DE
DE EN FR JA AR ES
Startseite | Blog | Der Business Case für Attack Surface Management im produzierenden Gewerbe

Der Business Case für Attack Surface Management in der Fertigungsindustrie

Geschrieben von: Orlaith Traynor

6 min lesen - 11. April 2026

Die Fertigung macht dies schwieriger als die meisten Sektoren. Produktionsnetzwerke Legacy-ICS- und SCADA-Systeme verbinden, IoT-Sensoren, Remote-Access-Infrastruktur und Cloud-Anwendungen in mehreren Einrichtungen. Nicht alle Expositionen bergen das gleiche Risiko für den Betrieb. Wenn das Management der Angriffsfläche einen falsch konfigurierten Temperatursensor genauso behandelt wie eine exponierte Mensch-Maschine-Schnittstelle, verlieren Sicherheitsteams ihre Glaubwürdigkeit in Budgetgesprächen – auch wenn sich alle im Raum einig sind, dass externe Sichtbarkeit unerlässlich ist.

Das ist die Lücke, die zählt: nicht zwischen dem, was man sehen kann und was nicht, sondern zwischen dem, was man entdeckt und dem, was man tatsächlich verbessert.

Warum die Angriffsfläche der Fertigungsindustrie strukturell anders ist

Die IT/OT-Konvergenz, die die Einführung von Industrie 4.0 vorangetrieben hat, hat auch die Isolation beseitigt, die industrielle Umgebungen relativ sicher vor externen Angriffen machte. Systeme, die für den Betrieb in isolierten Umgebungen konzipiert wurden, sind nun mit Netzwerken verbunden, für die diese Systeme nie ausgelegt waren.

Nach Angaben von Forescouts Bedrohungsbericht 2024, die Zahl der Akteure, die es auf die Fertigungsindustrie abgesehen haben, stieg zwischen 2023 und 2024 um 71% – der zweithöchste Anstieg aller Sektoren. Getrennt davon, Bitsight-Forschung fand, dass zwischen 2024 und Q1 2025 die Fertigungsindustrie einen Anstieg der Bedrohungsaktivitäten um 71% verzeichnete, wobei 29 verschiedene Gruppen aktiv den Sektor ins Visier nahmen.

Die strukturellen Gründe sind gut verstanden. Viele Einrichtungen verlassen sich auf ältere ICS- und SCADA-Plattformen, denen moderne Sicherheitskontrollen fehlen. Remote-Zugangsinfrastrukturen – VPN-Appliances, Remote-Desktop-Dienste, Engineering-Workstations – sind häufig dem Internet ausgesetzt und werden unzureichend überwacht. 65% der OT-Umgebungen hatten 2024 unsichere Fernzugangsbedingungen, und bei einem von vier Penetrationstests in Industrieumgebungen werden Standardanmeldedaten festgestellt.

Das sind keine Software-Schwachstellen, die auf ein Patch warten. Es sind Konfigurations- und Sichtbarkeitslücken – genau das, was External Attack Surface Management aufdecken soll.

Warum scheitern herkömmliche ASM-Metriken an Sicherheitsteams in der Fertigung

Die meisten Programme zur Verwaltung der Angriffsfläche messen Eingaben anstelle von Ergebnissen. Ermittelte Assets. Erkannte Änderungen. Generierte Warnmeldungen. Jede Metrik steigt, was den Eindruck von Fortschritt erweckt, der in dem Moment zerfällt, in dem ein Fertigungsleiter fragt, was behoben wurde.

Das Problem ist, dass die Entdeckungsaktivität und die Risikominderung nicht dasselbe sind. Alarmrückstände wachsen, während bekannte Schwachstellen in Produktionsnetzwerken monatelang bestehen bleiben. Die Anlagenverantwortung bleibt über verschiedene Anlagen hinweg unklar. Kritische industrielle Systeme bleiben anfällig, während Teams Warteschlangen mit geringer Priorität abarbeiten.

