IT-Sicherheit in der Produktion: Was der produzierende Mittelstand jetzt wissen muss

IT-Sicherheit in der Produktion ist längst kein Thema mehr, das nur Großkonzerne betrifft. Fertigungsbetriebe im Mittelstand sind heute eines der bevorzugten Angriffsziele für Cyberkriminelle – und gleichzeitig häufig am schlechtesten geschützt. Wer Maschinen, Steuerungen und Büro-IT ungesichert vernetzt, riskiert Produktionsausfälle, Datenverlust und im schlimmsten Fall den Stillstand des gesamten Betriebs.

Dieser Artikel zeigt Ihnen, welche Bedrohungen realistisch sind, wo die typischen Schwachstellen in produzierenden KMU liegen, welche Maßnahmen wirklich helfen – und wie Sie mit überschaubarem Aufwand ein solides Sicherheitsniveau erreichen.

---

Warum produzierende Unternehmen besonders gefährdet sind

Produktionsunternehmen verbinden zwei Welten, die historisch getrennt waren: die IT (Informationstechnologie) – also PCs, Server und Unternehmenssoftware – und die OT (Operational Technology) – also Maschinensteuerungen, SPS-Systeme (speicherprogrammierbare Steuerungen) und Industrieanlagen. Diese Konvergenz schafft neue Angriffsflächen.

Hinzu kommen strukturelle Besonderheiten, die Angriffe begünstigen:

• Lange Lebenszyklen: Maschinen laufen 15–25 Jahre. Die Steuerungs-Software wird selten aktualisiert – oft weil der Hersteller keine Updates mehr liefert oder ein Update die Zertifizierung gefährdet.
• Verfügbarkeit über Sicherheit: In der Produktion zählt jede Stunde Ausfallzeit. Sicherheits-Patches werden daher oft verzögert oder gar nicht eingespielt.
• Wachsende Vernetzung: IoT-Sensoren, Remote-Wartung, ERP-Anbindungen – moderne Fertigungsbetriebe sind vernetzter denn je. Jede Schnittstelle ist ein potenzieller Eintrittspunkt.
• Fehlende Segmentierung: In vielen KMU hängen Büro-PC, Maschinensteuerung und WLAN der Monteure im gleichen Netzwerk.

Praxisbeispiel: Ein mittelständischer Metallverarbeitungsbetrieb mit rund 80 Mitarbeitern wurde Opfer eines Ransomware-Angriffs. Der Einfallstor war eine SPS-Steuerung, die per Remote-Desktop für den Wartungsdienstleister dauerhaft offen und ohne MFA erreichbar war. Die Produktionslinie stand vier Tage still. Der Schaden – inklusive Lieferausfall und Wiederherstellungskosten – belief sich auf einen niedrigen sechsstelligen Betrag.

---

Die häufigsten Bedrohungen in der Produktion

Ransomware

Ransomware ist nach wie vor die gefährlichste Bedrohung für Fertigungsbetriebe. Angreifer verschlüsseln Produktionsdaten, ERP-Systeme und Steuerungssoftware – und verlangen Lösegeld für die Entschlüsselung. Selbst wenn Sie zahlen, ist die Wiederherstellung zeitaufwändig und die Daten sind oft nicht vollständig wiederherstellbar.

Phishing und Social Engineering

Der häufigste Einstiegsweg ist nach wie vor der Mensch. E-Mails, die als Lieferantenanfrage oder Bewerbung getarnt sind, öffnen Angreifern die Tür. Besonders gefährdet: Einkauf, Buchhaltung und Mitarbeiter mit Systemzugang.

Angriffe über die Lieferkette (Supply-Chain-Angriffe)

Zulieferer, Wartungsdienstleister und Softwareanbieter haben oft privilegierten Zugang zu Ihren Systemen. Wird ein Partner kompromittiert, sind Sie automatisch gefährdet.

