Securing Manufacturing’s Digital Future

Die Fertigungsindustrie ist seit vier Jahren in Folge die am häufigsten von Cyberangriffen betroffene Branche und macht 26 % aller gemeldeten Vorfälle in allen Sektoren aus. Und die Bedrohung nimmt weiter zu. Laut dem „2024 Data Breach Investigations Report (DBIR)” von Verizon verzeichnete die Branche im Vergleich zum Vorjahr einen Anstieg der bestätigten Datenverletzungen um 89,2 %.

Diese Bedrohungen treten nicht nur häufiger auf, sondern verursachen auch höhere Kosten. Mit der zunehmenden Abhängigkeit von digitaler Infrastruktur steigen auch die Kosten von Störungen. Im Jahr 2024 stiegen die Kosten von Angriffen in der Fertigungsindustrie um 125 %, was auf längere Ausfallzeiten, Auswirkungen auf die Lieferkette und den steigenden Wert gestohlener geistiger Eigentumsrechte zurückzuführen ist.

Doch trotz der eskalierenden Bedrohung räumen viele Hersteller der Cybersicherheit weiterhin keine Priorität ein, eingeschränkt durch veraltete Systeme, Fachkräftemangel, operativen Druck und jahrelange Unterinvestitionen in digitale Risiken. Diese Denkweise ist jedoch nicht mehr tragbar. In einer Zeit, in der technologische Fortschritte im Mittelpunkt stehen, sind Cyber-Resilienz und -Bewusstsein zentrale Voraussetzungen für langfristige Wettbewerbsfähigkeit, Betriebskontinuität und Vertrauen entlang der gesamten Lieferkette.

Eine wachsende Risikooberfläche im Fertigungssektor

In den letzten zehn Jahren wurde der Fertigungssektor durch eine weitreichende digitale Transformation, die als Industrie 4.0 bezeichnet wird, neu gestaltet. Dieser Wandel hat zur Einführung moderner Technologien geführt, um intelligente Fabriken zu schaffen – Anlagen mit verbesserter Automatisierung, Effizienz und Qualitätskontrolle. Dieser Trend setzte sich auch 2024 fort, wobei die technologischen Investitionen in Fertigungsunternehmen im Vergleich zum Vorjahr um 30 % stiegen. Diese Transformation hat zwar zu Optimierungsfortschritten geführt, aber auch die Angriffsfläche vergrößert und Hersteller erhöhten Bedrohungen ausgesetzt.

Das Spannungsfeld zwischen der Einführung von Innovationen und dem Sicherheitsmanagement steht im Mittelpunkt der heutigen Herausforderungen im Bereich der Cybersicherheit in der Fertigungsindustrie.

Gemeinsame Herausforderungen im Fertigungssektor

Vor dem Hintergrund der Digitalisierung zeichnen sich in den meisten Teilbereichen der Fertigungsindustrie wichtige Themen ab, die erklären, warum diese Branche nach wie vor zu den am stärksten angegriffenen gehört.

Technologische Herausforderungen

Eine der wichtigsten Veränderungen der letzten Jahre war die Konvergenz von Betriebstechnologie (OT) und Informationstechnologie (IT). Diese Integration ist zwar ein wichtiger Schritt zur Verwirklichung intelligenter Fabriken, bringt aber auch erhebliche Herausforderungen mit sich. OT-Systeme legen den Schwerpunkt auf Verfügbarkeit, Zuverlässigkeit und Sicherheit, während IT-Systeme sich auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten konzentrieren. Diese unterschiedlichen Prioritäten können zu Diskrepanzen führen – und oft ist die Sicherheit das Opfer.

Erschwerend kommt hinzu, dass viele Hersteller weiterhin auf veraltete OT-Systeme angewiesen sind, die ohne Berücksichtigung von Cybersicherheitsaspekten entwickelt wurden. Diesen Systemen fehlen oft grundlegende Sicherheitsmaßnahmen wie Verschlüsselung, Benutzerauthentifizierung und regelmäßige Software-Updates, die in modernen IT-Umgebungen üblich sind. Obwohl sie für die täglichen Fertigungsprozesse nach wie vor von entscheidender Bedeutung sind, haben sie Schwierigkeiten, die Cybersicherheitsanforderungen zu erfüllen oder sich gegen immer raffiniertere Bedrohungen zu verteidigen. Aufgrund der hohen Kosten und der Komplexität ihrer Integration in bestehende Netzwerke wird ihr Austausch oft vermieden.

