21. Oktober 2025

Industrial Cybersecurity mit Siemens: So sichern Sie Ihre Netzwerke und erfüllen NIS2

Die zunehmende Vernetzung von Produktions- und Office-Netzwerken im Zuge der IT/OT-Integration verändert die industrielle Welt. Digitalisierte Prozesse, vernetzte Lieferketten und Remote Services bieten enorme Effizienzpotenziale – erhöhen aber auch die Angriffsfläche für Cyberattacken.

Mit der EU-Richtlinie NIS2 werden diese Herausforderungen auch rechtlich verbindlich: Unternehmen müssen ihre Netzwerke absichern, Sicherheitsvorfälle melden und dokumentierte Schutzmaßnahmen nachweisen. Übergangsfristen sind nicht vorgesehen – Unternehmen müssen also bereits heute handeln.

NIS2-Richtlinie: neue Pflichten für Industrie & Maschinenbau

Mit der NIS2-Richtlinie (EU 2022/2555) verschärft die EU ihre Anforderungen an Cyber- und Informationssicherheit erheblich. Sie löst die bisherige NIS1 ab und gilt nicht nur für Betreiber kritischer Infrastrukturen, sondern zunehmend auch für mittelständische Unternehmen, Hersteller und Zulieferer im Maschinenbau.

Das bedeutet konkret:

➤ Verbindliche Sicherheitsmaßnahmen: IT- und OT-Systeme müssen umfassend geschützt, segmentiert und überwacht werden.
➤ Management-Verantwortung: Die Geschäftsleitung haftet persönlich für eine funktionierende Cybersecurity-Strategie, Ressourcenzuweisung und Nachweisführung.
➤ Lückenlose Dokumentation: Patch-Management, Risikoanalysen, Incident-Response und Schulungen müssen fortlaufend dokumentiert werden und jederzeit auditierbar sein.
➤ Meldepflichten: Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet und innerhalb von 72 Stunden detailliert berichtet werden.
➤ Lieferkettensicherheit: Auch Zulieferer müssen nachweislich abgesichert sein. Regelmäßige Audits, Vertragsanpassungen und Nachweise sind Pflicht.
➤ Notfall- und Business-Continuity-Planung: Backups, Disaster-Recovery-Strategien und getestete Wiederanlaufprozesse sind verbindlich.

Übergangsfristen gibt es nicht: Mit Inkrafttreten des deutschen Umsetzungsgesetzes (voraussichtlich Ende 2025 oder Anfang 2026) müssen alle Anforderungen erfüllt sein.

Für betroffene Unternehmen heißt das: Sie müssen bereits in der Planungs- und Integrationsphase von Anlagen und Netzwerken dafür sorgen, dass Segmentierung, Zugriffskontrolle und Fernwartung rechtskonform umgesetzt werden – am besten nach anerkannten Standards wie IEC 62443 und ISO 27001.

Das ganzheitliche Sicherheitskonzept von Siemens für die Industrie

Siemens verfolgt in der industriellen Cybersecurity auf einen systematischen Schutzansatz, der auf drei Säulen ruht:

✓ Anlagensicherheit,
✓ Netzwerksicherheit und 
✓ Systemintegrität.

Ziel ist es, Produktions- und Automatisierungsnetze so abzusichern, dass sie selbst bei einem Angriff funktionsfähig bleiben und Risiken lokal begrenzt werden.

Die folgende Übersicht zeigt die drei Kernprinzipien dieses Ansatzes und ihre praktische Bedeutung:

Netzwerksicherheit mit SCALANCE & SINEC: leistungsstarke Firewalls und zentrales Netzwerkmanagement

Die Umsetzung von Cybersecurity in der Industrie beginnt mit einer klaren Netzwerksegmentierung – und genau hier setzen die Siemens-Lösungen SCALANCE und SINEC an.

Die Basis bilden die SCALANCE S Security Appliances, die als leistungsfähige Firewalls vor jedem einzelnen Fertigungsbereich oder an den Netzwerkzugangsbereichen nach außen gesetzt werden. Sie überwachen und kontrollieren die gesamte Kommunikation zwischen den Netzsegmenten und verhindern so die unkontrollierte Ausbreitung von Cybervorfällen.

