Die Fertigungsindustrie ist ein Top-Angriffsziel für Cyberkriminelle. OT-Angriffe beginnen meist in der IT – über Phishing, unsichere Fernzugänge oder ungepatchte Server. Von dort bewegen sich die Angreifer lateral bis in die Produktionssysteme. Windows-basierte Systeme der Purdue-Ebene 3 und darüber sind dabei besonders gefährdet.
OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server.
Die Fertigungsindustrie ist laut Security Operations Report 2025 eines der Top-Angriffsziele von Hackern, denn hier finden sich oftmals komplexe und veraltete Infrastrukturen, aber auch wertvolle Daten und eine geringe Toleranz gegenüber Ausfallzeiten. Eine umfassende Strategie für Operational Technology (OT)-Security sollte daher selbstverständlich sein. Sollte! Denn nicht selten fehlen die nötigen Kenntnisse. Wie können Produktionsunternehmen ihre wichtigen Systeme und physische Maschinen erfolgreich schützen?
Die Anforderungen an moderne Produktionsbetriebe steigen rasant. Digitalisierung, Automatisierung und die zunehmende Verflechtung mit IT-Systemen gestalten Fertigungsprozesse effizienter – zugleich erhöht sich jedoch die Angriffsfläche massiv. OT, also Soft- und Hardware zur Überwachung und Steuerung von Fertigungsanlagen und -maschinen, war in der Vergangenheit meist abgeschottet, doch diese Zeiten sind vorbei. Heute sind Maschinen, Steuerungen, Sensoren und Leitstände Teil eines komplexen digitalen Ökosystems, das mit Lieferketten, Cloud-Diensten, externen Servicepartnern und internen IT-Strukturen vernetzt ist. Damit werden OT-Umgebungen zum attraktiven Ziel für Cyberangriffe. Auch wenn Cyberkriminelle es teils gar nicht gezielt auf die Produktion abgesehen haben, dringt deren genutzte Malware dennoch bis tief in industrielle Anlagen vor und richtet erheblichen Schaden an hinsichtlich eingeschränkter Business Continuity und der durch stillstehende Produktionsanlagen verursachten hohen finanziellen Einbußen.
OT-Systeme sind heute kaum noch isoliert, wie es teils in der Vergangenheit der Fall war. Vernetzte Produktionsplanung, Industrial IoT (IIoT), cloudbasierte Predictive-Maintenance-Lösungen und Remote-Access-Infrastrukturen für Dienstleister schaffen neue Abhängigkeiten und damit neue Angriffsflächen. Gleichzeitig steigt die Bedrohungslage, wie auch der jüngste BSI-Jahresbericht zur IT-Sicherheit in Deutschland belegt: Ransomware-Kampagnen dringen über kompromittierte IT-Systeme in industrielle Netzwerke ein, Angriffe auf Zulieferer gelangen über Netzwerkverbindungen direkt in die Fertigung, und auch Nationalstaaten gesponserte Bedrohungsakteure fokussieren kritische Industrien und KRITIS-Unternehmen, wie Energieerzeugung und Wasseraufbereitung, zunehmend als geopolitische Ziele.
Die Folgen sind gravierend. Ein erfolgreicher Angriff kann Produktionslinien vollständig stilllegen, enorme Schäden anrichten, Umwelt- oder Sicherheitsrisiken verursachen, lange Wiederanlaufzeiten nach sich ziehen und damit exorbitante Kosten hervorrufen – eine Katastrophe für die Produktion. Besonders in Branchen wie Chemie, Energie, Pharma oder Automotive sind die Auswirkungen potenziell existenzgefährdend. Doch „echte“, gezielt auf Industrielle Steuerungs- und Automatisierungssysteme (kurz, ICS) gerichtete OT-Angriffe sind selten. Üblicherweise stammt der überwiegende Teil der Vorfälle aus klassischen IT-Angriffen, die auf Purdue-Level-3-Systeme überschwappen – also genau jene Windows-basierten Bedien- und Leitstandsysteme, die das Rückgrat moderner OT-Architekturen bilden und besonders leicht kompromittiert werden können.