Schwachstellen in der Lieferkette

Die Fertigung arbeitet nicht isoliert. Sie ist eingebettet in ein Netz globaler Lieferketten, von denen viele mit völlig anderen Sektoren wie Energie, Transport und Technologie verflochten sind. Dies erweitert die Angriffsfläche des Sektors erheblich, sodass ein einziges schwaches Glied, sei es ein Drittanbieter oder ein Logistikpartner, als Einstiegspunkt für Angreifer dienen kann.

Obwohl dies nicht ausschließlich für die Fertigungsindustrie gilt, sehen viele Hersteller Schwachstellen in der Lieferkette als ein bedeutendes Problem an. Im Vereinigten Königreich hat das National Cyber Security Centre (NCSC) in der Vergangenheit wiederholt vor der zunehmenden Bedrohung durch staatliche Akteure gewarnt, die auf Schwachstellen in den Lieferketten von Ingenieur- und Industrieunternehmen abzielen, von denen viele direkt mit dem Fertigungssektor verbunden sind. Dies wird durch eine Umfrage des Weltwirtschaftsforums bestätigt, in der Angriffe auf die Lieferkette sowohl für 2023 als auch für 2024 als drittgrößtes Cyberrisiko für Fertigungsunternehmen eingestuft wurden, was die anhaltende Natur dieser Bedrohung unterstreicht.

Wertvolle Daten

Von proprietären Fahrzeugkonstruktionen in der Automobilindustrie bis hin zu sensiblen Forschungs- und Entwicklungsdaten in der Pharmabranche – Hersteller speichern eine Fülle wertvoller geistiger Eigentumsrechte. Diese Vermögenswerte sind bevorzugte Ziele für Cyberkriminelle und staatliche Akteure, die sie stehlen, gegen Lösegeld eintauschen oder sich damit einen Wettbewerbsvorteil verschaffen wollen.

Automobilfertigung

Da Fahrzeuge immer vernetzter und autonomer werden, hat sich der Schwerpunkt der Cybersicherheit im Automobilsektor auf den Schutz des Fahrzeugs selbst verlagert, mit neuen Komponenten wie Bordsystemen, KI-gesteuerter Navigation und externen Kommunikationsprotokollen. Diese Konzentration auf das Endprodukt lenkt jedoch oft die Aufmerksamkeit von einer grundlegenderen Schwachstelle ab: der Fertigungsumgebung.

Wie in anderen Branchen auch, sind viele Fertigungsumgebungen in der Automobilindustrie nach wie vor stark auf ältere Anlagen angewiesen, die für eine 100-prozentige Verfügbarkeit ausgelegt sind – Maschinen, bei deren Konstruktion Cybersicherheit keine Rolle spielte. In einer Branche, in der Präzision, Geschwindigkeit und Just-in-time-Lieferung von größter Bedeutung sind, wird die Stilllegung von Produktionslinien für routinemäßige Updates oder Patches oft als wirtschaftlich unhaltbar angesehen. Da diese Altsysteme jedoch zunehmend in moderne Netzwerke integriert werden und Funktionen wie vorausschauende Wartung, Echtzeitanalysen und robotergestützte Montage unterstützen, bringen sie kritische Schwachstellen mit sich. Ohne angemessene Segmentierung, kontinuierliche Überwachung und strenge Zugriffskontrollen kann bereits eine einzige veraltete Maschine oder ein nicht gepatchter Roboter in der Fertigungslinie als Angriffsvektor dienen.

In diesem Zusammenhang ist die Cybersicherheitsstrategie in Automobilfabriken eher reaktiv als proaktiv, sodass viele Unternehmen trotz ausgefeilter Schutzmaßnahmen für die Fahrzeuge selbst auf grundlegender Ebene gefährdet sind.