Zentrale Funktionen der SCALANCE S-Serie:

➤ NAT/NAPT für flexible Adressumsetzung in komplexen Netzwerken
➤ VPN- und TLS 1.3-Unterstützung für verschlüsselte, sichere Kommunikation
➤ Stateful Inspection Firewall mit hoher Performance (bis 600 Mbps Durchsatz)
➤ Einfache Integration ins TIA Portal für direkte Erstellung und Pflege von Sicherheitsregeln

Mit SINEC NMS und SINEC INS lassen sich industrielle Netzwerke zentral verwalten. Über SINEC NMS können Administratoren komfortabel Firewall- und NAT-Regeln für viele Geräte gleichzeitig konfigurieren, verteilte Firmware-Updates initiieren und sämtliche Benutzeraktivitäten über Audit-Trails nachvollziehen.

SINEC INS übernimmt zudem wichtige Netzwerkdienste wie IP-Adressmanagement, Zeitserver und Authentifizierung und dokumentiert zentrale Ereignisse sicher. Dies garantiert Transparenz, einfache Administration und eine revisionssichere Netzwerkführung.

Diese Architektur besteht aus vier Ebenen:

1. Ebene: Enterprise Network
Im oberen Bereich ist das Unternehmensnetzwerk mit Data Center, Cloud-Anbindung und WAN/Internet-Zugang dargestellt.

2. Ebene: Industrial Data Center & DMZ
Die mittlere Ebene bildet das Zentrum der Infrastruktur. Hier befinden sich zentrale Dienste wie SINEC INS, SINEC NMS, UMC und das Active Directory. Die „Industrial DMZ“ dient als Sicherheitszone, die Office-IT und Produktionsnetz voneinander trennt.

3. Ebene: Aggregation Layer
In dieser Ebene werden zentrale Switches und Security-Appliances eingebunden. Sie bilden den Übergang zur Produktionsebene und bereiten die Segmentierung in einzelne Produktionsbereiche vor.

4. Ebene: Cell-1 und Cell-2
Die untere Ebene zeigt zwei Produktionszellen, die jeweils mit einer SCALANCE SC-600 Security Appliance abgesichert sind. Hier sind auch die SIMATIC S7-1500 Steuerungen und verschiedene Feldgeräte (z. B. Motoren, Sensoren) dargestellt, die innerhalb der Zelle miteinander kommunizieren.

Damit zeigt die Grafik anschaulich das Konzept der Perimeter-basierten Netzwerksicherheit:

✓ Netzwerksegmentierung
Durch die klare Trennung in Zellen wird verhindert, dass sich Cybervorfälle unkontrolliert ausbreiten können.

✓ Defense-in-Depth
Mehrschichtige Sicherheitsmaßnahmen schützen jede Ebene – vom Unternehmensnetz über das Aggregationsnetz bis hin zur einzelnen Produktionszelle.

✓ Zentrale Verwaltung & Monitoring
Tools wie SINEC INS/NMS und Active Directory ermöglichen ein einheitliches Management aller Firewall-Regeln, Benutzerrechte und Sicherheitsereignisse.

In der Praxis lassen sich mit den Lösungen von Siemens ganzheitliche, mehrschichtige Cybersecurity-Architekturen umsetzen. So wird eine sichere Verbindung zwischen IT- und OT-Netzwerken hergestellt, ohne die Produktivität zu beeinträchtigen.

Sicherer Zugriff mit SINEMA Remote Connect – Fernwartung richtig absichern

Fernwartung und Remote Access sind in der modernen Industrie unverzichtbar. Servicetechniker müssen weltweit auf Maschinen und Anlagen zugreifen können, um Störungen schnell zu beheben und Stillstandszeiten zu minimieren. Gleichzeitig zählt der externe Zugriff zu den größten Sicherheitsrisiken für Produktionsnetzwerke: Offene oder schlecht gesicherte Verbindungen können Angreifern Tür und Tor öffnen.

Siemens begegnet diesem Risiko mit SINEMA Remote Connect, einer speziell für industrielle Anwendungen entwickelten Plattform für sicheren Fernzugriff.

Das sind die Kernfunktionen von SINEMA Remote Connect:

➤ Sichere VPN-Tunnel zwischen Servicetechnikern und Maschinen, die alle Daten Ende-zu-Ende verschlüsseln.
➤ Zertifikatsbasierte Authentifizierung, um nur autorisierten Nutzern Zugriff zu gewähren – ohne offene Ports ins Unternehmensnetz.

