Mit dem „Enhanced Risk Assessment (ERA)“ von TÜV SÜD kommen Safety- und Cybersecurity-Risiken übergreifend in den Blick, um Sicherheitsmaßnahmen optimal aufeinander abzustimmen.
Durch die zunehmende Vernetzung sind auch Hardware und Software zur Überwachung und Steuerung von Maschinen und Anlagen im Betrieb zunehmend von Cyberangriffen betroffen.
Die Digitalisierung von Maschinen, Anlagen und Systemen birgt Gefahren für die IT-Sicherheit, die sich unmittelbar auf die Maschinen- und Produktsicherheit auswirken können. Eine Bitkom-Studie [1] zeigt, dass im Jahr 2021 bereits 21 Prozent aller befragten Unternehmen Opfer digitaler Sabotage von Informations- und Produktionssystemen oder Betriebsabläufen waren. Das stellt fast eine Verdopplung der Vorfälle gegenüber dem Vorjahr dar. Die Schadenssumme von fast 62 Mrd. Euro hatte sich gegenüber dem Jahr 2019 sogar mehr als vervierfacht. Der Anstieg begründet sich vor allem im zunehmenden Trend zum mobilen Arbeiten mit neuen Möglichkeiten des Fernzugriffs auf remote steuerbare Anlagen, wodurch teilweise neue Sicherheitslücken entstanden sind.
Ransomware-Attacke durch professionelle Hackergruppe
Zum Beispiel wurde ein weltweit führender Hersteller von Leistungselektronik aus Mittelfranken im August 2022 Opfer eines Cyberangriffs mittels einer Ransomware-Attacke durch eine professionelle Hackergruppe. Teilweise seien IT-Systeme und Dateien verschlüsselt worden mit Folgen für den störungsfreien Betrieb und die Verfügbarkeit für Kunden und Vertragspartner. Zudem gaben die Täter an, Daten aus den Systemen entwendet zu haben, was derzeit noch seitens des Unternehmens mit externer Unterstützung durch Cybersicherheits-Experten und Forensikern überprüft werde [2].
Neben dem Datendiebstahl, Umsatzeinbußen sowie dem Vertrauens- und Imageverlust können Cyberangriffe aber auch zur unmittelbaren Gefahr für die Mitarbeiter vor Ort werden: Wenn sie beispielsweise Sicherheitsfunktionen wie Notabschaltungen oder Warnanlagen außer Kraft setzen, lösen diese im Ernstfall nicht wie beabsichtigt aus. Schlimmstenfalls verschaffen sich Angreifer während Wartungsarbeiten einen Fernzugriff und führen unerwartete Maschinenbewegungen herbei. So können für das Wartungs- und Instandsetzungspersonal lebensgefährliche Situationen entstehen.
Arbeitsschutz gewährleisten
Die Anlagensicherheit regelt die Europäische Maschinenrichtlinie 2006/42/EG (MaschRL) [3]. Eine Risikobeurteilung nach der MaschRL zielt in erster Linie darauf ab, Maschinen so zu konstruieren, dass von ihnen keine inakzeptablen Risiken für den Arbeitsschutz des Bedien- und Wartungspersonals ausgehen. In den Blick kommen neben der Ergonomie auch mechanische und elektrische Gefahren sowie Brand- und Explosionsgefahren. Die Risikobeurteilung umfasst fünf Punkte:
1. Vorhersehbare Fehlanwendungen bei bestimmungsgemäßem Gebrauch ermitteln
2. Gefährdungen und Gefährdungssituationen bestimmen
3. Risiken abschätzen hinsichtlich Schweregrad und Eintrittswahrscheinlichkeit
4. Risiken bewerten: Sind Maßnahmen zur Risikominderung erforderlich?
Durch die zunehmende Vernetzung erfahren längst nicht mehr nur Telekommunikations- und elektronische Datensysteme (Information Technology – IT) Cyberangriffe. Vermehrt betroffen sind auch Hardware und Software zur Überwachung und Steuerung von Maschinen und Anlagen im Betrieb, sogenannte Operative Technologien (Operational Technology – OT). Das umfasst auch Systeme und Komponenten, die für die funktionale Sicherheit relevant sind. Ist der Schutz vor externen Angriffen oder Fehlsteuerungen unzureichend umgesetzt, können bewusste oder unbewusste Manipulationen (Hacks) gefährliche Anlagenzustände hervorrufen, die einfache Safety-Konzepte in der Regel noch nicht berücksichtigen.