Lebensmittel- und Getränkeherstellung

Im Einklang mit dem Digitalisierungstrend konzentriert sich der Lebensmittel- und Getränkeherstellungssektor zunehmend auf automatisierte Anlagen und vernetzte Verarbeitungsanlagen. Diese Verlagerung führt oft zu einer stärkeren Fokussierung auf Produktivität und Rentabilität. Laut einer BSI-Umfrage gaben jedoch 78 % der Befragten aus dem Lebensmittelsektor an, dass ihr Unternehmen nicht ausreichend auf einen Cyberangriff vorbereitet sei, was einen häufigen Kompromiss verdeutlicht, bei dem die Sicherheit in digital sich entwickelnden Umgebungen hinter der betrieblichen Effizienz zurücksteht.

Sue Newton, GB Food and Drink Practice Leader bei WTW, erklärt: „Das Problem in der Lebensmittel- und Getränkeindustrie ist, dass sie als anfälliger gilt, weil die Produktionstechnologie zwar ausgebaut wurde, aber die Cybersicherheitsmaßnahmen für Unternehmen in diesem Sektor nicht ausreichend berücksichtigt wurden, sodass viele Unternehmen nun Aufholbedarf haben.“

Tatsächlich treten Cybersicherheitsbedenken in der Lebensmittelherstellung oft hinter anderen wichtigen Prioritäten wie Lebensmittelsicherheit, Kontaminationsprävention und öffentliche Gesundheit zurück. Ironischerweise lenken diese Prioritäten zwar die Aufmerksamkeit von der Cybersicherheit ab, sind aber genau die Faktoren, die im Falle eines Angriffs direkt gefährdet sein könnten.

Pharmazeutische Herstellung

Pharmazeutische Unternehmen stellen derzeit rasch auf kontinuierliche Fertigungsmodelle um, mit vernetzten Umgebungen, die darauf ausgelegt sind, die Produktion zu optimieren, die Einhaltung gesetzlicher Vorschriften sicherzustellen und die Produktqualität aufrechtzuerhalten.

Diese Veränderungen bringen sowohl betriebliche Vorteile als auch kritische Risiken mit sich, da Pharmaunternehmen eine Vielzahl sensibler Vermögenswerte verwalten. Dazu gehören geistiges Eigentum im Zusammenhang mit Arzneimittelformeln und Produktionsmethoden, Forschungs- und Entwicklungsdaten für zukünftige Behandlungen, sensible Gesundheitsdaten aus klinischen Studien und Patientendaten – allesamt unterliegen strengen gesetzlichen Schutzbestimmungen.

Diese Daten sind ein bevorzugtes Ziel für Ransomware, Spionage und Diebstahl geistigen Eigentums, insbesondere durch staatliche Akteure und organisierte Cyberkriminelle. Externe Akteure sind jedoch nicht das einzige Problem. Laut einer Umfrage des Weltwirtschaftsforums stuften die Befragten aus dem Gesundheitswesen Insider-Bedrohungen als zweitgrößte Cyber-Bedrohung ein, was das wachsende Bewusstsein für die Risiken durch interne Akteure widerspiegelt.

Ransomware: Eine anhaltende Bedrohung für die Fertigungsindustrie

Ransomware bleibt auch 2025 eine der drängendsten Herausforderungen für die Cybersicherheit im Fertigungssektor. Laut dem Verizon DBIR 2025 waren 47 % aller Sicherheitsverletzungen in der Fertigungsindustrie auf Ransomware zurückzuführen, was ihre Dominanz als bevorzugte Angriffsmethode unterstreicht. Dieser Trend spiegelt sich auch im IBM X-Force Threat Intelligence Index wider, der berichtet, dass die Fertigungsindustrie 2024 bei allen Ransomware-Fällen in der Industrie an erster Stelle stand.

Während die Ransomware-Epidemie fast alle Branchen betrifft, hat sie sich aufgrund der besonderen Schwachstellen dieses Sektors besonders aggressiv in der Fertigungsindustrie ausgebreitet.

