Schutz vor Cyberangriffen

Jedes Unternehmen kann von einer Cyberattacke betroffen sein. Das Bewusstsein für diese Gefahr wächst auch in Österreich, wie die „Cybersecurity Studie 2025“ der Prüfungs- und Beratungsorganisation Ernst & Young (EY) zeigt: Während 2024 nur 35 Prozent der Entscheider:innen in Österreich das Risiko eines Cyberangriffs als hoch einschätzten, stieg dieser Anteil 2025 auf 47 Prozent. 32 Prozent der Unternehmen hatten in den letzten fünf Jahren konkrete Hinweise auf Angriffe – das ist ein Plus von zehn Prozentpunkten gegenüber dem Jahr davor. Trotz der hohen Risikowahrnehmung fehlt in vielen Unternehmen eine klare Gesamtstrategie für Cybersicherheit, meist bleibt es bei punktuellen Maßnahmen.

Die neuen Richtlinien und Verordnungen der EU können hierfür eine Orientierung bieten. Man sollte sie als Anlass sehen, die im Bereich der Cybersicherheit gesetzten Maßnahmen zu überprüfen und bei Bedarf zu ergänzen, statt nur den zusätzlichen Aufwand zu sehen. Diese Einschätzung teilt Ing. Gerhard Stockhammer, Certified Machinery Safety Expert und Head of Business Development bei der Pilz Ges.m.b.H., einem globalen Anbieter von Komponenten, Systemen und Dienstleistungen rund um die Automation. Er weiß aus eigener Erfahrung, dass die Folgen eines Cyberangriffs wesentlich gravierender sind als der Aufwand für präventive Maßnahmen.

Ransomware-Angriff
Im Jahr 2019 wurde Pilz Ziel einer Ransomware-Attacke. Die Schadsoftware gelangte über den Netzwerkanschluss einer Produktionsmaschine in die IT-Systeme des Unternehmens – ausgerechnet in einer Phase, in der die IT-Sicherheitsstrukturen im Rahmen umfassender Penetrationstests bereits weitgehend überprüft und verbessert worden waren. Durch die Ransomware wurden Daten auf 42 Servern weltweit verschlüsselt.

Pilz entschied sich, kein Lösegeld zu bezahlen, sondern die betroffenen Systeme mit Unterstützung externer IT-Forensik-Experten:-Expertinnen selbst wiederherzustellen. Der Betrieb wurde schrittweise wieder aufgenommen, beginnend mit den geschäftskritischen Bereichen. Rund 2.500 Rechner mussten neu installiert oder ersetzt werden. Erst nach mehreren Wochen war das Unternehmen wieder vollständig arbeitsfähig – verbunden mit erheblichen Kosten und organisatorischem Aufwand, wie Stockhammer betont.

Gefahren für Beschäftigte
Cyberattacken können nicht nur wirtschaftliche Schäden verursachen, sondern auch die Gesundheit und das Leben der Beschäftigten bedrohen. Durch Manipulation der Steuerung lassen sich Geschwindigkeit, Kraft und Bewegungsabläufe von Maschinen verändern, Sicherheitsabstände werden nicht mehr eingehalten, die Verletzungsgefahr steigt. „Das höchste Risiko besteht bei kollaborativen Robotern, die ohne trennende Schutzeinrichtungen direkt mit Menschen zusammenarbeiten“, so Stockhammer.

Durch einen Angriff auf sicherheitsrelevante Schutzsysteme von Maschinen besteht das Risiko, dass der überwachte Schutzbereich verkleinert oder verschoben wird. So kann etwa die Abtastrate eines Lichtvorhangs verringert werden, einzelne Lichtstrahlen können deaktiviert werden. Beschäftigte verlassen sich auf die Schutzmechanismen, die aufgrund der Manipulation jedoch nicht mehr wirksam sind, und begeben sich in den Gefahrenbereich. Bei einer Deaktivierung des Not-Halts laufen die Maschinen weiter, was bei Unfällen auch die Rettung verletzter Mitarbeiter:innen erschwert.

In Arbeitsbereichen mit chemischen oder biologischen Stoffen können Cyberangriffe besonders schwerwiegende Folgen haben, wenn Manipulationen an Temperaturreglern, Lüftungs- oder Filtersystemen gefährliche Stoffreaktionen, Brände oder Explosionen auslösen. Gleichzeitig besteht die Gefahr, dass Überwachungs- und Warnsysteme falsche Werte anzeigen oder vollständig ausfallen, wodurch kritische Zustände zu spät erkannt werden.