Während bei IT-Security traditionell Vertraulichkeit und Integrität im Fokus stehen, ist in der OT-Security die Verfügbarkeit im Vordergrund. Denn ein einziger Ausfall kann Maschinen beschädigen, Prozesse stoppen und Sicherheitsmechanismen beeinträchtigen. Zudem sind OT-Landschaften geprägt von sehr langen Lebenszyklen. Anlagen bleiben 20–30 Jahre in Betrieb, oft ohne regelmäßige Updates, und setzen auf herstellerspezifische Protokolle sowie proprietäre Technik. Ausfallzeiten sind mit Kosten verbunden, während das Patching eine begrenzte Unterbrechung der Produktion zur Folge haben kann und daher häufig vermieden wird und oftmals der Grundsatz herrscht „never change a running System“. Dies führt wiederum zu einer Vielzahl ungepatchter Systeme oder am Ende ihres Lebenszyklus angekommener Software.
Ein oft unterschätzter Faktor ist die Kulturbarriere zwischen Ingenieursteams und IT-Security-Verantwortlichen. OT-Personal, üblicherweise dem Ingenieurwesen zugehörig, denkt in physikalischen Prozessen und Anlagenverfügbarkeit, während IT-Security auf Daten, Zugriffe und Angriffsvektoren fokussiert. Um diese kulturellen Hindernisse zu überwinden, sollten gemeinsame Ziele definiert werden. Und die Führungsebene sollte ein Bewusstsein für Cyberhygiene schaffen sowie kontinuierliche Security-Awareness-Maßnahmen durchführen.
Viele industrielle Netzwerke weisen typische Schwachstellen auf, die Angriffe erleichtern. Besonders verbreitet sind unsichere Fernzugänge, die meist über VPNs oder Remote-Maintenance-Tools entstehen und häufig ohne Multi-Faktor-Authentifizierung oder klare Zugriffskontrollen betrieben werden. Auch übermäßig offene Netzwerkstrukturen ohne ausreichende Segmentierung sind ein Problem: Historisch gewachsene Netze erlauben oft Kommunikation zwischen Systemen, die funktional nichts miteinander zu tun haben, was Angreifern eine schnelle Ausbreitung erleichtert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch wenn OT-Angriffe oft mit Sabotageszenarien in Verbindung gebracht werden, beginnt die Realität fast immer in der IT. Ein typisches Muster: Ein Mitarbeitender klickt auf einen Phishing-Link, ein Server mit veralteter Software wird kompromittiert oder ein unsicherer Remotezugang wird missbraucht. Von dort aus bewegen sich Angreifer lateral durch das Netzwerk, bis sie Produktionssysteme erreichen – häufig, ohne überhaupt zu wissen, dass sie sich bereits im OT-Bereich befinden.
Die OT-Sicherheitslandschaft ist von wachsenden regulatorischen Anforderungen geprägt. ISA/IEC 62443 gilt international als Goldstandard für industrielle Sicherheit und bietet konkrete technische wie organisatorische Leitlinien. In Europa verschärft die NIS2-Richtlinie die Pflichten für Betreiber wesentlicher Dienste.
Wirksame OT-Security folgt einem mehrstufigen Ansatz, der technische, organisatorische und prozessuale Maßnahmen vereint. Besonders wichtig ist die saubere Netzwerksegmentierung entlang der Prinzipien von ISA/IEC 62443. Durch die konsequente Trennung in Teilbereiche und definierte Kommunikationspfade wird verhindert, dass Angreifer sich ungehindert zwischen Anlagenbereichen bewegen und so einen erheblichen Schaden anrichten können.
OT-Trends und -Entwicklungen
Die zunehmende Verschmelzung von IT und OT wird sich weiter beschleunigen. Aktuelle OT-Trends wie Predictive Maintenance, cloudbasierte Produktionsoptimierung, Industrial-IoT-Plattformen und intelligente Edge-Geräte erhöhen die Effizienz, erweitern aber zugleich die potenziellen Angriffsflächen.
Die durch die Verzahnung von Produktion, IT-Systemen, Cloud-Diensten und externen Partnern entstehenden Cyberrisiken können Fertigungsunternehmen selbst oft nicht ausreichend absichern können, da Fachwissen und die personellen Ressourcen fehlen.
Durch kontinuierliches 24/7-Monitoring erkennen spezialisierte Sicherheitsanbieter ungewöhnliche Aktivitäten frühzeitig, besonders auf den Windows-basierten Systemen der Purdue-Ebene 3 und darüber, die häufig Einfallstor für Ransomware und andere Angriffe sind. MDR- und SIEM-Dienste schaffen Transparenz in Netzwerken, in denen vielen Unternehmen bislang ein vollständiger Überblick über ihre Anlagen fehlt.
