NIS-2 verstehen: Warum OT-Sicherheit jetzt Chefsache ist

OT-Resilienz als Antwort auf die NIS-2-Haftungsfalle - „Vom Schaltschrank zur Chefetage".  

von Dr. Gunnar Siebert

In der vernetzten Produktion ist die Verfügbarkeit der Anlagen das höchste Gut. Während die IT auf Vertraulichkeit setzt, gilt es in der Operational Technology (OT) primär Anlagenstillstände und physische Schäden in der Produktion zu verhindern. Dass Handlungsbedarf besteht, belegen die Zahlen: Mit einem jährlichen Gesamtschaden von über 267 Milliarden Euro für die deutsche Wirtschaft (Quelle: Bitkom, 2024) und einer täglichen Rate von 119 neuen Sicherheitslücken (Quelle: BSI, 2025) ist Cyber-Resilienz kein „Nice-to-have“ mehr. Besonders die deutsche OT gerät ins Visier, da Deutschland global das zweithäufigste Ziel von Angriffen auf industrielle Infrastrukturen ist (Quelle: BSI, 2025). 

Schritt 1: Das Assessment – „Hände ins Öl“ statt nur Paperwork

Ein wirksames Assessment nach NIST SP 800-82r3 lässt sich nicht vom Schreibtisch aus erledigen. Während in der IT oft Fragebögen ausreichen, ist für die Produktion ein anderer Ansatz nötig: Wer echte Resilienz will, muss die jeweiligen Produktions- und/oder Logistikstandorte vor Ort untersuchen. Der Standard NIST SP 800-82r3 bietet hierfür den pragmatischsten Rahmen, da er spezifisch auf die Besonderheiten industrieller Steuerungssysteme (ICS) eingeht.  

Praktisches Vorgehen für ein zuverlässiges Assessment: 

• Realitätscheck vor Ort: Nur eine Begehung der Produktionshallen vor Ort verschafft einen realistischen Eindruck hinsichtlich möglicher „wilder“ Wartungskabel und externer Verbindungen, ungesperrter USB-Ports an den Terminals oder alter Windows-XP Rechner, die in keinem Inventar auftauchen. 
• Hände ins Öl: Ein Gespräch mit Instandhaltern und Anlagenfahrern verschafft einen Einblick aus dem Daily Business: Papierdokumentationen sind oft veraltet, die gelebte Realität an der Maschine – etwa die provisorische WLAN-Bridge für den Fernzugriff – offenbart sich nur bei einer vor-Ort Begehung. 
• Asset Inventory: Ein Assessment ist erst dann valide, wenn die Theorie der Netzwerkpläne mit der physikalischen Verkabelung im Schaltschrank abgeglichen wurde. Eine Erfassung  aller Komponenten (SPS, HMI, Sensoren) ist unverzichtbar. Ein pragmatischer Start hierfür ist der Export von Gerätelisten aus Programmiertools oder die Nutzung passiver Netzwerk-Monitoring-Tools. 
• Network Mapping: Eine Visualisierung betrieblicher  Kommunikationspfade deckt ungeschützte Übergänge zwischen Office-IT und Produktion auf und hilft, eine klare Trennung nach  NIST-Standard stringent umzusetzen. 
• Control-Check: Eine Prüfung der Kontrollfamilien (z. B. Zugriffskontrolle, Incident Response) auf existierende Backups für Anlagenkonfigurationen, und Dokumentation sowohl aller Fernwartungszugänge (Quelle: NIST, 2023), als auch aller Kommunikationswege zum Melden von Incidents an das BSI (24h) schafft Klarheit, inwiefern diese Vorgaben bereits ganzheitlich in die Unternehmensprozesse integriert sind. 

Schritt 2: GAPs identifizieren und die Roadmap entwickeln

Das Ergebnis der Vor-Ort-Assessments ist eine Liste von GAPs – die harte Wahrheit über die Lücke zwischen Ist-Zustand und dem Soll-Zustand des Standards. Diese GAPs müssen nun in eine zeitliche Abfolge gebracht werden. 

Methodik der Roadmap-Erstellung: Priorisierung der Maßnahmen nach dem Risiko (Eintrittswahrscheinlichkeit × Schadensausmaß). 

• Quick Wins (0-6 Monate): Sofortige Härtung, Deaktivieren ungenutzter Netzwerk-Ports, Einführung komplexer Passwörter, Multi-Faktor-Authentifizierung (MFA) für externe Dienstleister/Fernzugriffe. 

• Strukturelle Projekte (6-18 Monate): Einführung einer Netzwerksegmentierung (Zonen/Conduits) gemäß IEC 62433 und Implementierung von Systemen zur Angriffserkennung. 