Drei Ergebnisindikatoren geben ein klareres Bild davon, ob ein externes Angriffsflächenmanagement das Fertigungsrisiko tatsächlich reduziert.

  • Mittlere Zeit bis zur Übernahme für produktionskritische Systeme. Fertigungsumgebungen erstrecken sich über mehrere Standorte mit komplexen Verantwortlichkeitsstrukturen. Industrielle Anlagen haben oft keine eindeutigen Eigentümer, insbesondere während Schichtwechseln, Geräte-Upgrades oder Anlagen-Erweiterungen. Die Nachverfolgung, wie schnell entdeckte Anlagen einem verantwortlichen Team zugewiesen werden – und wie schnell dieses Team handelt –, zeigt Ihnen, ob ASM-Ergebnisse in Sicherheitsverbesserungen umgesetzt werden oder in einer Warteschlange liegen.
  • Reduzierung von nicht authentifizierten Endpunkten, die den Produktionszustand ändern können. Nicht alle verbundenen Geräte bergen das gleiche operationelle Risiko. Eine Produktionsumgebung mit umfangreichen IoT-Sensornetzwerken, aber wenigen ungeschützten Schnittstellen zum Steuerungssystem ist wesentlich sicherer als eine mit weniger Geräten, aber offenem Zugriff auf kritische Endpunkte. Die Messung dieser Unterscheidung konzentriert die Behebungsanstrengungen auf das, was für die Produktionskontinuität tatsächlich wichtig ist.
  • Wiederherstellungszeit des Produktionssystems nach Eigentümerwechseln. Fertigungsbetriebe erleben häufig Personalwechsel, Anlagenübertragungen und Umstrukturierungen von Standorten. Diese Übergänge schaffen Eigentumslücken, die kritische Systeme anfällig machen. Die Nachverfolgung, wie schnell Systeme nach einer Eigentumsunterbrechung wieder unter Sicherheitsaufsicht gestellt werden, zeigt Ihnen, ob die ASM-Prozesse mit den betrieblichen Realitäten Schritt halten – oder hinter ihnen zurückbleiben.

Die Business Case-Entwicklung: Was Führungskräfte wirklich hören wollen

Sicherheitsteams verlieren oft Gespräche über Fertigungsbudgets, weil sie ASM in Bezug auf Sicherheit statt auf betriebliche Aspekte darstellen. Der Business Case, der bei einem CFO oder Vorstand ankommt, basiert auf Produktionskontinuität, regulatorischer Anfälligkeit und Lieferkettenrisiken – nicht auf der Anzahl der Assets oder dem Umfang der Benachrichtigungen.

  • Produktionskontinuität. Ransomware-Angriffe auf die Fertigung verursachen direkte Umsatzverluste durch Produktionsausfälle. Laut Claroty-Forschung, hat Ransomware die verarbeitende Industrie in den letzten sieben Jahren schätzungsweise $17 Milliarden Dollar an Ausfallzeiten gekostet. External Attack Surface Management identifiziert exponierte industrielle Steuerungssysteme, bevor Angreifer sie ausnutzen – die Kosten für die Intervention sind um Größenordnungen niedriger als die Reaktion auf Vorfälle und die Wiederherstellung.
  • Lieferketten- und Kundenrisiken. Fertigungsunternehmen sehen sich zunehmend mit Cybersicherheitsanforderungen von Kunden und Partnern im Rahmen der Vertragsqualifizierung konfrontiert. Die Demonstration eines ausgereiften Programms zur Verwaltung der externen Angriffsfläche liefert konkrete Belege für Sicherheitskontrollen – und unterstützt so die Vertragsverlängerung und die Gewinnung neuer Kunden in Sektoren, in denen eine sorgfältige Prüfung der Cybersicherheit inzwischen Standard ist.
  • Regulatorischer Druck. Die NIS2-Richtlinie der EU, die ab Oktober 2024 in Kraft tritt, verpflichtet Betreiber kritischer Dienstleistungen, einschließlich der Hersteller, zur Implementierung robuster Risikomanagement- und Berichterstattungsverfahren für Vorfälle. Rahmenwerke wie IEC 62443 und die NIST Cybersecurity Framework sowohl kontinuierliche Überwachung als auch Schwachstellenmanagement von Industrieanlagen betonen. Externe Sichtbarkeit der Angriffsfläche bildet die Grundlage für die Einhaltung dieser Anforderungen.
  • Cyberversicherung. Versicherer fordern zunehmend dokumentierte ASM-Programme als Teil von Underwriting-Bewertungen für produzierende Unternehmen. Organisationen, die eine kontinuierliche Überwachung ihres externen Perimeters nachweisen können, sind in Vertragsverlängerungsverhandlungen besser aufgestellt – sowohl hinsichtlich der Deckungsbedingungen als auch der Prämiensätze.

