DGUV logo
Digitalisierung / Prävention 2/2026

Industrial Security: „Unternehmen sollten jetzt handeln, um ihre Resilienz zu stärken“

Maschinen und Anlagen sind heute zunehmend digital vernetzt. Das eröffnet neue Möglichkeiten – schafft aber auch neue Risiken für die Sicherheit von Beschäftigten. Vor diesem Hintergrund verschärft die EU die Anforderungen an die Cybersicherheit. DGUV Kompakt sprach mit Jonas Stein, Leiter des Sachgebietes Industrial Security beim Institut für Arbeitsschutz der DGUV (IFA), darüber, warum das Thema auch den Arbeitsschutz betrifft, und wie die gesetzliche Unfallversicherung Unternehmen unterstützt.

Eine Person bedient eine Steuerungssystem. (Bild: Pichapob- stock.adobe.com)
Wenn vernetzte Anlagen Schwachstellen enthalten, sind schnelle Reaktionen gefragt – für sichere Prozesse und geschützte Beschäftigte. (Bild: Pichapob- stock.adobe.com)

Herr Stein, vernetzte Maschinen und Anlagen werden zunehmend Ziel von Hackerangriffen. Warum ist das auch ein Thema für die gesetzliche Unfallversicherung?

Durch die fortschreitende Digitalisierung sind Maschinen und Anlagen immer häufiger über Funk oder das Internet vernetzt. Dadurch entstehen neue Angriffsvektoren: Schwachstellen können dann ausgenutzt werden, um die Steuerung und die Sicherheitsfunktionen von Maschinen aus der Ferne zu übernehmen. Für die gesetzliche Unfallversicherung ist das relevant, denn dabei werden nicht nur Produktionsprozesse gestört, sondern auch die Beschäftigten in Gefahr gebracht. Wenn zum Beispiel Mess-, Steuer- oder Regeltechnik verändert wird, kann das Schutzfunktionen außer Kraft setzen. Deshalb gehört auch die digitale Sicherheit von Maschinen zunehmend zum präventiven Arbeitsschutz.

Jonas Stein, Leiter des Sachgebietes Industrial Security beim IFA. (Bild: Anna Bröhl)

Welche Folgen kann es haben, wenn Maschinen oder Produktionsanlagen digital manipuliert werden – und welche Risiken entstehen dabei für Beschäftigte?

Angriffe auf Maschinen oder Anlagen können sehr unterschiedliche Folgen haben. Das können Produktionsausfälle sein, die wirtschaftliche Schäden nach sich ziehen, Vertrauensverlust der Kundschaft und Partner. Je nach Branche kann das auch zu Versorgungsengpässen der Bevölkerung führen. Für Beschäftigte kann es gefährlich werden, wenn beispielsweise Steuerungen gehackt werden. Dann kann eine Maschine plötzlich anders reagieren oder unerwartet gefährliche Bewegungen ausführen.

Auch Störungen in größeren technischen Systemen können weitreichende Folgen haben, zum Beispiel großflächige Stromausfälle. Solche Ereignisse zeigen, wie abhängig moderne Infrastruktur von funktionierenden technischen Systemen ist – und wie schnell Störungen den Alltag von vielen Menschen und Unternehmen beeinträchtigen können.

Top 5 der Sicherheits- und Gesundheitsrisiken für Unternehmen
45 Prozent der Erwerbstätigen rechnen mit einer Zunahme von Risiken durch Cyberangriffe – das zeigt die repräsentative Befragung im DGUV Barometer Arbeitswelt 2026.

Die EU verschärft die Anforderungen an Cybersicherheit – etwa mit der Maschinenverordnung und dem Cyber Resilience Act – was bedeutet das für Unternehmen?

Die EU hat inzwischen mehrere Regelwerke auf den Weg gebracht, um Cybersicherheit zu stärken. Damit werden alle Beteiligten stärker in die Pflicht genommen. So erhält die Agentur der Europäischen Union für Cybersicherheit ENISA durch den Cybersecurity Act zusätzliche Aufgaben – etwa bei der Mitwirkung bei nationalen Vorschriften oder beim Aufbau einer europäischen Schwachstellendatenbank. Der Cyber Resilience Act richtet sich vor allem an Hersteller von Produkten mit digitalen Elementen. Er legt fest, wie sie mit Sicherheitslücken umgehen und ihre Produkte sicherer machen müssen. Auch die neue europäische Maschinenverordnung verlangt, dass Maschinen besser vor böswilliger oder unbeabsichtigter Korrumpierung geschützt werden – zumindest dann, wenn dadurch Menschen gefährdet werden könnten. Neu ist außerdem die NIS-2-Richtlinie. Während früher vor allem Unternehmen kritischer Infrastruktur betroffen waren, gilt sie jetzt für deutlich mehr Branchen – von der Abfallwirtschaft bis zum Maschinenbau.

Welche Unterstützung bietet die gesetzliche Unfallversicherung den Unternehmen?

Bei so vielen Verordnungen kann man schnell den Überblick verlieren. Das IFA hat daher alle relevanten Informationen für Unternehmen zum Thema Industrial Security zusammengetragen und bietet zum Beispiel auch Seminare für Hersteller an. Gemeinsam mit DGUV Test, dem Prüf- und Zertifizierungssystem der DGUV, wurden außerdem Grundsätze entwickelt, mit denen sich Security-Aspekte in der funktionalen Sicherheit industrieller Automatisierungssysteme prüfen und zertifizieren lassen. Das IFA unterstützt aktiv die Entwicklung der internationalen Norm EN50742, die den Stand der Technik zu den Security-Anforderungen aus der neuen Maschinenverordnung beschreibt. Unternehmen sollten jedoch nicht auf die perfekte und vollständige Lösung warten, oft lassen sich mit einfachen Maßnahmen schon erste Sicherheitslücken schließen. Deshalb empfehlen wir Unternehmen, pragmatisch zu starten – zum Beispiel mit einem einfachen Drei-Schritte-Plan.

