Vernetzte Produktion mit IIoT: Smart, aber angreifbar
Author: Thorsten Rienth
Das Industrielle Internet of Things (IIoT) verändert die Industrie grundlegend. Wie DEKRA beim Schutz vor Cybersecurity-Bedrohungen unterstützt.
Früher drehten, frästen, bohrten Maschinen stoisch vor sich hin – heute „plaudern“ sie ununterbrochen. Entlang der Linie. Hinüber in die Nachbarhalle. Oder gar zu einem anderen Standort im Fertigungsverbund. Möglich macht es ein vernetztes Geflecht aus IIoT- und IoT-Geräten. Permanent melden Sensoren Zustände, Temperaturen, Vibrationen oder Auslastungen ins Unternehmensnetzwerk oder direkt in die Cloud. Die vernetzten Linien machen die Produktion schneller, transparenter und in Echtzeit steuerbar – aber auch verwundbarer. „Jede neue Verbindung, jeder zusätzliche Sensor schafft auch einen potenziellen Türspalt für Angreifer“, warnt Antonio Vizcaíno, verantwortlich für den technischen Vertrieb im Cyber Security Hub der DEKRA Service Division Digital & Product Solutions.
Cybersicherheit ist kein Add-on mehr
Angriffe auf Firmen haben in den vergangenen Jahren deutlich zugenommen. IIoT- und IoT-Komponenten gehören zu den häufig genutzten Einfallstoren. Laut der unlängst vom Branchenverband Bitkom e.V. vorgelegten „Wirtschaftsschutzstudie 2025“ waren 87 Prozent der deutschen Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Im Vorjahr waren es noch 81 Prozent. Der dadurch verursachte Schaden beläuft sich auf 289,2 Milliarden Euro, ein Plus von rund acht Prozent. Doch längst geht es nicht mehr nur um gestohlene Daten: Es kann auch gefährlich für Leib und Leben werden. Wenn Hacker beispielsweise Dampfkessel, Druckgeräte oder Tankanlagen manipulieren. Wer den Schutz vor Cybersecurity-Bedrohungen hochhält, macht das also einerseits zum Eigenschutz.
Aber nicht nur. „Rund um den Globus reagiert auch die Politik auf die neuen Bedrohungen“, erklärt Vizcaíno. „In der Europäischen Union schafft sie etwa mit dem Cyber Resilience Act, den Verordnungen RED und NIS-2 oder der IEC 62443 Fakten.“ Betroffene Unternehmen müssen Compliance herstellen, wie es im Fachjargon heißt. „Die genauen Anforderungen hängen oft von Unternehmensgröße, Branche, Kritikalität für die öffentliche Sicherheit oder dem genauen Einsatzort von Produkten, Systemen und manchmal auch Services ab. Cybersicherheit ist kein Add-on mehr, sondern Pflichtprogramm.“
Orientierung im Regulierungsdschungel
Wie ein Universum, das nicht aus Sternen und Galaxien besteht, sondern aus Cyber Security. Auf der Sonne in der Mitte steht „IoT-Device“. Um sie herum zirkulieren ein gutes Dutzend Planeten mit Bezeichnungen wie Cyber Resilience Act, US Cyber Trust Mark oder UK PSTI. Sie formen den regulatorischen Gürtel für vernetzte Geräte. Auf einer weiteren Umlaufbahn schweben weitere Planeten. Sie heißen EN 18031, ETSI EN 303 645, IoXt Alliance, SESIP und CTIA IoT – einzelne Zertifizierungen für den Nachweis der entsprechenden Compliance. Andere Planeten haben keine feste Umlaufbahn. Sie stehen für Direktiven wie NIS-2, die sich aus dem Cyber Resilience Act ableiten und gerade von den EU-Mitgliedstaaten in nationales Recht überführt werden. Während das IIoT-Ökosystem immer komplexer wird, dehnt sich auch seine regulatorische Galaxie aus.
Vernetzten Industrieanlagen gehört die Zukunft. Aber ohne exzellenten Cyber Security-Schutz werden die Anlagen schnell zur Sicherheitslücke. Daher ist Cyber Security eine wichtige Säule der gesamten Sicherheit und somit ein zentraler Bestandteil des DEKRA Konformitätsbewertungsverfahrens. Mehr Infos gibt’s hier:
DEKRA Cybersecurity für Industrieanlagen, IIoT und IoT
Ohne fachkundige Expertise geht’s nicht
Die Aussage der Grafik ist deutlich. Ohne ausgewiesene Spezialisten ist angesichts der Fülle an Anforderungen, Regulierungen und Standards kaum mehr beizukommen. Wer, wie DEKRA, die Routen im System kennt, behält den Überblick. „Wir verstehen uns als Partner, der IIoT-Komponenten bis auf den letzten Port durchleuchtet: Denial-of-Service-Szenarien, Firmware-Härtung, Update-Prozesse, Kommunikationsprotokolle, Datenpfade – jede potenzielle Schwachstelle wird getestet, simuliert, provoziert“, erklärt Vizcaíno .
Schritt für Schritt durch die Cyber Security-Prüfung
Partner zum Beispiel der Firma Telit Cinterion, einem weltweit führenden Anbieter von End-to-End-IoT-Lösungen. Telit Cinterion produziert IoT-Module für Funk- und Kommunikationslösungen. Um unter anderem die Produktfamilien ME910G1, ME310G1, LTE-E- und NB-IoT-Produktfamilien nach Europa zu kommerzialisieren, ist die Einhaltung des RED-Verordnung und des ETSI EN 303 645-Standards nachzuweisen.
„Wir bei DEKRA haben die Module durch eine komplette Sicherheitsanalyse geschickt“, erklärt Vizcaíno . Dabei geht das Prüflabor systematisch vor. „Wir fangen auf der unteren Ebene an, testen die einzelnen Komponenten auf ihre IT-Sicherheit. Dann überprüfen wir, wie sich die Komponenten in ihrer späteren Einsatzumgebung verhalten – etwa in Robotern, Steuerungen oder Industrieanlagen“, erklärt Vizcaino. Dieses Vorgehen ist typisch für derartige Prüfungen: Schritt für Schritt vom Detail zum Gesamtsystem, um keine Schwachstellen zu übersehen.
Ein Ende des Cyber Security-Wettlaufs ist nicht in Sicht
Schon heute ist absehbar: Die „plaudernden“ Roboter werden nicht leiser, sondern lauter. Auf das aktuelle 5G-Mobilfunknetz folgt in einigen Jahren 6G – mit hohen Bandbreiten, sodass Millionen Maschinen, Roboter und Sensoren nahezu verzögerungsfrei miteinander kommunizieren können. Neue IIoT/IoT-Anwendungsbereiche zum Beispiel in der Telemedizin, Smart Cities und fortschrittlicher Landwirtschaft kommen hinzu.
Der Cyber Security-Wettlauf geht damit auf absehbare Zeit weiter: zwischen Hackern, die Schwachstellen ausloten, und Spezialisten, die etwaige Einfallstore frühestmöglich identifizieren.