Spätestens mit der verpflichtenden Umsetzung der NIS2-Richtlinie ist das Thema Cyber Security nun endgültig in den Vorstandsetagen angekommen. In Artikel 20 der europäischen Richtlinie wird klar festgelegt, dass Leitungsorgane für die Umsetzung der vorgeschriebenen Sicherheitsmaßnahmen verantwortlich sind. Das schafft einerseits Awareness an entscheidenden Stellen, birgt aber auch das Risiko, dass Cybersicherheit zum Compliance-Thema verkommt – womit auch der Kern des Problems freigelegt wäre: ein Zertifikat an der Wand alleine, hat bisher noch keinen Hacker gestoppt!
Prozesse, Technik, Menschen! Ganzheitliche Security funktioniert nach unserem Verständnis nur im effizienten Zusammenspiel dieser drei Faktoren. In unseren täglichen Beratungs- und Pentesting Projekten zeigt sich allerdings immer öfter, dass der Fokus in den Unternehmen sehr stark auf den Prozessen, oder auch Policies, liegt und der technische und menschliche Aspekt oftmals vernachlässigt werden.
Policy und Shopfloor Lost in Translation, oder: ein Klassiker aus der OT
Um den nationalen, rechtlichen Vorgaben (z.B. NISG 2026 in Österreich) nachzukommen und empfindliche Strafen zu vermeiden, bedarf es natürlich der theoretischen Aufarbeitung der NIS-2 Themen. Allerdings sollten derartige Regularien auch nicht zum Selbstzweck verkommen, sondern als eine weitere Chance gesehen werden, die eigene Cyberresilienz zu stärken und zukunftsfit aufzutreten. Ein Blick in die Realität zeichnet allerdings oft ein anderes Bild.
Werfen wir einen Blick auf ein klassisches Szenario aus der OT-Welt: Unser Beispielunternehmen verfügt löblicherweise seit Kurzem über ein brandneues Secure Network Concept zur Erreichung der NIS2-Compliance. Dieses beschäftigt sich mit Themen wie „Netzwerkzonierung”, “Mikrosegmentierung“ und „Zero Trust“ mit zusätzlicher Monitoring- und Logging-Funktionalität. Was auf dem Papier logisch und nachvollziehbar klingt, stellt den OT-Ingenieur allerdings vor nahezu unüberwindbare Herausforderungen: eine historisch gewachsene Infrastruktur mit Jahrzehnte alten Steuerungen, Legacy Protokollen und Betriebssystemen, deren Sicherheitsupdates möglicherweise zeitnah abgekündigt werden, passen einfach nicht in dieses neue Konzept. Der Ingenieur steht nun vor der Herausforderung, ein hochmodernes IT-Security-Konzept auf seine Anlagen zu übersetzen, die einerseits dafür nicht gebaut wurden und bei denen andererseits die Anlagenverfügbarkeit oberste Priorität hat. Wenn hier das spezifische Cyber Security Integrations-Know-how fehlt und jeglicher Eingriff das Risiko birgt, die Produktion zum Stillstand zu bringen, ist die Gefahr groß, dass die mühsam erarbeitete und erkaufte Policy zum Blattwerk ohne Wirkung verkommt und die Anlage weiterhin ungeschützt bleibt.
Angriffsvektor Mensch oder Technik?
Lt. einer Studie beginnen mehr als 60 % aller Cyberangriffe durch Phishing (siehe Enisa Threat Landscape, Oktober 2025) oder Social Engineering! Bedeutet, dass der häufigste Angriffsvektor der Mensch selber ist. Man könnte also meinen, dass Awareness zu schaffen viel wichtiger sei, als technische Maßnahmen zu realisieren. Zu dieser These sagen wir ganz klar: JEIN. Denn, während der initiale Angriff oft durch menschliches „Fehlverhalten“ eingeleitet wird, passiert die unkontrollierte Ausbreitung im Netzwerk eindeutig auf technischer Basis. Wenn ein Mitarbeiter also auf eine gut gemachte Phishing-Mail klickt und dem Angreifer damit unbeabsichtigt sein Passwort übergibt, dann ist das ärgerlich. Ein gestohlenes Passwort alleine legt aber im Normalfall noch keine Industrieanlage lahm. Das passiert erst dann, wenn die technische Basis keinen Widerstand leistet.