Was gute ASM in der Praxis ausmacht

Der Übergang von der reaktiven Entdeckung zur proaktiven Risikominimierung folgt in Produktionsumgebungen einem konsistenten Muster.

In den frühen Phasen ist die Priorität die Erstellung eines vollständigen und genauen Inventars externer Assets – über alle Fertigungsbereiche, Cloud-Ressourcen, Remote-Access-Infrastrukturen und OT-bezogenen Systeme hinweg. Für die meisten Hersteller deckt dieser erste Durchgang Schwachstellen auf, die internes Scannen gänzlich übersehen hat: vergessene Subdomänen, Integrationen von Drittanbietern mit übermäßigen Berechtigungen, industrielle Systeme mit internetseitigen Management-Schnittstellen.

Die zweite Phase verbindet entdeckte Assets mit Anlagenbetreibern und dem operativen Kontext. Eine offengelegte Ingenieur-Workstation in einer kritischen Produktionsanlage hat eine andere Dringlichkeit als der gleiche Fund in einer stillgelegten Anlage. Risikobewertungen, die die Produktionskritikalität widerspiegeln – und nicht nur technische Schweregrad-Scores – ermöglichen es Sicherheitsteams, Entscheidungen zu treffen, die die Produktionsleitung verstehen und umsetzen kann.

Laufende Operationen erfordern die Integration von ASM-Ergebnissen in bestehende Prozesse für Änderungsmanagement und Incident-Response in der Fertigung. Alarme über risikoreiche Änderungen an Produktionssystemen müssen die richtigen Personen schnell genug erreichen, damit sie relevant sind. Der Wert von externem Attack Surface Management steigt im Laufe der Zeit, wenn sich diese Prozesse weiterentwickeln.

Wie CybelAngel das Management der Angriffsfläche in der Fertigung unterstützt

CybelAngel's Angriffsflächenmanagement Das Modul bietet kontinuierliches Outside-In-Scanning Ihrer externen Perimeterorganisationen – und identifiziert exponierte industrielle Systeme, falsch konfigurierte Cloud-Infrastruktur und anfällige Fernzugangspunkte, bevor Angreifer sie erreichen.

Unser Credential Intelligence Das Modul überwacht Quellen im Dark Web und Underground-Foren auf kompromittierte Anmeldedaten, die mit Ihren Produktionsdomänen und denen Ihrer Drittanbieter verknüpft sind. Auf Anmeldeinformationen basierende Angriffe gehören durchweg zu den häufigsten Ursachen für den initialen Zugriff bei Ransomware-Vorfällen in der Fertigung – eine frühzeitige Erkennung verschafft Sicherheitsteams Zeit zum Handeln, bevor diese Anmeldedaten missbraucht werden.

Überwachung des Dark Web verfolgt Erwähnungen Ihrer Organisation, Ihrer Einrichtungen und Ihrer Industriedaten über Quellen hinweg, die interne Sicherheitseinsätze nicht erreichen können. Gestohlene operative Daten, offengelegte Lieferantenverträge und frühe Anzeichen von Zielen erscheinen alle in diesen Kanälen, bevor ein Angriff stattfindet.