• Reifegrad-Entwicklung (Strategisch): Vollständige Integration der OT in das Krisenmanagement und Aufbau eines kontinuierliches Schwachstellen-Monitorings. Wenn möglich Integration in ein Security Operations Center (Quelle: Allianz für Cybersicherheit, 2024). 

Schritt 3: Supply Chain Analyse – Pragmatismus durch Einkauf & SAP

Ein kritisches Einfallstor bleibt die Lieferkette. Hacker nutzen häufig Fernwartungszugänge von Partnern als Einstiegspunkt. Pragmatische Hilfe bietet eine Analyse der Lieferkette über den Einkauf oder ein bestehendes SAP-System und eine darauf basierende  Liste aller Partner mit OT-Zugriff. Wer hat VPN-Zugänge? Sind diese dauerhaft offen oder „on demand“? Dieser Abgleich zwischen Buchhaltung (wer wird bezahlt?) und IT (wer hat Zugriff?) deckt oft gefährliche Schatten-Zugänge auf (Quelle: ENISA, 2024). 

Schritt 4: Die Rolle der Cyber-Versicherung

Eine Cyber-Versicherung ist kein Ersatz für Sicherheit, sondern ein Instrument des Risikotransfers. Sie fungiert als „Sicherheitsgurt“, während technische Maßnahmen die „Bremsen“ sind. 

• Versicherbarkeit: Versicherer fordern heute strikte Mindeststandards (z. B. MFA, Backups, Segmentierung). Ohne ein nachweisbares Assessment nach NIST oder IEC sinken die Chancen auf einen Vertrag – oder die Prämien steigen massiv. 

• Schadenbegrenzung: Im Ernstfall stellt die Versicherung Forensik-Teams und Krisenmanager bereit, was die Wiederanlaufzeit (Recovery Time Objective) drastisch verkürzen kann (Quelle: GDV, 2024). 

Schritt 5: C-Level Verständnis und die Haftungsfalle

OT-Sicherheit ist Chefsache! Mit der NIS2-Richtlinie verschärft sich die Rechtslage: Geschäftsführer haften bei Vernachlässigung angemessener Schutzmaßnahmen nun persönlich mit ihrem Privatvermögen. Compliance ist somit der Hebel, um notwendige Budgets für die Resilienz freizumachen (Quelle: EU-Kommission, 2022 / Bundesregierung, 2025). Wichtig ist hier ein gemeinsames Verständnis, dass Ransomware-Angriffe auf die Produktion (Quelle: BSI, 2025) existenzbedrohend sind. Die Ausrede, Sicherheit sei ein reines IT-Thema, ist rechtlich hinfällig. Die Geschäftsführung muss Schutzmaßnahmen nicht nur absegnen, sondern deren Umsetzung aktiv überwachen (Quelle: EU-Kommission, 2022 / Bundesregierung, 2025). 

Ausblick: Kontinuierliche Resilienz und Benchmarking

Resilienz ist kein einmaliges Projekt, sondern ein Dauerzustand. In Zukunft wird die Kombination aus NIST SP 800-82r3 (für technische Kontrollen) und der IEC 62443 (für Prozesse und Produktsicherheit) zum Standard-Duo der Industrie. 

Zentrale Bausteine für die Zukunft: 

• Kontinuierliches Assessment: Jährliche Überprüfungen statt einmaliger Audits sichern das Schutzniveau langfristig ab.  

• Benchmarking: Abgleich des betrieblichen Reifegrads (Maturity Level) mit Wettbewerbern oder Branchenstandards. Wo steht das Unternehmen im Vergleich zum Marktdurchschnitt oder Wettbewerb? 

• Vom Reagieren zum Agieren: Die Fähigkeit, aus Vorfällen zu lernen und Sicherheitsstrategien dynamisch an neue Bedrohungslagen anzupassen (Quelle: BSI, 2025). 

Durch diesen ganzheitlichen Ansatz – von der Begehung in den Werkhallen bis zur strategischen Absicherung im C-Level – sichern Unternehmen ihre globale Wettbewerbsfähigkeit in einer volatilen digitalen Welt. In zukünftigen Projekten gilt es, den Ansatz in realen Industrieumgebungen weiter zu validieren und in wiederholbare Assessment- und Umsetzungsframeworks zu überführen.  

Durch die gesetzlich geregelte Deadline zur Registrierung bis 6. März 2026 gilt es, schnell zu handeln, um finanzielle Strafen zu vermeiden und eine nachhaltige betriebliche Sicherheit im Rahmen der NIS2-Gesetzgebung zu gewährleisten. Die Cyber-Experten von hendricks und Howden unterstützen Sie gerne dabei.  

Bleiben Sie auf dem Laufenden, abonnieren Sie unseren kostenlosen Newsletter und erhalten Sie immer die neuesten Nachrichten und Analysen direkt in Ihren Posteingang.