Wenn die Fertigung stoppt: Warum der deutsche Maschinenbau zur Zielscheibe für OT-Angriffe wird
6 Min. Lesezeit
119 Ransomware-Gruppen zielen 2025 auf Industrieorganisationen – ein Anstieg von 49 Prozent. Bei 81 Prozent der OT-Umgebungen fehlt eine ausreichende Segmentierung zur IT. Der deutsche Maschinenbau steht im Fadenkreuz und die meisten Unternehmen wissen es nicht.
Das Wichtigste in Kürze
- 49 Prozent mehr Ransomware-Gruppen: Dragos hat 2025 insgesamt 119 Ransomware-Gruppen verfolgt, die auf Industrieorganisationen zielten – gegenüber 80 im Vorjahr.
- 81 Prozent ohne ausreichende Segmentierung: Bei vier von fünf bewerteten OT-Umgebungen fehlt eine saubere Trennung zwischen IT- und OT-Netzwerk (Dragos OT Cybersecurity Report 2026).
- Über zwei Drittel aus der Produktion: Das produzierende Gewerbe stellt die Mehrheit aller OT-Ransomware-Opfer weltweit.
- 119 neue Schwachstellen täglich: Das BSI meldet im Lagebericht 2025 einen Anstieg von 24 Prozent bei täglich neu entdeckten Sicherheitslücken.
- 88 Prozent ohne externe Hilfe: Die VDMA-Studie Industrial Security 2025 zeigt: Fast neun von zehn Industrieunternehmen managen OT-Sicherheit ausschließlich intern.
Die neue Qualität der Bedrohung
Ransomware gegen Industrieunternehmen ist nicht neu. Neu ist die Präzision, mit der Angreifer vorgehen. Der Dragos OT Cybersecurity Report 2026, veröffentlicht am 17. Februar 2026, dokumentiert einen qualitativen Sprung: Angreifer kartieren aktiv, wie Steuerungssysteme funktionieren. Sie verstehen, wo Befehle entstehen, wie sie sich durch die Anlage ausbreiten und wo physische Auswirkungen ausgelöst werden können.
Das ist ein fundamentaler Unterschied zur klassischen Ransomware. Wer Büro-PCs verschlüsselt, legt den E-Mail-Verkehr lahm. Wer eine Steuerungsanlage manipuliert, kann Produktionslinien zum Stillstand bringen, Qualitätsprozesse sabotieren oder im schlimmsten Fall physische Schäden an Maschinen und Personal verursachen.
Die Zahlen unterstreichen das Ausmaß: 119 verschiedene Ransomware-Gruppen zielten 2025 auf Industrieorganisationen – ein Anstieg von 49 Prozent gegenüber 2024. Betroffen waren 3.300 Organisationen weltweit. Mehr als zwei Drittel aller Opfer kommen aus dem produzierenden Gewerbe. Für den deutschen Maschinenbau, der weltweit als Technologieführer gilt, ist das eine direkte Bedrohung.
Quelle: Dragos OT Cybersecurity Year in Review, Februar 2026
Warum der Maschinenbau besonders verwundbar ist
Der deutsche Maschinenbau hat ein strukturelles Sicherheitsproblem. Produktionsanlagen sind auf Langlebigkeit ausgelegt. Eine Fräsmaschine läuft 15 bis 20 Jahre, ihre Steuerungssoftware oft genauso lange. Updates sind riskant, weil sie Produktionsprozesse unterbrechen können. Patches werden verschoben, weil niemand eine laufende Linie für ein Software-Update stoppen will.
Das Ergebnis: OT-Netzwerke, die auf veralteten Betriebssystemen laufen, mit Protokollen kommunizieren, die nie für das Internet konzipiert wurden und von IT-Abteilungen betreut werden, die für Büro-IT ausgebildet sind. Die VDMA-Studie Industrial Security 2025 (gemeinsam mit Fraunhofer AISEC) quantifiziert das Problem: 88 Prozent der befragten Industrieunternehmen managen OT-Sicherheit ausschließlich intern – ohne externe Spezialisten.