Zentrale Verwaltung von Nutzern, Zertifikaten und Verbindungen für maximale Transparenz und Nachvollziehbarkeit.

Mit den Lösungen von Siemens profitieren Betreiber von deutlich geringeren Reisekosten, da viele Serviceeinsätze dank sicherem Remote Access aus der Ferne erfolgen. Die zentrale Verwaltung ermöglicht ein einfaches Management: Konfigurationen und Freigaben lassen sich ohne spezielles IT-Security-Wissen effizient umsetzen. Gleichzeitig sorgt die strikte Trennung von IT und OT sowie die umfassende Protokollierung aller Zugriffe für ein Maximum an Sicherheit.

Praxisbeispiel: geschützter Zugang für Servicetechniker mit SINEMA Remote Connect

Das nun folgende Diagramm zeigt eine industrielle Netzwerkarchitektur mit integriertem Remote-Access-Konzept. Es verdeutlicht, wie Service- und Wartungszugriffe von außen sicher ermöglicht werden, während die logische Trennung von IT- und OT-Umgebung vollständig erhalten bleibt.

Das Netzwerk baut sich aus diesen Ebenen und Komponenten auf:

➤ Enterprise Network
Im oberen Bereich sind die klassischen IT-Ressourcen wie Data Center, Cloud-Anbindung, WSUS und Active Directory dargestellt.

➤ Industrial Data Center & Backbone
Die mittlere Ebene zeigt zentrale Systeme wie SINEC INS, SINEC NMS und UMC, die für Netzwerkmanagement, Monitoring und Authentifizierung zuständig sind. Der Backbone bildet das schnelle Rückgrat der internen Kommunikation.

➤ Industrial DMZ
Diese „Demilitarisierte Zone“ fungiert als Sicherheitsgrenze zwischen Unternehmensnetz und Produktionsnetz. Hier ist der SINEMA RC Server platziert, der alle Remote-Verbindungen koordiniert und absichert.

➤ Remote Access via VPN-Tunnel
Ein externer SINEMA RC Client baut einen verschlüsselten VPN-Tunnel auf, der ausschließlich über den SINEMA RC Server läuft. So können Servicetechniker aus der Ferne sicher auf Steuerungen (z. B. S7-1500) und andere kritische Geräte zugreifen.

➤ Aggregation & Zellen
Im unteren Bereich ist das Produktionsnetz in Cell-1 und Cell-2 segmentiert. Jede Zelle ist durch eine SCALANCE SC-600 Security Appliance geschützt, die Firewall- und VPN-Funktionen bereitstellt.

Diese Grafik zeigt, wie ein sicherer Fernzugriff in der Praxis umgesetzt wird:

✓ Abgesicherte Verbindung
Der Zugriff erfolgt ausschließlich verschlüsselt über einen kontrollierten VPN-Tunnel innerhalb der DMZ.

✓ Zentralisiertes Management
Alle Zugriffe werden protokolliert und zentral verwaltet, was die Nachvollziehbarkeit und Sicherheit erhöht.

✓ IT/OT-Trennung bleibt gewahrt
Trotz Remote Access bleiben Office-IT und Produktionsnetz logisch getrennt, wodurch potenzielle Angriffswege minimiert werden.

Diese Architektur verdeutlicht, wie Fernwartung, Sicherheit und Compliance miteinander vereinbar sind. Mit SINEMA Remote Connect und SCALANCE SC-600 von Siemens lassen sich Remote Services effizient bereitstellen, ohne die Integrität des Produktionsnetzes zu gefährden – ein entscheidender Baustein für NIS2-konforme Cybersecurity in der Industrie.

Personalisierte Zugriffskontrolle und lückenlose Protokollierung mit SIMATIC RF1000/RF1100

Netzwerksicherheit ist jedoch nur ein Teil des Schutzkonzepts. Auch der physische Zugriff auf Maschinen und Anlagen muss kontrolliert werden. Denn ein unbefugter Zutritt kann zu Produktionsausfällen, Fehlbedienungen und Sicherheitsrisiken führen.

