#113 OT-Security in der Praxis: So schützen KMU ihre Produktionsanlagen mit Patrick Scholl

Podcast Industrie 4.0 | Der Expertentalk für den Mittelstand

Die zunehmende Vernetzung von Maschinen, Anlagen und Systemen in der Industrie bringt nicht nur Chancen, sondern auch neue Risiken mit sich.

In dieser Podcastfolge sprechen wir mit Patrick Scholl, Director OT CoE bei der Infinigate Group, über die steigende Bedeutung von OT-Security in der modernen Industrie. Gemeinsam klären wir, worin genau der Unterschied zwischen OT-Security und klassischer IT-Sicherheit liegt, welche Gefahren in vernetzten Industrieumgebungen tatsächlich lauern – sowohl von außen als auch von innen – und wie sich kleine und mittelständische Unternehmen (KMU) gezielt dagegen schützen können. Außerdem werfen wir einen Blick auf reale Praxisbeispiele und zeigen, welche konkreten Learnings sich daraus für andere Betriebe ableiten lassen.

In dieser Episode erfährst du:

– Was OT-Security für vernetzte Industrieanlagen bedeutet

– Welche typischen Sicherheitslücken es gibt – und wie man sie schließt

– Warum klassische IT-Security in der Produktion nicht ausreicht

– Wann der richtige Zeitpunkt ist, OT-Sicherheit anzugehen

– Welche Trends die OT-Security in den nächsten Jahren prägen

Jetzt reinhören, wenn du wissen willst, wie dein Unternehmen sicher und zukunftsfähig in der Industrie 4.0 bleibt.

Das Transkript zur Podcast-Folge: OT-Security in der Praxis: So schützen KMU ihre Produktionsanlagen

ANDREA SPIEGEL: Herzlich willkommen zu einer neuen Folge Industrie 4.0, der Experten-Talk für den Mittelstand. Ihr wisst, wir sprechen hier ganz viel über Digitalisierung, Automatisierung, aber auch Vernetzung von Maschinen und Co. Das sind natürlich ganz wichtige Themen für den industriellen Mittelstand.

Gerade die Vernetzung bietet unheimlich viele Möglichkeiten, Daten zu erfassen, zum Beispiel für Predictive Maintenance und so weiter. Alles, was angebunden ist, alles, was Daten liefert, damit kann man wieder etwas machen im Kontext der Digitalisierung. Das ist immer spannend und interessant. Natürlich auch viel Arbeit, viel Aufwand, aber darüber habt ihr ja schon ganz viel bei uns erfahren.

Gleichzeitig birgt so eine Vernetzung und eine Anbindung ans Internet auch immer neue Risiken. Was das eigentlich genau bedeutet, vor allem für die Anbindung im industriellen Kontext von den produzierenden Bereichen, Maschinen in der Industrie und so weiter, das schauen wir uns heute genauer an. Es geht konkret um das Thema Operational Technology Security, also OT-Sicherheit, um das mal so halb auf Deutsch zu sagen.

Dafür haben wir uns einen spannenden Gast eingeladen. Bei mir ist heute Patrick Scholl. Er ist Director des OT-Kompetenzzentrums bei der Infinigate Deutschland. Schön, dass du heute da bist.

PATRICK SCHOLL: Vielen herzlichen Dank, Andrea, für die Einladung. Freut mich sehr, heute da zu sein.

ANDREA SPIEGEL: Sehr gerne. Ich freue mich auf unser Gespräch. Wie immer an der Stelle für euch noch kurz der Hinweis: Diese Folge gibt es wieder als Video bei YouTube zu sehen. Schaut da gerne mal vorbei und lasst uns einen Daumen nach oben da.

ANDREA SPIEGEL: Patrick, ich habe dich jetzt ganz kurz mal angeteasert. Was genau machst du? Was macht die Infinigate? Vielleicht magst du uns mal kurz ein bisschen was über dich erzählen.

PATRICK SCHOLL: Sehr gerne. Die Infinigate Deutschland ist einer der führenden Value-Add-Distributoren für IT-Security. Vielleicht in der Zukunft, muss man sagen, für Security insgesamt. Darauf komme ich später nochmal zurück. Wir haben uns auf die Fahne geschrieben, den Mehrwert zu bieten: Unsere Partner, die hauptsächlich aus Integratoren und Systemhäusern im IT-Umfeld bestehen, mit Value-Adds zu versorgen – mit zusätzlichen Services, Know-how und sie in Themen aufzuschlauen, um ihnen dabei zu helfen, erfolgreicher am Markt zu sein.

ANDREA SPIEGEL: Was genau ist deine Rolle in dem Ganzen?

PATRICK SCHOLL: Meine Rolle hat tatsächlich vor rund zwei Jahren bei der Infinigate begonnen. Man hat sich dem Thema OT gewidmet, was in der Vergangenheit schon immer ein Thema war. Gerade durch unsere Vendoren, die wir im Portfolio haben, für die es natürlich ein Thema ist. Die kommen aus der IT-Security und haben zunehmend schon seit Jahrzehnten einen starken Fuß in der OT-Security-Tür. Wir haben uns als Distributor zum Ziel gesetzt, entsprechendes Wissen und Know-how bezüglich OT-Security an den Markt, an unsere Partner zu übergeben, um für sie das richtige Geschäftsmodell zu generieren.