Hersteller sind aufgrund des kombinierten Drucks durch die Verwaltung hochwertiger Daten, die Abhängigkeit von Altsystemen und die schwerwiegenden betrieblichen Folgen von Ausfallzeiten besonders attraktive Ziele für Ransomware-Angreifer. Im Gegensatz zu anderen Branchen können Störungen in der Fertigung eine Kettenreaktion in der gesamten Lieferkette auslösen und sich auf die Produktqualität, die Lieferzeiten und die Gesamtrentabilität auswirken. ReliaQuest verzeichnete im vergangenen Jahr einen Anstieg von 24 % bei Ransomware-Gruppen, die speziell auf diesen Sektor abzielen, wobei der Schwerpunkt auf der Gruppe „PlayCrypt“ lag, die sie als eine der „gefährlichsten Ransomware-Gruppen, die auf die Fertigungsindustrie abzielen“ bezeichneten.

In Europa war die Fertigungsindustrie laut ENISA Threat Landscape 2024.4 zwischen Juli 2023 und Juni 2024 der am stärksten von Ransomware betroffene Sektor. Prominente Ransomware-Gruppen wie LockBit und 8Base konzentrierten sich offenbar stark auf europäische Hersteller und nutzten sowohl handelsübliche Malware als auch maßgeschneiderte Tools, um Lieferketten zu infiltrieren und den Betrieb zu stören.

Social Engineering und Phishing

Es überrascht nicht, dass Social Engineering – insbesondere Phishing – eine bedeutende Rolle bei Cyberangriffen auf die Fertigungsindustrie spielt. Der Verizon DBIR ergab, dass Social Engineering mit einem Anteil von 22 % an den Sicherheitsverletzungen nach Systemeinbrüchen die zweithäufigste Angriffsart in diesem Sektor ist. Bemerkenswert ist, dass Phishing für 19 % der Vorfälle verantwortlich war, was die anhaltende Anfälligkeit menschlicher Nutzer in Fertigungsumgebungen unterstreicht.

Der Einfluss von Social Engineering geht jedoch über seine eigene Kategorie hinaus. Viele Sicherheitsverletzungen, die unter Überschriften wie „gestohlene Anmeldedaten”, „Missbrauch von Berechtigungen” oder „Malware-Installation” aufgeführt sind, beginnen oft mit Social-Engineering-Taktiken wie Phishing. Selbst Vorfälle wie Business Email Compromise (BEC), die manchmal separat kategorisiert werden, beruhen auf der Manipulation von Menschen. Der DBIR führt letztendlich 60 % der Sicherheitsverletzungen auf den Faktor Mensch zurück, was zeigt, wie tief Social Engineering in der Bedrohungslandschaft verankert ist – nicht als eigenständige Taktik, sondern als grundlegender Wegbereiter für viele Angriffstypen.

Von August bis November 2024 meldete CYFIRMA einen Anstieg der Aktivitäten im Bereich Advanced Persistent Threats (APT), wobei 69 % der beobachteten APT-Kampagnen Opfer aus der Fertigungsindustrie verzeichneten. Zu den namhaften Akteuren dieser Angriffe gehörten mit China in Verbindung stehende Bedrohungsakteure wie Stone Panda (APT10), Emissary Panda (APT27) und Volt Typhoon.

Dieser Anstieg der APT-Aktivitäten spiegelt die relativ geringe Cyber-Reife des Sektors wider. Viele APT-Gruppen, die dafür bekannt sind, dass sie Umfang gegenüber Raffinesse bevorzugen, nutzen diese Lücke aus, indem sie Fertigungsunternehmen mit einer hohen Anzahl von Phishing- und Social-Engineering-Versuchen überhäufen – Methoden, die in industriellen Umgebungen mit begrenzter Benutzerschulung und fragmentierten Sicherheitsvorkehrungen in allen Technologiebereichen nach wie vor sehr effektiv sind.

Der Stand der Cyberangriffe in Europa

Das regulatorische Umfeld in Europa prägt die Cybersicherheitspraktiken in der Fertigungsindustrie, aber aufgrund der Vielzahl unterschiedlicher Sektoren, aus denen sich die Fertigungsindustrie zusammensetzt, und ihrer unterschiedlichen digitalen Reife ist dies kein einheitlicher Prozess. Die NIS2-Richtlinie der EU schreibt beispielsweise strengere Cybersicherheitsmaßnahmen und die Meldung von Vorfällen für Betreiber wesentlicher Dienste vor, darunter wichtige Fertigungsindustrien wie die Automobilindustrie, die Pharmaindustrie und kritische Infrastrukturen. Dies hat viele Unternehmen in diesen Sektoren dazu veranlasst, ihre Cybersicherheitsmaßnahmen zu verstärken, in Risikomanagement-Frameworks zu investieren und die Sicherheit ihrer Lieferketten zu verbessern.

