Cybersicherheit wird Pflicht im Maschinenbau
Die Absicherung vernetzter Maschinen gegen Cyberangriffe wandelt sich von der freiwilligen Best Practice zur gesetzlichen Pflicht. Drei regulatorische Stränge laufen dabei zusammen: Die EU-Maschinenverordnung (EU) 2023/1230, die ab dem 20. Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG ablöst, verlangt in Anhang III, Abschnitt 1.1.9 erstmals explizit den Schutz von Sicherheitsfunktionen vor Cyberbedrohungen. 1EU-Maschinenverordnung (EU) 2023/1230 – Anhang III, Cybersecurity-Anforderungen Parallel dazu greift der Cyber Resilience Act (CRA) bereits ab September 2026 mit einer 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen 2BSI – Cyber Resilience Act: Pflichten und Fristen. Die internationale Normenreihe IEC 62443 bildet das technische Rückgrat, an dem sich beide Regelwerke orientieren 3VDMA – Leitfaden IEC 62443 für den Maschinen- und Anlagenbau.
Für Maschinenbauer und Anlagenbetreiber bedeutet das: Jede Maschine mit digitalen Schnittstellen - von der SPS-Steuerung über das HMI bis zum Edge-Gateway - muss künftig nachweislich gegen unbefugten Zugriff geschützt sein.
Regulatorischer Fahrplan
Netzwerksegmentierung als Basismaßnahme
In diesem Kontext positioniert Helmholz sein Industrial NAT-Gateway und Maschinenfirewall Wall IE als praxisnahe Lösung für die Netzwerksegmentierung 4Helmholz – Industrial Security-Gateway und Maschinenfirewall Wall IE. Das Gerät wird zwischen der Automatisierungszelle und dem übergeordneten Produktionsnetzwerk installiert und kombiniert Bridge- und Firewall-Funktionen. Die Paketfilter-Funktionalität filtert IP-Adressen, Ports, MAC-Adressen und Telegrammarten in beide Richtungen. 4Helmholz – Industrial Security-Gateway und Maschinenfirewall Wall IE Das Gerät verfügt über einen WAN- und drei LAN-Ports (RJ45), arbeitet mit 18 bis 30 V DC Betriebsspannung und wird auf DIN-35-Tragschiene montiert 5Helmholz Wall IE – Technische Daten (Automation24).
Der Ansatz adressiert ein Kernprinzip der IEC 62443: die Bildung sogenannter Zonen und Conduits, bei denen Netzwerkbereiche voneinander getrennt und der Datenverkehr zwischen ihnen kontrolliert wird. Für Bestandsanlagen, in denen eine vollständige Nachrüstung aufwändig wäre, bieten kompakte Gateways einen vergleichsweise niedrigschwelligen Einstieg.
Einordnung: Gateway allein reicht nicht
Netzwerksegmentierung ist eine notwendige, aber keine hinreichende Maßnahme. Die Maschinenverordnung verlangt eine umfassende Risikobeurteilung, die Cybersicherheitsrisiken systematisch erfasst - von der Konstruktion bis zum Ende des Lebenszyklus. 1EU-Maschinenverordnung (EU) 2023/1230 – Anhang III, Cybersecurity-Anforderungen Der VDMA hat mit seinem Leitfaden zur IEC 62443 einen Rahmen geschaffen, der Maschinen- und Anlagenbauer durch die Anforderungen an sichere Produktentwicklung und Betriebsprozesse führt 3VDMA – Leitfaden IEC 62443 für den Maschinen- und Anlagenbau.
Entscheidend ist, dass Security-Gateways nur eine Schicht in einem mehrschichtigen Schutzkonzept (Defence-in-Depth) bilden. Authentifizierung, Zugangskontrolle, Patch-Management und die Dokumentation in einer Software-Stückliste (SBOM) kommen hinzu. Der CRA verpflichtet Hersteller, Schwachstellen über den gesamten Produktlebenszyklus zu beheben und Sicherheitsupdates bereitzustellen. 2BSI – Cyber Resilience Act: Pflichten und Fristen
Ausblick: Neun Monate bis zur Pflicht
Mit weniger als neun Monaten bis zum Stichtag der Maschinenverordnung im Januar 2027 wird die Zeit für Maschinenbauer knapp - insbesondere für KMU, die bisher keine strukturierte Cybersicherheitsstrategie verfolgen. Produkte, die ab diesem Datum in Verkehr gebracht werden, müssen den neuen Anforderungen vollständig entsprechen. Rückwirkende Übergangsfristen sind nicht vorgesehen. Wer heute noch keine Risikobeurteilung nach IEC 62443 durchgeführt hat, sollte umgehend damit beginnen - unabhängig davon, welches Gateway am Ende zum Einsatz kommt.
Bild: towel.studio / Unsplash