ANDREA SPIEGEL: Dann ist ja gut, dass du heute da bist und wir quasi den Gegenpart, nämlich diejenigen, die es brauchen, heute hierüber auch gut adressieren können.

PATRICK SCHOLL: Das hoffe ich doch. Das Thema OT-Security ist kein Einzelsport, sondern tatsächlich ein Teamsport. Da spielen so viele Stakeholder mittlerweile in den Entscheidungsprozess rein. Wir haben es nicht mehr nur mit der IT zu tun oder mit der Produktion. Wenn wir über Vernetzung reden, über unterschiedliche Prozesse, dann sitzen auf einmal vom Einkauf über das QS bis hin zur Instandhaltung die unterschiedlichsten Abteilungen am Tisch, unter dem Kontext Security. Was erstmal keinen von den jeweiligen interessiert. Und trotzdem ist es ein massives Thema, das die Arbeit und die grundsätzliche Absicherung ihrer Arbeit unterstützen soll.

ANDREA SPIEGEL: Das heißt, es bringt eigentlich Menschen zusammen, das Thema?

PATRICK SCHOLL: Erstmal ja. Und das ist auch das Schöne. Ich glaube, das Thema ist neu – was heißt neu? Da muss ich mich korrigieren. Das Thema OT-Security gibt es eigentlich, seitdem wir ein Netzwerk haben. Grundsätzliche Überlegungen, wie wir ein Netzwerk resistenter, resilienter machen gegenüber Einwirkungen. Da spreche ich jetzt erstmal gar nicht so sehr von diesem bösen Hacker mit dem Hoodie, der zweifelsohne die Wertschöpfungskette von Unternehmen stören möchte. Prinzipiell haben wir es ja erstmal mit der Übergabe von Informationen, von Daten zu tun, die von A nach B gelangen sollen – ohne Unterbrechung, ohne Störung. Und das gilt es im Grunde genommen erstmal abzusichern.

ANDREA SPIEGEL: Dann schauen wir uns das gleich nochmal ganz genau an. Du hast jetzt gerade schon ein bisschen erzählt: Security allgemein ist ein Thema, es gibt IT-Security, es gibt OT-Security. Vielleicht kannst du uns einmal kurz einen Überblick geben: Wie hängt das zusammen, hängt das überhaupt zusammen und was ist der Unterschied?

PATRICK SCHOLL: Ich glaube, das ist genau das Problem gerade, dass die beiden Themen unabhängig voneinander noch betrachtet werden. Man sagt, es gibt hier die IT-Security, die schützt die Office-Umgebung. Damit, wie man dem Namen schon ableiten kann: IT – Schutz von Informationen, sehr stark getrieben durch die DSGVO, also eher datenschutzgetriebene Gesetzgebungen.

Auf der anderen Seite haben wir ein doch recht neues Geschäftsfeld. Auch wenn das Thema OT-Security sicherlich schon seit Jahrzehnten durch die kontinuierliche Anbindung von Anlagen und Maschinen ans Netzwerk in den Fokus rückt. Jetzt haben wir es aber mit einer aufkommenden Gesetzgebung zu tun. Es sind mehrere Gesetzgebungen, die auf dieses OT-Security-Konto einzahlen.

Sicherlich in vieler Munde und hoffentlich auch bei allen Podcast-Zuschauern und -Zuhörern bekannt ist die NIS 2, die die Stärkung der Cyberresilienz von Unternehmen fokussiert. Das Ganze, was mit dem Thema Cybercrime zu tun hat, ist mittlerweile die drittgrößte Volkswirtschaft der Welt. Wir reden hier über mehrere Billionen Bruttosozialprodukt eines fiktiven Staates, der kein Land hat. Ganz spannend. Man sieht einfach: Wir können es nicht mehr wegdiskutieren.

Das ist ein Thema, das auf EU-Ebene angekommen ist. Es hätte schon bis Oktober 2024 umgesetzt werden sollen, von einer europäischen Gesetzgebung in eine nationale Gesetzgebung. Da hinken wir ein bisschen hinterher. Das hatte auch den Grund, dass wir eine neue Regierung haben, die die voranschreitende Gesetzgebung nochmal neu starten lassen musste.

Jetzt ist es aber klar: Es wird sehr zeitnah kommen. Man redet hier von Anfang 2026 spätestens, dass diese Gesetzgebung auch für deutsche Unternehmen in Kraft treten soll. Und jetzt komme ich auf den Punkt, warum das Thema IT-Security und OT-Security für mich zwangsläufig zusammengehören: Wir reden hier von Security-Systemen bezüglich cyberrelevanter Assets. Alles, was irgendwo eine IP-Adresse hat, gehört in der Zukunft geschützt.

