Startseite > Security > EU-Maschinenverordnung fordert Cybersicherheit für Maschinen

Konvergenz von IT- und OT-Sicherheit

EU-Maschinenverordnung fordert Cybersicherheit für Maschinen

3. Juni 2025, 9:30 Uhr | Autor: Raphael Vallazza / Redaktion: Diana Künstler

Die neue EU-Maschinenverordnung (MVO) adressiert die Risiken, die durch die Digitalisierung und den Einsatz von Künstlicher Intelligenz entstehen. Doch mit welchen Maßnahmen lassen sich Maschinen vor Cyberattacken konkret schützen?

Digital vernetzte Maschinen sind längst ein Einfallstor für Cyberangriffe geworden. Mit der MVO gibt es erstmals europaweit einheitliche Regeln, um Maschinen und Anlagen besser zu schützen. Unternehmen sollten zeitnah mit der Umsetzung beginnen, um bis zum Stichtag Konformität zu erreichen. Ab dem 20. Januar 2027 gilt die MVO direkt für alle Unternehmen, die unvollständige oder vollständige Maschinen in der EU herstellen, in Verkehr bringen oder in Betrieb nehmen – eine Überführung in nationales Recht ist nicht erforderlich.

Anders als in der bisherigen Maschinenrichtlinie 2006/42/EG sind in der MVO erstmals Anforderungen an die Cybersicherheit verankert. Notwendig wurde dies durch die immer engere Verbindung von Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT). Maschinen sind heute weitgehend softwaregesteuert, insbesondere in den Bereichen Überwachung und Wartung sind digitale Lösungen unverzichtbar. Diese Vernetzung sorgt für eine Öffnung der OT gegenüber dem Internet und damit sind Maschinen und Produktionsanlagen auch Angriffen aus dem Cyberraum ausgesetzt. Eine erfolgreiche Cyberattacke kann gravierende Folgen haben – von Produktionsausfällen, über Umweltschäden bis hin zur Gefährdung von Menschenleben.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Mehr betroffene Unternehmen

Die MVO gilt nicht nur für Maschinenhersteller und -händler, sondern auch für Betreiber, wenn sie die Maschinen wesentlich verändern. Eine wesentliche Veränderung der Maschine macht laut MVO den Anwender zum Hersteller – mit allen dazugehörigen Pflichten. Die tatsächliche Betroffenheit sollten Maschinenbetreiber deshalb genau abklären lassen. Hier können Beratungsunternehmen eine wertvolle Hilfe leisten.

Im Kapitel „Schutz gegen Korrumpierung“ (Anhang III, 1.1.9) definiert die MVO Cybersicherheitsanforderungen, die bis zum Inkrafttreten der Verordnung umzusetzen sind.

Maschinen schützen heißt Netzwerke segmentieren

Maschinen und ihre zugehörigen Produkte müssen so konzipiert sein, dass auch beim Anschluss externer Geräte keine gefährlichen Situationen entstehen – unabhängig davon, ob es sich um direkt verbundene Systeme oder Fernwartungseinrichtungen handelt.

Dieser Abschnitt der MVO thematisiert ein zentrales Problem der Digitalisierung in Sachen Cybersicherheit: Sobald Maschinen und Anlagen vernetzt sind, sind sie über die entsprechenden Schnittstellen auch für Angreifer erreichbar. Sollte es gelingen, Schadsoftware einzuschleusen, so kann sich diese in einer vernetzten Umgebung ungebremst ausbreiten und weitreichende Schäden anrichten.

Zu den wichtigsten Grundlagen für Cybersicherheit zählt deshalb die Netzwerksegmentierung. Dabei werden Netzwerkbereiche mit vergleichbarem Schutzbedarf ermittelt und über IoT-Security Gateways voneinander abgetrennt. Administratoren können so den Datenverkehr anhand detaillierter Regelungen steuern.

Vielschichtige Cybersicherheit einsetzen

IoT-Security-Gateways eignen sich für die Unterteilung des Netzwerks in einzelne Segmente. Je nach Schutzbedarf, kann eine Maschine oder auch ein Teil davon ein eigenes Netzwerksegment bilden. Diese Mikrosegmentierung ist auch ein Baustein der Zero-Trust-Architektur. IoT-Security-Gateways, wie beispielsweise das Endian 4i Edge X, sind mit mehreren Security-Tools ausgestattet und sorgen für eine sichere Konnektivität: Eine Firewall verhindert, dass Schadsoftware Maschinen kompromittieren kann, und zwar unabhängig davon, ob der Schadcode direkt aus dem Internet stammt oder über ein infiziertes Gerät ins Netzwerk eingeschleust wird. Sollte es einem Angreifer gelingen, die Firewall zu umgehen, etwa bei einen Insider-Angriff, greift das integrierte Intrusion Prevention/Detection System (IPS/IDS) ein. Es erkennt Bedrohungen in Echtzeit und startet automatisch geeignete Gegenmaßnahmen. Über eine DNS-Filterung lässt sich zudem festlegen, mit welchen Servern die verbundene Maschine kommunizieren darf.