Zwar ist das Bewusstsein über die wachsende Bedeutung der IT-Sicherheit bei den meisten Produzenten, Zulieferern und Integratoren bereits ausgeprägt, hinsichtlich der OT-Sicherheit ist das jedoch häufig noch nicht der Fall. Auch kommen bei konventionellen Risikobeurteilungen die IT-/OT-Security und die Funktionale Sicherheit getrennt voneinander in den Blick. Dadurch werden die Gefahren eines Cyberangriffs und die wechselseitigen Einflüsse nicht immer zuverlässig erkannt, sodass „blinde Flecken“ entstehen können.
Risiken mit erweitertem Ansatz begegnen
Mit dem Enhanced Risk Assessment (ERA) identifizieren und verknüpfen Experten von TÜV SÜD die Anforderungen und Wechselwirkungen der klassischen und der digitalen Sicherheitsbetrachtungen. Sie bewerten die Safety und Cybersecurity im Gesamtkontext der Anlagensicherheit, indem sie bewährte mit weiterentwickelten Methoden kombinieren – etwa zur sicheren Maschinengestaltung nach DIN EN ISO 12100 [4] oder für die Cybersecurity-Bewertung gemäß der Normenreihe IEC 62443 [5].
Die Sachverständigen ermitteln im ersten Schritt mögliche Risikofälle. Anschließend suchen alle betroffenen Abteilungen innerhalb eines Unternehmens gemeinsam und klar strukturiert nach einer passenden Lösung. Im Fokus steht dabei der systematische Dialog zwischen den Mitarbeitern der Maschinensicherheit (Safety) und den Verantwortlichen für die Cybersecurity (IT und OT). Ziel ist es, die Schutzmaßnahmen so auszuwählen, dass ein höchstmögliches Maß an Sicherheit nicht mit der Bedienung und Instandhaltung konfligiert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel Communications Group GmbH & Co. KG, Max-Planckstr. 7-9, 97082 Würzburg einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
Neue Risiken vermeiden
Dabei dürfen aus keiner Maßnahme neue Risiken für die Safety bzw. Security entstehen. Das ist zum Beispiel der Fall, wenn ausschließlich auf Cybersecurity-Lösungen gesetzt wird. Geeignete Sicherheitsvorkehrungen können jedoch schon einfache Safety-Maßnahmen sein wie ein physischer Endanschlag, der verbaut wird, um Verletzungen zu verhindern. Als Lösungen bieten sich aber auch mechanische Komponenten oder Systeme zur Steuerung und Überwachung an, die eine Anlage beim Über- bzw. Unterschreiten von definierten Schwellenwerten in einen sicheren Zustand versetzen.
Das ERA lässt sich individuell integrieren, um bestehende Sicherheitskonzepte zu erweitern und neue von Grund auf zu konzipieren. Sicherheitsmaßnahmen lassen sich oft betriebsbegleitend umsetzen, um Produktionsausfälle auf ein Mindestmaß zu reduzieren. Das Ergebnis: Ein maßgeschneidertes Konzept, das zugleich die Sicherheitsziele berücksichtigt und die Flexibilität in der Anwendung bewahrt. Der Austausch zwischen den Safety- und Security-Verantwortlichen führt schließlich zu einem erweiterten und gemeinsamen Sicherheitsverständnis.