Per Gesetzgebung unterscheiden wir gar nicht mehr so sehr zwischen IT und OT, sondern es geht um grundsätzlich cyberrelevante Assets, die mit einer Struktur geschützt werden müssen. Diese Struktur gibt es seit Jahren in gängigen Normen wie der ISO 27000 oder für die OT-Security spezialisiert in der IEC 62443. Da stehen all diese Themen schon drin. In der neuen deutschen Gesetzgebung referenziert man auf den Stand der Technik und damit auf diese bestehenden Normen.

Deswegen wird IT-Security und OT-Security zwangsläufig zusammenwachsen. Wenn man in den Mittelstand hineinschaut, dann macht es insofern Sinn, als dass dieses Thema Security – egal ob IT oder OT.

ANDREA SPIEGEL: Das sind ja immer Daten. Auch Maschinen erfassen Daten und mit denen will ich etwas machen.

PATRICK SCHOLL: Richtig, auch Daten. Aber zwangsläufig wird es bei der Organisationsform aufgehängt, die schon maßgeblich damit zu tun hatte, und das ist die IT-Abteilung.

ANDREA SPIEGEL: Und die sind gerüstet dafür? Know-how-technisch, technologisch?

PATRICK SCHOLL: Ich würde sagen, da ist noch Luft nach oben. Definitiv.

ANDREA SPIEGEL: Dann schauen wir uns doch das ganze Thema Sicherheitsrisiken und Schwachstellen im OT-Bereich mal genauer an. Was gibt es da zu beachten? Wo gibt es neuralgische Punkte, an denen man vielleicht als Erstes ansetzen kann? Sind das die Maschinen selbst oder die Anbindungsart der Maschinen? Oder ist es eher ein Know-how-Schulen der Mitarbeitenden, damit die überhaupt die Awareness dafür haben? Wo fange ich an, wenn ich mich mit dem Thema beschäftigen möchte – oder jetzt auch muss, wenn es gesetzlich ein Thema wird?

PATRICK SCHOLL: Da beziehe ich mich erstmal auf die Norm, weil die uns im Grunde genommen alles vorgibt. Der Kern – und das sagt auch die Gesetzgebung in der Zukunft – wird die Geschäftsführung sein. Die Geschäftsführung muss verstehen, dass das Thema der Cyberresilienz heute zu sehen ist wie der Sicherheitsgurt im Auto.

Er ist da. Keiner stellt die Frage, ob ich einen Sicherheitsgurt anlege oder nicht. Es ist sogar so, dass mich das Auto sehr intensiv darauf hinweist, wenn ich ihn nicht angelegt habe. Oder natürlich Airbags – die sind da, und das schafft für mich ein Grundvertrauen in den Prozess des Autofahrens. Dass ich auch mal schneller fahren kann oder, wenn es eine Gefahrensituation gibt, die Systeme eingreifen.

Das kostet natürlich ein Stück weit extra. Aber keiner wird sich aussuchen wollen, ob er einen Sicherheitsgurt hat oder nicht. Das bedeutet auch für mich als Geschäftsführer: Das ist ein Thema, das ich zur Verfügung haben muss, um meine Wertschöpfungsprozesse abzusichern.

Und da entsteht im Grunde genommen das Ganze. Ich muss mir als Geschäftsführung – das sagt auch die Gesetzgebung – entsprechende Ressourcen dafür freigeben. Gehen wir mal die Prozesskette weiter durch: Die IT-Abteilung, die das Thema IT-Security heute schon betreibt, kriegt die Aufgabe, die OT-Security einzuführen. Die wird sagen: Okay, dann gehe ich doch mal auf die Produktion zu und frage, welche cyberrelevanten Assets da verbaut sind, welche Betriebssysteme dort heute eingesetzt werden.

Und das ist schon die erste große Hürde. Dadurch, dass Security nie ein Bestandteil der Prozesse war, finden wir dort eine komplett heterogene Landschaft vor. Da haben wir Betriebssysteme, da würde ich sogar Windows XP noch als modernes System einschätzen. Wir haben es teilweise mit noch älteren Betriebssystemen zu tun. Die gilt es in Grundzügen abzusichern.

Erstmal zu erkennen, zu erfassen und die Frage zu stellen: Wie gehen wir damit um? Sind dort, wo wir diese Schwachstellen finden, diese ein Teil der Wertschöpfungsprozesse in meinem Unternehmen? Und was passiert, wenn ich diese Prozesse störe?

Wenn ich die letzten Minuten zusammenfasse und auf das eigentliche Problem schaue: Wer bringt dieses Know-how? Wie geht man die ersten Schritte von der Geschäftsführung über die OT-Security-Organisation bis hin zur Asset-Aufnahme durch? Und wie gelingt uns das schnellstmöglich?

Dieser Assess-Prozess benötigt Know-how. Das versuchen wir als Infinigate weiter aufzubauen durch unsere Positionierung als Kompetenzzentrum. Das ist ganz wichtig, um überhaupt später die entsprechenden Lösungen zielgerichtet ableiten zu können.