ZITAT

Unternehmen sollten jetzt nicht auf die perfekte und vollständige Lösung warten. Oft lassen sich mit einfachen Maßnahmen schon erste Sicherheitslücken schließen.

Jonas Stein

Ende des Zitats

Welche drei Schritte empfehlen Sie Unternehmen zum Einstieg?

Ein erster Schritt ist, die eigene Webseite auf typische Sicherheitsprobleme zu prüfen. Der kostenlose Onlinescanner Internet.nl zeigt mögliche Sicherheitslücken auf und gibt Hinweise, wie sie behoben werden können. Der Test prüft unter anderem auch, ob bereits eine sogenannte „security.txt“ hinterlegt ist – also ein Notfallkontakt für Sicherheitsmeldungen. Falls nicht, lässt sich das in wenigen Minuten nachholen.

Der zweite Schritt ist, einen festen Notfallkontakt für Sicherheitsmeldungen einzurichten. In vielen Unternehmen ist heute unklar, wer Hinweise auf Sicherheitslücken entgegennimmt. Meldungen werden intern weitergeleitet und versanden manchmal, weil sich niemand zuständig fühlt. Deshalb sollten Betriebe eine Person oder Stelle benennen, die solche Hinweise sammelt und bewertet. Wichtig ist zunächst eine klare Erreichbarkeit – Fachwissen kann bei Bedarf auch extern hinzugezogen werden. Das IFA stellt eine Anleitung zur Einrichtung eines Notfallkontakts für Sicherheitsmeldungen – der „security.txt“ – bereit. Für Hersteller, die unter den Cyber Resilience Act fallen, wird ein Notfallkontakt künftig sogar verpflichtend sein. Praktisch ist es, eine allgemeine Kontaktadresse wie security@example.com zu verwenden. So bleibt der Kontakt auch dann bestehen, wenn sich Zuständigkeiten im Unternehmen ändern.




Der Kurzfilm „Erreichbarkeit im IT-Notfall“ richtet sich an Unternehmen, die einen Notfallkontakt gemäß dem internationalen Standard RFC9116 einrichten wollen.

Und drittens?

Im dritten Schritt sollten Unternehmen eine Inventarliste ihrer vernetzten Maschinen und Produkte erstellen. Diese kann als Grundlage für die Umsetzung der Technische Regel für Betriebssicherheit 1115 Teil 1 dienen. Dort wird unter anderem beschrieben, welche Anforderungen für die Cybersicherheit von sicherheitsrelevanten Mess-, Steuer- und Regeltechnik gelten. So muss klar sein, wie sich Maschinen in einen sicheren Zustand versetzen lassen, wenn ihre Steuerung gehackt wurde und sie unkontrolliert laufen. Eine solche Übersicht hilft auch bei der Umsetzung der NIS-2-Richtlinie. Viele Unternehmen wissen heute oft nicht genau, welche vernetzten Geräte in ihrem Betrieb vorhanden sind oder wie deren Sicherheitsmaßnahmen organisiert sind.

Laut einer Bitkom-Studie haben deutsche Unternehmen in 2025 durch Cyberattacken einen Gesamtschaden von 202,4 Milliarden Euro in 12 Monaten erlitten. Rund 20 Prozent mehr, als noch im Vorjahr. Es ist von entscheidender Bedeutung, heute mit einer sicheren IT-Infrastruktur zu beginnen und bekannte Schwachstellen konsequent zu schließen. Auf diese Weise kann die Resilienz eines Unternehmens Schritt für Schritt gestärkt werden, sodass es auf Angriffe vorbereitet ist.

GUT ZU WISSEN

Beitrag teilen:

MEHR ZUM THEMA

Das Bild zeigt einen Konverter im Stahlwerk.
Digitalisierung 2/2023

Cyber Resilience Act

Digitale Schwachstellen in der Produktion gefährden die Sicherheit von Beschäftigten. Mit dem Cyber Resilience Act möchte die EU-Kommission dem entgegenwirken und Produkte mit digitalen Elementen sicherer machen. DGUV Kompakt sprach mit Jonas Stein, Leiter des Arbeitskreises Security der DGUV über den Verordnungsentwurf der EU-Kommission.

Weiterlesen
Eine Person mit Warnweste löscht bei einer Brandschutzübung im Freien mit einem Feuerlöscher einen großen, kontrollierten Flammenbrand.
Prävention 1/2026

Krisenfestigkeit beginnt am Arbeitsplatz

Ob Fachkräftemangel, Cyberangriffe oder Extremwetter: Deutschlands Handlungsfähigkeit entscheidet sich nicht nur in Krisenstäben, sondern im Alltag von Betrieben und Einrichtungen. Ein Stabilitätsfaktor ist dabei die gesetzliche Unfallversicherung.

Weiterlesen
Eine Grafik mit einem Helm, einem Funkgerät und einem Notizblock.
Prävention 2/2026

Prävention ist wichtiger Teil der Krisenvorsorge

Rund 90 Prozent der Beschäftigten halten Prävention für wichtig, damit ihr Unternehmen gegenüber Krisen gewappnet ist. Als häufigste Maßnahmen zur Vorsorge nennen sie Ausbildung und Übungen, IT-Sicherheitsmaßnahmen sowie Notfall- und Krisenpläne. Weitere spannende Einblicke liefert das „DGUV Barometer Arbeitswelt 2026“.

Weiterlesen