Das klingt nach Eigenverantwortung, ist aber oft Überforderung. OT-Security erfordert ein anderes Skillset als IT-Security. Ein Firewall-Administrator kann nicht automatisch die Sicherheit einer SCADA-Anlage bewerten. Die Protokolle sind andere (Modbus, OPC UA statt TCP/IP), die Prioritäten sind andere (Verfügbarkeit vor Vertraulichkeit) und die Konsequenzen eines Fehlers sind andere (Produktionsstillstand statt Datenleck).
Hinzu kommt die regulatorische Unsicherheit. Die VDMA-Studie zeigt, dass 30 Prozent der befragten KMU unsicher sind, ob sie unter die Anforderungen von CRA (Cyber Resilience Act) und NIS2 fallen. Diese Unsicherheit führt zu Passivität – und Passivität ist in der aktuellen Bedrohungslage die gefährlichste aller Strategien.
„Die Bedrohungslage hat 2025 einen neuen Reifegrad erreicht. Angreifer kartieren, wie Steuerungssysteme funktionieren – wo Befehle entstehen, wie sie sich ausbreiten und wo physische Auswirkungen ausgelöst werden können. Industrieorganisationen unterschätzen die Reichweite von Ransomware in OT-Umgebungen massiv, weil sie das Thema noch immer als reines IT-Problem behandeln.“
Robert M. Lee, CEO und Mitgründer von Dragos (OT Cybersecurity Report, Februar 2026)
Drei neue Bedrohungsgruppen im OT-Fokus
Der Dragos-Report identifiziert drei neue Bedrohungsgruppen, die 2025 erstmals gezielt KRITIS-Infrastruktur angriffen. Diese Gruppen unterscheiden sich von klassischen Ransomware-Akteuren durch ihre methodische Herangehensweise: Sie bewegen sich über Wochen unentdeckt durch OT-Netzwerke, kartieren Steuerungskreisläufe und sammeln Informationen über physische Prozesse, bevor sie zuschlagen.
Für deutsche Produktionsunternehmen ist das relevant, weil Deutschland in den Geodaten exponierter OT-Systeme prominent vertreten ist. Die Kombination aus vernetzter Industrie 4.0-Infrastruktur, hohem Automatisierungsgrad und teilweise veralteten Sicherheitskonzepten macht den Standort attraktiv für Angreifer, die physische Auswirkungen erzielen wollen.
Ein weiteres Ergebnis des Dragos-Reports verdeutlicht die operative Schwäche: Bei 82 Prozent der bewerteten Organisationen fehlen klare Kriterien, ab wann eine Betriebsanomalie eine Cyber-Untersuchung auslösen soll. Das bedeutet: Selbst wenn ein Angriff läuft, erkennen die betroffenen Unternehmen ihn womöglich nicht – weil niemand definiert hat, was ein verdächtiges Verhalten in der Produktionsumgebung überhaupt ist.
Die BSI-Perspektive: 119 neue Schwachstellen pro Tag
Das Bundesamt für Sicherheit in der Informationstechnik bestätigt die Bedrohungslage in seinem Jahresbericht 2025. Täglich wurden im Berichtszeitraum durchschnittlich 119 neue Schwachstellen in IT-Systemen bekannt – ein Wachstum von 24 Prozent gegenüber dem Vorjahr. Energieerzeugung und Fahrzeugproduktion nennt das BSI explizit als Hochrisikobereiche.
BSI-Präsidentin Claudia Plattner fasst die Lage in einem Satz zusammen: Jede aus dem Internet erreichbare Institution oder Person ist prinzipiell bedroht. Für Produktionsunternehmen, die ihre Anlagen zunehmend vernetzen, ist diese Aussage keine abstrakte Warnung. Sie beschreibt den operativen Alltag.
Russische Akteure greifen laut BSI aktiv IT-Strukturen deutscher Unternehmen, Kommunen und Privatleute an. Die geopolitische Dimension erhöht den Druck auf Unternehmen, die bisher davon ausgingen, für staatlich motivierte Angreifer nicht interessant genug zu sein. Bei Flächen-Angriffen trifft es nicht mehr nur die großen Konzerne.