Das folgende Schaubild zeigt den Zugriffskontroll-Prozess in einer industriellen Anwendung mit dem SIMATIC RF1000 Access Control Reader:

Mit den SIMATIC RF1000- und RF1100-Lesern bietet Siemens eine leistungsstarke Lösung für dokumentierte, personalisierte Zugriffe. Die Systeme erlauben es, individuelle Benutzerrechte zentral zu vergeben und alle Zugriffe revisionssicher zu protokollieren. Auch dies ist ein wichtiger Bestandteil für die NIS2-Compliance und die Erfüllung der IEC 62443-Anforderungen.

Diese Vorteile bietet die Zugriffskontrolle mit SIMATIC RF1000 und RF1100:

✓ Rückverfolgbarkeit: Jeder Zugriff wird dokumentiert und kann bei Sicherheitsvorfällen ausgewertet werden.
✓ Schutz vor Fehlbedienung: Nur autorisierte Mitarbeitende erhalten Zugriff auf Maschinen oder kritische Funktionen.
✓ Einfache Integration: Die Leser unterstützen Power-over-Ethernet (PoE) und bieten ein webbasiertes Management für eine komfortable Konfiguration.
✓ Flexibel nachrüstbar: Bestehende Anlagen können ohne großen Umbau mit Lesern ausgestattet werden.

Rechtssicher & zukunftssicher: NIS2-Compliance richtig umsetzen mit Lösungen von Siemens

Mit dem Inkrafttreten des NIS2-Umsetzungsgesetzes müssen Unternehmen ihre Cybersecurity-Strategien auf den neuesten Stand bringen und die Einhaltung der Vorschriften nachweisen.

Wesentliche Nachweispflichten sind:

➤ Netzwerksicherheit & Segmentierung: Zum Beispiel mit SCALANCE S Security Appliances, die Produktionszellen und kritische Anlagenbereiche voneinander trennen.
➤ Dokumentiertes Zutrittsmanagement: Protokollierte, personalisierte Zugriffe mit Lösungen wie SIMATIC RF1000/RF1100.
➤ Incident Management & Meldepflichten: Sicherheitsvorfälle müssen innerhalb von 24 Stunden gemeldet und in 72 Stunden detailliert dokumentiert werden.
➤ Asset- und Schwachstellenmanagement: Vollständige Inventarisierung, laufende Updates und Patches aller Systeme.
➤ Regelmäßige Überprüfung: Wiederkehrende Audits und Tests der implementierten Sicherheitsmaßnahmen.

Damit wird klar, dass Cybersecurity mehr ist als nur eine gesetzliche Pflicht – sie ist ein entscheidender Faktor für Zuverlässigkeit, Verfügbarkeit und Zukunftssicherheit industrieller Anlagen.

Die kommenden Jahre sind entscheidend: Unternehmen, die bereits heute auf SCALANCE-, SINEC- und SINEMA-Lösungen setzen, schaffen eine robuste Basis für NIS2-Compliance und sind gleichzeitig für zukünftige Herausforderungen bestens vorbereitet.

Gemeinsam zur NIS2-Compliance: HARDY SCHMITZ als starker Partner an Ihrer Seite

Die Umsetzung von NIS2-Compliance und moderner OT-Sicherheit braucht starke Partner, die technische Lösungen nicht nur liefern, sondern aktiv begleiten.

Genau hier setzen wir an: Unser Team Industrietechnik kombiniert Erfahrung, Marktkenntnis und umfassende Betreuung – von der Analyse über die Planung bis zur Inbetriebnahme.

Ihre Vorteile:

✓ kompetente Beratung – praxisnah und abgestimmt auf NIS2- und IEC-62443-Anforderungen
✓ individuelle Unterstützung – passgenaue Konzepte für Retrofit, Segmentierung und Zugangskontrolle
✓ technische Expertise – von der Netzwerkskizze bis zur Umsetzung von SCALANCE-, SINEC- und SINEMA-Lösungen
✓ hohe Verfügbarkeit – schnelle Lieferung von Security-Hardware, Routern, Firewalls und Access-Control-Komponenten

Unsere Industrietechnik-Experten verstehen Ihre Prozesse und sprechen Ihre Sprache.

Vereinbaren Sie jetzt Ihr persönliches Beratungsgespräch!

Team Industrietechnik

industrie-support@hardy-schmitz.de