Unsichere Fernwartungszugänge

Remote-Desktop-Protokolle (RDP) ohne MFA, VPNs mit veralteter Software oder direkt ins Internet exponierte Steuerungen sind klassische Einfallstore – und leider in der Praxis weit verbreitet.

Insider-Bedrohungen

Ob fahrlässig (USB-Stick mit Schadsoftware) oder vorsätzlich – auch eigene Mitarbeiter können eine Bedrohung darstellen.

---

Typische Schwachstellen im produzierenden Mittelstand

Die folgende Tabelle gibt einen Überblick über häufige Schwachstellen und ihre Auswirkungen:

Schwachstelle	Ursache	Mögliche Auswirkung
Veraltete Betriebssysteme (z. B. Windows 7 auf SPS-Rechnern)	Kein Herstellersupport mehr	Ungepatchte Sicherheitslücken
Flaches Netzwerk ohne Segmentierung	Historisch gewachsene Infrastruktur	Ein kompromittiertes Gerät erreicht alle anderen
Keine MFA bei Fernzugängen	Komfortpriorität	Brute-Force-Angriffe erfolgreich
Standard-Passwörter an Maschinen	Fehlende Richtlinien	Einfacher Zugang für Angreifer
Kein regelmäßiges Backup / kein Restore-Test	Ressourcenmangel	Datenverlust bei Ransomware
Fehlende Netzwerktrennung IT/OT	Kostengründe	Seitwärtsbewegung von Angreifern
Unbekannte Assets im Netz	Keine Inventarisierung	Blinde Flecken im Schutz
Mitarbeiter ohne Security-Training	Kein Bewusstsein	Phishing-Erfolgsrate hoch

---

NIS2-Richtlinie: Was produzierende KMU jetzt beachten müssen

Die EU-Richtlinie NIS2 (Network and Information Security Directive 2) ist seit Oktober 2024 in deutsches Recht umzusetzen (NIS2UmsuCG). Sie weitet den Kreis der betroffenen Unternehmen erheblich aus – und trifft viele produzierende Mittelständler direkt.

Betroffen sind unter anderem:

• Unternehmen der verarbeitenden Industrie ab 50 Mitarbeitern oder 10 Mio. € Umsatz, die als „wichtige Einrichtungen" eingestuft werden
• Zulieferer kritischer Infrastrukturen
• Unternehmen, die in die Lieferkette kritischer Sektoren eingebunden sind

Was NIS2 konkret fordert:

1. Risikoanalyse und Informationssicherheits-Managementsystem (ISMS)
2. Technische und organisatorische Sicherheitsmaßnahmen (u. a. Verschlüsselung, Zugriffsmanagement)
3. Meldepflicht bei Sicherheitsvorfällen innerhalb von 24 Stunden
4. Absicherung der Lieferkette
5. Business Continuity Management (BCM)
6. Regelmäßige Schulungen und Sensibilisierung

Hinweis: Ob Ihr Unternehmen unter NIS2 fällt, hängt von Branche, Größe und Funktion in der Lieferkette ab. Im Zweifel lohnt sich eine professionelle IT-Sicherheitsberatung, um das frühzeitig einzuschätzen.

---

Die wichtigsten Schutzmaßnahmen für Produktionsbetriebe

1. Netzwerksegmentierung: IT und OT trennen

Trennen Sie das Büronetzwerk (IT) konsequent vom Produktionsnetzwerk (OT). Nutzen Sie VLANs, Firewalls und klar definierte Übergabepunkte (sog. DMZ – Demilitarized Zone). So kann ein Angriff im Büronetzwerk nicht direkt auf Maschinensteuerungen übergreifen.

2. Fernzugänge absichern

Jeder Remote-Zugang muss über ein VPN mit Zwei-Faktor-Authentifizierung (2FA/MFA) abgesichert sein. Standard-RDP-Ports gehören geschlossen oder umgelegt. Wartungszugänge für externe Dienstleister sollten zeitlich begrenzt und protokolliert werden.