Für produzierende Unternehmen mit komplexen Lieferketten ist unser Risikobewertung durch Dritte Fähigkeiten geben Ihnen Einblick in die externe Sicherheitslage Ihrer Lieferanten und Partner – der Weg, den Angreifer am häufigsten nutzen, um gut verteidigte primäre Ziele zu erreichen.

Unser REACT-Team kümmert sich um die Behebung von Bedrohungen von der ersten Erkennung bis zur vollständigen Lösung, wodurch die Arbeitsbelastung für die Sicherheitsteams in der Fertigung reduziert und gleichzeitig eine schnellere Reaktion auf operative Bedrohungen sichergestellt wird.

Sehen Sie Ihre Angriffsfläche in der Fertigung

FAQs

Fertigungsorganisationen haben eine geringe Ausfalltoleranz, weshalb sie eher bereit sind, schnell Lösegeld zu zahlen. Viele verlassen sich auch auf veraltete ICS- und SCADA-Systeme, denen moderne Sicherheitskontrollen fehlen, sowie auf Remote-Access-Infrastrukturen, die häufig dem Internet ausgesetzt sind. Laut Dragos hat die Fertigungsindustrie in den letzten Jahren mehr als zwei Drittel aller Opfer von Ransomware in der Industrie ausgemacht.

IT-Attackflächenmanagement konzentriert sich auf internetexponierte Systeme – Webanwendungen, Cloud-Infrastrukturen, Domänen und Netzwerkdienste. OT-Attackflächenmanagement erweitert diese Sichtbarkeit auf industrielle Steuerungssysteme, SCADA-Plattformen, Engineering-Workstations und Betriebstechnologie, die physische Produktionsprozesse beeinträchtigen können. In Produktionsumgebungen erfordert die Konvergenz von IT und OT eine kontinuierliche Überwachung beider Ebenen.

Der glaubwürdigste ROI-Fall für die Herstellung von ASM basiert auf vermiedenen Produktionsausfallzeiten, reduzierten Compliance-Kosten und dem Management von Lieferkettenrisiken – nicht allein auf Sicherheitskennzahlen. Die Verfolgung ergebnisorientierter Messungen wie der durchschnittlichen Zeit bis zur Übernahme kritischer Systeme und der Reduzierung nicht authentifizierter Produktionsendpunkte liefert der Führungsebene konkrete Belege für eine sich im Laufe der Zeit verbessernde Sicherheitslage.

Beginnend mit extern orientierten industriellen Steuerungssystemen, Remote-Access-Infrastrukturen und internetverfügbaren Management-Schnittstellen sind dies die Einstiegspunkte, die Ransomware-Betreiber und Bedrohungsakteure am häufigsten ausnutzen. Standardanmeldedaten und ungepatchte VPN-Appliances werden durchweg als primäre Vektoren für den initialen Zugriff bei Vorfällen in der Fertigungsindustrie identifiziert.

CybelAngel bietet eine Außenansicht der Angriffsfläche Ihrer Organisation – die gleiche Perspektive, die ein Angreifer hat. Dies deckt Schwachstellen auf, die interne Scans übersehen: vergessene Assets, Integrationen von Drittanbietern, Schatten-IT und Industriesysteme mit unerwarteter Internetexposition. Interne Scans informieren Sie über Systeme, die Sie bereits kennen. Externe Scans zeigen Ihnen, was Angreifer sehen können.

 

Über den Autor

Orlaith Traynor

Orlaith ist eine in Paris ansässige B2B-Content-Marketing-Strategin, die sich auf Cybersicherheit und Technologie spezialisiert hat und über fundierte Kenntnisse in SEO, AEO, Redaktionsplanung und CMS-Management verfügt. Als Content-Leiterin bei Unternehmen wie CybelAngel und PhantomBuster unterstützt sie Technologiemarken bei der Entwicklung von Content-Strategien, die die organische Sichtbarkeit und das Vertrauen der Käufer in wettbewerbsintensiven Märkten fördern.

lies alle Artikel