In ähnlicher Weise wird das bevorstehende Cyber-Resilienz-Gesetz, das die Sicherheitsanforderungen für vernetzte Produkte regeln soll, die Hersteller weiter dazu drängen, Cybersicherheitsansätze von Anfang an zu berücksichtigen, was sich insbesondere auf Unternehmen auswirkt, die intelligente, vernetzte Geräte und IoT-Geräte herstellen.

Im Gegensatz dazu unterliegt die Lebensmittel- und Getränkeindustrie seit jeher relativ lockeren Cybersicherheitsvorschriften. Die Vorschriften zur Lebensmittelsicherheit legen zwar Wert auf Hygiene und Rückverfolgbarkeit, schreiben jedoch keine umfassenden Cybersicherheitskontrollen vor. Infolgedessen haben viele Lebensmittelhersteller Investitionen in die Cybersicherheit nicht in gleichem Maße priorisiert wie Branchen, die strengeren Compliance-Anforderungen unterliegen.

Bemerkenswerte Cyberangriffe in der DACH-Region

Im Februar 2024 wurde der deutsche Batteriehersteller Varta Opfer eines Cyberangriffs, der den Betrieb in fünf Produktionsstätten lahmlegte. Das Unternehmen schaltete proaktiv seine IT-Systeme ab und trennte sie vom Internet, um den Angriff einzudämmen, was zu einer Unterbrechung der Produktion und der Verwaltungsprozesse führte.

Im März 2024 bestätigte der deutsche Industriekonzern ThyssenKrupp einen Cyberangriff. Der Angriff umfasste den unbefugten Zugriff auf die IT-Infrastruktur, was das Unternehmen dazu veranlasste, bestimmte Anwendungen und Systeme vorübergehend stillzulegen. Als wichtiger Akteur in der globalen Lieferkette für Stahlprodukte löste der Vorfall Bedenken hinsichtlich der Auswirkungen von Sicherheitsverletzungen auf miteinander verbundene Branchen aus, obwohl Berichten zufolge die Lieferkette der Kunden nicht betroffen war.

Hindernisse für Investitionen in Cybersicherheit in der Fertigungsindustrie

Trotz der weit verbreiteten Cyberangriffe auf Hersteller in ganz Europa besteht in den Unternehmen nach wie vor eine allgemeine Zurückhaltung, Investitionen in Cybersicherheit zu priorisieren. Mehrere wichtige Faktoren tragen zu dieser Herausforderung bei:

Mangelndes Bewusstsein und Fachwissen

Die Fertigungsindustrie ist in der Regel keine bürozentrierte Branche, was oft zu einem geringeren Bewusstsein für Cybersicherheit bei den Mitarbeitern führt, die keine regelmäßigen Schulungen erhalten, sowie zu einem Mangel an qualifiziertem Personal, das Cyberrisiken effektiv managen und mindern kann. Diese Qualifikationslücke wird im NIS-Investitionsbericht 2024 der ENISA hervorgehoben, in dem berichtet wird, dass 59 % der kleinen und mittleren Unternehmen Schwierigkeiten haben, Stellen im Bereich Cybersicherheit zu besetzen.

Abhängigkeit von Altsystemen

Fertigungsumgebungen sind oft stark von veralteten OT-Systemen abhängig. Diese Altsysteme sind schwer zu sichern oder zu ersetzen, ohne dass erhebliche Kosten entstehen und Betriebsunterbrechungen riskiert werden, was zu anhaltenden Sicherheitsproblemen führt.

Finanzielle Einschränkungen und Ausfallrisiken

Die finanziellen Auswirkungen von Ausfallzeiten sind in der Fertigung besonders gravierend. So kostet beispielsweise jede unproduktive Stunde in der Automobilfertigung etwa 2,3 Millionen US-Dollar (rund 2,04 Millionen Euro). Dieses Risiko schreckt von Investitionen in Cybersicherheits-Updates oder Systemerneuerungen ab, die die Produktion unterbrechen könnten, was die Schwachstellen weiter verschärft.

