Cyber-physische Systeme verschmelzen IT und OT zu einer gemeinsamen Steuerungs- und Datenebene. Dadurch entstehen neue Angriffsvektoren mit erheblichem Schadenspotenzial. Wenn Cyberattacken Maschinenbewegungen, Ventile oder medizinische Geräte manipulieren, steht nicht nur die Verfügbarkeit von Systemen auf dem Spiel, sondern die Sicherheit von Menschen.
Cyber-physische Systeme verschmelzen IT und OT. Manipulation von kritischen Maschinen oder Geräten kann Produktionsausfälle oder sogar Lebensgefahr verursachen.
Cyber-physische Systeme (CPS) verbinden digitale Intelligenz (Stichwort IoT) mit physischen Anlagen wie Fertigungsstraßen. Auf diese Weise schaffen sie die Grundlage für Produktionsumgebungen, die eigenständig in Echtzeit alle Vorgänge und den Zustand von Geräten analysieren, steuern und situationsbedingt reagieren können. In der Industrie ermöglichen CPS somit einen grundlegenden Wandel in industriellen, medizinischen und logistischen Prozessen: Produktionslinien passen sich selbstständig an, Transportsysteme optimieren Abläufe während des Betriebs ohne menschliches Zutun, und vernetzte medizinische Geräte ermöglichen unmittelbare Reaktionen auf Veränderungen im Patientenstatus. Beispiele wie intelligente Stromnetze, autonome Fahrzeuge oder robotergestützte chirurgische Systeme zeigen, dass CPS längst zu einem festen Bestandteil kritischer Infrastrukturen geworden sind.
Die zunehmende Verbreitung dieser Systeme verändert jedoch nicht nur Prozesse, sondern birgt auch enormes Risiko- und Schadenspotenzial. In CPS verschmelzen IT und OT nämlich zu einer gemeinsamen Steuerungs- und Datenebene. Dadurch entstehen Abhängigkeiten, deren Auswirkungen sowohl in der digitalen als auch in der analogen, physischen Welt spürbar sein können. Aktuelle Störungen zum Beispiel im Bereich der Energieinfrastruktur haben unmissverständlich klargemacht, wie verletzlich diese Art vernetzter Anlagen geworden ist. Und obwohl OT-Zwischenfälle weiterhin selten sind, können ihre Folgen Produktionsausfälle, Sicherheitsrisiken für Arbeiter oder Umweltschäden umfassen. Besonders kritisch wird es, wenn Cyberattacken direkt Maschinenbewegungen, Ventile oder medizinische Geräte manipulieren. Dann steht nicht nur die Verfügbarkeit von Systemen, sondern die Sicherheit von Menschen auf dem Spiel.
Sicherheit hat oberste Priorität
Unternehmen mit cyber-physischen Systemen benötigen deshalb eine holistische Sicherheitsstrategie. CPS-Security zielt darauf ab, Systeme mit physischem Einfluss auf die jeweiligen Anwendungen zuverlässig, vertrauenswürdig und regelkonform zu betreiben. Logischerweise reicht die traditionelle OT-Sicherheitslogik, die primär auf Verfügbarkeit und Stabilität ausgerichtet ist, in hochvernetzten Umgebungen nicht mehr aus. Im CPS-Kontext avancieren daher die Gewährleistung der Datensicherheit, die Erfüllung regulatorischer Anforderungen und der Schutz des Bedienpersonals zu gleichwertigen Prioritäten. Doch wie kann eine praktische Umsetzung aussehen? Fakt ist: Die Absicherung vernetzter Maschinen, Sensoren und Steuerungen erfordert ein Sicherheitskonzept, das über klassische Netzwerkverteidigungsmechanismen hinausgeht. Da Bedrohungen aus unbefugtem Zugriff, Schadsoftware, Fehlbedienung oder fehlerhaften Konfigurationen resultieren können, sind permanente Überwachung, strikte Authentifizierung und die Möglichkeit, ungewöhnliche Aktivitäten aufzudecken, zentrale Elemente eines wirksamen CPS-Security-Konzepts. Transparenz ist dabei der wichtigste Ausgangspunkt: Nur wer weiß, welche Geräte, Sensoren, Steuerungen und Anwendungen miteinander kommunizieren, kann Risiken erkennen und kontrollieren.