Als Beispiele für Cyberattacken auf Industrieanlagen nennt Stockhammer zwei Vorfälle im Iran, bei denen zum Glück keine Menschen verletzt oder getötet wurden, die allerdings einen hohen Sachschaden verursachten. In den Jahren 2009 und 2010 wurden Siemens-Steuerungen in iranischen Urananreicherungsanlagen mit „Stuxnet“ angegriffen und – vorerst unbemerkt – eine Drehzahlände­rung der Zentrifugen herbeigeführt. 2022 nahm die Hacker:innen­gruppe „Gonjeshke Darande“ ein Stahlwerk der Khouzestan Steel Company ins Visier. Die Hacker:innen ließen heißen Stahl über Arbeitsbereiche abfließen, die Arbeiter:innen konnten sich rechtzeitig in Sicherheit bringen.

NIS-2-Richtlinie
„Die europäische Gesetzgebung versucht, das Gefahrenpotenzial durch Korrumpierung von IT-Systemen in den Griff zu bekommen“, erklärt Stockhammer. Eine wesentliche Rolle kommt dabei der NIS-2-Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union zu. Diese ersetzt die Richtlinie aus 2016 und ist seit 2023 EU-weit in Kraft. Sie soll die Cybersicherheit und die Reaktionsfähigkeit auf Sicherheitsvorfälle in öffentlichen und privaten Einrichtungen stärken.

Die Richtlinie erweitert den Anwendungsbereich auf einen größeren Teil der Wirtschaft, insbesondere auf mittelgroße und große Unternehmen aus 18 kritischen Sektoren wie Energie, Verkehr, Bankwesen, Gesundheit, digitale Infrastruktur oder verarbeitendes Gewerbe. Betroffene Unternehmen müssen Risiken für ihre Netz- und Informationssysteme systematisch analysieren und reduzieren, Sicherheitsvorfälle melden und ihre Maßnahmen überwachen lassen. „Bei Verstößen sind hohe Strafen von bis zu zwei Prozent des weltweiten Konzernumsatzes bzw. bis zu zehn Millionen Euro vorgesehen“, so Stockhammer.

Umsetzung durch das NISG
In Österreich erfolgt die Umsetzung der NIS-2-Richtlinie – verspätet – mit dem Netz- und Informationssystemsicherheitsgesetz 2026 (NISG 2026), das am 1. Oktober 2026 in Kraft treten wird. Nach § 33 sind Unternehmen verpflichtet, die Wirksamkeit ihrer Risikomanagementmaßnahmen sicherzustellen. Sie müssen gegenüber der zuständigen Cybersicherheitsbehörde nachweisen können, dass diese Maßnahmen umgesetzt und funktionsfähig sind. Derzeit befindet sich diese Behörde noch im Aufbau.

Da der Erfolg von Cyberangriffen, etwa durch Phishing, am häufigsten auf menschliches Fehlverhalten zurückzuführen ist, sieht das Gesetz verpflichtende Cybersicherheitsschulungen für Leitungsorgane vor; den Mitarbeitern:Mitarbeiterinnen müssen regelmäßig Schulungen angeboten werden. Stockhammer weist darauf hin, dass bei derzeit existierenden Schulungsangeboten oft noch unklar ist, ob sie den Vorgaben des NISG entsprechen.

Cyber Resilience Act
Die „Verordnung des Europäischen Parlaments und des Rates über die Cyberresilienz von vernetzten Geräten“, besser bekannt unter der englischen Bezeichnung Cyber Resilience Act (CRA), gilt für herstellende Unternehmen von Geräten oder Software, die digitale Kommunikation mit anderen Geräten oder Netzwerken ermöglichen. Ab September 2026 bzw. Februar 2027 tritt die Pflicht zur Umsetzung von Sicherheitsmaßnahmen für bestimmte Produktgruppen gestaffelt nach Produkttyp in Kraft. Ab dem 11. Dezember 2027 gilt die volle Anwendungsverpflichtung. Danach dürfen Produkte, die den Sicherheitsanforderungen nicht entsprechen, nicht mehr in Verkehr gebracht oder verkauft werden.

„Im Vergleich zu anderen rechtlichen Regelungen ist der CRA für die Industrie strenger, weil er konkrete Anforderungen produktbezogen, lebenszyklusbezogen und rückwirkend vorschreibt“, erklärt Stockhammer. Auch Produkte, die bereits auf dem Markt sind, müssen den Anforderungen entsprechen. Gibt es eine bekannte Schwachstelle, ist das herstellende Unternehmen verpflichtet, eine Lösung bereitzustellen, sonst darf das Produkt nicht mehr verkauft werden.

AI Act
Mit dem AI Act, der „Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz“ legt die Union erstmals EU-weit verbindliche Regeln für den Einsatz von KI fest. Die Verordnung definiert aufseiten der herstellenden Unternehmen, welche Grenzen und Beeinflussungsmöglichkeiten KI-Systeme haben dürfen. Bestimmte Anwendungen werden verboten. Stockhammer nennt als Beispiele Social Scoring, KI-Systeme zur manipulativen Verhaltensbeeinflussung oder KI, die Kleidung von abgebildeten Personen entfernt.

