OT-Security im Mittelstand: Warum die Produktion das nächste Ziel ist

1 Min. Lesezeit

Ransomware-Gruppen haben ein neues Lieblingsziel: Produktionsanlagen. Die Logik ist simpel – wer die Fertigung stilllegt, erzwingt Zahlung schneller als durch Datenverschlüsselung. Doch die meisten mittelständischen Fertigungsunternehmen haben OT-Security noch nicht auf dem Radar. Die Trennung von IT und OT existiert in der Praxis längst nicht mehr.

Das Wichtigste in Kürze

Dragos Report 2025: 72 Prozent Anstieg von OT-Angriffen gegenüber Vorjahr
Durchschnittliche Ausfallkosten bei OT-Incidents: 1,2 Mio. EUR/Tag (Claroty)
NIS2 erfasst erstmals auch produzierende Unternehmen ab 50 Mitarbeitern
Segmentierung zwischen IT und OT fehlt bei 60 Prozent der Mittelständler

Warum OT jetzt ins Visier gerät

Die Konvergenz von IT und OT hat die Angriffsfläche der Produktion massiv vergrößert. Maschinen, die früher air-gapped waren, sind heute über Fernwartungszugänge, IoT-Sensoren und Cloud-Anbindungen erreichbar. Ein kompromittiertes IT-Netzwerk ist oft nur einen Hop von der Produktionssteuerung entfernt.

Für Ransomware-Gruppen ist OT attraktiv: Die Schmerzgrenze ist niedrig (jede Stunde Stillstand kostet sechsstellig), die Zahlungsbereitschaft hoch und die Security-Reife gering. LockBit, BlackCat und andere Gruppen zielen gezielt auf produzierende Unternehmen.

Die Segmentierungslücke

In der Theorie sind IT und OT getrennte Netze. In der Praxis: Flat Networks ohne Segmentierung, Remote-Desktop-Zugänge auf SCADA-Systeme und gemeinsam genutzte Active-Directory-Domains. 60 Prozent der mittelständischen Fertigungsunternehmen haben keine wirksame Trennung zwischen IT und OT.

Das Purdue-Modell (ISA 95) definiert klare Zonen und Übergänge zwischen IT und OT. Die Implementierung erfordert keine Neuverkabelung – Software-Defined Segmentation und industrielle Firewalls (Fortinet, Palo Alto, Claroty) ermöglichen eine nachträgliche Zonierung.

NIS2 trifft den Mittelstand

Mit NIS2 werden erstmals auch produzierende Unternehmen ab 50 Mitarbeitern regulatorisch erfasst – wenn sie in einem der definierten Sektoren tätig sind. Maschinenbau, Lebensmittelproduktion, Chemie und Automobilzulieferer sind typische Betroffene.

Die NIS2-Anforderungen gelten für die gesamte IT-Infrastruktur – einschließlich OT. Risikomanagement, Incident Response und Supply-Chain-Security müssen auch die Produktionsumgebung abdecken. Unternehmen, die OT bisher ausgeklammert haben, müssen nachrüsten.

Quick Wins für OT-Security im Mittelstand

Fünf Sofortmaßnahmen: Erstens, Asset-Inventar der OT-Umgebung erstellen – man kann nicht schützen, was man nicht kennt. Zweitens, Netzwerksegmentierung zwischen IT und OT implementieren. Drittens, Remote-Zugänge absichern (VPN + MFA, keine direkten RDP-Verbindungen). Viertens, Backup-Strategie für SCADA/HMI-Konfigurationen erstellen. Fünftens, Incident-Response-Plan um OT-Szenarien erweitern.

Diese Maßnahmen sind mit überschaubarem Budget umsetzbar und adressieren die häufigsten Angriffsvektoren. Spezialisierte OT-Security-Lösungen (Nozomi, Claroty, Dragos) kommen in Phase 2.

Key Facts

Angriffswachstum: 72 Prozent mehr OT-Angriffe in 2025 (Dragos)

Ausfallkosten: 1,2 Mio. EUR pro Tag bei produktionsbezogenen Incidents

Segmentierung: Fehlt bei 60 Prozent der mittelständischen Fertigungsunternehmen

Häufige Fragen

Muss ich OT-Systeme patchen?

Idealerweise ja, aber OT-Patching ist komplex: Verfügbarkeitsanforderungen, Herstellerfreigaben und Validierungsprozesse machen häufige Updates schwierig. Kompensatorische Maßnahmen (Segmentierung, IDS, Virtual Patching) sind oft die pragmatischere Lösung.

Brauche ich spezialisierte OT-Security-Tools?

Für Sichtbarkeit und Anomalie-Erkennung ja. IT-Security-Tools verstehen industrielle Protokolle (Modbus, S7, OPC-UA) nicht. Nozomi Networks, Claroty und Dragos sind die führenden OT-Security-Plattformen.

Gilt NIS2 auch für Zulieferer?

Ja, über die Supply-Chain-Klausel. Auch wenn ein Zulieferer unter den Schwellenwerten liegt, können vertragliche Anforderungen von NIS2-pflichtigen Kunden gelten. In der Praxis werden Automobilzulieferer und Maschinenbauer zunehmend zu OT-Security verpflichtet.