Hier setzt der Secure Access Service Edge (SASE)-Ansatz an. SASE vereint Netzwerk- und Sicherheitsfunktionen in einer cloudbasierten Architektur und ermöglicht so eine zentrale, konsistente Steuerung aller Zugriffe unabhängig davon, ob Systeme lokal, verteilt oder in der Cloud betrieben werden. Das netzwerktechnische Rückgrat bildet im SASE-Kontext ein modernes, software-definiertes Wide Area Network (SD-WAN), das sowohl im IT- als auch OT-Bereich eine zeitgemäße und zukunftsfähige Netzwerkinfrastruktur garantiert. Für CPS-Umgebungen bietet SASE überdies entscheidende Vorteile: Authentifizierung, Zugriffskontrolle, Verschlüsselung und Bedrohungserkennung greifen in einem einheitlichen Framework ineinander. Dadurch lassen sich Intransparenzen vermeiden, ungewöhnliche Aktivitäten frühzeitig erkennen und Compliance-Anforderungen wie NIS2 effizient erfüllen. Gleichzeitig folgt SASE konsequent dem Zero-Trust-Prinzip: Keinem Gerät, keiner Anwendung und keinem User wird standardmäßig vertraut, sondern jeder Zugriff auf das Unternehmensnetz und auf interne Systeme wird kontinuierlich überprüft. SASE stellt somit einen zukunftsfähigen Sicherheitsansatz dar, der die steigende Vernetzung und die wachsenden Angriffsflächen in cyber-physischen Systemen effektiv adressiert.
Ein Treiber, SASE für CPS-Systeme zu implementieren und damit Transparenz, Stabilität und Resilienz sowie höchste Sicherheit praktisch umzusetzen, ist die bereits erwähnte europäische NIS2-Richtlinie. Mit ihr wird betriebliche Resilienz zum Pflichtprogramm für Unternehmen der kritischen Infrastruktur. Betreiber kritischer Infrastrukturen (KRITIS-Betriebe) müssen nachweisen, dass Steuerungsanlagen, vernetzte Maschinen und digitale Dienste angemessen geschützt sind. Zudem sind Unternehmen im Sinne von NIS2 verpflichtet zu dokumentieren, welche Systeme in CPS-Umgebungen aktiv sind, wie diese miteinander kommunizieren und wie der Zugriff verwaltet wird. Verstöße können empfindliche Sanktionen nach sich ziehen, teils für das Unternehmen, teils für die Verantwortlichen selbst, die mit ihrem persönlichen Vermögen haften. Compliance ist damit für KRITIS-Betriebe zu einer verpflichtenden, strukturellen Aufgabe geworden. Diese Regularien sollten sich allerdings auch Nicht-KRITIS-Betriebe zum Vorbild für ihre bestenfalls SASE-basierte CPS-Security nehmen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Trotz zusätzlicher Sicherheitsrisiken und einem erweiterten Angriffsvektor schreitet die Einführung von CPS voran, da die betriebswirtschaftlichen Vorteile erheblich sind. Automatisierte, datengetriebene Prozesse erhöhen die Produktions- oder Service-Leistung, reduzieren Ausschuss und ermöglichen ressourcenschonendere Abläufe. Predictive Maintenance, also vorausschauende, teils KI-basierte Wartung, senkt die Kosten und minimiert ungeplante Produktionsstillstände. Zudem verbessern präzisere Steuerungsmechanismen die Qualität sowie Reaktionsfähigkeit der Anlagen und schaffen Raum für nachhaltigere Produktionsweisen. Zentrales Kernelement, um das alles möglich zu machen, ist die Fähigkeit, Daten unmittelbar zu erfassen, zu analysieren und in Entscheidungen umzusetzen.
Während CPS in der Fertigung automatisierte Produktionsprozesse, zustandsabhängige Wartung und adaptive Arbeitsabläufe ermöglichen, haben diese Systeme auch enorme Vorteile und Transformationskraft für das Gesundheitswesen und den Transportsektor. Im Gesundheitswesen verbessern sie etwa die diagnostische Genauigkeit, ermöglichen kontinuierliche Patientenüberwachung und unterstützen chirurgische Eingriffe. Vernetzte Geräte beschleunigen überdies Reaktionszeiten von Ärzten sowie Pflegepersonal und optimieren die Ressourcennutzung in Kliniken. Der Transportsektor profitiert hingegen durch vernetzte und autonome Fahrzeuge, die Daten in Echtzeit mit der Infrastruktur austauschen. Verkehrssysteme werden planbarer, Logistikketten effizienter und Güter lassen sich nahtlos verfolgen.
