Ab Januar 2026 erscheint die DGUV forum 6 Mal pro Jahr, jeweils in den geraden Monaten.
Newsletter abonnieren
Barrierefreiheit
Suche
Ausgabe 1/2026

Industrial Security: Neue Regeln als Chance für Europas Unternehmen

Neue Regelwerke zu Security beschäftigen Unternehmen in Europa. Vor ihnen muss sich kein Unternehmen, wohl aber böswillige Hacker fürchten. Sie stärken Europa und schützen jedes einzelne Unternehmen. Entscheidend ist nun, die ersten Schritte anzugehen, die Deutsche Gesetzliche Unfallversicherung (DGUV) gibt dazu Hilfestellung.

Jonas Stein

Key Facts

  • Neue Regelwerke zu Security stärken alle Unternehmen in Europa
  • Unternehmen sollten nicht untätig auf harmonisierte Standards warten
  • Jedes Unternehmen sollte einen Notfallkontakt einrichten
  • Security erfordert internationale Zusammenarbeit und gute Kommunikation

Schwachstellen in Produkten und in Unternehmen haben über Jahrzehnte nicht genügend Aufmerksamkeit bekommen. Die Entwicklungsabteilungen bekamen oft nicht die notwendigen Ressourcen, um „Secure by Design“ zu entwickeln, also Security von Anfang an mitzubetrachten. Sogar Produkte mit Hintertüren wurden in den Markt eingeführt. So konnte es kommen, dass immer wieder über neue Schwachstellen berichtet wurde: Vom Herzschrittmacher, der sich über Funk hacken ließ, Krane, die auf fremde Fernbedienungen reagieren, bis hin zu manipulierbaren Industriesteuerungen.

Es zeigte sich, dass der Markt dies nicht selbst regeln konnte, denn Verbraucher hatten kaum eine Chance, Produkte vor dem Kauf mit Blick auf Security zu vergleichen. Und nach dem Kauf waren die Verbraucherrechte bei Bekanntwerden von Schwachstellen ungenügend. So galt das Produkthaftungsgesetz etwa nicht für Software, weil die Software allein kein Produkt war. 

Eine Regelung durch den Markt war ebenfalls nicht möglich, weil Hersteller von Produkten mit Schwachstellen selten einen Nachteil hatten. Im Gegenteil konnte oft sogar das Nachfolgeprodukt leichter verkauft werden, wenn Schwachstellen im Vorgängerprodukt nicht behoben wurden. Unternehmen, die in Security investierten, hatten folglich auf kurze Zeit einen wirtschaftlichen Nachteil gegenüber Unternehmen mit hoher Risikobereitschaft. 

Der Gesetzgeber hat nun mit einem ganzen Paket neuer Verordnungen europaweit alle Beteiligten in die Pflicht genommen. Die European Network and Information Security Agency (ENISA) bekommt durch den Cybersecurity Act (CSA) als europäische Behörde umfangreiche Aufgaben. Von der Mitwirkung bei nationalen Vorschriften bis hin zum Betrieb einer Europäischen Schwachstellendatenbank laufen hier die Fäden zusammen. Der Cyber Resilience Act (CRA) richtet sich an die Hersteller von Produkten mit digitalen Elementen und regelt, wie etwa mit Schwachstellen umgegangen werden muss. Auch die neue europäische Maschinenverordnung (MVO) fordert deutlicher als bisher, dass Maschinen adäquat vor versehentlicher und böswilliger Korrumpierung geschützt werden müssen, wenn dadurch Menschen in Gefahr gebracht werden können. Einen Produktionsstillstand, bei dem niemand verletzt werden kann, berücksichtigen die Anforderungen aus der MVO jedoch nicht. Am Ende der Kette ist auch der Arbeitgeber in der Pflicht. 

Europäische Schwachstellendatenbank

euvd.enisa.europa.eu

Für Arbeitgeber, die ein sicheres Arbeitsmittel zur Verfügung stellen müssen, sind die Anforderungen an die Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen in der Technischen Regel für Betriebssicherheit TRBS 1115 Teil 1[1] zusammengefasst. 

Unternehmen sollten heute ihre Schwachstellen schließen und nicht mit einer Glaskugel einen Hacker von übermorgen analysieren.

Während früher nur Arbeitgeber von kritischer Infrastruktur konkrete Mindestvorgaben zu Security bekamen, richtet sich die NIS-2 Verordnung[2] nun von der Abfallbewirtschaftung bis zum Maschinenbau auch an Unternehmen, die bislang nicht betrachtet wurden.

