Alle Augen auf Cybersicherheit

Maßnahmen zum Schutz überwachungsbedürftiger Anlagen

Heute muss sich jeder Anlagenbetreiber mit dem Thema Cybersicherheit beschäftigen. Doch steigende Angriffszahlen und regulatorische Anforderungen stellen insbesondere kleine und mittlere Unternehmen vor große Herausforderungen.

Jona Göbelbecker Jona Göbelbecker Jona Göbelbecker Chefredakteur CHEMIE TECHNIK

13. Februar 2026 - 06:08

2 min

Nahaufnahme eines Auges mit überlagertem Raster, das einen biometrischen Scan symbolisiert.

Bild: Khaisan – stock.adobe.com

Cybersicherheit ist für Betreiber überwachungsbedürftiger Anlagen heute ein unverzichtbares Thema, sowohl aus wirtschaftlichem Eigeninteresse als auch aus sicherheitstechnischer Perspektive.
Einer steigenden Zahl an Angriffen steht eine wachsende Komplexität regulatorischer Anforderungen entgegen.
Insbesondere KMU müssen sich mit der Frage auseinandersetzen, wie sie ihre technischen Anlagen und Daten effektiv schützen können, ohne den Überblick über die Vorschriften zu verlieren.

Etwa 80 % der Angriffe erfolgen laut Cybercrime-Report des Bundeskriminalamts über Ransomware. Diese Schadprogramme sind darauf ausgelegt, Rechnersysteme zu verschlüsseln und Daten zu stehlen, um Lösegeld zu erpressen. Besonders anfällig für solche Angriffe sind vernetzte Produktionsanlagen, da eben diese Vernetzung unter Umständen auch ein Einfallstor für Angreifer darstellen kann. Auch Phishing und Deepfake-Anrufe sind gängige Methoden der Cyberkriminalität. Diese Angriffe gefährden nicht nur den Schutz sensibler Informationen, sondern auch die kontinuierliche und sichere Produktion, was erhebliche wirtschaftliche und sicherheitstechnische Risiken mit sich bringt.

Die wichtigsten Vorschriften

Boris Göppert, Leiter Portfoliomanagement Process Technology beim TÜV Nord, betont die Notwendigkeit eines allumfassenden Ansatzes: „Ein umfassender Cybersicherheitsprozess, der alle relevanten Schutzziele und regulatorischen Anforderungen integriert, kann erhebliche Synergien schaffen.“ Dies bedeutet, dass Betreiber durch eine gründliche Vorbereitung und die Einbeziehung aller für sie relevanten Regelwerke in einen sorgfältig abgestimmten Prozess die wesentlichen Schritte der Cybersicherheit – von der Risikoanalyse über die Implementierung bis zur Überprüfung – nur einmal durchlaufen müssen.

Die Empfehlung lautet daher, die Regulierungsbereiche nicht einzeln abzuarbeiten, sondern Anforderungen und Maßnahmen für gleiche und ähnliche Schutzziele gebündelt zu betrachten. Je nach Anlage zählen vor allem die Technische Regel für Betriebssicherheit (TRBS) 1115 Teil 1 (sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen), die NIS2-Richtlinie (Cyberresilienz kritischer Einrichtungen), die Störfallverordnung (Verhinderung schwerer Unfälle durch gefährliche Stoffe) sowie die Arbeitsschutzvorschriften (Gesundheitsschutz im Betrieb) zu den gängigsten Vorschriften und Regulierungen.

Kleine und mittlere Unternehmen cybersicher machen

Cyberattacken bedrohen zunehmend Mittelständler – Ransomware, Phishing und Angriffe auf Lieferketten sind besonders häufig. Wie Unternehmen sich präventiv im Bereich Cybersicherheit aufstellen können, erfahren Sie in diesem Beitrag.

Beispiele in KMU

Zu den überwachungsbedürftigen Anlagen, die in KMU häufig anzutreffen sind, gehören zum Beispiel Druckanlagen, vernetzte Steuerungssysteme, aber auch Aufzüge. Diese Anlagen sind oft mit temporären oder vollständigen Netzverbindungen ausgestattet, die potenzielle Angriffswege darstellen können. Angreifer wollen mit ihren direkten Angriffen über das Internet sabotieren, Daten stehlen oder verschlüsseln, um Lösegeld zu erpressen. Boris Göppert warnt auch vor einem anderen Weg: „Indirekte Angriffswege über Wartungsrechner, per USB-Schnittstelle verbundene Datenträger oder temporäre Verbindungen werden oft unterschätzt.“ So kann die Verwendung eines unwissentlich verseuchten Datenträgers selbst in einer nicht mit dem Internet verbundenen Anlage großen Schaden anrichten.

Cybersicherheit in der Chemieindustrie

Die EU hat eine Verordnung auf den Weg gebracht, die sämtliche Unternehmen besser schützen soll – den Cyber Resilience Act (CRA). Was hat es damit auf sich? Kann er die Sicherheit wirklich erhöhen? Und worauf müssen sich Unternehmen einstellen?

Praktische Ansätze für mehr Cybersicherheit

Um KMU bei der Umsetzung von Cybersicherheitsmaßnahmen zu unterstützen, bietet die TRBS 1115 Teil 1 einen neuen Anhang, der praktische Maßnahmen zur Cybersicherheit beschreibt. Eine Erhöhung der IT-Sicherheit ist durch viele Einzelmaßnahmen erreichbar. Dazu zählen das Entfernen unnötiger Dienste und Software, individuelle Anpassung der Sicherheitseinstellungen, die regelmäßige Aktualisierung von Software und Betriebssystemen, die Segmentierung von Netzwerken, die Nutzung von VPN-Verbindungen für den Fernzugriff auf Systeme, Zugriffskontrollen sowie die Einrichtung von Überwachungs- und Protokollierungssystemen. Laut Boris Göppert würde bereits die konsequente Vermeidung grundlegender Sicherheitsmängel einen erheblichen Fortschritt bedeuten. Dazu gehört die umfassende Inventarisierung aller potenziell angreifbaren Systeme, der Zugriffsschutz und bewusste Entscheidungen zur Vernetzung. Eine koordinierte Herangehensweise ist die Grundvoraussetzung für Cybersicherheit. Zugelassene Überwachungsstellen (ZÜS) wie TÜV Nord können Betreiber bei der Dokumentation unterstützen, mit Landesbehörden vermitteln und auf länderspezifische Anforderungen hinweisen.

Automatisierung und Sicherheit unter einen Hut bringen

Die Komplexität der Prozessindustrie wirkt sich auf die Sicherheit aus – insbesondere angesichts automatisierter, vernetzter und digitaler Anlagen. Physische Modelle und Virtual Reality unterstützen dabei, sichere und produktive Lösungen zu finden.

EU-Maschinenverordnung macht Cybersicherheit zur Pflicht

Die EU-Maschinenverordnung soll die Risiken eingrenzen, die durch Künstliche Intelligenz und Digitalisierung entstehen. Dieser Beitrag zeigt, mit welchen Maßnahmen Unternehmen ihre Maschinen vor Angriffen aus dem Cyberraum schützen können.