Es ist die erste große Herausforderung. Wenn ich den Zahlen glauben mag, stecken etwa 60 Prozent aller Unternehmen heute noch in dieser Phase: Wir haben noch nichts gemacht, bis hin zu: Wir sollten auch mal diese Asset-Aufnahme starten, um dann eine Risikoanalyse durchzuführen. Die dient als Abschluss dieser Prozessphase dazu, entsprechende Requirements und Specifications abzuleiten. Ganz konkret: Was tun wir jetzt auch technologisch?

ANDREA SPIEGEL: Ist ja auch erstmal wahrscheinlich sogar noch die Frage: Sind denn meine Maschinen schon am Netz heute? Bin ich sogar schon so weit, dass es überhaupt ein Thema ist, die OT-Sicherheit? Oder plane ich das vielleicht in Zukunft und muss jetzt schon den ganzen Prozess der Security mitdenken? Oder sagst du, die meisten sind eigentlich schon so weit, dass eh schon irgendwas am Netz ist und es geht jetzt wirklich darum, den Prozess zu gestalten?

PATRICK SCHOLL: Ich glaube, es ist sogar nicht mal die Frage, was schon am Netz ist, sondern: Ist sich die Organisation dessen bewusst? Oder andersherum: Weiß die Abteilung, die das Thema Security innehat, davon?

Ich glaube, das ist der ganz große Punkt. Oftmals haben wir es mit einer Blackbox in der Produktion zu tun, wo eigentlich noch nicht klar ist, was am Netz ist. Da spreche ich oftmals nicht nur von Anlagen, sondern von der Siri, von der Kamera und sonstigen Gerätschaften, die einfach historisch ans Netz gekommen sind. Die aber natürlich ein riesiges Gefahrenpotenzial bieten.

Auf der einen Seite erhöhen sie die Angriffsoberfläche als Angriffsvektor von außen. Auf der anderen Seite beinhalten sie Gefahrenpotenzial, Netzwerke lahmzulegen und damit wiederum den Wertschöpfungsprozess über das Netzwerk zu stören.

ANDREA SPIEGEL: Was würdest du sagen, ist so der Hauptmotivator von mittelständischen Unternehmen aktuell, um sich mit dem Thema zu befassen? Sind das tendenziell eher Unternehmen, die einen Angriff erlebt haben oder irgendwie Schwierigkeiten hatten – Netzwerkausfälle oder sonst was – und deswegen auf die Idee kommen? Oder sind das Unternehmen, die sich jetzt mit der Gesetzgebung beschäftigen? Und welche würdest du dir wünschen?

PATRICK SCHOLL: Ich beobachte aus der Praxis heraus, dass Unternehmen, die bereits getroffen wurden, auf einmal über Nacht sehr viel Budget zur Verfügung stellen. Das erinnert mich oftmals ein bisschen an unser Gesundheitssystem, was ja eigentlich kein Gesundheitssystem ist, sondern ein Krankheitssystem. Wir investieren erst dann, wenn es zu spät ist.

Was ich mir wünschen würde, auch unter gesetzlichen Gesichtspunkten: Dass Unternehmen die Assess-Phase jetzt beginnen. Weil diese Assess-Phase hat einen ganz massiven Impact: Sie kostet erstmal wenig Geld. Sie braucht definitiv Know-how und sie schafft die Grundlagen dafür, die richtigen Entscheidungen zu treffen.

Nicht mit Kanonenkugeln auf Spatzen zu schießen, wenn es vielleicht schon zu spät ist und man jetzt alles Mögliche tut, damit so etwas nicht mehr vorkommt. Sondern dass man die kleinen Schritte sehr schnell geht und dosiert die richtigen Ressourcen investiert. Sowohl auf der menschlichen Seite, Aufbau oder Ausbau von Know-how, als auch auf der finanziellen Seite: Hier im Kleinen die richtigen Dinge tun, die richtige Netzwerkinfrastruktur bereits aufbauen.

Wenn wir die Assess-Phase abgeschlossen haben und genau hinschauen, was ein Netzwerk braucht, dann sind wir auch sehr schnell mit dem Stichwort Segmentierung auf dem richtigen Weg. Das bedeutet, dass wir uns neuralgische Punkte anschauen und da die richtigen Maßnahmen durchführen. Aufbauend auf der Risikoanalyse: Was besonders vulnerabel ist in meiner Wertschöpfungskette, gilt es besonders gesondert zu schützen.

ANDREA SPIEGEL: Die Maßnahmen schauen wir uns auf jeden Fall gleich noch an. Was mich noch interessieren würde: Bei der IT-Security ist ja oft ein Thema, dass die Angriffe von außen zwar doof sind, aber meistens gar nicht das größte Problem. Sondern eher, dass Unbedarftheiten von innen heraus Daten nach außen fließen lassen.

Dann gibt es irgendeine E-Mail, wo steht: Geben Sie mal hier Ihr Passwort ein, oder sonst irgendwas. Die ist gut gemacht und irgendein Mitarbeitender checkt nicht, was er da tut, und gibt eigentlich die Daten raus. Es gibt keinen direkten Angriff von außen, sondern es ist eher ein Versuch und die Mitarbeitenden sind unbedarft oder im Stress, merken es nicht – es gibt ja hundert Gründe – und geben Daten raus.

