Die Intelligente Fertigung steht für die Zusammenführung von Automatisierung und Informationstechnologie (IT) in der Industrie 4.0. Der Gedanke, dass industrielle Systeme wahrscheinlich Ziel von Cyberangriffen sein werden, ist nicht neu. Es ist dabei jedoch wichtig, die technischen Aspekte zu verstehen, die die Voraussetzungen für ein erhöhtes Risiko schaffen.
Vernetzte, intelligente Fertigungssysteme bieten zwar viele wirtschaftliche Vorteile, vor allem im Hinblick auf die Effizienz, bieten Angreifern aber auch völlig neue Angriffswege.
Wir sind an einem Punkt angelangt, an dem die Herstellung eines Produkts vollständig automatisiert ist, sodass nur noch wenig oder gar kein menschliches Eingreifen mehr erforderlich ist. Basierend auf dem Forschungsbericht „Attacks on Smart Manufacturing Systems – A Forward-Looking Security Analysis“ von Trend Micro Research beleuchtet dieser Beitrag die Technologien, die ein intelligentes Fertigungssystem antreiben, sowie die nötigen Sicherheitsmaßnahmen.
In einem intelligenten Fertigungssystem gibt es drei bedeutende Verantwortungsbereiche mit entsprechenden Rollen: den Systemoperator, den MES-Operator und den Maschineningenieur. Die Rolle des Systemoperators besteht darin die Produktion zu überwachen, Warnmeldungen zu überprüfen und bei Bedarf die fertigen Waren zu entladen. Der Zuständigkeitsbereich des MES-Operators bezieht sich dabei auf den Entwurf der Arbeitsvorlagen. Die Aufgabe des Maschineningenieurs besteht darin, die Low-Level-Logik zu entwerfen und in spezifischen Maschinen zu integrieren, wodurch die High-Level-Befehle in Aktor-Anweisungen übersetzt werden.
Der Produktionsprozess wird durch das Produktionsleitsystem (Manufacturing Execution System, MES) koordiniert, bei dem es sich um eine komplexe Logikschicht auf einer Datenbank handelt. Das MES fungiert dabei als Schnittstelle zwischen dem Enterprise-Resource-Planning-System (ERP- System) und der eigentlichen physischen Anlage. Durch die variable Einsetzbarkeit des MES wird das Schreiben von „Konzepten“, die die Produktionsschritte spezifizieren, ermöglicht. Während der Ausführung erhält das MES Rückmeldungen von den Stationen, stellt sicher, dass die Reihenfolge der Anweisungen im Arbeitsauftrag eingehalten wird und ergreift bei Bedarf Korrekturmaßnahmen.
Sicherheitsanalyse
Was würde passieren, wenn beispielsweise ein Angreifer in der Lage wäre, sich als legitimer Netzwerkverkehr oder normale Host-Aktivität auszugeben? Was würde ein solcher Angreifer tun, um beständig Zu bleiben? Gibt es Angriffsmöglichkeiten, die derzeit übersehen werden und vielleicht außerhalb des Netzwerkperimeters liegen? Unternehmen sollten in der Lage sein, Antworten auf diese Fragen zu finden, um ihre Industrie-4.0-Systeme vor Angriffen zu bewahren. In einem Beispiel wird gezeigt welche Angriffsmöglichkeiten sich durch die vielen Daten- und Software-Abhängigkeiten ergeben.
In einem intelligenten Fertigungssystem sind herkömmliche Angriffe als unerwartete Muster im Netzwerk oder in der Host-Aktivität sichtbar und können mit aktuellen Gegenmaßnahmen, wie Netzwerk- und Endpunktschutzlösungen, erkannt und blockiert werden.
Abhängigkeiten im Software- und Daten-Umfeld eines intelligenten Fertigungssystems.
(Bild: Trend Micro)
Folgende Abbildung visualisiert die vielen Abhängigkeiten im Software- und Daten-Umfeld, die sich in einem intelligenten Fertigungssystem befinden. Die in der Entwicklungsphase abgebildeten Software-Add-Ins und digitalen Zwillinge sowie die anderen Komponenten wie HMI, MES und SPS sorgen für die Funktionalität der Automatisierungslogik. Die Übersetzungen der Daten werden in das ERP-System oder eine andere Datenbank geschrieben und bestimmen die vom MES geplanten Aktionen, bevor es zur Definition, der von der SPS ausgeführten Automatisierungsroutinen kommt. Im unteren linken Teil der Abbildung sind die indirekten Auswirkungen der Software-Lieferkette in den endgültigen Automatisierungsaktionen zu sehen.
Angriffsmöglichkeiten in den Daten- und Software-Abhängigkeiten eines intelligenten Fertigungssystems.