Einfache Security-Maßnahmen für Unternehmen

Bei so vielen neuen Verordnungen kann man schnell den Überblick verlieren. Die DGUV hat daher eine Webseite mit Informationen und Links zu den neuen Verordnungen eingerichtet[3]. Wichtig ist, dass Unternehmen jetzt nicht untätig auf eine perfekte, vollständige Lösung warten, sondern schnell mit einfachen ersten Schritten starten. Ein Drei-Schritte-Plan, mit dem Unternehmen sofort beginnen können: 

Schritt 1: Unternehmenswebseite scannen 

Unternehmenswebseite auf typische Probleme scannen. Der Scanner Internet.nl listet nicht nur die Probleme auf, sondern gibt auch Lösungsvorschläge und Erklärungen für die IT-Abteilung. Der Onlinescanner wurde in einer Kooperation der Internetcommunity und den niederländischen Behörden erstellt. Unter den vielen Tests prüft einer auch, ob das Unternehmen schon über die „security.txt“ einen Notfallkontakt hinterlegt hat. Falls nicht, kann das in nur fünf Minuten in Schritt 2 erledigt werden.

Onlinescanner Internet.nl:

https://en.internet.nl

Schritt 2: Notfallkontakt einrichten 

Wenn ein Unternehmen eine kritische IT-Schwachstelle im Betrieb oder in seinen Produkten hat, ist oft unklar, wer zu informieren ist. Niemand möchte, dass diese wertvolle Meldung kreuz und quer durch das Unternehmen weitergeleitet wird. Die Erfahrung zeigt, dass sich niemand verantwortlich fühlt, bis die Geschäftsführung eine Person benennt, welche die Warnmeldungen entgegennimmt. Sie entscheidet dann, was Spam ist und was eine Meldung, der man nachgehen sollte. Es ist dabei nicht schlimm, wenn im Unternehmen für diese Rolle keine Person mit Fachkenntnissen bereitsteht. Das Wichtigste ist, zunächst eine Erreichbarkeit zu schaffen. Gehen Meldungen ein, kann externe Hilfe hinzugezogen werden.

Die Entscheidung, den Notfallkontakt einzurichten und eine oder mehrere Personen zu benennen, muss von den Entscheidungstragenden des Unternehmens kommen. Daher hat das Institut für Arbeitsschutz (IFA) der DGUV einen Kurzfilm erstellt, in dem der Zusammenhang beschrieben wird. Für Hersteller, die unter den CRA fallen, wird ein Notfallkontakt sogar Pflicht. Sobald die Entscheidung gefallen ist, finden sich auf den Seiten des IFA eine Anleitung und ein Tool, das die Datei genau nach Spezifikation erstellt. Die Spezifikation RFC9116 wird bereits von mehreren Zehntausend Unternehmen weltweit umgesetzt. Viele bekannte Unternehmen wie Google, Facebook, Siemens und Bosch gehören zu den ersten, die nun über den Notfallkontakt erreichbar sind. Praktisch ist es, als Kontaktmailadresse etwa einen generischen Verteiler wie security@example.com zu verwenden. Wenn sich das Team ändert, bleibt die E-Mail-Adresse erhalten und wird nur intern an andere Personen weitergeleitet. Große Unternehmen möchten möglicherweise auch zwischen Meldungen zum Produkt und zur eigenen Infrastruktur unterscheiden. In diesem Fall wird ein sogenanntes Product Security Incident Response Team (PSIRT) etwa mit dem Kontakt psirt@example.com für Warnungen zu Schwachstellen im Produkt eingerichtet.

Schritt 3: Inventarliste anlegen

Im dritten Schritt könnte eine Inventarliste der vernetzten Maschinen und Produkte angelegt werden. Diese kann dann für die Umsetzung der TRBS 1115 Teil 1 herangezogen werden. Darin werden Fragen beantwortet, wie sich die Maschine in einen sicheren Zustand versetzen lässt, wenn ihre Steuerung gehackt wurde und die Maschine unkontrolliert läuft. Auch für die Anforderungen aus NIS-2 kann die Liste eine wertvolle Grundlage darstellen. Viele Unternehmen wissen derzeit vermutlich nicht genau, welche vernetzten Geräte überhaupt existieren und es existiert oft auch kein Prozess zu ihren Security-Maßnahmen. 

Nicht nur für Unternehmen, die unter die NIS-2-Verordnung fallen, ist dabei die kostenlose NIS-2-Geschäftsleitungsschulung des BSI[4] ein guter Start. Darin wird der Geschäftsleitung der Start in das Thema vereinfacht. Es werden sogar schon hilfreiche Fragen vorformuliert, die helfen können, den Handlungsbedarf zu ermitteln. Unternehmen verschwenden oft wertvolle Ressourcen, indem sie versuchen zu analysieren, wer mit welchen Kenntnissen in fünf Jahren potenziell eine Steuerung angreifen könnte. Das ist nicht möglich, aber auch nicht notwendig, denn ein sicheres Design kann heute bereits umgesetzt werden. Für wie viele Jahre ein kryptographisches Verfahren geeignet ist, kann statistisch berechnet werden. Das IFA bietet zu Industrial Security jedes Jahr spezielle Seminare für Hersteller, aber auch Veranstaltungen für Arbeitgeber und Aufsichtspersonen oder Prüfstellen an[5]

IFA-Kurzfilm „Erreichbarkeit im IT-Notfall“

Der Kurzfilm zum Notfallkontakt richtet sich an Geschäftsführende, die ihr Unternehmen über den internationalen Standard RFC9116 erreichbar machen möchten. Das Video wurde bereits in Chinesisch, Deutsch, Englisch, Französisch, Japanisch, Niederländisch und Tschechisch übersetzt.