Ist es in der OT-Security auch ein Thema, diese Schwachstellen von innen betrachtet? Oder ist das eher ein Thema von außen? Oder geht es darum, das ganze Ding von außen so zu schützen, dass niemand reinkommt?

PATRICK SCHOLL: Das ist ein sehr guter Punkt, den du da adressierst. Warum ist das Thema OT-Security auf einmal so relevant? Weil wir über die letzten Jahrzehnte sukzessive die Anlagen ans Netz gebracht haben. Gerade durch das Thema der Digitalisierung. Ich habe vor 13 Jahren angefangen, mich mit dem Thema Industrie 4.0 auseinanderzusetzen. Mittlerweile haben wir Technologiesprünge, gerade durch das Thema KI. Du hattest vorher schon Predictive Maintenance genannt.

Wir haben natürlich zwangsläufig durch hohe Energiekosten als mittelständisches Unternehmen, gerade in energieintensiven Prozessen, das Thema Energie genauer anzuschauen: Spitzenlasten wegnehmen, die unheimlich teuer sind. Predictive Maintenance, um durch Analysen der Daten, wieder getrieben durch KI, Kosten zu minimieren und effektiver und effizienter zu produzieren.

Das ist über die letzten Jahrzehnte gewachsen, weil natürlich auch die Maschinen abgeschrieben sind. Es gibt Technologiesprünge, man widmet sich zu Recht diesem Thema, gerade in mittelständischen Unternehmen. Aus meiner Sicht ist gerade der Mittelstand hier gezwungen, sich immer wieder neu zu erfinden, und kann KI, Digitalisierung und Technologie nutzen, um weiterhin wettbewerbsfähig zu bleiben.

Und genau das ist der Punkt: Wir haben hier sehr viel Innovation bei mittelständischen Unternehmen. Bedeutet zwangsläufig: Die Anlagen sind modernisiert, sind am Netzwerk dran. Das Netzwerk ist meistens sehr flach. Man hat sich dem Thema Security beim Anbinden von Anlagen bisher noch nicht so richtig gewidmet, oder nur bei wenigen Unternehmen.

Wenn man den Zahlen Glauben schenken mag – und die kann ich ein Stück weit aus der Praxis bestätigen – haben wir es mit sehr flachen Netzen zu tun. Das bedeutet: Jeder Impact über die IT schlägt durch. Und insbesondere – das sieht man ja – 98 Prozent der Angriffe auf die OT kommen aus der IT.

Da mag ich die User ein bisschen in Schutz nehmen. Natürlich kann man sehr viel mit Aufklärung und Schulungen tun, aber diese Angriffe, insbesondere die Phishing-Mail-Angriffe, werden immer ausgefeilter. Gewürzt mit Social Engineering. Gleichzeitig wird die Arbeitsbelastung für Menschen nicht geringer. Sowas geht einfach unter.

Da mag ich den Menschen ein bisschen in Schutz nehmen und die Technologie vorschieben: Da muss schon die Technologie uns Menschen schützen, nebst natürlich der Aufklärung. Letztendlich schlägt jeder Impact auf die IT weiter durch, wenn ich mich nicht segmentiere.

ANDREA SPIEGEL: Wollte gerade fragen, was meinst du mit Segmentierung?

PATRICK SCHOLL: Aber das ist im Grunde auch wieder nur ein Bestandteil dessen, was wir im Grunde aufnehmen. Wie gehen wir hier jetzt im Grunde genommen mit unserem Netzwerk vor, und was tun wir jetzt konkret?

Der erste große Schritt – und das führt mich wieder zu einem Beispiel aus der Corona-Zeit zurück: Wir haben das, was wir für schützenswert gehalten haben, segmentiert und den Traffic im Grunde genommen limitiert. Wir haben uns den Traffic angeschaut.

Und genau das haben wir heute wieder: Den Schutz vor vulnerablen Wertschöpfungsprozessen, Anlagen und Maschinen. Wir müssen uns angucken, wie wir diese Risiken durch Schwachstellen entsprechend segmentieren.

ANDREA SPIEGEL: Dann schauen wir uns vielleicht noch das ganze Thema Maßnahmen mal genauer an. Du hast jetzt immer wieder Praxisbeispiele erwähnt. Ich glaube, das wäre ein ganz cooler Punkt: Vielleicht kannst du uns mal anhand eines Kunden mitnehmen und sagen, was waren deren Themen, was habt ihr rausgefunden in der Assess-Phase und welche Maßnahmen habt ihr konkret ergriffen? Wie sieht es heute bei denen aus? Vielleicht kannst du uns da mal so eine Kette mitnehmen. Das wäre ganz spannend.

PATRICK SCHOLL: Wie ich immer gesagt habe: Wenn man in die Risikoanalyse hineingeht, wird man sehr schnell feststellen, wo Schwachstellen und Gefahrenpunkte liegen.

In der Produktion hat es meistens damit zu tun, dass dort Services an Anlagen und Maschinen durchgeführt werden. Wie ich schon gesagt habe: Gerade durch die Corona-Zeit hatten wir es mit einer starken Zunahme von Fernzugriffslösungen zu tun.