3. Patch-Management und Asset-Inventar

Verschaffen Sie sich zunächst einen vollständigen Überblick über alle Assets im Netz – Bürogeräte, Server, Drucker, Maschinen-HMIs. Nur was Sie kennen, können Sie schützen. Danach: strukturiertes Patch-Management mit definierten Zeitfenstern, auch für OT-Systeme.

4. Backup-Strategie nach der 3-2-1-Regel

Die 3-2-1-Backup-Strategie ist der Mindeststandard: 3 Kopien Ihrer Daten, auf 2 verschiedenen Medientypen, davon 1 Kopie außerhalb des Standorts (z. B. in der Cloud). Mindestens einmal im Quartal sollten Sie den Restore testen – ein Backup, das Sie nicht wiederherstellen können, ist wertlos.

5. Zugriffsmanagement und Least Privilege

Mitarbeiter erhalten nur die Zugriffsrechte, die sie für ihre Aufgabe benötigen. Administratoren-Konten werden ausschließlich für administrative Tätigkeiten genutzt. Dienst- und Service-Konten an Maschinen erhalten dedizierte, starke Passwörter.

6. Security Awareness Training

Technische Maßnahmen allein reichen nicht. Regelmäßige Schulungen – idealerweise mit simulierten Phishing-Tests – senken die Anfälligkeit für Social Engineering erheblich. Praxis zeigt: Unternehmen, die ihre Mitarbeiter mindestens einmal jährlich schulen, reduzieren die Klickrate auf Phishing-E-Mails um bis zu 70 %.

7. Monitoring und Incident Response

Wer einen Angriff früh erkennt, kann den Schaden begrenzen. Monitoring & Logging im Netzwerk helfen dabei, ungewöhnliche Aktivitäten – z. B. nächtliche Datentransfers oder unbekannte Verbindungen zu externen IPs – rechtzeitig zu entdecken. Ergänzend sollte ein einfacher Incident-Response-Plan existieren: Wer wird im Ernstfall benachrichtigt? Welche Systeme werden isoliert?

8. Endpoint Protection

Alle Endgeräte – PCs, Laptops, aber auch industrielle Workstations – benötigen aktuellen Endpoint-Schutz. Endpoint Protection-Lösungen der nächsten Generation erkennen auch unbekannte Angriffsmuster über Verhaltensanalyse.

---

IT-Sicherheit in der Produktion: Schritt-für-Schritt-Checkliste

Nutzen Sie diese Checkliste als Einstieg für Ihre eigene Bestandsaufnahme:

Netzwerk & Infrastruktur

• IT- und OT-Netzwerke sind segmentiert (VLAN oder physisch)
• Firewall-Regeln sind dokumentiert und regelmäßig geprüft
• Alle Assets sind inventarisiert (inkl. Maschinensteuerungen)
• Fernzugänge laufen ausschließlich über VPN + MFA

Zugriffsmanagement

• Least-Privilege-Prinzip ist umgesetzt
• Standard-Passwörter an Geräten und Maschinen wurden geändert
• Externe Dienstleister erhalten nur zeitlich begrenzte Zugänge

Backup & Recovery

• 3-2-1-Backup ist implementiert
• Restore-Tests werden regelmäßig durchgeführt
• Backup-Systeme sind vom Produktionsnetz isoliert

Patch & Update

• Patch-Zyklen sind definiert (auch für OT)
• EOL-Systeme (End of Life) sind identifiziert und kompensiert

Mitarbeiter & Prozesse

• Security-Awareness-Schulungen finden mindestens jährlich statt
• Ein Incident-Response-Plan existiert und ist bekannt
• NIS2-Betroffenheit wurde geprüft

---

---

OT-Sicherheit: Die besondere Herausforderung der Produktions-IT

Operational Technology (OT) – also Steuerungssysteme wie SPS, SCADA, HMI und Industrieroboter – folgt anderen Regeln als klassische IT:

• Echtzeitanforderungen: Sicherheitslösungen dürfen keine Latenz erzeugen, die Prozesse stören.
• Verfügbarkeit vor Vertraulichkeit: Ein Produktionsstillstand ist oft kritischer als ein Datenabfluss.
• Proprietäre Protokolle: Industrieprotokolle wie Modbus, Profinet oder OPC UA sind nicht immer mit Standard-Sicherheitswerkzeugen kompatibel.
• Lange Update-Zyklen: Firmware-Updates an Steuerungen erfordern Wartungsfenster und Herstellerfreigabe.

Für OT-Umgebungen empfehlen sich spezielle Ansätze:

1. Passives Monitoring statt aktiver Scans: Aktive Netzwerkscans können Industriesteuerungen destabilisieren. OT-spezifische Monitoring-Lösungen arbeiten rein passiv.
2. Unidirektionale Sicherheitsgateways (Data Diodes): Für hochsensible Bereiche kann Datenfluss nur in eine Richtung zugelassen werden.
3. Air-Gap für kritische Systeme: Besonders kritische Steuerungen werden physisch vom Rest des Netzes getrennt.
4. OT-spezifische Anomalieerkennung: Systeme wie IDS/IPS für industrielle Protokolle erkennen Abweichungen vom Normalverhalten.

---

Managed IT-Security: Wann lohnt sich ein externer Partner?

Für viele mittelständische Produktionsunternehmen ist der Aufbau eigener IT-Sicherheitskompetenz weder wirtschaftlich noch praktisch realisierbar. Ein dedizierter Security-Engineer kostet auf dem Markt 70.000–90.000 € Jahresgehalt – und selbst dann deckt eine Person nicht alle Schichten moderner IT-Sicherheit ab.

Managed Security Services – also die Auslagerung von Monitoring, Patch-Management und Incident Response an einen spezialisierten Dienstleister – können hier eine kosteneffiziente Alternative sein. Was Sie dabei beachten sollten:

• Klare SLAs (Service Level Agreements) für Reaktionszeiten bei Vorfällen
• Transparenz über eingesetzte Tools und Zugriffsprotokolle
• Erfahrung mit OT-Umgebungen und produzierenden Unternehmen
• DSGVO-konforme Datenverarbeitung und Standort der Rechenzentren

Mehr dazu, was externe IT-Betreuung konkret leisten kann und wann sie sich rechnet, lesen Sie in unserem Artikel zu Managed IT-Services für den Mittelstand.

---

Praxisbeispiel: Absicherung eines mittelständischen Fertigungsbetriebs

Ausgangslage: Ein Maschinenbauunternehmen mit 120 Mitarbeitern und drei Produktionshallen betrieb sein gesamtes Netzwerk – Büro, Produktion und Gäste-WLAN – ohne Segmentierung. Fernwartung für Maschinenlieferanten lief über ungeschützte RDP-Verbindungen. Ein strukturiertes Backup existierte nicht.

Maßnahmen (umgesetzt in drei Phasen über 6 Monate):

1. Phase 1 – Sichtbarkeit schaffen: Vollständiges Asset-Inventar aller Netzwerkgeräte (inkl. 14 bisher unbekannter Geräte). Risikoanalyse und Priorisierung der kritischsten Schwachstellen.

2. Phase 2 – Netzwerk strukturieren: Einführung von VLANs für Büro, Produktion und Gäste-WLAN. Firewall-Regeln zwischen den Segmenten. Schließung aller offenen RDP-Ports; Einführung eines VPN-Gateways mit MFA für Fernwartung.

3. Phase 3 – Kontinuierlicher Schutz: Implementierung einer Backup-Lösung nach 3-2-1 mit täglichem Restore-Test. Endpoint-Protection auf allen Workstations. Erstes Security-Awareness-Training für alle Mitarbeiter. Aufbau eines einfachen Monitoring-Dashboards.