Darüber hinaus unterstützen externe Security-Partner Organisationen dabei, sichere Netzwerkarchitekturen zu entwickeln, Wartungszugänge zu härten und Segmentierungen nach etablierten Standards wie ISA/IEC 62443 umzusetzen. Sie helfen beim Aufbau realistischer Notfall- und Wiederanlaufpläne und fördern das Zusammenspiel von IT und OT, das entscheidend für eine robuste Sicherheitsstrategie ist. Denn: Zukunftssichere Produktion bedeutet nicht mehr nur Automatisierung und Effizienz, sondern auch professionelle, kontinuierliche Absicherung.
Über den Autor: Dr. Sebastian Schmerl ist Vice President Security Services EMEA bei Arctic Wolf.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a9/62/a962c633bbdf2f9339fc98bb18925b75/0129989356v1.jpeg "OT-Angriffe beginnen meist in der IT-Ebene – über Phishing, unsichere Fernzugänge oder ungepatchte Server. (Bild: © Gorodenkoff & patcharin.inn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fc/b3/fcb3e33cc8b9edfb6da342799d5f9258/0129776266v2.jpeg "Laut CrowdStrike Global Threat Report 2026 stiegen KI-gestützte Angriffe 2025 um 89 Prozent, die durchschnittliche Breakout-Time sank auf 29 Minuten und der schnellste beobachtete KI-Angriff dauerte nur 27 Sekunden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ee/8f/ee8fd3e601efda83748e775362b135bc/0129532315v1.jpeg "Die CBL-Datenretter isolierten die Speicherchips aus den korrodierten Karten und stellten nach eigenen Angaben sämtliche bis zum Geräteausfall aufgezeichneten Messwerte wieder her. (Bild: CBL Datenrettung)")
:quality(80)/p7i.vogel.de/wcms/e3/33/e333763ff26e13e15edaf3f9be1dbea5/0129982986v2.jpeg "Apache Tomcat wird häufig als Open-Source-Servlet-Container für die Ausführung von Java-Webanwendungen eingesetzt. Nun birgt die Lösung die Gefahr, dass Angreifer Sicherheitsfunktionen umgehen und sensible Informationen offenlegen können. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ec/43/ec43df4852a8729dce70830946f5cea5/0127004380v2.jpeg "Arctic Wolf zufolge bleiben viele Security Operations Center außerhalb der gängigen Öffnungszeiten unbesetzt – doch genau dann schlagen Cyberkriminelle zu. (Bild: kjekol - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/c3/2ec388af9c64f7e064612bbceb53a4bc/0128563396v2.jpeg "Ransomware nutzt die Verzahnung von IT und OT bei Pharmaunternehmen gezielt für Angriffe. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/cf/c5cfcb9be4f93fad382f7051b6a28ad0/0126746504v2.jpeg "OT-Security schützt vernetzte Produktionsanlagen vor Ransomware und senkt das Risiko kostspieliger Betriebsunterbrechungen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/45/b44566421cbd0fd6b11fc28219b93db8/0126652168v2.jpeg "Ein sicherer Wiederanlauf nach Cyberangriffen wird für ICS und OT mit NIS2, CRA und IEC 62443 verbindlich vorgeschrieben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/61/c36127843f6ceabfe5c7e2b6a7e086d6/0124448088v1.jpeg "Die zunehmend digitalisierte Industrie steht gerade in Deutschland vor erheblichen Risiken durch IoT-Ransomware. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/19/9e/199e074339292c15faa8f14c4532e45a/0125181237v2.jpeg "Risiken minimieren, Fertigung sichern – So funktioniert dynamisches Patchmanagement. (Bild: © Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/7b/b37bc99b363c8e805867d698123c0b31/0126789809v1.jpeg "Digitale Schutzmauern für die Industrie 4.0: Wie OT-Segmentierung als unsichtbare Firewall zwischen Maschinen wirkt und Produktionsanlagen vor Cyberangriffen schützt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e1/5e/e15ef7cc34cfe2e457d59ab019b207fe/0124983065v2.jpeg "OT-Systeme stehen gezielt im Visier professioneller Cybercrime-Gruppen und nationalstaatlicher Akteure. Schon ein einziger kompromittierter Fernwartungszugang reicht aus, um Produktionsketten global zu stoppen. (Bild: © tippapatt - stock.adobe.com)")