Wenn man das Thema Security in der Produktion betrachtet, ist das ein komplett neuer Betrachtungswinkel. Früher war von den Protokollen angefangen bis über die Fernzugriffslösungen Security nie ein Betrachtungsfeld. Bisherige Konzepte wurden nie auf Security hin designt.

Das ändert sich jetzt durch eine weitere Gesetzgebung. Neben der NIS 2 gibt es den sogenannten Cyber Resilience Act, der die Hersteller von digitalen Elementen per Gesetz dazu zwingt – und das wird 2027 in Kraft treten – diese digitalen Elemente gegenüber Cyberangriffen zu schützen. Und zwar sehr frühzeitig, angefangen von den Entwicklungsprozessen über das Produkt selbst bis hin zum Lifecycle-Prozess.

Ich muss proaktiv meine Abnehmer darüber informieren, wenn es entsprechende Zero-Day-Exploits und Schwachstellen gibt, und gleichzeitig Patches zur Verfügung stellen. Wenn ich das noch ausweite über den Cyber Resilience Act, dann kommt die Maschinenverordnung dazu.

Das bedeutet gerade für den Anlagen- und Maschinenbau in Deutschland, dass er sich auch Richtung Cybersecurity komplett neu erfinden muss. Es wird ein Zwang für ihn sein, Sicherheitssysteme mitzuliefern.

ANDREA SPIEGEL: Von vornherein mitzudenken und mitzubringen.

PATRICK SCHOLL: Richtig, genau. Ich kann mich als Automobilist nicht hinstellen und sagen: Ich liefere keinen Sicherheitsgurt und keinen Airbag mit, weil es mich Geld kostet und ich das Auto damit günstiger produzieren kann. Es ist per Gesetz vorgegeben, dass ein Anlagen- und Maschinenbauer Security-Maßnahmen mitliefert. Die werden schon mit in das Produkt, in seine Anlagen und Maschinen hineindesignt. Und er muss die Schwachstellen an seine Abnehmer kommunizieren und die Möglichkeit bieten, diese zu beheben. Stichwort Patch-Management.

Und genau das ist der Punkt, wo wir auch gestartet sind: Was tue ich? Ich analysiere, ich finde heraus, wo meine Schwachstellen im System liegen. Ich bin über die Fernwartung eingestiegen. Wenn man wieder auf die Norm zurückspringt, gibt es im Grunde genommen fünf Kriterien, die ich mir überlege, zu segmentieren und in Zonen einzuteilen.

Erstens: Die grundsätzliche Trennung von IT und OT. Der gesamte Datenstrom aus der Produktion in die IT, in die Office-Welt, wird entsprechend reguliert. Da habe ich schon zwei wesentliche Bereiche voneinander getrennt.

Zweitens: Gerade in Safety-relevanten Umgebungen und Prozessen die Safety-Systeme, die Leib, Leben und Umwelt schützen, gesondert zu segmentieren und zu schützen.

Drittens: Das Thema Fernzugriffe gesondert zu behandeln, weil sie einen Zugriff von außen darstellen. Wenn ich als Unternehmen aus IT-Security-Sicht versuche, alles zu reglementieren und die Zugriffe von außen zu kontrollieren, ist es natürlich fahrlässig, wenn ich auf der anderen Seite Zugriffe von außen zulasse, die als Schatten-IT an der IT und der IT-Security vorbeidesignt wurden.

Viertens: Der typische USB-Stick oder der Laptop. Alles, was mit Wechselmedien zu tun hat, was mal schnell an einer Anlage oder Maschine durch den Servicetechniker angestöpselt wird und wo sich Gefahrenpotenziale finden lassen.

Und fünftens: Alles, was mit kabelloser Kommunikation zu tun hat – WLAN, Access Points in der Produktion.

Das sind die fünf Bereiche, die ich mir anschaue, wie ich entsprechende Zonen schaffe. Und dann gegenfahre: Was habe ich für Assets, Anlagen, Maschinen, welche Betriebssysteme laufen darauf, sind die patchbar oder nicht?

ANDREA SPIEGEL: Was heißt das, Patchbar oder nicht?

PATRICK SCHOLL: Gibt es dafür noch Sicherheitsupdates? Der Klassiker: Windows XP oder noch älter. Da werden von Microsoft überhaupt keine Sicherheitsupdates mehr zur Verfügung gestellt. Das bedeutet, die sind seit Jahren, Jahrzehnten entsprechend offen. Die Schwachstellen können jederzeit ausgenutzt werden.

Und jetzt habe ich so viel gesprochen über das, was wir bei vielen Unternehmen gemacht haben: Den sicherheitsrelevanten, den securityrelevanten Aufbau von Netzwerken genauer betrachtet. Unter Anbetracht dessen, dass es ja gewachsene Strukturen sind. Und der zweite wichtige Punkt: Wer betreibt denn das Ganze? Es muss sichergestellt sein, dass diese Systeme beherrschbar sind und entsprechend ihrer Konfiguration bestmöglich konfiguriert. Die beste Technologie bringt nichts, wenn ich sie nicht beherrsche und entsprechend konfiguriere.