Die Konvergenz von IT und OT als Sicherheitsrisiko
Industrie 4.0 hat die einst hermetisch getrennten Welten von IT und OT zusammengeführt. Vorausschauende Wartung braucht Daten aus der Produktion in der Cloud. Qualitätskontrolle per KI erfordert Bildströme von Kameras an der Fertigungslinie ins Rechenzentrum. Supply-Chain-Optimierung verknüpft ERP-Systeme mit Maschinensteuerungen. Jede dieser Verbindungen ist ein potenzielles Einfallstor.
Das Problem ist nicht die Vernetzung selbst – sie bringt reale Produktivitätsgewinne. Das Problem ist, wie sie umgesetzt wird. In vielen Unternehmen wurden die Verbindungen zwischen IT und OT ad hoc geschaffen: Ein VPN-Tunnel hier, ein Datei-Share dort, eine Remote-Desktop-Verbindung für den externen Wartungstechniker. Jede dieser Verbindungen war einzeln betrachtet pragmatisch. In der Summe ergeben sie ein Netzwerk, das kein Security-Architekt so entworfen hätte.
Continental erlebte 2022, wie schnell ein IT-Angriff die gesamte Wertschöpfungskette treffen kann. Auch wenn die Produktionsanlagen nicht direkt betroffen waren, zeigte der Vorfall, wie verwundbar vernetzte Industrieunternehmen sind. Seitdem hat das Thema in den Vorstandsetagen an Gewicht gewonnen – aber die operative Umsetzung hinkt der Erkenntnis hinterher.
Ein besonders kritischer Aspekt: Fernwartungszugänge. Viele Maschinenhersteller bieten Fernwartung über das Internet an. Diese Zugänge laufen oft über proprietäre Protokolle, die weder vom IT-Team überwacht noch vom OT-Team verstanden werden. Ein kompromittierter Fernwartungszugang gibt einem Angreifer direkten Zugriff auf die Steuerungstechnik – am gesamten Sicherheitsperimeter vorbei.
Die Lösung liegt nicht in der Abschottung, sondern in der kontrollierten Öffnung. Zero-Trust-Prinzipien, die in der IT-Welt zum Standard geworden sind, müssen auf OT-Umgebungen übertragen werden. Jede Verbindung wird authentifiziert, jeder Datenfluss überprüft, jeder Zugriff protokolliert. Das erfordert Investitionen in Technologie und Know-how – aber die Alternative ist eine Angriffsfläche, die mit jeder neuen Industrie-4.0-Initiative wächst.
Fünf Sofortmaßnahmen für Produktionsunternehmen
1. IT/OT-Segmentierung durchsetzen: Das Produktionsnetzwerk muss vom Büronetzwerk physisch oder logisch getrennt sein. Eine Firewall zwischen den Segmenten ist das Minimum. Besser: Eine demilitarisierte Zone (DMZ) mit kontrollierten Übergabepunkten für Daten, die zwischen beiden Welten fließen müssen.
2. Anomalie-Erkennung etablieren: Definieren, was normales Verhalten in der Produktionsumgebung ist. Jede Abweichung – unerwartete Verbindungen, ungewöhnliche Protokolle, Zugriffe zu ungewöhnlichen Zeiten – muss eine Untersuchung auslösen. Tools wie Nozomi Networks, Claroty oder Dragos Platform bieten OT-spezifische Anomalie-Erkennung.
3. Asset-Inventar erstellen: Man kann nicht schützen, was man nicht kennt. Viele Unternehmen haben keinen vollständigen Überblick über alle vernetzten Geräte in ihrer Produktion. Ein aktuelles Asset-Inventar mit Firmware-Versionen, Netzwerkverbindungen und Patchstand ist die Grundlage jeder OT-Sicherheitsstrategie.
4. Incident-Response-Plan für OT entwickeln: Der IT-Incident-Response-Plan gilt nicht für OT. Wenn eine Produktionsanlage angegriffen wird, gelten andere Prioritäten: Menschliche Sicherheit zuerst, dann Anlagenschutz, dann Datensicherung. Jedes Produktionsunternehmen braucht einen separaten OT-Incident-Response-Plan, der mit dem Anlagenbetrieb abgestimmt ist.
