Pixelköpfe in orange

(Bild: Noppakun – stock.adobe.com)

  • Cyberangriffe nehmen zu, wirken aber weniger stark: Unternehmen im Maschinen- und Anlagenbau zeigen verbesserte Resilienz, dennoch bleiben Produktionsausfälle und finanzielle Schäden häufig.
  • Mensch im Fokus der Bedrohungen: Social Engineering, Phishing und menschliches Fehlverhalten stellen die größten Risiken dar – technischer Schutz reicht allein nicht aus.
  • Kleine Unternehmen unter Druck: KMU sind oft unzureichend auf neue Vorgaben wie CRA und NIS2 vorbereitet und benötigen gezielte Unterstützung beim Aufbau von Security-Kompetenzen.

Die Unternehmen im Maschinen- und Anlagenbau haben ihre Cyberresilienz deutlich verbessert. Dennoch verursachen Cyberangriffe jedes Jahr Schäden in dreistelliger Milliardenhöhe. Vor diesem Hintergrund hat der Fachverband Software und Digitalisierung des VDMA gemeinsam mit dem Fraunhofer AISEC die Studie „Industrial Security“ erneut durchgeführt. Die vorige Studie fand 2019 statt.

Die Ergebnisse aus der Neuauflage zeigen: Die Cyberresilienz der Unternehmen wächst – doch es bleibt Handlungsbedarf, insbesondere für kleinere Betriebe. „Natürlich ist das Ergebnis ein Fortschritt, aber noch kein Grund zur Entwarnung. Vor allem kleine und mittelständische Unternehmen müssen gezielt unterstützt werden“, sagt Maximilian Moser, Referent VDMA Software und Digitalisierung.

Sicherheit & Umwelt
Blaues Vorhängeschloss
Sicherheit & Umwelt
Was bringt der Cyber Resilience Act?

Cybersicherheit in der Chemieindustrie

Die EU hat eine Verordnung auf den Weg gebracht, die sämtliche Unternehmen besser schützen soll – den Cyber Resilience Act (CRA). Was hat es damit auf sich? Kann er die Sicherheit wirklich erhöhen? Und worauf müssen sich Unternehmen einstellen? Mehr lesen.

Mehr Angriffe, aber geringere Auswirkungen

Obwohl die Zahl der Cyberangriffe im Vergleich zur Studie aus dem Jahr 2019 gestiegen ist, haben die befragten Unternehmen inzwischen deutlich wirksamere Schutzmaßnahmen etabliert. Nur noch 55 % der Unternehmen berichten von negativen Auswirkungen durch Security-Vorfälle – ein Rückgang von knapp 70 % im Vergleich zu 2019. Besonders Produktionsausfälle (29 %) und Kapitalschäden (32 %) sind die häufigsten Folgen. Eine positive Entwicklung: In den vergangenen zwei Jahren gab es keine sicherheitskritischen Vorfälle, die Menschen oder die Umwelt gefährdet haben.


Social Engineering als größte Bedrohung

Die größte Bedrohung für Unternehmen stellt erstmals Social Engineering und Phishing dar, gefolgt von menschlichem Fehlverhalten und Sabotage. Dies zeigt, dass Unternehmen zwar zunehmend Vertrauen in ihre technischen Sicherheitsmaßnahmen haben, aber weiterhin verstärkt in die Sensibilisierung und Schulung ihrer Mitarbeiter investieren müssen.
Regulatorische Vorgaben wie der Cyber Resilience Act (CRA) und die NIS2-Richtlinie, die in der Europäischen Union die Cybersicherheit erhöhen sollen, betreffen inzwischen zwei Drittel der Unternehmen direkt. Dennoch zeigt die Studie, dass insbesondere kleine und mittelständische Unternehmen (KMU) noch nicht ausreichend auf diese Anforderungen vorbereitet sind. 30 % der KMU wissen nicht, ob sie betroffen sind. Hier besteht dringender Informations- und Unterstützungsbedarf, warnt der VDMA.

Sicherheit & Umwelt
Engineers or industrial worker at large metal pipelines and valv
Sicherheit & Umwelt
Vertraue nichts und niemandem

Cyberschutz von OT-Systemen benötigt maximale IT-Sicherheit

Nur selten werden OT-Systeme direkt angegriffen, aber Lücken und Schwachstellen in der klassischen IT sorgen bei Attacken für Schäden an OT-Systemen. Verschiedene Komponenten der Cybersecurity zu kombinieren, kann dem vorbeugen. Mehr lesen.

Mehr eigene Security-Kompetenz

Die Studie weist darüber hinaus darauf hin, dass immer mehr Unternehmen die Verantwortung für Industrial Security intern verankern. 88 % der befragten Firmen setzen auf eigenes Personal, nur noch 12 % beauftragen externe Dienstleister. Besonders im Produktionsumfeld gibt es Fortschritte: 61 % der Unternehmen haben ein Risikomanagement etabliert – ein deutlicher Anstieg gegenüber 41 % im Jahr 2019. Dennoch bleibt hier besonders für kleine Unternehmen viel zu tun.

Die Studienergebnisse in Kürze

  • Mehr Vorfälle erwartet: 54 % der Unternehmen rechnen mit einer Zunahme von Security-Vorfällen in den kommenden Jahren.
  • Schäden bleiben spürbar: Betroffene Firmen berichten vor allem über Kapitalschäden (32 %) und Produktionsausfälle (29 %). Sicherheitsrelevante Auswirkungen auf Mensch oder Umwelt wurden in den letzten zwei Jahren nicht verzeichnet.
  • Cyberresilienz steigt: Trotz einer gestiegenen Anzahl an Vorfällen zeigen sich die Auswirkungen geringer als 2019 – ein Indiz für effektivere Schutzmaßnahmen.
  • Bedrohungslage verändert sich: Social Engineering und Phishing stehen erstmals an der Spitze der wahrgenommenen Risiken, gefolgt von menschlichem Fehlverhalten und Sabotage. Neu in den Top 3: Schwachstellen in der Lieferkette.
  • Technik greift – Mensch bleibt Risikofaktor: Die Risikowahrnehmung zeigt Vertrauen in technische Schutzmaßnahmen, betont aber zugleich die Bedeutung von Mitarbeiterschulungen und Awareness-Programmen.
  • Standards bekannter, aber nicht überall umgesetzt: 93 % kennen gängige Security-Standards, nur 52 % wenden sie auch an. Gerade kleinere Unternehmen kämpfen mit Know-how-Defiziten.
  • Risikomanagement ausbaufähig: Nur 61 % haben ein strukturiertes Risikomanagement im Produktionsumfeld etabliert. Eine fundierte Abschätzung möglicher Ausfallkosten fehlt oft.
  • Regulatorischer Druck steigt: Zwei Drittel der Unternehmen sehen sich direkt von CRA und NIS2 betroffen – insbesondere als Dienstleister oder Zulieferer.
  • Gütesiegel skeptisch gesehen: Nur 8 % halten ein verpflichtendes Security-Gütesiegel beim Einkauf für sinnvoll – auch weil Schwachstellen über den Produktlebenszyklus hinweg auftreten können.

Sie möchten gerne weiterlesen?