Fernzugriff absichern

Neben der Verbreitung von Schadsoftware über vernetzte Geräte stellt auch der Fernzugriff ein erhebliches Sicherheitsrisiko dar. Sobald ein Port für eine Fernwartung geöffnet wird, entsteht eine potenzielle Angriffsfläche. Cyberkriminelle könnten die Lücke nutzen, um Schadsoftware einzuschleusen, Daten zu stehlen oder sie zu verändern. Die MVO fordert deshalb, die Risiken einer Fernwartung abzusichern.

Ein Virtual Private Network (VPN) schützt in diesem Fall. Es verschlüsselt die Kommunikation, sodass unbefugte Dritte nicht auf die Daten zugreifen oder sie manipulieren können.

Rollen und Berechtigungen festlegen

Neben den technischen Schutzmaßnahmen ist auch eine granulare Vergabe von Rechten und Berechtigungen wichtig, um bei der Fernwartung die Sicherheit von Software und Maschinen zu wahren. Hilfreich ist eine zentrale Benutzeroberfläche, über die die Rollenvergabe erfolgt. Ebenso sicherheitsrelevant ist die Möglichkeit, die Berechtigungen in Echtzeit zu ändern oder zu löschen, zum Beispiel wenn ein Mitarbeitender das Unternehmen verlässt.

Eine Fernwartung zum falschen Zeitpunkt kann die Sicherheit der Mitarbeitenden gefährden, beispielsweise wenn die Maschine durch die Fernwartung in Bewegung versetzt wird und sich jemand darin oder in direkter Nähe befindet. Bei solch kritischen Maschinen empfiehlt es sich, einen Genehmigungsprozess zu etablieren, über den eine Fernwartung vom Maschinenstandort aus freigegeben werden muss.

Sicherheitssoftware aktuell halten

Jede Software muss aktuell gehalten werden, damit nicht unbeabsichtigt Sicherheitslücken entstehen. Die MVO verlangt daher auch, sicherheitskritische Software über den gesamten Lebenszyklus der Maschine bereitzustellen. Entscheidend ist hier eine Möglichkeit, Sicherheitsupdates so auszuspielen, dass alle verbundenen Gateways gleichzeitig aktualisiert werden. Damit ist die Aktualität der Sicherheitssoftware zu jedem Zeitpunkt gewährleistet. Mögliche Lücken lassen sich somit schnell schließen.

Zugriffe protokollieren

Die MVO fordert darüber hinaus, Nachweise für jeden Eingriff in die Software zu speichern. Das ist vor allem deshalb wichtig, weil unterschiedliche Akteure Zugriff brauchen: Maschinenbetreiber beispielsweise wollen Daten auslesen, Maschinenhersteller müssen Wartungen und Updates durchführen und auch eine Anbindung an Systeme von Materiallieferanten ist denkbar. Daher ist eine Lösung gefragt, über die sich jeder Zugriff protokollieren lässt. Ideal wäre beispielsweise das Aufzeichnen jedes Zugriffs als Videodatei.

Mehr Sichtbarkeit, mehr Sicherheit

Unternehmen, die ihre Maschinen langfristig und nachhaltig schützen wollen, müssen genau wissen, welche Geräte sich in ihren Netzwerken befinden. Das ist keine leichte Aufgabe, denn mit der digitalen Transformation steigt die Zahl der vernetzten Geräte in Unternehmen ständig. Sie lückenlos zu überwachen ist eine Herausforderung für die IT-Security. Tools wie „Network Awareness“ gewinnen damit an Bedeutung, denn damit erhält man einen Überblick über sämtliche verbundene Geräte im Netzwerk. Administratoren können mit einem solchen Tool ungewöhnlichen Datenverkehr im Netzwerk jederzeit erkennen und bei Bedarf gegensteuern.

Fazit

Die MVO markiert einen wichtigen Schritt hin zu mehr Cybersicherheit im industriellen Umfeld und ist eine Antwort auf die zunehmenden Bedrohungen durch die Vernetzung von Maschinen. Mit Umsetzung der Vorgaben haben Unternehmen die Chance, ihre Anlagen zukunftssicher aufzustellen.