Ergebnis: Innerhalb des ersten Monats nach Go-live wurden drei verdächtige Verbindungsversuche von externen IPs auf ehemalige RDP-Zugänge entdeckt und automatisch geblockt. Das Unternehmen erfüllt damit die Mindestanforderungen der NIS2-Richtlinie für wichtige Einrichtungen.

---

IT-Sicherheit und Digitale Transformation: Kein Widerspruch

Oft höre ich von Unternehmern: „Wenn wir digitalisieren, werden wir angreifbarer." Das stimmt – aber die Alternative, auf Digitalisierung zu verzichten, ist keine. Wer seine Produktion nicht modernisiert, verliert mittelfristig Wettbewerbsfähigkeit.

Die richtige Antwort lautet: Security by Design. Das bedeutet, Sicherheitsanforderungen von Anfang an in neue Digitalisierungsprojekte einzubauen – nicht als nachträgliches Pflaster. Wer heute ein MES (Manufacturing Execution System), eine IoT-Sensorik oder eine Cloud-Anbindung plant, sollte den Sicherheitsaspekt bereits in der Konzeptphase berücksichtigen.

Unsere Beratung & Planung begleitet produzierende Mittelständler dabei, Digitalisierung und IT-Sicherheit gemeinsam zu denken – von der Risikoanalyse bis zur technischen Umsetzung.

---

Fördermöglichkeiten für IT-Sicherheit im Mittelstand

Ein Argument, das wir häufig hören: „Das alles ist zu teuer." Tatsächlich gibt es verschiedene Förderprogramme, die KMU bei der Finanzierung von IT-Sicherheitsmaßnahmen unterstützen:

• go-digital (BMWi/BMWK): Fördert Beratungsleistungen in der IT-Sicherheit für KMU mit bis zu 50 % Zuschuss. (Programm läuft je nach Bundesland unter verschiedenen Titeln.)
• Digital Jetzt (BMWK): Investitionen in digitale Technologien und Sicherheit; bis zu 50 % Förderquote.
• BSI-Förderprogramme und Awareness-Materialien: Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt kostenlose Hilfsmittel, Leitfäden und Selbsttests bereit.
• KfW-Kredite für Digitalisierungsinvestitionen.

Empfehlung: Prüfen Sie vor jedem größeren IT-Sicherheitsprojekt die aktuellen Fördermöglichkeiten in Ihrer Region. Die Förderlandschaft ändert sich regelmäßig.

---

---

Fazit: IT-Sicherheit in der Produktion ist kein Projekt, sondern ein Prozess

IT-Sicherheit in der Produktion lässt sich nicht einmalig „abschließen". Die Bedrohungslage verändert sich, neue Maschinen werden angeschlossen, Mitarbeiter wechseln. Was heute sicher ist, kann morgen eine neue Angriffsfläche bieten.

Der entscheidende erste Schritt ist: anfangen. Auch wenn Ihr Budget begrenzt ist – Netzwerksegmentierung, MFA auf Fernzugängen und eine funktionierende Backup-Strategie sind Maßnahmen, die sich auch für kleine Betriebe umsetzen lassen und die größten Risiken deutlich reduzieren.

Wenn Sie wissen möchten, wo Ihr Betrieb heute steht, empfehlen wir unseren kostenlosen IT-Sicherheits-Check als ersten Einstieg.

---

FAQ: IT-Sicherheit in der Produktion

Was ist der Unterschied zwischen IT-Sicherheit und OT-Sicherheit?

IT-Sicherheit bezieht sich auf den Schutz von Informationssystemen wie PCs, Servern und Unternehmenssoftware. OT-Sicherheit (Operational Technology) schützt industrielle Steuerungs- und Automatisierungssysteme wie SPS, SCADA und HMI. Beide müssen in modernen Produktionsumgebungen zusammen betrachtet werden, da sie zunehmend vernetzt sind.