Cyber-physische Systeme beschleunigen somit den Fortschritt in allen Industriezweigen. Je intelligenter digitale Abläufe werden, desto wichtiger wird allerdings die Sicherheit, die Unternehmen bestenfalls durch SASE herstellen. Die praktische Implementierung von SASE ist für Unternehmen nicht immer unproblematisch, weshalb es sich lohnt, Managed SASE in Betracht zu ziehen. Qualifizierte Partner implementieren dabei nicht nur Software-definierte Wide Area Networks (SD-WAN) und native Sicherheitsfunktionen des Security Service Edge (SSE) wie Zero Trust Network Access (ZTNA), Secure Remote Access (SRA), Firewalls und Cloud Access Security Broker (CASB), sondern überwachen sie auch. So lastet weniger Verantwortung für die Sicherheit bei der internen IT-Abteilung eines Unternehmens.
Über den Autor: Stefan Keller ist Chief Product Officer bei Open Systems.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f0/28/f028df8ccd13e82c2e4852a9be84564f/0130316618v2.jpeg "Cyber-physische Systeme verschmelzen IT und OT. Manipulation von kritischen Maschinen oder Geräten kann Produktionsausfälle oder sogar Lebensgefahr verursachen. (Bild: © Chopang.studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/84/3584337f6e823e3ab1d8c47935d9449a/0130155465v2.jpeg "Die CISA warnt vor zwei aktiv ausgenutzten Schwachstellen im Wing FTP Server: EUVD-2025-21020 / CVE-2025-47813, die es Angreifern ermöglicht, den lokalen Installationspfad der Anwendung zu ermitteln, und die kritische EUVD-2025-21009 / CVE-2025-47812, die zu Remote Code Execution führen kann. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/65/f0/65f067d7776760cc99353d4c909ba33f/0130020244v2.jpeg "Cyberresilienz bedeuet Investition, aber sie lohnt. (Bild: alphaspirit - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/97/4697933f44abb619988f1b2044aa8f55/0128888135v1.jpeg "Ärztinnen und Ärzte nutzen häufiger KI als ihre medizinischen Fachangestellten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/05/6b057f7347f9d5c97d474ade1d7b8a1f/0129674349v2.jpeg "Cyberkriminelle missbrauchen laut Sophos virtuelle Maschinen in legitimen Hosting-Infrastrukturen, nutzen identische Hostnamen und automatisierte Angriffe über RDP, während sie Verbindungen zu verdächtigen Hosting-Anbietern aufweisen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c2/6f/c26f8917d9577d3647ac2b27106397d3/0130217833v2.jpeg "Unternehmen investieren massiv in Cybersicherheit, doch ihre wertvollsten Daten bleiben oft ungeschützt. SAP-Systeme, das Herzstück kritischer Geschäftsprozesse, werden bei Penetrationstests häufig übersehen – ein fatales Versäumnis, das Angreifern Tür und Tor öffnet. (Bild: © YOGI C - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/be/76be41bcde463802c9329eded5d45c6f/0130237353v1.jpeg "Identitätssysteme wie Entra ID kontrollieren den Zugang zu kritischen Flughafen-Systemen. Ein Ausfall legt den gesamten Betrieb lahm. (Bild: © WICHAI – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/cd/97cd33dafac13a5325e02c0c3e25bc4f/0130101877v2.jpeg "Der Linux-Kernel sollte in Versionen ab v4.11 sofort aktualisiert werden, da Sicherheitsanfälligkeiten im AppArmor-Zugriffsmechanismus es Angreifern ermöglichen, Root-Zugriff zu erlangen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/b4/45/b44566421cbd0fd6b11fc28219b93db8/0126652168v2.jpeg "Ein sicherer Wiederanlauf nach Cyberangriffen wird für ICS und OT mit NIS2, CRA und IEC 62443 verbindlich vorgeschrieben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e1/5e/e15ef7cc34cfe2e457d59ab019b207fe/0124983065v2.jpeg "OT-Systeme stehen gezielt im Visier professioneller Cybercrime-Gruppen und nationalstaatlicher Akteure. Schon ein einziger kompromittierter Fernwartungszugang reicht aus, um Produktionsketten global zu stoppen. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/bd/b9bd6e6cc5501398cb9b903a5ee4228e/0126093912v2.jpeg "Medizintechnische Geräte müssen abgesichert sein, auch gegenüber Cyberangriffen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5c/59/5c59af5f98a576fcb4edaa54f2e4f726/0125856159v1.jpeg "Thorsten Eckert, Regional Vice President Sales Central bei Claroty, über die Wichtigkeit eines durchdachten Gesamtkonzeptes: Die Netzwerksegmentierung sollte nicht als reines IT-Projekt betrachtet werden. Sie betrifft den ganzen Betrieb – organisatorisch, technisch und kulturell. (Bild: www.mallorcafotograf.com)")