Er betont die ambivalente Rolle von KI für die IT-Sicherheit in Unternehmen: Einerseits kann künstliche Intelligenz die Sicherheit erhöhen, etwa durch präventive Wartung, bei der Maschinen frühzeitig auf drohende Schäden überwacht werden. Andererseits steigt das Risiko, insbesondere wenn KI-Systeme mit Robotik kombiniert werden, wie bei autonomen Robotern in Industrie, Logistik oder Pflege. Der AI Act legt deshalb klare Regeln für die sichere Entwicklung und Nutzung solcher Systeme fest.

Maschinenverordnung
Die EU-Maschinenverordnung ist am 19. Juli 2023 in Kraft getreten und ersetzt die bisherige Maschinenrichtlinie 2006/42/EG. Sie definiert einen einheitlichen Sicherheitsstandard für Maschinen im gesamten EU-Binnenmarkt. Ab dem 20. Jänner 2027 gelten die vollen Anforderungen, bis dahin kann noch die alte Maschinenrichtlinie angewendet werden.

„Die Verordnung berücksichtigt auch KI-Systeme, allerdings nur, wenn diese eine sicherheitsrelevante Funktion der Maschine übernehmen. Dazu zählen etwa autonome Entscheidungen, wenn durch ein Kamerasystem erkannt wird, dass sich ein Mensch in einem Gefahrenbereich befindet“, so Stockhammer. In diesen Fällen dürfen herstellende Unternehmen keine Eigenkonformitätserklärung abgeben, sondern müssen die Maschine vor dem Inverkehrbringen von einer benannten Stelle prüfen lassen.

EU-Normenreihe
Die Normenreihe „EN IEC 62443 – Sicherheit für industrielle Automatisierungs- und Steuerungssysteme“ bezeichnet Stockhammer als die „Bibel“ für Maschinenbau und Betriebe. Sie beschreibt, wie industrielle Anlagen, Maschinen und Steuerungssysteme über ihren gesamten Lebenszyklus, von der Entwicklung über Integration und Betrieb bis zur Wartung, vor Cyberangriffen geschützt werden sollen. Dabei wird zwischen herstellenden Unternehmen von Automatisierungsprodukten wie Steuerungen oder Sensoren, Systemintegratoren, die Planung, Aufbau und Inbetriebnahme von Anlagen übernehmen, und den Betreibern:Betreiberinnen von Anlagen und Maschinen unterschieden.

Der erste Teil der Normenreihe wurde bereits 2009 veröffentlicht, die Reihe wird kontinuierlich erweitert. 2024 wurde die Reihe um den siebenten und bisher letzten Teil, EN IEC 62443-2-1, ergänzt, der sich den Anforderungen an das Cybersicherheitsprogramm von Anlagenbetreibern:-be­treiberinnen widmet. Das Programm legt fest, welche Richtlinien, Verfahren und organisatorischen Maßnahmen ein:e Betreiber:in einführen muss, um Cyberrisiken gezielt zu erkennen, zu verhindern und darauf zu reagieren.

Maschinensicherheit
Treten in einem Unternehmen Fragen zum Thema Maschinensicherheit auf, kann man sich an die „Plattform Maschinensicherheit“ (plattform@auva.at) wenden. Diese setzt sich aus Experten:Expertinnen der AUVA sowie Vertretern:Vertreterinnen von Behörden und Unternehmen – darunter Pilz – zusammen. Gemeinsam befassen sie sich mit komplexen Fragestellungen rund um die gesetzlichen Regulierungen zur Maschinensicherheit. Ihr Hauptziel ist es, Einigkeit zu erzielen, wenn die gesetzlichen Vorschriften unklar oder interpretierbar sind.

Praktische Erfahrung mit Maschinensicherheit lassen sich demnächst in SFK-Kursen der AUVA mit dem „Maschinensicherheitswürfel“ sammeln. Der von Pilz entwickelte Würfel ist mit unterschiedlichen Maschinensicherheitssystemen – etwa Laserscanner, Lichtgitter oder Radarsystem – bestückt, die in Übungen erprobt werden können. Ein Prototyp ist bereits als Anschauungsmaterial für Kunden:Kundinnen in Verwendung. 

Zusammenfassung:
Jedes Unternehmen kann von Cyberattacken betroffen sein. Manipulieren die Angreifer:innen Steuerungssysteme, besteht Gefahr für die Gesundheit der Mitarbeiter:innen. Mit der NIS-2-Richtlinie, dem Cyber Resilience Act, dem AI Act und der Maschinenverordnung hat die EU eine rechtliche Grundlage geschaffen, um die Cybersicherheit in allen Mitgliedstaaten zu erhöhen.