Literatur
[1] Bitkom e. V. (2021): Bitkom-Studie zum Lagebericht der IT-Sicherheit 2021: www.bitkom.org/sites/default/files/2021-08/bitkom-slides-wirtschaftsschutz-cybercrime-05-08-2021.pdf
[2] CSO Deutschland (2022): Ransomware-Attacke: Semikron meldet Hackerangriff, www.csoonline.com/de/a/semikron-meldet-hackerangriff,3674075
[3] Europäische Union (2006): Richtlinie 2006/42/EG des Europäischen Parlaments und des Rates vom 17. Mai 2006 über Maschinen und zur Änderung der Richtlinie 95/16/EG, eur-lex.europa.eu/eli/dir/2006/42/oj?locale=de
[4] Beuth Verlag (2011): DIN EN ISO 12100:2011-03 „Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung“, www.beuth.de/de/norm/din-en-iso-12100/128264334
[5] Deutsche Kommission Elektrotechnik Elektronik Informationstechnik (2020): IEC 62443: Die internationale Normenreihe für Cybersecurity in der Industrieautomatisierung, www.dke.de/de/arbeitsfelder/industry/iec-62443-cybersecurity-industrieautomatisierung
:quality(80)/p7i.vogel.de/wcms/d9/88/d9884abeffa00e8ccf0c16e2bf9d467a/0128935043v2.jpeg "Die neuen Light-Performance-Räder von Handtmann wiegen bis zu 20 Prozent weniger als herkömmliche Räder aus dem Niederdruckguss. (Bild: Albert Handtmann Metallgusswerk GmbH & Co. KG)")
:quality(80)/p7i.vogel.de/wcms/75/65/75655982e3a71a70efcf8c1de423bc13/0128784466v2.jpeg "„Wer eine Fertigungsanlage plant, ohne vorher zu simulieren, entscheidet oft mit unvollständigen Informationen“, sagt Matthias Wilhelm von Visual Components im Podcast mit Ute Drescher, Chefredakteurin der konstruktionspraxis. (Bild: Volker Siegl/VCG)")
:quality(80)/p7i.vogel.de/wcms/16/5b/165bd196e7464fd3032451a556750195/0128413917v1.jpeg "Im Fokus des Konstruktionsleiter-Forums 2026 stehen zukunftssichere, rechtskonforme und schlanke Prozesse im Engineering. (Bild: Stefan Bausewein/VCG)")
:quality(80)/p7i.vogel.de/wcms/1d/ef/1defae065aa8e85d07d6ee617335c88f/0128924879v2.jpeg "KI-basierte Systeme strukturieren klassische Prozessabläufe beim Zusammenspiel von Konstruktion, Prototypenbau und Fertigung neu. (Bild: Meviy)")
:quality(80)/p7i.vogel.de/wcms/56/78/5678dc5f9eb379830ab6597398961a5d/0128850767v2.jpeg "Im Ingenieurswesen sind mächtige Workstations das A und O, um für das KI-Zeitalter bestens aufgestellt zu sein. (Bild: Dell Technologies)")
:quality(80)/p7i.vogel.de/wcms/8a/23/8a23a88955c2579ed66279d0531b5905/2025-11-21-20--20bosch-20--20bild-201-7930x4460v1.jpeg "Die Zukunft im Blick: Bei dem Fuel Cell Power Module von Bosch handelt es sich um ein Antriebssystem für brennstoffzellenelektrische Fahrzeuge. (Bild: Bosch)")
:quality(80)/p7i.vogel.de/wcms/85/ca/85ca2b5f65004b1298649b628d69fd6d/0128939150v2.jpeg "Die Festkörper-Batterie von Donut Lab ist bereit für den Serieneinsatz. (Bild: Donut Lab)")
:quality(80)/p7i.vogel.de/wcms/18/42/18421d21f5a2ad15081c1a738e84850f/0128496303v1.jpeg "Von der sicheren Steuerung bis zum Safety-Sicherheitsscanner: Maschinensicherheit hat viele Gesichter. (Bild: Schmersal; Kuka Group; Pilz GmbH & Co. KG; VCG/Stefan Bausewein; )")
:quality(80)/p7i.vogel.de/wcms/97/54/97546a872190f725e761a6504088f5b9/0127947665v2.jpeg "ASi-5 Safety unterstützt sowohl hinsichtlich Safety als auch Security die gestiegenen Sicherheitsanforderungen im Zuge der stetig wachsenden Digitalisierung der industriellen Automatisierung. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/75/c2/75c2648ac64e595c51904d8dbaceabea/0128063829v2.jpeg "Laut einer aktuellen Studie hätten zwischen Januar und September 2025 Ransomware-Attacken auf Fertigungsunternehmen allein in Europa potenzielle Lohnkosten durch Produktionsstillstand von rund 3,8 Milliarden Euro verursacht. (Bild: © DC Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/af/60afa3fc9e00296f2cb9a930656fc679/0128763796v1.jpeg "Die Auftragslage im Maschinen- und Anlagenbau hat sich in den Schlussmonaten des Jahres 2025 etwas erholt. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/67/4b/674be74651853db8037192a5e7ab8e53/0128523171v2.jpeg "Künstliche Intelligenz birgt im Berufsalltag Chancen, aber auch Risiken. Themen rund um den Einsatz von KI haben Sie besonders interessiert und werden uns auch 2026 weiter begleiten. (Bild: © Vadym - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/99/bc99e0a006b9685644a8eca2df909cfd/0128467800v1.jpeg "Cyberkriminelle machen keine Weihnachtsferien. (Bild: © kang - stock.adobe.com / © kang – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/22/7a22898e1ee01157399158bd2d7f26c6/0128676654v2.jpeg "Fahrradbeleuchtung gibt es seit dem 19. Jahrhundert. Was als Ölfunzel begann, ist heute ein präzise geregeltes System, das Licht effizient formt. (Bild: www.vaude.com | pd-f)")
:quality(80)/p7i.vogel.de/wcms/46/c9/46c97200605642d8b8f9bc9ac014316a/0128359318v2.jpeg "Kein Weihnachtswunder, aber dennoch faszinierend: Die wunderschönen, auch heute noch oft handgefertigten Weihnachtspyramiden drehen sich dank Luftauftrieb. (Bild: © Animaflora PicsStock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/16/7916e9b7731fb39679d596d16f918a8f/0127591377v1.jpeg "Wo heute in Köln die Hohenzollernbrücke über den Rhein führt, demonstrierte Christian Hülsmeyer 1904 zum ersten Mal sein Telemobiloskop zur Messung der Entfernung von Schiffen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/fa/52/fa52f34c60f4bd6bf6f408a9fef7b316/0127095437v2.jpeg "Die Deutschen lieben Kaffee und dabei liegt der klassische Filterkaffee nach wie vor vorn: 44 Prozent trinken ihn regelmäßig. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e1/93/e193cd7df3b15859208fa33b610588ad/0127840781v1.jpeg "Markus Röß, Leitung Marketing und Vertrieb (Bild: Andreas Karl)")
:quality(80)/p7i.vogel.de/wcms/61/4f/614f0d08c8ea93498a6c6883d7701f25/0126917376v1.jpeg "Ergebnisse der Bitkom-Befragung. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/c7/89/c7894b3aecafb36267fab2853c93499c/0126696654v1.jpeg "Leichte Entspannung in den Auftragsbüchern: Die Bestellungen im Maschinen- und Anlagenbau in Deutschland sind im Juli um real 4 Prozent im Vergleich zum Vorjahr gestiegen. (Bild: frei lizenziert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/112700/112754/65.jpg "mbo-logo_480x222Px_ohne-Claim.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/66100/66169/65.jpg "Gutekunst_Logo_400px.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/132600/132616/65.png "index.png ()")
:quality(80)/p7i.vogel.de/wcms/bc/37/bc37a6201aff8ee0b241a86b3488ea5b/0105512887.jpeg "Industrial Security gewährleistet die Verfügbarkeit von Maschinen und Anlagen sowie die Integrität und Vertraulichkeit von maschinellen Daten und Prozessen. (Bild: Pilz GmbH & Co KG)")
:quality(80)/images.vogel.de/vogelonline/bdb/1776700/1776779/original.jpg "(gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/59/11/5911e2e6747843691a62661b7dff49d6/0126324814v2.jpeg "TÜV Nord zertifiziert Weidmüller nach der Norm für industrielle IT-Sicherheit IEC 62443-4-1 (v.l.n.r.): Matthias Springer, Leiter Funktionale Sicherheit & Security beim TÜV Nord Cert übergibt das Zertifikat an Dr. Thomas Bürger, Executive Vice President Automation Products and Solutions bei Weidmüller und Dr. Björn Griese, Leiter Product Security bei Weidmüller. (Bild: Weidmüller)")
:quality(80)/p7i.vogel.de/wcms/62/e9/62e9fb3c283931d6be445c4a2980f078/0126660639v2.jpeg "Die grundlegenden Anforderungen des CRA sind sinnvoll, denn schwache Security-Maßnahmen können die Existenz von Unternehmen gefährden oder sogar noch größere Schäden erzeugen. (Bild: frei lizenziert)")