Das sind Fragestellungen, die ganz am Anfang geklärt gehören – im Netzwerkdesign und Konzept. Und so haben wir, um es kurz zu machen, bei einigen Unternehmen wirklich smarte Lösungen implementiert. Noch in meiner Vorrolle, bevor ich zur Infinigate gekommen bin, als ich noch auf der Integrationsseite saß, habe ich für Unternehmen gearbeitet, deren größtes Problem war: Ein transparentes Netzwerk zu schaffen mit Security-Lösungen, möglichst mit wenig Herstellern, die es möglich machen, sehr einfach Fernwartungen freizuschalten auf einzelne Anlagen und Maschinen.

Und jetzt wird es ein bisschen süffisant: Wir haben auf der einen Seite digitale Technologie genutzt, um in diesem konkreten Fall eine Fernzugriffslösung auf Basis eines Schlüsselschalters zu entwickeln. Ein Gesamtkonzept, das sehr einfach zu bedienen war: Der Anlagenführer konnte über einen Schlüsselschalter den VPN-Zugang über das Gesamtnetzwerk freischalten. In der IT-Leitwarte wurde genau gesehen, wo ein Fernzugriff besteht. Von dort konnte man den Zugriff entweder selbst freischalten, unabhängig vom Schlüsselschalter, oder auch selbst wieder unterbinden.

Beim Thema Fernzugriffe gibt es viele Stilblüten, die ich in der Praxis kennengelernt habe: Dass nicht sichere Lösungen eingesetzt wurden oder die Fernwartung eigentlich 24/7 offen war.

ANDREA SPIEGEL: Vergessen abzuschalten oder wie auch immer.

PATRICK SCHOLL: Richtig, genau. Ein permanenter Fuß nach außen und damit ein permanentes Risiko.

ANDREA SPIEGEL: Da kann man auf jeden Fall viel machen. Ich würde auch gerne noch weiter darüber sprechen, aber in Anbetracht der Zeit machen wir an der Stelle erstmal einen Punkt. Wir wissen ja jetzt, wen man anrufen kann, wenn man da mehr Infos braucht.

Ich würde mich gerne noch mit dir über das Thema Gesetzgebung unterhalten. Du hast viel erzählt, dass sich in den nächsten ein, zwei Jahren vieles ändern wird, was auch den Mittelstand betreffen wird. Gibt es denn noch andere Trends oder Entwicklungen, die du im Bereich OT-Sicherheit siehst? Abgesehen von der gesetzlichen Seite, vielleicht technologisch? Wo geht es in den nächsten Jahren noch hin?

PATRICK SCHOLL: Ich glaube, dass wir auf der einen Seite technologisch über die letzten Jahre – sicherlich zehn Jahre – schon sehr weit sind.

Wir haben uns deswegen auch neu aufgestellt, weil wir es erstmal gar nicht so sehr mit Technologieherausforderungen zu tun haben, sondern eher mit Know-how-Themen. Wie schaffen wir es, wie heute zum Beispiel auch, die richtigen Informationen an die Personen heranzubringen, die gerade eine Herausforderung haben? Die den Wald vor lauter Bäumen nicht mehr sehen. Und dort zu adressieren, dass das Thema erstmal nichts mit Technologie zu tun hat.

Auf der anderen Seite ändert sich trotzdem die Technologie: Sie wird anwendbarer, einfacher, sie wird intelligenter, auch durch das Thema Künstliche Intelligenz. Das ist sicherlich der Technologie-Drift. Und dann haben wir die Gesetzgebung, die sagt: Wir können Security nicht mehr wegdiskutieren.

ANDREA SPIEGEL: Das ist keine Option mehr.

PATRICK SCHOLL: Und als deutsche Volkswirtschaft nicht mehr akzeptieren können, dass Milliarden und Billionen von Euros in Länder fließen, die wir eigentlich so nicht bedienen wollen. Ob staatliche Akteure oder dieses Geld, das an diese gesamte Hacking-Volkswirtschaft übertragen wird und uns eigentlich fehlt, um in die eigenen Wertschöpfungen zu investieren.

Wir haben technologisch bestehende Strukturen, wir haben das Thema Gesetz – das sind die Haupttreiber aktuell. Und natürlich haben wir jetzt das Thema KI, das die produktiven Wertschöpfungsprozesse weiter anheizt und ganz neue Möglichkeiten und Chancen bietet.

Wenn ich das alles in einen Topf kippe, dann habe ich eine deutliche Zunahme der Digitalisierung. Und Digitalisierung geht leider nicht einher, ohne das Thema Security als Rahmenbedingung zu betrachten.

ANDREA SPIEGEL: Und auch die Komplexität, die durch Digitalisierung, Automatisierung und jetzt auch KI in die Systeme dazukommt. Es ist ja nicht nur die Anlage an sich, sondern auch, was sie schon mitbringt, was ich vielleicht noch an Sensorik andocke, um Daten erfassen zu können. Diese Komplexität steigt ja auch durch diese ganzen Digitalisierungsprozesse.

