein übergreifendes Sicherheitsmanagement eingebettet sein.

Die häufigsten Einstiegspunkte – und wie man sie schließt

Fernwartungszugänge

Der häufigste Angriffsvektor. Empfehlung: Keine dauerhaft offenen VPN-Zugänge für Externe. Stattdessen kontrollierte, zeitlich begrenzte Zugangsfenster mit Multi-Faktor-Authentifizierung und vollständigem Logging jeder Session.

IT-OT-Konvergenz ohne Segmentierung

Wenn das Büronetz und das Produktionsnetz über denselben Switch laufen, ist ein infizierter Büro-PC der Türöffner für die Steuerungsebene. Mikrosegmentierung – physisch oder per VLAN – trennt die Welten. Eine Ransomware, die den Bürobereich trifft, kommt dann nicht automatisch bis zur SPS.

Ungepatchte Altgeräte

Für Systeme, die nicht patchbar sind: Kompensationsmaßnahmen. Eine unidirektionale Datendiode verhindert, dass Befehle aus dem Netz die Steuerung erreichen. Ein Application-Whitelist stellt sicher, dass auf der SPS nur bekannte Prozesse laufen.

Kein Monitoring

OT-Umgebungen laufen oft vollständig im Blindflug. Kein SIEM, kein Anomalie-Monitoring, keine Alarmierung. Dabei sind viele OT-Protokolle (Modbus, OPC-UA, Profinet) heute durch spezialisierte Monitoring-Lösungen analysierbar, ohne den Betrieb zu unterbrechen.

Erste Schritte – ohne Produktionsstillstand

1. OT-Inventur: Welche Geräte hängen im Netz? Welche Betriebssysteme? Welche Firmware-Versionen? Viele Unternehmen wissen das nicht vollständig. Passive Discovery-Tools erheben diese Daten ohne aktiven Eingriff.
2. Netzwerktrennung prüfen: Sind IT und OT segmentiert? Können Angreifer vom Büronetz aus Steuerungssysteme erreichen?
3. Remote-Zugänge inventarisieren: Wer hat aktuell Zugang? Welche Passwörter sind im Einsatz? Ist MFA aktiv?
4. Worst-Case-Szenario planen: Was passiert, wenn die Linie für 72 Stunden steht? Ein getesteter OT-Incident-Response-Plan ist nicht optional.
5. NIS2-Betroffenheit klären: Falls noch nicht geschehen: Prüfen Sie, ob Ihr Unternehmen unter die neuen Pflichten fällt – und leiten Sie die notwendigen Maßnahmen ein.

OT-Sicherheit ist Betriebssicherheit

Im Gegensatz zur IT, wo ein Sicherheitsvorfall Daten gefährdet, gefährdet ein OT-Vorfall im schlimmsten Fall Menschen. Ein manipulierter Drucksensor in einer Chemieanlage, eine fehlerhafte Steuerung an einer Presse – die Folgen reichen weit über den wirtschaftlichen Schaden hinaus.

2026 ist das Jahr, in dem OT-Sicherheit vom Randthema zur Kernpflicht wird. Wer jetzt nicht handelt, handelt fahrlässig – im wortwörtlichen Sinne.