Risikoanalyse und Risk-Management werden mit IoT-Konzepten und Haftungsfragen immer dringlicher. Bei der Cyber-Risikoanalyse geht es schon lange nicht mehr nur um digitale Assets, IT-Komponenten, Netzwerke und Computer. Zunehmend kommt auch die OT (Operation Technology) mit ihren industriellen Control Systems dazu. Eine Gesamteinschätzung fällt vielen Unternehmen allerdings noch schwer.
Insbesondere im Produktionsumfeld bringt das Industrial Internet of Things zwar viele neue Möglichkeiten, aber auch neue Herausforderungen und Cyberrisiken mit sich.
Das Industrial Internet of Things (IIOT) erhöht mit immer mehr zu schützenden Sensoren und Endgeräten die Komplexität heutiger Produktionslandschaften. Zugleich nehmen rechtliche Vorgaben die Managementetagen in die Pflicht, auf Compliance und Governance zu achten. Cybersicherheit muss genauso ernst genommen werden wie traditionelle Risiken.
Die Gefährdungslage ändert sich allerdings schnell und ständig, unter anderem durch technologische Modifikationen oder neue Angriffsvektoren. Eine Bewertung muss also kontinuierlich erfolgen. So sind beispielsweise Technologien wie Künstliche Intelligenz und Machine Learning zwar interessant für die Abwehr von Cyberattacken, sie werden aber auch von den Angreifern genutzt. Der KI-Einsatz in der Produktion wiederum generiert neue Möglichkeiten der Manipulation. Das zeigt deutlich: Eine einmalige Anstrengung reicht nicht aus, neben regelmäßigen Risikoanalysen ist auch ein dauerhaftes Risikomanagement nötig. Beide Bereiche müssen zudem eng verbunden sein: Eine Risikoanalyse, deren Ergebnisse nicht automatisch in das Risikomanagement eingebunden werden, nützt wenig.
Die erste Schwierigkeit der Cyber-Risikoanalyse liegt meist darin, dass es an Sichtbarkeit in der IT- und OT-Infrastruktur fehlt. Dafür ist eine transparente Landkarte und Übersicht über alle Assets, Endpunkte, internen und nach außen gerichteten Schnittstellen notwendig. Genauso wichtig ist ein klares Verständnis, was es in Bezug auf das Geschäft, auf finanzielle und Reputationsschäden bedeutet, wenn ein Angriff auf die jeweilige Infrastruktur erfolgt. Gerade mit Blick auf die Industrie gilt es, die Risiken in einer Sprache zu formulieren, die nicht nur IT-Spezialisten, sondern auch Geschäftsführung und Finanzvorstände verstehen.
Insbesondere im Produktionsumfeld bringt das Industrial Internet of Things neue Herausforderungen. Viele der verwendeten Technologien, zum Beispiel bei der Maschinensteuerungen, sind angesichts von Lebenszyklen über viele Jahrzehnte hinweg bereits stark veraltet. Das war in traditionellen Fabrikkonzepten, in denen man sich bewusst von der Außenwelt abgekapselt hat, kein Problem. Heute können durch die Vernetzung bekannte Schwachstellen in Steuerungen oder Embedded Systems jedoch für Cyberangriffe missbraucht werden. Es muss also nicht nur bei Neuanschaffungen darauf geachtet werden, dass sie „Secure by Design“ sind, sondern auch eine Balance gefunden werden, die installierte Basis in das Sicherheitskonzept mit einzubinden.
Bei OT Angriffen gelten andere Spielregeln
Die Folgen von Angriffen auf eine Produktionsanlage oder eine Softwarelösung sehen sehr unterschiedlich aus. Deshalb braucht es andere Prozesse dafür, wie mit einem Vorfall umgegangen wird. Anlagen basieren auf einem physikalischen Prozess, dessen Risiken man verstehen muss, auch um einen Notfallplan festzulegen: Kann die Anlage einfach stillgelegt werden oder gibt es Schritte, die vorher nötig sind? Auch die Frage nach den finanziellen Konsequenzen, wenn eine Anlage oder Maschine heruntergefahren wird, ist ein wichtiger Teilaspekt. Im IT-Umfeld ist es leicht, einen Rechner vom Netz zu trennen – in einer Produktionsanlage ist das nicht immer möglich. Deshalb ist es unbedingt nötig, im Team das Know-how unterschiedlicher Gebiete einzubeziehen, Security, Shopfloor und Business.
Eine der größten Hürden der Risikoanalyse liegt für Unternehmen darin, zu verstehen, was überhaupt geschützt werden muss. Das sind neben den physischen Geräten auch Intellectual Property und Prozesse. Ganz wichtig ist dabei, die Risiken im Zusammenhang mit dem Business zu verstehen – rein auf IT-Systeme bezogen, hat das Ergebnis wenig Aussagekraft. Außerdem müssen Cyberbedrohungen in den Gesamtkontext sämtlicher Risiken gestellt werden, damit Entscheider überhaupt zu einer Bewertung kommen können.
