Nichts mehr verpassen: Der safety-security-portal.de Newsletter präsentiert regelmäßig die Highlights für Safety & Security. Ja, ich möchte den safety-security-portal.de Newsletter - widerruflich - abonnieren:



Bitte bestätigen Sie die Newsletter-Anmeldung in der Email, die Sie von uns in Kürze erhalten. Wir gewährleisten die Sicherheit Ihrer Daten nach den aktuellen Datenschutzgesetzen. Den Newsletter können Sie jederzeit mit einem Mausklick wieder abbestellen (= Widerruf der Einwilligung).

EU-Maschinenverordnung: Cyber-Sicherheit wird Pflicht
Freitag, 30. Mai 2025
| Redaktion
Teilen auf:
Endian CEO Raphael Vallazza
Endian CEO Raphael Vallazza, Bild: Endian

Die neue EU-Maschinenverordnung will die Risiken eingrenzen, die durch den Einsatz von Künstlicher Intelligenz und Digitalisierung entstehen. Unternehmen haben noch 20 Monate Zeit, um die Vorgaben umzusetzen. Dieser Beitrag zeigt, mit welchen Maßnahmen sich Maschinen vor Angriffen aus dem Cyber-Raum schützen lassen. „Durch die digitale Vernetzung hat sich die Angriffsfläche von Unternehmen vergrößert, Maschinen und Anlagen sind mittlerweile für Cyber-Kriminelle erreichbar. Die MVO trägt dieser Entwicklung Rechnung und verpflichtet Unternehmen, das Schutzniveau anzuheben“, sagt Endian CEO Raphael Vallazza. 

EU-Maschinenverordnung seit Juli 2023 in Kraft

Die EU-Maschinenverordnung ist im Juli 2023 in Kraft getreten. Mit ihr müssen sich alle Unternehmen befassen, die unvollständige oder vollständige Maschinen in der EU herstellen, in Verkehr bringen oder in Betrieb nehmen. Ab dem 20. Januar 2027 gilt sie unmittelbar in allen Mitgliedsstaaten und löst damit die bisherige Maschinenrichtlinie 2006/42/EG ab. 

Die EU formuliert in der MVO erstmals Anforderungen an die Cyber-Sicherheit . Der Grund dafür liegt in der mittlerweile sehr engeren Verflechtung von Informationstechnologie (IT) und Betriebstechnologie (Operational Technology, OT): Digitale Lösungen spielen bei der Steuerung von modernen Maschinen eine zentrale Rolle. Vor allem für die Überwachung und Wartung ist ein Zugang über das Internet erforderlich und damit sind auch Maschinen zum potenziellen Angriffsziel für Cyber-Kriminelle  geworden. 

Erweiterter Adressatenkreis der EU-Maschinenverordnung

Im Vergleich zur aktuell gültigen Maschinenrichtlinie betrifft die MVO deutlich mehr Unternehmen. Sie gilt nicht nur für Maschinenhersteller und -händler, sondern auch für Betreiber, wenn sie die Maschinen wesentlich verändern. Eine wesentliche Veränderung der Maschine macht laut MVO den Anwender zum Hersteller - mit allen dazugehörigen Pflichten. Das Schutzziel Cybersecurity ist im Kapitel „Schutz gegen Korrumpierung“ (Anhang III, 1.1.9) definiert. Hier finden sich die zentralen Anforderungen, die bis zum Inkrafttreten der Verordnung umgesetzt werden müssen.