Konkurrierende Prioritäten

Hersteller stehen oft vor dem Spagat zwischen betrieblichen Anforderungen und Investitionen in Cybersicherheit. Da der Schwerpunkt in erster Linie auf der Aufrechterhaltung der Produktionsverfügbarkeit, der physischen Sicherheit und der Einhaltung enger Liefertermine liegt, kann die Cybersicherheit in den Hintergrund geraten. Dieser Kompromiss bedeutet, dass selbst wenn die Risiken bekannt sind, begrenzte Ressourcen und dringende geschäftliche Anforderungen oft notwendige Sicherheitsupgrades oder Schulungsinitiativen verzögern.

Was können Unternehmen tun, um dieser Herausforderung zu begegnen?

Cyberangriffe auf den Fertigungssektor sind hartnäckig, schädlich und nehmen an Umfang zu. Angesichts der fortschreitenden Digitalisierung können sich Hersteller nicht mehr auf reaktive oder fragmentarische Ansätze zur Cybersicherheit verlassen. Stattdessen erfordert der Aufbau einer langfristigen Widerstandsfähigkeit eine integrierte Strategie, die sowohl technische Schwachstellen als auch menschliche Risiken berücksichtigt.

–    Sichern Sie ältere Systeme, ohne die Betriebszeit zu beeinträchtigen

–    Integrieren Sie Cybersicherheit in die digitale Transformation

Auch wenn der Austausch von Altsystemen möglicherweise nicht sofort realisierbar ist, sollten Hersteller Maßnahmen ergreifen, um das Risiko zu minimieren. Dazu gehören:

• Netzwerksegmentierung, um Altsysteme von der zentralen IT-Infrastruktur zu isolieren.
• Virtuelles Patching durch Intrusion-Detection-Systeme und Endpoint-Protection-Tools.
• Strenge Zugriffskontrollen und Überwachung, um den Kreis der Personen zu begrenzen, die mit anfälligen Ressourcen interagieren können.
• Einrichtung eines robusten Change-Management-Prozesses, um sicherzustellen, dass alle Änderungen an Altsystemen vor der Bereitstellung ordnungsgemäß getestet und genehmigt werden.

Cybersicherheit muss in die Konzeption und Bereitstellung neuer Technologien integriert werden – von intelligenten Maschinen bis hin zu cloudbasierten Analysen. Dazu gehören:

–    Einführung eines Cybersecurity-by-Design-Ansatzes, bei dem Sicherheit von Anfang an in die Architektur jedes neuen Systems, Geräts und Prozesses integriert wird.

–    Durchführung regelmäßiger Risikobewertungen über den gesamten IT/OT-Stack hinweg.

–    Die Ausrichtung an Rahmenwerken wie NIS2, ISO 27001 oder IEC 62443.30

–    Stärkung der Lieferkette

–    Menschliche Risiken nicht übersehen

Da Lieferanten und Dritte oft eine Schwachstelle darstellen, sollten Unternehmen Folgendes tun:

• Programme zum Risikomanagement für Lieferanten implementieren.
• Von wichtigen Partnern Cybersicherheitsbewertungen verlangen.
• Bedrohungsinformationen gemeinsam über die gesamte Lieferkette hinweg austauschen.
• Sicherstellen, dass die Notfallpläne auch die Partner in der Lieferkette einbeziehen. Darin sollten die Rollen, Verantwortlichkeiten und Kommunikationsprotokolle im Falle eines Vorfalls festgelegt sein.