(Bild: Trend Micro)
Die nächste Abbildung veranschaulicht die Angriffsmöglichkeiten in den Daten- und Software-Abhängigkeiten. Ein Angriff, der sowohl durch die Kompromittierung über ein bösartiges industrielles Add-In als auch mittels der „Trojanisierung“ eines kundenspezifischen IIoT-Geräts geschieht, führt unmittelbar zur Beschädigung von Softwarekomponenten. Die meist komplexen Versorgungsketten tragen zur Entstehung von zahlreichen Schwachstellen bei. Der Angriff mit einem anfälligen mobilen HMI zeigt, wie durchgesickerte Informationen in einem mobilen HMI ausgenutzt werden können, um Zugang zu der von diesem HMI gesteuerten Maschine zu erhalten. In dem folgenden Beispiel handelt es sich dabei um einen Industrieroboter. Der Angriff mit Daten-Mangling auf das MES zeigt, wie sich jede Manipulation von Daten auf der ERP-System- oder Datenbankebene später auf die Automatisierung auswirken kann. Der Angriff mit der anfälligen oder böswilligen Automatisierungslogik in einer komplexen Fertigungsmaschine ist von Natur aus raffinierter, weil er Schwächen in der Automatisierungslogik ausnutzt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Insbesondere fortschrittliche Angreifer bewegen sich im industriellen Umfeld, wo sie mithilfe von genügend Ressourcen und Fähigkeiten mindestens eine Maschine, die direkt oder indirekt mit dem intelligenten Fertigungssystem verbunden ist, kompromittieren können. Dabei sind sie in der Lage Fehlfunktionen zu verursachen, die Anlagen zu beschädigen oder den Arbeitsablauf so zu verändern, dass fehlerhafte Produkte hergestellt werden.
Schutz vor Cyberangriffen
Zur Unterstützung relevanter Operational Technology (OT)-Protokolle und zur Erkennung von anomalen Nutzlasten („Telegrammen“), ist es von Vorteil eine Deep Packet Inspection auf der Netzwerkebene zu implementieren. Nicht nur sollten bei Endpunkten regelmäßige Integritätsprüfungen durchgeführt werden, um über geänderte Softwarekomponenten benachrichtigt zu werden, es ist ebenso wichtig, dass IIoT-Geräte einer zusätzlichen Code-Signierung unterzogen werden.
Ein weiteres wichtiges Element einer Sicherheitsstrategie ist das Miteinbeziehen der Automatisierungssoftware in die Risikoanalyse. Während sich die Risikobetrachtung im Industriebereich in der Vergangenheit vor allem auf die Safety (funktionale Sicherheit) und einzelne Sicherheitsmechanismen zu ihrer Sicherstellung konzentriert hat, muss heute auch die Software mit analysiert werden. So wird beispielsweise bei Kollaborativen Robotern die Safety durch Software (auf Firmware-Ebene) implementiert, was deren Bedeutung für die Risikoanalyse deutlich vergrößert.
Als grundsätzliche Formel gilt daher „über den Tellerrand hinauszudenken“. Grundlegende und unkonventionelle Angriffsvektoren setzen eine ebenso unkonventionelle Auseinandersetzung mit geeigneten Sicherheitsmaßnahmen und angemessenen Reaktionen voraus.
Zudem bietet TXOne, ein Joint-Venture zwischen Moxa und Trend Micro, Kunden einen einfachen, aber dennoch wirkungsvollen Schutz cyberphysikalischer Systeme. TXOne spezialisiert sich dabei auf den Schutz von Netzwerk-basierten Industriekomponenten sowie auf die Sicherung von PCs im Produktionsumfeld. Die Absicherung des Netzwerkes ist vor allem im Produktionsumfeld von massiver Bedeutung, da diese Netzwerke oftmals ohne jegliche Segmentierung sind. Dadurch, dass die verbauten Komponenten unverschlüsselt kommunizieren, kann ein Angriff das gesamte Netzwerk lahmlegen und die Produktion beeinträchtigen. Mit EdgeIPS und EdgeFire ermöglicht TXOne es Kunden, kritische Systeme in individuellen Segmenten laufen zu lassen, so dass sich ein Angriff in dem jeweiligen Segment eindämmt. Abhängig von der Netzwerkinfrastruktur haben Kunden die Wahl zwischen EdgeIPS zur transparenten Absicherung eines Segments oder EdgeFire zur Absicherung mehrerer Segmente.
Ebenfalls für den Schutz im industriellen Umfeld optimiert sind Portable Security und SafeLock. Portable Security, im Formfaktor ähnlich einem USB-Speicherstick, bietet die Möglichkeit, beliebige Systeme auf Malware-Befall zu überprüfen und bei Gelegenheit auch zu bereinigen. Am System selbst müssen keine Software-Installationen vorgenommen werden. Windows-Systeme können sogar direkt vom Stick aus ohne Shutdown geprüft und bereinigt werden. Im Vergleich zu normalen Speichersticks ist der Portable Security nicht beschreibbar und kann demnach nicht zur Verbreitung von Malware verwendet werden.
SafeLock ist eine Application Safelisting/Lockdown-Lösung. Nach abgeschlossener Konfiguration verhindert SafeLock die Ausführung unbekannter Programme. Somit stellt es einen wirkungsvollen Schutz gegen Schadsoftware bei gleichzeitig deutlich geringerer Systembelastung als ein normaler Virenscanner/Endpunktschutz.
Über den Autror: Udo Schneider ist IoT Security Evangelist Europe bei Trend Micro.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9b/8e/9b8e703c2e5667d0751068e017d73674/90726432.jpeg "Was hat es mit der berühmten Black-Hat-Konferenz auf sich und wie kommt man mit einem Vortragsthema dort hin? Mehr dazu in unserer neuen Podcast-Folge. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2e/c3/2ec388af9c64f7e064612bbceb53a4bc/0128563396v2.jpeg "Ransomware nutzt die Verzahnung von IT und OT bei Pharmaunternehmen gezielt für Angriffe. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")