Netzwerksegmentierung schützt Maschinen

Eines der wichtigsten Grundprinzipien in der Cyber-Sicherheit  in einer digitalisierten Welt ist die Segmentierung von Netzwerken. Dadurch lässt sich das zentrale Problem adressieren, das erst im Zuge der Vernetzung von immer mehr Unternehmensteilen entstanden ist: Maschinen und Anlagen, die mit dem Internet verbunden sind, sind über die entsprechenden Schnittstellen auch für Cyber-Kriminelle erreichbar. Gelingt es ihnen, einen Schadcode einzuschleusen, so kann dieser schnell von einer Anlage auf die nächste übergreifen und das gesamte Unternehmensnetzwerk infizieren. Die MVO fordert daher: 

„Maschinen und ihre zugehörigen Produkte müssen so konzipiert sein, dass auch beim Anschluss externer Geräte keine gefährlichen Situationen entstehen, unabhängig davon, ob es sich um direkt verbundene Systeme oder Fernwartungseinrichtungen handelt.“

Zur sinnvollen Segmentierung von Netzwerken müssen zunächst Bereiche mit vergleichbarem Schutzbedarf definiert werden. Anschließend gilt es, diese einzelnen Netzwerkbereiche voneinander abzutrennen. Das ist beispielsweise durch den Einsatz von IoT-Security-Gateways möglich. Sie bringen die notwendigen Tools mit, um den Datenaustausch zwischen den unterschiedlichen Segmenten über detaillierte Regeln zu steuern.

Unterschiedliche Schutzmaßnahmen etablieren

Zur Unterteilung von Netzwerken in unterschiedliche Segmente sind IoT-Security-Gateways geeignet. In Abhängigkeit vom jeweiligen Schutzbedarf, kann eine Maschine oder auch ein einzelner Bereich davon ein eigenes Segment bilden. Dieser granulare Ansatz der Mikrosegmentierung bildet auch den Kern einer Zero-Trust-Architektur. Zugriff erhalten hier nur diejenigen Nutzer, Programme oder Geräte, die zuvor authentifiziert und autorisiert wurden.

Für eine sichere Konnektivität sind IoT-Security-Gateways mit mehreren, fein aufeinander abgestimmten Security-Tools ausgestattet. Das „Endian 4i Edge X“ beispielsweise unterbindet durch eine integrierte Firewall das Eindringen von Schadsoftware, ganz gleich, ob der Schadcode über das Internet eingeschleust werden soll, oder sich auf einem infizierten Gerät befindet. Falls es ein Angreifer schafft, die Firewall zu überwinden, etwa durch interne Sicherheitslücken oder gezielte Manipulation, erkennt das enthaltene Intrusion Detection and Prevention System (IDS/IPS) verdächtige Aktivitäten und reagiert automatisch mit entsprechenden Abwehrmaßnahmen. Zusätzlich lässt sich per DNS-Filter genau definieren, mit welchen externen Servern eine Kommunikation gestattet wird.

Sicheren Fernzugriff einrichten

Insbesondere der Fernzugriff ist ein großes Sicherheitsrisiko für Maschinen und Anlagen, wenn er nicht ausreichend abgesichert wird. Durch die Öffnung eines Zugangs für die Fernwartung entsteht ein mögliches Einfallstor für IT-Kriminelle, die diese Lücke für das Einschleusen von Schadcode einzuschleusen nutzen könnten. Die Absicherung der Risiken, die im Zusammenhang mit einer Fernwartung entstehen, ist deshalb eine weitere Forderung in der MVO. Ein Virtual Private Network (VPN) ist hier eine passende Schutzmaßnahme. Es leitet die Daten durch einen verschlüsselten Tunnel zwischen dem betreffenden Gerät und einem entfernten Sever und schützt sie somit vor Diebstahl und Manipulation.

Festlegung von Rollen und Berechtigungen

Ergänzend zu den technischen IT-Sicherheitsmaßnahmen leistet auch das Management von Rollen und Berechtigungen einen wesentlichen Beitrag, um Maschinen und Anlagen zu schützen. Damit Administratoren jederzeit den Überblick behalten, wer auf welche Maschinen zugreifen darf, ist eine zentrale Nutzeroberfläche für das Management sämtlicher Berechtigungen entscheidend. Auch die Möglichkeit zur Änderung oder Löschung von Berechtigungen in Echtzeit ist wichtig. Sollte ein Mitarbeiter die Abteilung wechseln, das Unternehmen verlassen oder ein neuer Dienstleister beauftragt werden, so bleiben die Berechtigungen immer auf dem aktuellen Stand. 