Link zum Erklärfilm

https://dguv.de/securitytxt_DE

Unternehmen sollten heute ihre Schwachstellen schließen und nicht mit einer Glaskugel einen Hacker von übermorgen analysieren.

Kommunikation ist der Schlüssel für Security

Um die Produkte und Unternehmen mit der erforderlichen Geschwindigkeit vor Angriffen schützen zu können, ist die Kommunikation mit den Betroffenen über das Thema und untereinander zu Schwachstellen entscheidend.

Für die Kommunikation mit den Betroffenen hat es sich bewährt, die sehr abstrakte Thematik anhand anschaulicher Modellfabriken zu erklären und international mit den Arbeitsschutzorganisationen zusammenzuarbeiten. Die Grundprinzipien für Security sind wie ein Naturgesetz überall auf der Welt gleich. Gut ausgearbeitete Materialien müssen also nur noch übersetzt werden, damit die Information für alle leicht zugänglich ist. Dadurch werden nicht nur Kosten gespart, sondern auch schnell eine große Reichweite generiert. 

Die Kommunikation untereinander wird durch den neuen Notfallkontakt und ein weltweites Netzwerk zu Schwachstellenmeldungen stark verbessert. Künftig können Unternehmen alle Handlungsempfehlungen für genau die Produkte, die im Unternehmen eingesetzt werden, vom Hersteller abonnieren. Während es bei der weltweit bekannten Schwachstelle Log4Shell teilweise noch mehr als sechs Monate dauerte, bis Hersteller wussten, ob ihre Steuerung in der Maschine betroffen ist, können diese Informationen künftig noch am gleichen Tag an alle Betroffenen verteilt werden.

Ausgabe herunterladen

Fußnoten

  1. Technische Regel für Betriebssicherheit TRBS 1115 Teil 1 Cybersicherheit für sicherheitsrelevante Mess-, Steuer- und Regeleinrichtungen, Ausschuss für Betriebssicherheit – BAuA

  2. EU-Kommission, NIS2-Richtlinie: Sicherung von Netz- und Informationssystemen, (abgerufen am 16.12.2025) https://digital-strategy.ec.europa.eu/de/policies/nis2-directive

  3. DGUV: Industrial Security – Sicherheitsfunktionen an Maschinen und Anlagen vor Angriffen schützen https://cert.dguv.de/

  4. NIS-2-Geschäftsleitungsschulung Bundesamt für Sicherheit in der Informationstechnik, Vorläufige Handreichung für die Empfehlung zur Schulungspflicht für Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen nach dem NIS-2-Umsetzungsgesetzentwurf https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/NIS-2/nis-2-geschaeftsleitungsschulung.pdf

  5. Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung, IFA-Seminare, IFA-Fachgespräche, (abgerufen am 19.12.2025) https://www.dguv.de/ifa/veranstaltungen/seminare/index.jsp

Weitere Artikel zu diesem Thema

Schwerpunkt
Künstliche Intelligenz im Arbeitsschutz: Chancen und Herausforderungen
Künstliche Intelligenz (KI) verändert die Arbeitswelt in rasantem Tempo. Für die Arbeitsschutzakteurinnen und -akteure entstehen neue Chancen für Prävention und Arbeitsschutz – aber auch ­Risiken, die ein vorausschauendes und menschenzentriertes Handeln erfordern.
Ulrich Zilz   •  aktuelle Ausgabe
lesen
Recht
Keine Haftungsprivilegien nach §§ 104 ff. SGB VII bei Werkverträgen
Haftungsprivilegien außerhalb der Arbeitnehmerüberlassung gegenüber leiharbeitsähnlichen Dienst- und Werkvertragsmitarbeitenden gibt es im System der §§ 104 ff. SGB VII nicht. Selbst ein gewisser Organisationsgrad genügt nicht per se für die Annahme einer gemeinsamen Betriebsstätte.
Dr. Jerom Konradi   •  aktuelle Ausgabe
lesen
Change
„Die Selbstverwaltung muss ins Grundgesetz“
Am 4. Dezember hat die Mitgliederversammlung der DGUV ein Positions­papier mit Maßnahmen zur Stärkung der Sozialen Selbstverwaltung ­beschlossen. Die Vorstandsvorsitzenden der DGUV, Herr Volker Enkerts (VBG) und Herr Hans-Peter Kern (BG ETEM), stellen die wichtigsten Vorschläge vor.
aktuelle Ausgabe
lesen

Wie gefällt Ihnen die DGUV forum? Haben Sie Vorschläge für Verbesserungen?

Äußerst unzufrieden
Äußerst zufrieden