Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Compliance

Maschinenbau im Mittelstand: NIS-2-Erweiterung, IEC 62443 und Spionage-Risiko

SecTepe Redaktion
|
|
7 Min. Lesezeit

Maschinenbau-Mittelständler in Deutschland sind 2026 ein doppelt attraktives Ziel: Industrie 4.0-Vernetzung schafft Angriffs-Oberflächen, jahrzehntelang aufgebautes Know-how (Konstruktions-Daten, CAD-Modelle, Werkzeug-Geometrien) ist Spionage-Trophäe ersten Ranges. Dazu kommt: NIS-2-Erweiterung trifft viele Häuser, die sich bisher als „nicht KRITIS" eingeschätzt haben.

Wer 2026 NIS-2-pflichtig ist – auch wenn er es nicht erwartet

Anlage I + II der NIS-2-Richtlinie (umgesetzt in Deutschland durch das NIS-2-Umsetzungsgesetz) erfasst u. a.:

  • Hersteller wesentlicher digitaler Geräte – darunter auch Industriegeräte mit IT-Komponenten
  • Hersteller von Maschinen, die in KRITIS-Sektoren eingesetzt werden – z. B. Pumpen für Wasserwerke, Turbinen für Kraftwerke
  • Lieferanten von KRITIS-Betreibern mit erheblicher Bedeutung (Schwellwerte: 50 MA / 10 Mio. € Umsatz)

Viele Mittelständler 80–500 MA werden 2026 erstmals durch ihren Aufsichtsrat oder einen KRITIS-Kunden mit der Frage konfrontiert: „Sind wir das jetzt?". Antwort oft: ja.

Der zweite Stressor: Industrie-Spionage 2026

Der BfV-Bericht 2025 dokumentierte 240 % mehr aufgedeckte Spionage-Vorfälle gegen deutschen Mittelstand vs. 2022. Schwerpunkte: Maschinenbau, Optik, Halbleiter, Medizintechnik. Vorgehen typisch:

  • Lieferanten-Übernahme: Kauf eines kleinen Lieferanten, der direkten Zugriff auf Konstruktions-Daten des großen Kunden hat.
  • Spear-Phishing mit fingiertem Kundenkontakt, der CAD-Datei „zur Klärung" anfordert.
  • Insider-Anwerbung: Engineering-Mitarbeiter mit Auslands-Bezug, oft über Jobwechsel.
  • OT-Lateral-Movement: Zugriff über vernetzte Maschine in der Produktions-Halle, Eskalation in das Engineering-Netz.

IEC 62443 als technisches Rahmenwerk für OT

IEC 62443 ist die internationale Norm für industrielle Automatisierungs- und Kontrollsysteme. Sie ist umfangreich (Teile 1–4), aber für den Mittelstand sind drei Bereiche praktisch relevant:

  1. Zonenmodell und Conduits (62443-3-2): Produktions-Netz strikt vom Office-Netz getrennt. Kommunikation nur über definierte Conduits mit Filterung.
  2. Security Level (SL) 2 als realistisches Ziel: Schutz gegen vorsätzliche Angriffe mit einfachen Mitteln. SL 3+4 sind für Hochsicherheits-Umgebungen.
  3. Component Security Lifecycle: Maschinen-Hersteller müssen Patch-Mechanismen, Update-Pflicht-Dokumentation, EOL-Klausel im Vertrag haben.

Die fünf Hebel, die im Maschinenbau wirken

1. OT-Asset-Inventar separat führen

SPS, HMI, Roboter, Sensoren – jeweils mit Hersteller, Software-Stand, EOL-Datum, Netz-Zone. Asset-Modul mit OT-Klasse modelliert und separater Schutzbedarfsfeststellung.

2. Zonenmodell mit Coraza/OPNsense durchsetzen

Office-Netz ↔ Engineering-Netz ↔ Produktions-Netz strikt segmentiert. Conduits explizit definiert mit Allow-Listen. Anomalie-Detektion in Wazuh auf Inter-Zone-Traffic.

3. Mail-Security mit CAD-Anhang-Forensik

CAD-Anhänge (.step, .dwg, .iges) sind Standard-Vehicle für Spear-Phishing. CAPE-Sandbox kann CAD-Loader detonieren, Macro-Code analysieren, eingebettete Skripte extrahieren.

4. Lieferanten-Risiko mit Spionage-Lens

Wer hat Zugriff auf Konstruktions-Daten? Welche Sub-Prozessoren? Eigentums-Verhältnisse jährlich überprüfen. TPRM mit Geographie-Bewertung als Risk-Score-Faktor.

5. Insider-Threat-Indikatoren im SIEM

Untypische Daten-Exporte (große CAD-Pakete in Cloud-Speicher), USB-Massenspeicher-Anschluss, Zugriffe außerhalb Arbeitszeit. Wazuh-Korrelations-Regeln dafür gibt es als Sigma-Templates.

Wo Maschinenbau-CIOs typisch unterschätzen

  • „Unsere Maschinen sind nicht im Internet." – Doch, oft. Über Service-VPN des Herstellers, über Vernetzung mit ERP, über mobile Endgeräte des Service-Technikers.
  • „CAD-Daten sind keine personenbezogenen Daten." – Stimmt, aber Geschäftsgeheimnisse-Gesetz (GeschGehG) schafft eigene Pflichten zur Geheimhaltung.
  • „IEC 62443 ist nur für die Großen." – Stimmt heute, aber Versicherer, KRITIS-Kunden und Auditoren erwarten sie zunehmend auch im Mittelstand.
  • „Spionage trifft uns nicht." – Doch, statistisch wachsendes Risiko.

Realistische Setup-Erwartung

  • 250-MA-Maschinenbauer mit 1 Werk: 9 Monate ISMS-Foundation + OT-Segmentierung, 12 Monate NIS-2-Reife, ~180 k€ initiale Investition.
  • Mehrere Werke + internationale Standorte: 12 Monate, ~280 k€, profitiert stärker von zentraler Plattform-Lösung.

Compliance-Mapping

  • NIS-2 Art. 20–23: Geschäftsleiter-Pflicht, Mindest-Maßnahmen, 24h-Frühwarnung.
  • IEC 62443: OT-Security, Zonenmodell, Component-Security-Lifecycle.
  • ISO 27001 + ISO 27019: Energie-bezogene Erweiterung für Energiewirtschafts-Lieferanten.
  • GeschGehG: Geschäftsgeheimnis-Schutz mit dokumentierter Geheimhaltungs-Maßnahme als Voraussetzung.
  • Maschinen-Verordnung 2023/1230: Cyber-Sicherheits-Anforderungen an Maschinen-Hersteller, ab 2027 anzuwenden.

Fazit

Maschinenbau im Mittelstand 2026: NIS-2-Erweiterung trifft mehr als die meisten erwarten, Industrie-Spionage ist real und wächst, IEC 62443 wird vom „Großindustrie-Thema" zum Versicherungs-Mindeststandard. Wer mit OT-Asset-Inventar, segmentiertem Zonenmodell, CAD-fähiger Mail-Security und Lieferanten-Bewertung jetzt anfängt, hat in 12 Monaten Audit-Reife – und reduziert Spionage-Risiko spürbar.

Alle Artikel ansehen Mehr aus dieser Kategorie