Eine ernste Gefahr für die Sicherheit der Mitarbeitenden kann durch eine Fernwartung zum falschen Zeitpunkt entstehen, beispielsweise, wenn die die Maschine durch die Wartungsmaßnahme gestartet wird und sich jemand in der unmittelbaren Umgebung oder gar im Inneren der Maschine befindet. Ein Genehmigungsprozess, über den am Maschinenstandort eine Freigabe für die Fernwartung erteilt werden kann, sorgt für Sicherheit in solch kritischen Umgebungen.

Sicherheitssoftware auf dem aktuellen Stand halten

Damit keine Sicherheitslücken entstehen, muss die Software auf den IoT-Security-Gateways regelmäßig aktualisiert werden. Ein automatisierter Update-Prozess ist wichtig, damit alle vernetzten Gateways im Feld die Aktualisierungen zeitgleich erhalten und auf dem neuesten Stand sind. Mögliche Sicherheitslücken lassen sich damit schließen, bevor sie zum Risiko werden.

Zugriffe protokollieren

Darüber hinaus verlangt die MVO, für jeden Eingriff in die Software Nachweise zu speichern. Es gibt bei modernen Maschinen eine Vielzahl an unterschiedlichen Akteuren, die Zugriff benötigen: Hersteller müssen die Maschinen warten und Software aktualisieren, Anwender wollen Daten erfassen und auswerten und auch eine Anbindung an Systeme von Lieferanten ist mittlerweile keine Seltenheit mehr. Maschinenbetreiber sollten daher eine Lösung integrieren, die jeden Zugriff protokolliert, ebenso wie die Maßnahmen, die durchgeführt wurden.

Netzwerke im Überblick

Mit der digitalen Transformation steigt die Zahl der vernetzten Maschinen und Geräte immer weiter an. Unternehmen können allerdings nur die Geräte absichern, von deren Einbindung ins Netzwerk sie wissen. Den Überblick zu behalten und alle verbundenen Devices jederzeit zu schützen wird zur wachsenden Herausforderung für die IT-Sicherheit. Lösungen wie „Network Awareness“ von Endian werden damit immer wichtiger, denn sie zeigen in Echtzeit, welche Geräte sich im Netzwerk befinden. Neue Geräte werden sofort sichtbar und der Schutzstatus kann entsprechend überprüft werden. 

Fazit zur EU-Maschinenverordnung: Cyber-Sicherheit bei Maschinen zahlt sich aus

Die MVO stärkt das Vertrauen in die Sicherheit von Maschinen, indem sie auch die Risiken absichern will, die durch die Digitalisierung entstanden sind. Entsprechende Schutzmaßnahmen sind unverzichtbar, um das Unternehmen als Ganzes zu schützen.

Auch interessant für Sie

v.l.n.r.: Sergei Biberdorf und Tobias Timm (beide Tüv Rheinland Functional Safety & Cyber Security), Jan Aulenberg, Product Manager, Industrial Network Technology Phoenix Contact, und Andreas Fuß, Senior Specialist OT-Security, Industrial Network Technology Phoenix Contact, freuen sich über die Zertifizierung der Managed Switches
Neue EU-Regularien wie MVO, NIS-2 und der CRA bringen Anforderungen mit sich, die ein Umdenken bisheriger Strukturen erfordern. Hersteller, Integratoren und Betreiber werden sich intensiv damit befassen müssen.
Die neue EU-Maschinenverordnung rückt Cyber-Sicherheit und digitale Risiken stärker in den Fokus
Maschinenverordnung und Cyber Resilience Act bringen Digitalisierung, KI und Cybersecurity ins Zentrum von Kompontenherstellern, Maschinen- und Anlagenbauern sowie Händlern
2025 sind eine Reihe von neuen Verordnungen, u.a. für technische Sicherheit in Kraft getreten
Infineon erhält weltweit erste Common Criteria-Zertifizierung für einen PQC-Algorithmus auf einem Sicherheitscontroller