Im Gespräch: Martin Stemplinger : Wird Cybersecurity in der Industrie unterschätzt?
Martin Stemplinger ist CTO von ondeso, einem Unternehmen, das sich auf IT- und OT-Sicherheitslösungen spezialisiert hat.
- © ondesoDie NIS2 steht vor der nationalen Umsetzung und sorgt für Nervosität in der Industrie. Was hören Sie aktuell von den Kunden?
Martin Stemplinger: Die lange Verzögerung der Verordnung hat manchen Unternehmen in der Produktion ein falsches Sicherheitsgefühl vermittelt. Nun treibt die Dringlichkeit die Kunden an. Sie suchen intensiv nach Lösungen, um ihre bestehenden Systeme an die neuen Anforderungen anzupassen. Unser Ansatz fokussiert sich dabei auf die IT-Sicherheit direkt am Shopfloor. Während die IT oft durch klare Vorgaben – etwa feste Update-Zyklen – eingeschränkt ist, stehen die Produktionsbereiche vor zusätzlichen Herausforderungen, etwa dem aktuellen Personalmangel. Viele Unternehmen versuchen noch über Ad-hoc-Lösungen oder punktuelle Anpassungen das Problem zu umgehen, jedoch fehlt ihnen dabei oft der ganzheitliche Ansatz.
Das unsicherste Glied in der Kette sind nach wie vor die Mitarbeiter.
Wie gut sind die Industrieunternehmen auf die Anforderungen vorbereitet?
Stemplinger: Die Vorbereitungen sind sehr unterschiedlich. Während einige Unternehmen bereits proaktiv agieren, hinken insbesondere viele KMUs hinterher. Für sie sind finanzielle Aspekte oft der entscheidende Hemmschuh. Mit der Umsetzung der NIS2 steigt zudem der Druck auf die Management-Ebene, die nun auch in die Verantwortung genommen wird. Viele Unternehmen tendieren daher verstärkt zu externen Sicherheitslösungen, da interne Konzepte häufig mit unverhältnismäßigen Kosten verbunden sind.
Was sind die größten Einfallstore für Cyberangriffe in der Industrie?
Stemplinger: Das unsicherste Glied in der Kette sind nach wie vor die Mitarbeiter – meist unbewusst. Ein typisches Beispiel ist ein Servicetechniker, der private USB-Sticks in der Produktion einsetzt. Zusätzlich nehmen gezielte Phishing-Angriffe zu. Zwar sind viele Unternehmen gegen groß angelegte Attacken gewappnet, jedoch bleibt der Faktor Mensch ein kritischer Schwachpunkt.
Instandhaltungstage 2025: Ein Muss für Fach- und Führungskräfte
Martin Stemplinger wird zum Thema OT/OT-Security in der Industrie einen Vortrag im Rahmen der Instandhaltungstage 2025 halten. Die Veranstaltung bietet an drei Tagen ein abwechslungsreiches Programm, das intensive Fachtrainings, spannende Vorträge, Workshops und Diskussionen umfasst. Zudem präsentieren ausgewählte Aussteller Produkt- und Dienstleistungsinnovationen, die zur Effizienzsteigerung in der Instandhaltung beitragen.
Vom 3. bis 5. Juni verwandelt sich das Wyndham Grand Salzburg Conference Centre in den Hotspot für Innovationen und strategischen Austausch rund um Instandhaltung und Asset Management.
Alle weiteren Informationen und Anmeldung: Instandhaltungstage 2025
Achtung: RABATTAKTION für FACTORY-Leser
Mit dem Rabatt-Code IHT25-FACTORY erhalten Sie bei der Ticket-Bestellung eine exklusive Ermäßigung von 5 Prozent.
Wie kann dieses Risiko am besten reduziert werden?
Stemplinger: Zentrale Maßnahme sind fundierte Awareness-Schulungen. Reine Anomalieerkennung ist nicht ausreichend, wenn das Personal nicht entsprechend sensibilisiert wurde. Besonders in der OT-Welt, in der die Systemlandschaft sehr heterogen ist, stoßen automatisierte Lösungen schnell an ihre Grenzen. Es bedarf hier geschulter Mitarbeiter, die Prozesse aktiv überwachen und gezielt steuern.
Wie gehen Unternehmen Ihrer Beobachtung nach mit Legacy-Systemen um?
Stemplinger: Legacy-Systeme stellen oft das größte Sicherheitsrisiko dar, da sie die gesamte Produktionsinfrastruktur gefährden können. Viele Hersteller unterbinden sogar Patches, um Garantieansprüche nicht zu gefährden. Das zwingt die Kunden zu umfangreichen Maßnahmen wie Systemsegmentierung und dem Einsatz zusätzlicher Firewalls – ein Prozess, der zudem qualifiziertes Personal erfordert, das häufig fehlt.
Es muss endlich erkannt werden, dass nachhaltige Investitionen in Sicherheit nicht optional, sondern notwendig sind.
Was raten Sie im Falle eines Cybervorfalls?
Stemplinger: Eine saubere und netzwerktrennte Backup-Strategie ist unerlässlich. Einmal spielt man verseuchte Backups wieder ein – das kann fatale Folgen haben. Ein gut organisiertes Disaster-Recovery sowie regelmäßige Schulungen der Mitarbeiter sind essenziell, um im Ernstfall rasch und sicher reagieren zu können.
Glauben Sie, dass die Industrie das Risiko von Cyberangriffen ausreichend ernst nimmt?
Stemplinger: Lange wurde das Sicherheitsrisiko unterschätzt. Früher galten Produktionsanlagen als isoliert, heute sind sie eng mit IT-Systemen vernetzt. Diese Konvergenz eröffnet neue Angriffspunkte. Es muss endlich erkannt werden, dass nachhaltige Investitionen in Sicherheit nicht optional, sondern notwendig sind.
Wie sehen Sie die Zukunft der Cybersecurity in der Industrie?
Stemplinger: Technologien wie künstliche Intelligenz und Anomalieerkennung werden zunehmend an Bedeutung gewinnen, auch wenn der OT-Bereich derzeit oft noch hinterherhinkt. Zwar können ältere Systeme in mancher Hinsicht Vorteile bieten, da sie weniger anfällig für moderne Angriffe sind, doch muss die IT-OT-Konvergenz künftig konsequent und strategisch vorangetrieben werden – insbesondere im Hinblick auf die steigenden Anforderungen von ERP-Systemen.