Die Cyberresilienz in deutschen Industrieunternehmen ist zwar gestiegen, von einer Entwarnung kann aber laut einer VDMA-Studie dennoch keine Rede sein. Denn auch die Bedrohung, etwa durch Social Engineering und Phishing, nimmt immer weiter zu.

Die Zahl der Angriffe auf deutsche Unternehmen im Maschinen und Anlagebau ist seit der letzten VDMA-Studie von 2019 deutlich gestiegen. Dennoch berichten nur noch 55 Prozent der Betriebe in diesem Industriebereich von negativen Auswirkungen. Das entspricht einem massiven Rückgang von fast 70 Prozent. Denn viele der 75 befragten Industrieunternehmen mit mehr als 250 Beschäftigten haben offenbar ihre Hausaufgaben gemacht und Konzepte für die eigene Cybersicherheit entwickelt.

Das ist ein Ergebnis der von dem Fachverband Software und Digitalisierung des Verbands Deutscher Maschinen- und Anlagenbau (VDMA) zusammen mit dem Fraunhofer AISEC erstellten Studie „Industrial Security – 2025“. 45 Prozent der befragten Unternehmen haben mehr als 1.000 Mitarbeitende, 27 Prozent zwischen 251 und 1.000 Beschäftigten. Fast alle (96 Prozent) verfügen über eine eigene diskrete Fertigung.

Bei KMUs besteht noch viel Handlungsbedarf

Die Studie zeigt zwar deutliche Tendenz in Richtung mehr Cyberresilienz in der Maschinen- und Anlagenbaubranche. Sie weist aber besonders für kleinere Betriebe auf weiteren Handlungsbedarf hin. „Natürlich ist das Ergebnis ein Fortschritt, aber noch kein Grund zur Entwarnung. Vor allem kleine und mittelständige Unternehmen müssen gezielt unterstützt werden“, betont Maximilian Moser, Security-Experte im VDMA Software und Digitalisierung.

Wie IT-Business aus der Studie zitiert, schätzen die meisten Industrieunternehmen unabhängig von der Größe die Bedrohungslage derzeit als „mittelgroß“ ein. Am stärksten ist sie mit 3,4 (auf einer Skala von 0 bis 5) im Bereich Social Engineering und Phishing, gefolgt von „menschlichem Fehlverhalten und Sabotage (3,2) und „Software- und Hardware-Schwachstellen in der Lieferkette“ (3,1).

Das heißt, der Faktor Mensch rückt als Schwachstelle noch weiter in den Fokus. Der VDMA empfiehlt folglich besonders auch für die Produktion angepasste Trainings in den Bereichen Awareness Building und Security Policies, um die Mitarbeitenden „über Bedrohungen aufzuklären und für das richtige Verhalten zu sensibilisieren“.

Zwei Drittel der Unternehmen sind zwar selbst schon von strengeren regulatorischen Vorgaben wie dem Cyber Resilience Act (CRA) und NIS2 für mehr Cybersicherheit in der EU betroffen. Aber besonders kleinere und mittelgroße Unternehmen (KMU) sind diese Anforderungen noch zu wenig bekannt und entsprechend vorbereitet. 30 Prozent der KMUs wissen gar nicht, ob sie von den Regulatorien betroffen sind. Die bekanntesten IT-Security-Standards in Deutschland sind der BSI Grundschutz und ISO-Vorgaben.

Mehr Eigenverantwortung – weniger Externe

Die meisten Industrieunternehmen nehmen ihre IT- und OT-Sicherheit mittlerweile selbst in die Hand. 88 Prozent der befragten Betriebe setzen dabei auf eigenes Personal, nur noch 12 Prozent auf externe Dienstleister. Besonders im Produktionsumfeld sieht der VDMA Fortschritte: 61 Prozent der befragten Unternehmen haben heute schon ein eigenes Risikomanagement etabliert, 2019 waren es nur 41 Prozent. 9 von 10 Befragten (89 Prozent) denken, dass die Zahl der Cybersecurity-Vorfälle in den nächsten Jahren gleich bleibt oder steigen wird.

Von negativen Auswirkungen für das eigene Unternehmen sprechen jedoch nur noch 45 Prozent der Umfrage-Teilnehmer:innen. 2019 waren es mit 72 Prozent noch deutlich mehr. Nicht erfasst ist jedoch die Grauzone der aus Angst vor Imageverlust nicht gemeldeten Vorfälle.

Sowohl organisatorische als auch technische Sicherheitsmaßnahmen im Fokus

Zu den Top 5 der organisatorischen Sicherheitsmaßnahmen gehören Regeln für Fernwartungszuggänge für eigene Mitarbeitende und Externe mit 88 und 84 Prozent. Hinzu kommen Regeln für die Nutzung mobiler Speicher und für die Zugriffsrechte auf Maschinen und Anlagen mit 69 und 27 Prozent. Letztere schließen auch Regeln für die Nutzung von Fremdgeräten wie PCs oder Smartphones durch externe Servicekräfte ein.

Zu den technisch umgesetzten Maßnahmen gehören zu je 68 Prozent die Trennung zwischen Office- und Produktionsnetzwerken sowie die Überwachung der jeweiligen Netzübergänge, gefolgt von der Überwachung der Netzübergänge zwischen Außenstellen untereinander und der Leitstelle mit 67 Prozent. Die Isolierung (Air Gap) von Maschinen und Anlagen spielt mit 48 Prozent noch keine so große Rolle, ist aber bei weiteren 20 Prozent der Unternehmen eingeplant. Transparenz in der Kommunikation haben 36 Prozent der Unternehmen als Maßnahme eingeführt, weitere 27 Prozent in der Planung. Beim Upgrade von Legacy-Anwendungen (Protokollen, Schnittstellen und Technologien) klafft die Lücke noch mehr auseinander: 34 Prozent haben sie schon im Programm, 36 Prozent in Planung.

All diese Zahlen zeigen: Die deutsche Industrie hat bereits einen weiten Weg hin zu mehr Cyberresilienz zurückgelegt, darf ihre Anstrengungen angesichts der stetig wachsenden Bedrohungslage aber nicht reduzieren. Vielmehr gilt es jetzt, das erreichte Sicherheitsniveau konsequent weiterzuentwickeln und auch weniger digitalisierte Bereiche sowie kleinere Unternehmen stärker mitzunehmen. Nur durch kontinuierliche Investitionen in Technik, Prozesse und vor allem in die Schulung der eigenen Mitarbeitenden lässt sich der Schutz vor immer raffinierteren Cyberangriffen nachhaltig stärken.

Quelle Titelbild: Adobe Stock /  ProstoSvet