Besonders schwer fällt es Unternehmen vor allem, die Wahrscheinlichkeiten, mit denen ein Ereignis eintreten könnte, in Bezug auf den entstehenden Schaden zu beziffern. Es kann sehr verlockend sein, sich nur auf die Worst-Case-Szenarien zu fokussieren. Man sollte aber nicht vergessen, dass andere Risiken teilweise viel wahrscheinlicher sind und ebenfalls einen massiven Impact haben können. Es sollten also alle Risiken gewichtet werden. Nach wie vor ist der Mensch das schwächste Glied in der Kette, wenn es um Sicherheitsvorfälle geht. Mitarbeiter-Schulungen sind deshalb essenziell, kommen in der Praxis jedoch oft zu kurz. Vor allem aber fehlt noch das Verständnis dafür, dass man in einer digitalisierten Welt als Unternehmen Teil eines Ökosystems ist. Selbst wenn der interne Schutz gut ist, entstehen Risiken durch Verbindungen nach außen, beispielsweise in der Supply-Chain.
Ganz schwierig wird es beim Thema Reputationsschäden: Wie genau soll zum Beispiel ein eventueller Vertrauensverlust beim Kunden quantifiziert werden? Speziell im Umfeld der Data Privacy liegen bisher mit der DSVGO in Europa noch wenige Erfahrungen vor, welche finanziellen Konsequenzen deren Missachtung hat. Viele Unternehmen haben hier eher eine abwartende Haltung. Das wird sich erst ändern, wenn es erste Bußen gibt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Für eine tiefgehende Risikoanalyse testen Spezialisten sozusagen als „gute“ Hacker aus, welche Schwachstellen das Unternehmen hat. Solche Experten sind Mangelware. Zudem sind Fachkräfte gefragt, die das Thema Risikomanagement verstehen und die Methoden und gängigen Tools beherrschen. Aufgrund der Komplexität ist es für viele Unternehmen nicht mehr möglich, alles selbst abzudecken.
Die Notwendigkeit einer umfassenden Cyberrisiko-Analyse und vor allem des kontinuierlichen Risikomanagements ist noch nicht bei allem Unternehmen angekommen. Gerade im produzierenden Mittelstand wird häufig davon ausgegangen, dass einem selbst nichts passieren kann. Deshalb ist es hilfreich, wenn betroffene Unternehmen offen über ihre Erfahrungen sprechen, wie vor kurzem ein großer Automatisierungstechnikhersteller, dessen globales Geschäft fast zwei Wochen stillstand, weil man sich einer Erpressung mit Ransomware nicht beugen wollte. In der Praxis finden sich oft noch offene Tore, auch wenn Unternehmen sich vielleicht schon einmal mit möglichen Cyberrisiken befasst haben. Die Erfahrung zeigt: Eine systematische Vorgehensweise mit bewährten Methoden und kontinuierlichen Prozessen ist wichtig. Ad-hoc-Ansätze haben immer das Risiko, dass doch etwas übersehen wird.
Ein Fokus sollte auf der schnellen Handlungsfähigkeit im Fall einer Attacke liegen, Stichwort Response/Recovery, und einer kurzfristigen Wiederherstellung der Business-Kontinuität. Dafür ist ein mitwachsender Reaktionsplan notwendig, in dem mögliche Alternativen und Notfallprozesse dokumentiert sind. Was wenn zum Beispiel bei einer Attacke die gesamte Kommunikation ausfällt? Wer muss involviert werden, welche Systeme müssen zuerst wieder zum Laufen gebracht werden? Ganz oft haben Unternehmen keine nutzbaren System-Backups. Eine systematische Backup-Strategie, bei der die Backups regelmäßig auf ihre Einsetzbarkeit hin überprüft werden, ist also obligatorisch. Generell gilt: Statt nur theoretisch High Level für den Ernstfall zu üben, müssen auch Szenarien systematisch durchgespielt werden, nach dem Motto „was wäre, wenn?“.
Über den Autor: Markus Braendle ist Head of Cyber Security bei Airbus CyberSecurity. Mit über 850 Cybersicherheitsspezialisten und fünf Cyber Defence Centern in ganz Europa schützt Airbus CyberSecurity Kunden unter anderem aus den Bereichen Industrie, Defence und Kritische Infrastruktur. Braendle bringt eine langjährige Erfahrung aus dem Industrieumfeld bei ABB mit, wo er ein unternehmensweites Cybersicherheitsprogramm aufbaute und für die Cybersicherheit bei ABB verantwortlich war. Er hat an der ETH Zürich Universität studiert und hat einen Masterabschluss und einen PhD in Computer Science erhalten sowie einen Masterabschluss in Hochschulbildung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1698700/1698741/original.jpg "Ob im IoT oder im Industrial IoT (IIoT): Die Unternehmen, Betreiber und Anwender haben deutliche Probleme damit, die Security zu gewährleisten. (wladimir1804 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1695600/1695672/original.jpg "Die RoSI-Kennzahl sollte vor der zu tätigenden Investition errechnet und regelmäßig für bestehende Investitionen evaluiert werden. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/84/f4/84f4cc391553437e3ae8457fca14321b/89139061.jpeg "Produktionsabteilungen in der Fertigungsindustrie müssen zunehmend fachliche Verantwortung für die Absicherungen ihrer Anlagen gegen Cyberangriffe übernehmen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/de/17/de17fc3ed6f81b4697b9ed46aa18220d/0128108116v1.jpeg "Im Ernstfall müssen Expertenteams Vorfälle erkennen, betroffene Systeme isolieren und Geschäftsprozesse so schnell wie möglich stabilisieren. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/38/413884aba788403346887d865a0d6c1a/0123581733v1.jpeg "Die Sicherheit von OT-Systemen ist eine wichtige Notwendigkeit, da die fortschreitende Digitalisierung und Vernetzung nicht nur eine erhöhte Effizienz der OT, sondern auch neue Schwachstellen mit sich bringt. (Bild: Gorodenkoff - stock.adobe.com)")