PATRICK SCHOLL: Und ich glaube, das ist auch der größte Showstopper gerade: Diese Komplexität in ihrer Gesamtheit, die auf einzelne Bereiche und Abteilungen einströmt, die so viele Optionen und Entscheidungen treffen müssen. Der Umkehrschluss daraus: Es wird keine Entscheidung getroffen, weil man Angst hat, die falsche zu treffen.

Genau da liegt eigentlich der Schlüssel zur Lösung. Auch nach dem Motto: Stop Starting, Start Finishing. Dass man sehr schnell die richtigen Wege geht. Und da helfen viele Externe, die sich auskennen. Hoffentlich in der Zukunft auch durch uns, durch die Infinigate – oder auch durch L-mobile – da ein Stück weit Know-how zu gewinnen und sich diesem Thema anzunähern.

Ich glaube, es ist ganz wichtig, dass man die kleinen Schritte auf dieser großen Reise sehr schnell geht und beim Gehen lernt. So wird dann auch ein Schuh draus. Das ist auch so ein bisschen das, wo der Erfolg lag bei diesem Projekt, das ich gerade beschrieben habe: Dass man das Hauptproblem der Fernwartung und der Security-Transparenz einfach angegangen ist. Man hat es sehr schnell begonnen, mit den richtigen Schritten, den ersten Assessments, der Ableitung daraus aus Budgetierungssicht. So hatte man innerhalb von tatsächlich einem Jahr bereits ein Konstrukt, das Transparenz und Security geschaffen hat.

Und ich würde sogar sagen: Das Projekt ist sicherlich schon seit fünf Jahren am Laufen. Jetzt, wo die Gesetzgebung aufkommt, hat man hier schon den Nachweis, dass man Risiken identifiziert hat, Maßnahmen abgeleitet hat. Im Sinne der Gesetzgebung ist man deutlich besser aufgestellt als Unternehmen, die jetzt im Hauruck-Verfahren schnell in die Pötte kommen müssen.

Aber ich glaube auch, dass viele Unternehmen schon gute Dinge tun. Vereinzelt. Und die müssen jetzt einfach mal zusammengetragen werden, um sich einen Gesamtüberblick, eine Transparenz zu schaffen.

ANDREA SPIEGEL: Einfach mal zusammentragen – alles gar nicht so schlimm, wie ihr seht.

Wir haben heute ganz viel erfahren über das Thema OT-Security: Welche Relevanz sie für euch als kleine und mittelständische Unternehmen tatsächlich hat, welche Risiken es gibt, wenn ihr nicht gut aufgestellt seid, worauf ihr achten könnt und welche Maßnahmen es zu ergreifen gilt. Wir konnten euch da zumindest mal einen kleinen Einblick geben. Und auch ein bisschen Einblick darüber bekommen von Patrick, warum IT und OT eigentlich ein Dream Team sind und wie die zusammenarbeiten sollten.

Vielen Dank für deine Zeit. Es war sehr spannend. Ich glaube, wir könnten da noch ein paar Folgen mehr draus machen. Wenn euch das da draußen interessiert oder ihr noch weitere Fragen habt, dann lasst uns das gerne wissen in den Kommentaren. Schickt uns Nachrichten, E-Mails oder über LinkedIn – kommt gerne auf mich oder auch auf den Patrick direkt zu. Lasst uns das wissen, dann machen wir entweder nochmal eine neue Folge ergänzend oder wir schreiben euch zurück und geben euch Input.

Wenn euch die Folge gefallen hat, lasst uns gerne einen Daumen nach oben bei YouTube oder eine Bewertung bei Apple Podcast oder Spotify da. Das hilft uns, damit wir weiter gesehen werden und andere KMUs uns auch finden können.

Vielen Dank für deine Zeit.

PATRICK SCHOLL: Vielen herzlichen Dank für die Einladung, war wirklich sehr kurzweilig.

ANDREA SPIEGEL: Hat Spaß gemacht.

PATRICK SCHOLL: Dann sage ich bis zum nächsten Mal.

ANDREA SPIEGEL: Bis zum nächsten Mal, macht’s gut, ciao.

Welche Idee steckt hinter der Multikommissionierung in der Lagerlogistik?

„Die Idee bei der Multikommissionierung ist auch da, eben solche Leerfahrten, Leerwege, egal ob jemand läuft oder eben fährt, zu vermeiden.“

ZurückWeiter

Noch Fragen zu dieser Folge oder Themenvorschläge für weitere Folgen?

Nutze ganz einfach und unverbindlich unser Kontaktformular. Wir beantworten gerne deine Fragen und gehen auf individuelle Anfragen oder auch Themenvorschläge ein.

Kontakt aufnehmen

Weitere Folgen unseres Podcast Industrie 4.0 – der Expertentalk für den Mittelstand

106-podcast-datenbasierte-entscheidungen
14-podcast-RFID
23-podcast-Produktion-4.0

Jetzt zum Newsletter anmelden:

Zur Anmeldung

Kundenbereich

Customer Support
Security Report
© Copyright 2026 - L-mobile | mobile Softwarelösungen