Cybersicherheit in der Produktion: Deutsche Industrie macht Fortschritte, aber Potenzial bleibt

Weniger als die Hälfte der Produktionsbetriebe in Deutschland hat bisher eine klar geregelte Verantwortlichkeit für IT-Sicherheit etabliert. Vor allem der Mittelstand setzt dabei zunehmend auf externe Spezialisten.

Produktionsanlagen und ihre Steuerungssysteme gehören zu den sensibelsten Bereichen in der Fertigungsindustrie. Um Effizienz und Wirtschaftlichkeit zu steigern, sind sie heute eng mit IT-Systemen vernetzt – und damit ein attraktives Ziel für Cyberkriminelle. Oft beginnt ein Angriff nicht direkt an den Maschinen oder Steuerungen, sondern über Schwachstellen in der klassischen IT. Von dort arbeiten sich Angreifer schrittweise bis zu den besonders kritischen Produktionsbereichen vor. Ziel: den Betrieb lahmlegen, sensible Daten stehlen oder verschlüsseln und Lösegeld erpressen.

Industrie im Fokus: Die Sophos-Umfrage

Um den Status quo zu erfassen, hat Sophos gemeinsam mit techconsult 211 deutsche Industriebetriebe befragt. Die gute Nachricht: Immer mehr Unternehmen erkennen die Gefahr und passen ihre Organisation an. Verantwortlichkeiten werden klarer definiert, und die Zusammenarbeit zwischen IT und Produktion funktioniert zunehmend reibungslos. Besonders im Mittelstand wächst dabei die Zusammenarbeit mit externen Sicherheitspartnern.

Fast jedes zweite Unternehmen hat einen festen IT-Sicherheitsbeauftragten

In vielen Betrieben ist Cybersicherheit keine Nebensache mehr: 47,9 % der befragten Unternehmen haben inzwischen eine feste Ansprechperson für IT-Sicherheit. Weitere 33,6 % teilen diese Aufgabe mit anderen Bereichen – ein Modell, das vor allem kleinere Betriebe aufgrund knapper Ressourcen nutzen.

Mittelstand setzt auf externe Expertise

Besonders auffällig: Ein Viertel der Unternehmen mit weniger als 250 Beschäftigten arbeitet heute mit spezialisierten IT-Sicherheitsdienstleistern zusammen. Bei Großunternehmen mit mehr als 1.000 Mitarbeitenden liegt der Anteil nur bei 11,1 %, da diese meist eigene Fachabteilungen aufbauen. Für den Mittelstand ist der Weg über externe Partner eine pragmatische Lösung: Anstatt selbst Sicherheitsexperten zu suchen und lange einzulernen, greift man auf vorhandene Erfahrung und Infrastruktur zurück.

IT übernimmt die Führungsrolle bei der Produktionssicherheit

In 70,1 % der Unternehmen liegt die Verantwortung für den Schutz der Produktionsanlagen bei der IT-Abteilung. Nur in 19 % ist die Produktion selbst federführend. Das verdeutlicht, dass Produktionssysteme heute eng in IT-Strukturen eingebettet sind – und daher ganzheitlich abgesichert werden müssen.

Abteilungsübergreifende Zusammenarbeit wird gelebt

Die Abstimmung zwischen IT und Produktion gehört in vielen Betrieben mittlerweile zum Alltag: 68,7 % sprechen regelmäßig über Sicherheitsthemen, nur 4,3 % verzichten ganz auf den Austausch. Das zeigt: Cybersicherheit wird zunehmend als gemeinsame Aufgabe verstanden.

Lieferanten im Blick

Auch Partner in der Lieferkette werden stärker einbezogen: 57,3 % der befragten Unternehmen stellen vertragliche Sicherheitsanforderungen an ihre Zulieferer. Knapp zwei Drittel überprüfen deren IT-Sicherheit regelmäßig, weitere 19,4 % zumindest gelegentlich. Ein wichtiger Schritt, denn Schwachstellen bei Zulieferern gehören zu den größten Einfallstoren für Angriffe.

„Eine klare Verantwortungszuordnung ist die Basis für wirksamen Schutz in der Fertigung,“ sagt Michael Veit, Security-Experte bei Sophos . „Wo IT und Produktion Hand in Hand arbeiten, reagieren Unternehmen bei Störungen oder Angriffen deutlich schneller. Der Mittelstand kann hier mit klaren Strukturen und den richtigen Partnern viel erreichen – und wer seine Lieferkette im Blick behält, schließt eine der gefährlichsten Sicherheitslücken.“

Fazit: Gute Basis – aber noch nicht am Ziel

Die Ergebnisse zeigen: In Sachen Cybersicherheit hat die deutsche Industrie organisatorisch große Fortschritte gemacht. Klare Zuständigkeiten, funktionierende Zusammenarbeit und die Einbindung von Lieferanten schaffen eine solide Grundlage für mehr Schutz. Der Mittelstand beweist, dass sich wirksame Abwehr auch ohne große interne Teams aufbauen lässt – wenn man auf die richtigen Partner setzt. Oder anders gesagt: Man muss das Rad nicht neu erfinden. Mit der passenden Unterstützung lässt sich auch mit begrenzten Ressourcen ein hohes Sicherheitsniveau erreichen.