Bin ich als produzierender Mittelständler von NIS2 betroffen?

Das hängt von Ihrer Branche, Unternehmensgröße und Ihrer Rolle in der Lieferkette ab. Grundsätzlich können Unternehmen der verarbeitenden Industrie ab 50 Mitarbeitern oder 10 Mio. € Jahresumsatz betroffen sein. Eine individuelle Einschätzung durch einen IT-Sicherheitsberater ist empfehlenswert.

Was kostet IT-Sicherheit für einen produzierenden Betrieb?

Die Kosten variieren stark je nach Unternehmensgröße und bestehendem Sicherheitsniveau. Ein erster Basisschutz (Netzwerksegmentierung, MFA, Backup) ist für kleine Betriebe oft für 5.000–15.000 € realisierbar. Laufende Managed Security Services starten ab ca. 500–1.500 € monatlich für KMU.

Wie kann ich mein Produktionsnetzwerk von der Büro-IT trennen?

Durch VLANs (Virtual Local Area Networks) auf Netzwerk-Switches und entsprechende Firewall-Regeln zwischen den Segmenten. Für hochsensible OT-Bereiche kann eine physische Trennung oder ein unidirektionales Gateway sinnvoll sein. Die konkrete Umsetzung hängt von Ihrer bestehenden Infrastruktur ab.

Was ist ein ISMS und brauche ich es?

Ein ISMS (Informationssicherheits-Managementsystem) ist ein strukturierter Rahmen aus Richtlinien, Prozessen und Maßnahmen zum Schutz von Informationen. Für NIS2-pflichtige Unternehmen ist es verpflichtend. Für andere KMU ist ein einfaches ISMS auf Basis der ISO 27001 oder des BSI IT-Grundschutzes dennoch empfehlenswert, da es Ihnen systematisch aufzeigt, wo Lücken bestehen.

Wie oft sollte ich meine Mitarbeiter zu IT-Sicherheit schulen?

Mindestens einmal jährlich, besonders nach aktuellen Vorfällen in Ihrer Branche oder nach personellen Veränderungen. Ergänzend sind simulierte Phishing-Tests hilfreich, um das Bewusstsein kontinuierlich zu schärfen.

Muss ich Cyberangriffe melden?

Für NIS2-pflichtige Unternehmen gilt: erhebliche Sicherheitsvorfälle müssen innerhalb von 24 Stunden an das BSI gemeldet werden. Auch nach DSGVO können Datenschutzverletzungen meldepflichtig sein (72 Stunden an die zuständige Datenschutzbehörde). Im Zweifel immer rechtlichen Rat einholen.

Wie erkenne ich, ob mein Unternehmen bereits angegriffen wurde?

Klassische Anzeichen: ungewöhnlich langsame Systeme, unbekannte Prozesse oder Programme, unerklärliche Dateitypänderungen, erhöhter Netzwerkverkehr nachts, Konten mit unerklärlichen Aktivitäten. Ein professionelles Netzwerkmonitoring erkennt solche Anomalien frühzeitig automatisch.

Was tue ich, wenn mein Betrieb Opfer eines Ransomware-Angriffs wird?

1. Betroffene Systeme sofort vom Netzwerk trennen (aber nicht ausschalten). 2. IT-Sicherheitsexperten und ggf. BSI informieren. 3. Strafanzeige erstatten. 4. Backup-Wiederherstellung prüfen. Niemals vorschnell Lösegeld zahlen – es gibt keine Garantie auf Entschlüsselung, und Sie finanzieren weitere Angriffe.

Kann ich IT-Sicherheit für die Produktion auslagern?

Ja, und für viele KMU ist das die sinnvollste Lösung. Ein Managed Security Service Provider (MSSP) übernimmt Monitoring, Patch-Management und Incident Response – oft kosteneffizienter als eigenes Personal. Achten Sie auf Branchenerfahrung, klare SLAs und DSGVO-Konformität.