Trotz zunehmender Automatisierung bleiben Menschen einer der häufigsten Angriffspunkte für Angreifer – insbesondere durch Phishing, Social Engineering oder falsch konfigurierte Systeme. Um dem entgegenzuwirken:

• Erschweren Sie es Angreifern, Mitarbeiter zu erreichen. Setzen Sie intelligente Technologien ein, die verdächtige E-Mails, Direktnachrichten oder andere überwachbare Kanäle filtern und blockieren können.
• Führen Sie relevante und zeitnahe Schulungen zum Thema Sicherheitsbewusstsein durch, die auf die Fertigungsumgebung zugeschnitten sind.
• Simulieren Sie Phishing-Kampagnen, um die Reaktion und das Bewusstsein der Mitarbeiter zu verbessern.
• Bieten Sie Nudges oder Just-in-Time-Schulungen an, um die Auswirkungen riskanter Verhaltensweisen von Mitarbeitern zu minimieren.
• Investieren Sie in Cyber-Talente und Führungskräfte und schaffen Sie klare Wege für Cybersicherheitsfunktionen innerhalb von OT und IT.

Minderung des menschlichen Risikos im Fertigungssektor

Jedes Jahr misst KnowBe4 den Phish-prone™-Prozentsatz (PPP) einer Organisation – den Anteil der Mitarbeiter, die wahrscheinlich auf Phishing- oder Social-Engineering-Angriffe hereinfallen. In der jüngsten Analyse von 67,7 Millionen Simulationen mit 14,5 Millionen Nutzern in über 62.000 Unternehmen lag der europäische Basis-PPP-Wert bei 32,5 %, was bedeutet, dass fast ein Drittel der Mitarbeiter mit Phishing-Simulationen interagiert, bevor sie an einer Best-Practice-Schulung zum Sicherheitsbewusstsein (SAT) teilnehmen.

Im Fertigungssektor lag der Basis-PPP-Wert für Unternehmen aller Größenordnungen mit 31,8 % nahe am europäischen Durchschnitt, wobei große Unternehmen (mit mehr als 10.000 Mitarbeitern) mit 43,7 % den höchsten Basiswert aufwiesen. Nach nur drei Monaten konsequenter und effektiver SAT sank der Gesamt-PPP-Wert jedoch deutlich auf 19,8 % – ein Beweis für die starke Wirkung von SAT bei der Reduzierung menschlicher Risiken. Nach 12 Monaten sank der PPP sogar noch weiter auf nur 3,6 %, was einer Reduzierung um 89 % entspricht. Erfreulicherweise erwies sich dieser Fortschritt als nachhaltig, da die allgemeinen Klickraten nach zwei Jahren mit 3,3 % und nach drei Jahren mit 3,0 % weiterhin niedrig blieben.

Da Ransomware, Phishing und APT-Kampagnen eine wichtige Rolle bei Cyberangriffen auf den Fertigungssektor spielen, ist es offensichtlich, dass die Stärkung des Bewusstseins und der Reaktionsfähigkeit der Mitarbeiter entscheidend ist, um eine stärkere Sicherheitskultur aufzubauen, erste Zugriffsversuche abzuwehren und die gesamte Lieferkette vor Kompromittierungen zu schützen. Indem sie Angriffe am menschlichen Zugangspunkt stoppen, schützen Unternehmen nicht nur sich selbst, sondern tragen auch dazu bei, eine Kaskade von Störungen in miteinander verbundenen Sektoren zu verhindern.

Die Beweise sind eindeutig: Cybersicherheit in der Fertigungsindustrie ist keine Option, sondern eine Grundvoraussetzung. Für den europäischen Fertigungssektor erfordert der Weg in die Zukunft Handeln – und kein Zögern. Die Anerkennung der sich entwickelnden Bedrohungslage, die Beseitigung anhaltender Schwachstellen und die Verpflichtung zu intelligenten, strategischen Investitionen in die Sicherheit sind wesentliche Schritte auf dem Weg zu einer widerstandsfähigen und sicheren digitalen Zukunft.

Manufacturing has been the most targeted industry for cyberattacks for four consecutive years, accounting for 26% of all reported incidents across sectors. And the threat is only growing. According to Verizon’s 2024 Data Breach Investigations Report (DBIR), the industry experienced an 89.2% surge in confirmed data breaches compared to the previous year.

These threats are not only more frequent, but also more costly. As reliance on digital infrastructure grows, so does the cost of disruption. In 2024 the cost of attacks in manufacturing increased by 125%, driven by prolonged downtime, supply chain ripple effects, and the rising value of stolen intellectual property.

