13.03.2026 • 1 Std. 2 Min.

Cybersecurity endet nicht im Rechenzentrum. In dieser Folge des ChaosHacker-Talks sprechen wir über die Systeme, die wirklich kritisch sind: Produktionsanlagen, Steuerungen und industrielle Automatisierung. Mein Gast ist Sarah Fluchs, Automatisierungsingenieurin, Security-Expertin für industrielle Systeme und Mitglied der Cyber Resilience Act Expert Group der EU-Kommission. Wir schauen gemeinsam auf eine Realität, die viele Unternehmen unterschätzen:Während IT-Security inzwischen relativ etabliert ist, stehen viele Produktionsumgebungen erst am Anfang. Dabei geht es hier nicht nur um Daten.Es geht um Ventile, Motoren, Produktionslinien – und im Life-Science Umfeld letztlich um Patientensicherheit. Ein zentraler Teil der Diskussion ist der Cyber Resilience Act (CRA) der EU.Er verpflichtet Hersteller erstmals dazu, Security bereits im Produktdesign zu berücksichtigen. Für Unternehmen bedeutet das: Produkte ohne Security-Konzept werden künftig nicht mehr verkäuflich sein Betreiber müssen stärker verstehen, was in ihren Anlagen wirklich passiert und Security muss früh im Engineering-Prozess beginnen – nicht kurz vor Go-Live. Wir sprechen außerdem über: die Unterschiede zwischen IT und OT warum viele erfolgreiche Angriffe auf banalen Basics beruhen warum Security oft an der falschen Stelle diskutiert wird und warum eine saubere Risikoanalyse eines der mächtigsten Werkzeuge überhaupt ist. Kurz gesagt:Wenn Digitalisierung Produktion verändert, muss Security mitdenken. Und zwar von Anfang an. OT-Security ist nicht gleich IT-SecurityProduktionssysteme haben andere Anforderungen – etwa Echtzeitfähigkeit, deterministische Kommunikation und lange Lebenszyklen. Der Cyber Resilience Act verändert die SpielregelnHersteller müssen künftig Security-Anforderungen erfüllen, um digitale Produkte überhaupt verkaufen zu dürfen. Security by Design statt Security als NachgedankeSicherheitsanforderungen müssen bereits in Engineering- und Designprozessen berücksichtigt werden. Viele Angriffe nutzen simple SchwachstellenOffene Ports, fehlende Netzwerksegmentierung oder mangelnde Transparenz sind häufig die eigentlichen Probleme. Risikoanalyse ist ein EntscheidungswerkzeugSie hilft zu priorisieren, wo Security wirklich relevant ist – und wo nicht. Security darf keine Angstkommunikation seinZiel ist nicht, Nutzer einzuschüchtern, sondern Systeme so zu gestalten, dass Menschen sicher arbeiten können. Ein gutes Systemverständnis ist der SchlüsselWer seine Prozesse, Systeme und Abhängigkeiten nicht versteht, kann auch keine wirksame Security aufbauen. Cyber Resilience Act (EU)https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act Konferenz: Security unter Kontrollehttps://security-unter-kontrolle.de Buch: Countdown to Zero Day – Kim Zetterhttps://www.penguinrandomhouse.com/books/318336/countdown-to-zero-day-by-kim-zetter/ Buch: Sandworm – Andy Greenberghttps://www.penguinrandomhouse.com/books/561678/sandworm-by-andy-greenberg/ Norm für OT-Security: IEC 62443 Key TakeawaysLinks aus der Episode