5. Regulatorische Klarheit schaffen: Prüfen, ob das Unternehmen unter NIS2 oder den Cyber Resilience Act fällt. Im Zweifel ja – die Definition der betroffenen Sektoren ist bewusst breit gefasst. Lieber jetzt vorsorglich Compliance-Maßnahmen einleiten als später unter Zeitdruck nachbessern.
Fazit
Die Bedrohungslage für den deutschen Maschinenbau ist ernst, aber nicht hoffnungslos. Die Maßnahmen sind bekannt, die Tools verfügbar, die regulatorischen Anforderungen definiert. Was fehlt, ist die Umsetzung. 81 Prozent ohne ausreichende Segmentierung, 88 Prozent ohne externe OT-Sicherheitsexpertise, 30 Prozent unsicher über die eigene Regulierungspflicht – das sind keine technischen Probleme. Es sind Managemententscheidungen, die nicht getroffen werden.
Der Dragos-Report 2026 zeigt: Die Angreifer haben aufgerüstet. Sie verstehen Produktionsanlagen besser als viele der Unternehmen, die sie betreiben. Wer diese Lücke nicht schließt, riskiert nicht nur Datenverlust, sondern Produktionsausfall. Im deutschen Maschinenbau, wo Liefertreue und Qualität die wichtigsten Differenzierungsmerkmale sind, kann ein einziger erfolgreicher OT-Angriff existenzbedrohend sein.
Häufige Fragen
Was ist der Unterschied zwischen IT-Security und OT-Security?
IT-Security schützt Daten und Geschäftsprozesse. Priorität ist Vertraulichkeit. OT-Security schützt physische Prozesse und Anlagen. Priorität ist Verfügbarkeit. Ein Ransomware-Angriff auf die IT legt E-Mails lahm. Ein Angriff auf die OT kann Produktionslinien stoppen oder Maschinen beschädigen.
Wie erkenne ich, ob mein Unternehmen unter NIS2 fällt?
NIS2 betrifft Unternehmen in 18 definierten Sektoren mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Jahresumsatz. Maschinenbau fällt unter „Herstellung“ und damit in den Anwendungsbereich. Im Zweifel sollte eine Rechtsberatung mit NIS2-Expertise hinzugezogen werden.
Was kostet eine OT-Segmentierung?
Für einen typischen Mittelständler mit ein bis zwei Produktionsstandorten liegen die Kosten zwischen 50.000 und 200.000 Euro für Hardware, Implementierung und initiale Konfiguration. Laufende Betriebskosten für Monitoring und Wartung kommen hinzu. Die Alternative – ein Produktionsausfall durch einen OT-Angriff – kostet ein Vielfaches.
Kann ich OT-Security mit meinem bestehenden IT-Team abdecken?
Grundlegende Maßnahmen ja – Asset-Inventar, Netzwerksegmentierung, Patch-Management. Für spezialisierte Aufgaben wie OT-Penetrationstests, SCADA-Sicherheitsbewertungen oder Incident Response in Produktionsumgebungen brauchen die meisten Unternehmen externe Expertise. Die VDMA-Studie zeigt, dass 88 Prozent intern arbeiten – das bedeutet nicht, dass das optimal ist.
Welche OT-Security-Tools sind für den Mittelstand geeignet?
Für die Netzwerküberwachung: Nozomi Networks Guardian oder Claroty CTD als passive Monitoring-Lösung. Für Asset-Management: Langner OT-Base oder SecurityBridge für SAP-Umgebungen. Für Segmentierung: industrielle Firewalls von Fortinet (FortiGate Rugged) oder Palo Alto (PA-Series Rugged). Der Einstieg sollte bei der Netzwerküberwachung liegen – sie zeigt die größten Risiken ohne operative Eingriffe.
Weiterlesen
- Software-Lieferkette unter Beschuss: Wie GlassWorm 400+ Entwickler traf
- NIS2-Registrierungspflicht verpasst? Die Praxis-Checkliste
Mehr aus dem MBF Media Netzwerk
- Platform Engineering 2026: Warum Unternehmen jetzt IDPs aufbauen (cloudmagazin)
- Der CFO als Tech-Stratege (Digital Chiefs)
- Cyber Resilience Act: Was Hersteller jetzt tun müssen (MyBusinessFuture)
Quelle Titelbild: Pexels / Pixabay (px:257736)