Der OT Cybersecurity Year in Review Report von Dragos untermauert dies jährlich und zeigt folgende Muster auf: Angreifer nutzen (z.B. durch Phishing) kompromittierte VPN-Zugänge externer Wartungsdienstleister und können sich dann ungehindert durch unsichere Schnittstellen zwischen IT- und OT-Netzwerken bewegen. Dabei werden keine abstrakten Governance-Strukturen ausgehebelt, sondern schlichtweg die Tatsache genutzt, dass die auf dem Papier geforderte Netzwerksegmentierung nie vollständig an der Jahrzehnte alten Anlage aus unserem Beispiel konfiguriert wurde. Der Klick auf das Phishing-Mail war der Auslöser, die fehlenden, technischen Maßnahmen die eigentliche Ursache für den Schaden.
Was wollen wir damit sagen? Klassische Cyber Security Awareness-Schulungen sind ein wesentliches Mittel, um auf Mitarbeiterebene einen ersten, effizienten Schutzwall gegen Cyberattacken aufzubauen. Dieser Schutzwall kann jedoch überwunden werden, v.a. auch durch die steigende Qualität versteckter Angriffe in diesem Bereich. Es muss also davon ausgegangen werden, dass solche Cyberattacken passieren und auch erfolgreich sein werden. Derartige Kompromittierungen eskalieren allerdings nur dann zu umfassenden Security-Vorfällen, wenn beschlossene Richtlinien nicht in anwendbare Maßnahmen übersetzt werden können.
Der Paradigmenwechsel: Vom Awareness-Training zu echter Cyberresilienz
Die NIS2 Richtlinie fordert in Artikel 21 explizit Risikomanagementmaßnahmen „auf dem Stand der Technik“. Um dem Nachzukommen, muss das Zusammenspiel der drei bereits genannten, wesentlichen Faktoren gestärkt werden. Das Management schafft Leitplanken auf Basis der Richtlinien (Prozesse), die Technik liefert die dafür notwendigen Werkzeuge und der entscheidende Faktor Mensch orchestriert all das zu funktionierender Cyber Security.
In Zeiten, in denen die Bedrohungslage durch Cyberattacken laufend zunimmt, braucht es dafür gut ausgebildete Fachkräfte mit spezialisierten, technischen Fähigkeiten und Wissen rund um die Themen Cloud, OT-Security und Secure Coding. Laut der jährlichen (ISC)² Cybersecurity Workforce Study fehlt es der Branche allerdings massiv an diesen Fachkräften.
Wir müssen unseren Fokus daher auf die fundierte Ausbildung von Fachkräften mit technischem Empowerment richten. Ein befähigter OT-Ingenieur weiß beispielsweise wie man „Zones & Conduits“ in einem Brownfield-Netzwerk aufbaut, wie Firewalls sauber konfiguriert werden und wie Incident Response für seine Anlagen am besten funktioniert. In der Softwareentwicklung richtet sich der Fokus idealerweise auf „Secure Design“, anstelle von reaktiven Bugfixes. Entwickler wissen, wie man Bedrohungsmodelle (Threat Modeling) erstellt, noch bevor die erste Zeile Code geschrieben wurde, wie man Secrets sicher managed, Inputs validiert und automatisierte Security-Tests direkt in die CI/CD-Pipeline integriert.
Fazit
Wenn es uns gelingt, die notwendigen Schritte in Richtung fundierter Aus- und Weiterbildung zu setzen, wird Security nicht länger als störende Pflichtaufgabe wahrgenommen. Sie etabliert sich als integraler Bestandteil der Engineering-Disziplin, womit sich der Kreis schließt und strategische Vorgaben in Form von Richtlinien in effektive und nachhaltige Security übersetzt werden. Unternehmen, die ihre NIS2-Strategie nachhaltig vom Papier in die Praxis überführen wollen, investieren in genau diese Schnittstelle. Sie holen die Menschen ins Boot und geben ihnen das Rüstzeug für die Umsetzung. Wenn diese Teams befähigt sind, sichere Architekturen zu schaffen, fehlerfreien Code zu designen und Produkte sicher zu entwickeln und zu betreiben, dann greifen Policies, technische Maßnahmen und menschliches Know-how nahtlos ineinander.
Die Autorin
Kerstin Reisinger ist erfahrene IT/OT Security Expertin. Als langjährige Projektleiterin in komplexen OT Security Projekten, unterstützt sie mit viel technischem Know-How Industrieunternehmen und Energieversorger. Als Head of Limes Academy und Trainerin gibt Sie gerne ihre Projekterfahrungen weiter und lockert diese mit War-Storys und Anekdoten aus der Praxis auf.
