Lange Zeit galt in der Fertigungshalle das Prinzip „Security by Obscurity“. CNC-Maschinen waren Inseln, nicht ans Internet angeschlossen und liefen auf exotischen Steuerungen. Diese Zeiten sind vorbei. Im Zeitalter von Industrie 4.0 hängen Dreh- und Fräsmaschinen am Netzwerk, um Produktionsdaten in Echtzeit an das ERP-System zu melden oder Fernwartung zu ermöglichen.
Doch mit der Vernetzung kommt die Verwundbarkeit. Eine CNC-Maschine ist heute oft nichts anderes als ein Computer mit einem sehr gefährlichen Peripheriegerät (dem Werkzeug). Ein Angriff legt nicht nur die Produktion lahm, er kann physischen Schaden anrichten und Menschenleben gefährden.
Das Wichtigste in Kürze
- IT vs. OT: Die klassische IT-Security (Virenschutz, Updates) funktioniert in der Operational Technology (OT) oft nicht, da Maschinensteuerungen sensibel auf Latenzen reagieren.
- Legacy-Problem: Viele Maschinen laufen auf veralteten Betriebssystemen (Windows XP/7), die nicht mehr gepatcht werden können.
- Gefahr Sabotage: Hacker können nicht nur Daten stehlen (CAD-Files), sondern Fertigungstoleranzen subtil manipulieren, um Ausschuss zu produzieren.
- Die Lösung: Da man die Maschine oft nicht schützen kann, muss man das Netzwerk um sie herum absichern (Segmentierung).
Warum CNC-Maschinen das perfekte Opfer sind
Für Cyberkriminelle sind Fertigungsanlagen (Shopfloor) oft ein leichtes Ziel. Der Grund liegt im Lebenszyklus-Dismatch:
- Eine IT-Umgebung wird alle 3 bis 5 Jahre erneuert.
- Eine CNC-Maschine läuft 15 bis 30 Jahre.
Das führt dazu, dass in modernen Netzwerken Maschinen hängen, deren Steuerungen (z. B. Siemens Sinumerik, Heidenhain, Fanuc) auf Windows XP oder Windows 7 basieren. Diese Systeme erhalten seit Jahren keine Sicherheitsupdates mehr. Ein einfaches Antivirenprogramm zu installieren, ist oft unmöglich, da es die Echtzeitfähigkeit der Steuerung beeinträchtigen würde oder der Maschinenhersteller (OEM) dann die Garantie verweigert.
Die drei größten Einfallstore
1. Der „Turnschuh-Virus“ (USB-Sticks)
Der Klassiker ist immer noch Nummer 1. Um NC-Programme auf die Maschine zu bekommen, nutzen Mitarbeiter USB-Sticks. Ein infizierter Stick, der vorher am privaten Laptop hing, trägt Schadsoftware (z. B. Stuxnet-ähnliche Würmer) direkt in die Steuerung – vorbei an jeder Firewall.
2. Die ungesicherte Fernwartung
Damit der Hersteller bei Problemen schnell helfen kann, werden oft LTE-Modems oder VPN-Tunnel installiert. Wenn diese Zugänge schlecht gesichert sind (Standard-Passwörter, dauerhaft offene Verbindung statt „Service-on-Demand“), sind sie eine offene Hintertür für Angreifer.
3. Laterale Bewegung im flachen Netzwerk
In vielen Mittelstandsbetrieben hängen Office-PCs und CNC-Maschinen im selben Netzwerksegment. Fängt sich jemand in der Buchhaltung eine Ransomware (Verschlüsselungstrojaner) per E-Mail ein, wandert dieser durch das Netzwerk bis zur CNC-Maschine und verschlüsselt deren Steuerungs-PC. Stillstand ist die Folge.
Was passiert beim Angriff?
Wir unterscheiden drei Szenarien:
- Ransomware (Erpressung): Der Bildschirm der Steuerung wird schwarz oder zeigt eine Lösegeldforderung. Die Maschine steht. Kosten: 10.000 € bis 100.000 € pro Stunde Stillstand.
- Industriespionage: Diebe stehlen G-Codes und CAD-Dateien direkt von der Maschine, um Bauteile zu kopieren (Reverse Engineering).
- Sabotage (Der Albtraum): Angreifer verändern Parameter minimal (z. B. die Temperatur im Härteofen oder den Nullpunkt der Fräse um 0,1 mm). Die Maschine produziert wochenlang Ausschuss, der erst bei der Qualitätskontrolle oder beim Kunden auffällt. Oder schlimmer: Die Sicherheitseinrichtungen werden deaktiviert, sodass die Spindel bei offener Tür anläuft.
Strategien zur Absicherung (Defense in Depth)
Da wir die „alte“ Maschine oft nicht patchen können, müssen wir sie isolieren.
1. Netzwerk-Segmentierung (VLANs)
Das wichtigste Gebot: Trennen Sie IT und OT! Die CNC-Maschinen kommen in ein eigenes virtuelles Netzwerk (VLAN). Eine Firewall regelt den Verkehr. Der Office-PC darf nicht direkt mit der Maschine sprechen, sondern legt Daten auf einem Transfer-Server (DMZ) ab, den die Maschine abholt.
2. Edge-Firewalls / Industrial Firewalls
Vor jede alte Maschine (oder Maschinengruppe) wird eine kleine Hardware-Firewall geschaltet. Diese „Box“ schützt das verwundbare Windows XP dahinter, indem sie nur erlaubte Befehle durchlässt. Sie fungiert als digitaler Bodyguard.
3. USB-Kiosk und Port-Blocker
- Physisch: USB-Ports an Maschinen können mit speziellen Schlössern blockiert werden.
- Organisatorisch: Einführung von „Datenschleusen“ (Kiosk-PCs). Jeder USB-Stick muss an einem Terminal gescannt werden, bevor er in die Produktion darf.
4. Backups der Steuerung
Haben Sie ein Image der Festplatte Ihrer CNC-Maschine? Viele Betriebe sichern nur die NC-Programme, aber nicht das Betriebssystem der Maschine. Wenn die Festplatte verschlüsselt wird, muss der Hersteller kommen und die Steuerung neu aufsetzen. Das dauert Tage. Ein aktuelles Image verkürzt dies auf Stunden.
Der Blick nach vorn: CRA und NIS2
Der Gesetzgeber hat reagiert.
- Die NIS2-Richtlinie verpflichtet viele produzierende Unternehmen (kritische Sektoren) zu strengeren Sicherheitsmaßnahmen und Meldepflichten bei Hacks.
- Der Cyber Resilience Act (CRA) nimmt die Maschinenbauer in die Pflicht: Wer ab ca. 2027 Maschinen in die EU bringt, muss garantieren, dass diese über die Lebensdauer hinweg Sicherheitsupdates erhalten. Das wird den Markt für Steuerungen radikal verändern.
Fazit
Cyber Security im Maschinenbau ist kein IT-Problem, sondern ein Produktionsrisiko. Ein Virenscanner passt nicht auf eine SPS, aber das ist keine Ausrede für Untätigkeit. Durch Segmentierung und vorgeschaltete Firewalls lässt sich auch ein 20 Jahre alter Maschinenpark effektiv schützen. Das Ziel ist nicht die „unhackbare“ Maschine, sondern eine Resilienz, die einen Angriff so teuer und aufwendig macht, dass Hacker zum nächsten Ziel weiterziehen.