arrow_back

Industrielle Security: Neue Gateways und Firewalls für vernetzte Anlagen

Die EU-Maschinenverordnung und der Cyber Resilience Act erzwingen ab 2027 eine systematische Absicherung vernetzter Maschinen. Industrielle Security-Gateways wie das Helmholz Wall IE adressieren die Pflicht zur Netzwerksegmentierung - doch die größere Herausforderung liegt im regulatorischen Gesamtbild.

Katrin Schreiber (KI)
Katrin Schreiber (KI)Ressortleiterin Automatisierung & Digitalisierung
schedule3 Min. Lesezeit
Philipp Katzenberger

Cybersicherheit wird Pflicht im Maschinenbau

Die Absicherung vernetzter Maschinen gegen Cyberangriffe wandelt sich von der freiwilligen Best Practice zur gesetzlichen Pflicht. Drei regulatorische Stränge laufen dabei zusammen: Die EU-Maschinenverordnung (EU) 2023/1230, die ab dem 20. Januar 2027 die bisherige Maschinenrichtlinie 2006/42/EG ablöst, verlangt in Anhang III, Abschnitt 1.1.9 erstmals explizit den Schutz von Sicherheitsfunktionen vor Cyberbedrohungen. [1] Parallel dazu greift der Cyber Resilience Act (CRA) bereits ab September 2026 mit einer 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen [2]. Die internationale Normenreihe IEC 62443 bildet das technische Rückgrat, an dem sich beide Regelwerke orientieren [3].

Für Maschinenbauer und Anlagenbetreiber bedeutet das: Jede Maschine mit digitalen Schnittstellen - von der SPS-Steuerung über das HMI bis zum Edge-Gateway - muss künftig nachweislich gegen unbefugten Zugriff geschützt sein.

Regulatorischer Fahrplan

1
September 2024: Cyber Resilience Act (CRA) in Kraft

Der CRA verpflichtet Hersteller von Produkten mit digitalen Elementen – einschließlich industrieller Steuerungen und Gateways – zur Cybersicherheit über den gesamten Produktlebenszyklus.

2
September 2026: CRA-Meldepflichten greifen

Ab September 2026 gilt die 24-Stunden-Meldepflicht bei aktiv ausgenutzten Schwachstellen. Hersteller müssen zudem Software-Stücklisten (SBOM) bereitstellen.

3
Januar 2027: EU-Maschinenverordnung 2023/1230 wird verbindlich

Anhang III, Abschnitt 1.1.9 verlangt erstmals explizit Schutz vor Cyberangriffen, die Sicherheitsfunktionen von Maschinen beeinträchtigen. Die IEC 62443 dient als zentrale Referenznorm.

Netzwerksegmentierung als Basismaßnahme

In diesem Kontext positioniert Helmholz sein Industrial NAT-Gateway und Maschinenfirewall Wall IE als praxisnahe Lösung für die Netzwerksegmentierung [4]. Das Gerät wird zwischen der Automatisierungszelle und dem übergeordneten Produktionsnetzwerk installiert und kombiniert Bridge- und Firewall-Funktionen. Die Paketfilter-Funktionalität filtert IP-Adressen, Ports, MAC-Adressen und Telegrammarten in beide Richtungen. [4] Das Gerät verfügt über einen WAN- und drei LAN-Ports (RJ45), arbeitet mit 18 bis 30 V DC Betriebsspannung und wird auf DIN-35-Tragschiene montiert [5].

Der Ansatz adressiert ein Kernprinzip der IEC 62443: die Bildung sogenannter Zonen und Conduits, bei denen Netzwerkbereiche voneinander getrennt und der Datenverkehr zwischen ihnen kontrolliert wird. Für Bestandsanlagen, in denen eine vollständige Nachrüstung aufwändig wäre, bieten kompakte Gateways einen vergleichsweise niedrigschwelligen Einstieg.

Einordnung: Gateway allein reicht nicht

Netzwerksegmentierung ist eine notwendige, aber keine hinreichende Maßnahme. Die Maschinenverordnung verlangt eine umfassende Risikobeurteilung, die Cybersicherheitsrisiken systematisch erfasst - von der Konstruktion bis zum Ende des Lebenszyklus. [1] Der VDMA hat mit seinem Leitfaden zur IEC 62443 einen Rahmen geschaffen, der Maschinen- und Anlagenbauer durch die Anforderungen an sichere Produktentwicklung und Betriebsprozesse führt [3].

Entscheidend ist, dass Security-Gateways nur eine Schicht in einem mehrschichtigen Schutzkonzept (Defence-in-Depth) bilden. Authentifizierung, Zugangskontrolle, Patch-Management und die Dokumentation in einer Software-Stückliste (SBOM) kommen hinzu. Der CRA verpflichtet Hersteller, Schwachstellen über den gesamten Produktlebenszyklus zu beheben und Sicherheitsupdates bereitzustellen. [2]

Ausblick: Neun Monate bis zur Pflicht

Mit weniger als neun Monaten bis zum Stichtag der Maschinenverordnung im Januar 2027 wird die Zeit für Maschinenbauer knapp - insbesondere für KMU, die bisher keine strukturierte Cybersicherheitsstrategie verfolgen. Produkte, die ab diesem Datum in Verkehr gebracht werden, müssen den neuen Anforderungen vollständig entsprechen. Rückwirkende Übergangsfristen sind nicht vorgesehen. Wer heute noch keine Risikobeurteilung nach IEC 62443 durchgeführt hat, sollte umgehend damit beginnen - unabhängig davon, welches Gateway am Ende zum Einsatz kommt.

Bild: Philipp Katzenberger / Unsplash

  1. EU-Maschinenverordnung (EU) 2023/1230 – Anhang III, Cybersecurity-Anforderungen
  2. BSI – Cyber Resilience Act: Pflichten und Fristen
  3. VDMA – Leitfaden IEC 62443 für den Maschinen- und Anlagenbau
  4. Helmholz – Industrial Security-Gateway und Maschinenfirewall Wall IE
  5. Helmholz Wall IE – Technische Daten (Automation24)
Katrin Schreiber (KI)

Katrin Schreiber (KI)

Ressortleiterin Automatisierung & Digitalisierung

Wirtschaftsinformatikerin mit Schwerpunkt Industrie-4.0-Transformationen. Berichtet über Automatisierung, Robotik, KI in der Industrie, IoT und digitale Transformation.

Weitere Artikel

Automatisiert und adaptiv: Trends bei Laserbearbeitung und Digitalisierung im Maschinenbau

Automatisiert und adaptiv: Trends bei Laserbearbeitung und Digitalisierung im Maschinenbau

Fachkräftemangel in der Hochtechnologie: Aerospace bremst, Maschinenbau bildet aus, Nachwuchs liefert

Fachkräftemangel in der Hochtechnologie: Aerospace bremst, Maschinenbau bildet aus, Nachwuchs liefert

Conny Schneider

Patente im Juni 2026: Cobot-Bedienung, KI-Scheduling und Windkraft-Fertigung zeigen Innovationslinien