Yet, despite the escalating threat, many manufacturers continue to deprioritize cybersecurity, constrained by legacy systems, talent shortages, operational pressures, and years of underinvestment in digital risk. However, this mindset is no longer sustainable. In an era focused on technological advances, cyber resilience and awareness are core requirements for long-term competitiveness, operational continuity, and trust across the supply chain.

An Expanding Risk Surface in the Manufacturing Sector

Referred to as Industry 4.0, the past decade has seen the manufacturing sector reshaped by a widespread digital transformation. This shift has led to the adoption of modern technologies in an effort to build smart factories—facilities with enhanced automation, eficiency, and quality control. This trend continued in 2024, with technological investment in manufacturing organisations up 30% compared to the previous year. And while this transformation has brought optimisation advances, it has also expanded the attack surface, exposing manufacturers to increased threats. The tension between embracing innovation and managing security sits at the heart of today’s manufacturing cybersecurity challenges.

Common Challenges Across the Manufacturing Sector

Against the backdrop of digitalisation, key themes emerge across most manufacturing sub-sectors that help explain why it remains one of the most targeted industries.

Technological Challenges

One of the most critical shifts in recent years has been the convergence of operational technology (OT) with information technology (IT). While this integration is a key step toward realising smart factories, it also introduces significant challenges. OT systems prioritise availability, reliability, and safety, whereas IT systems focus on data confidentiality, integrity, and availability. These differing priorities can lead to misalignments—and often, security becomes the casualty.

Compounding the challenge is that many manufacturers continue to depend on legacy OT, not built with cybersecurity considerations. These systems often lack fundamental security measures such as encryption, user authentication, and regular software updates that are common in modern IT environments. Although they remain critical to daily manufacturing processes, they struggle to meet cybersecurity requirements or defend against increasingly sophisticated threats. Replacing them is often avoided due to the high costs and the complexity of their integration within existing networks.

Supply Chain Vulnerabilities

Manufacturing does not operate in isolation. It is embedded within a web of global supply chains—many of which intersect with entirely different sectors such as energy, transportation and technology. This significantly broadens the sector’s attack surface, meaning a single weak link, whether it’s a third-party vendor or a logistics partner, can serve as an entry point for attackers.

While not exclusive to manufacturing, many manufacturers identify supply chain vulnerabilities as a significant concern. In the UK, the National Cyber Security Centre (NCSC) has historically issued repeated warnings about the rising threat posed by nation-state actors targeting weak links within the supply chains of engineering and industrial firms—many of which are tied directly to the manufacturing sector. Supporting this, the World Economic Forum’s survey ranked supply chain attacks as the third most significant cyber risk facing manufacturing organisations in both 2023 and 2024, underscoring the persistent nature of the threat.

High Value Data

From proprietary vehicle designs in the automotive industry to sensitive research and development data in pharmaceuticals, manufacturers store a trove of high-value intellectual property. These assets are prime targets for cybercriminals and nation-state actors looking to steal, ransom, or gain a competitive edge.

Automotive Manufacturing

As vehicles grow more connected and autonomous, the cybersecurity focus in the automotive sector has shifted toward protecting the car itself, with new components like onboard systems, AI-driven navigation, and external communication protocols. However, this concentrated focus on the end product often diverts critical attention from a more foundational vulnerability: the manufacturing environment.

As with other sectors, many automotive manufacturing environments still rely heavily on legacy equipment designed for 100% uptime—machinery that was never built with cybersecurity in mind. In an industry where precision, speed, and just-in-time delivery are paramount, shutting down production lines for routine updates or patching is often viewed as commercially untenable. Yet, as these legacy systems are increasingly integrated into modern networks—supporting capabilities like predictive maintenance, real-time analytics, and robotic assembly—they introduce critical vulnerabilities. Without proper segmentation, continuous monitoring, and strict access controls, even a single outdated machine or unpatched robot across the assembly line can serve as an attack vector.

In this context, the cybersecurity posture on the automotive factory floor tends to be reactive rather than proactive—leaving many organisations exposed at a foundational level, despite sophisticated protections being developed for the vehicles themselves.

Food and Beverage Manufacturing

In line with the digitalisation trend, the food and beverage manufacturing sector is increasingly focused on automated equipment and networked processing facilities. This shift often brings a greater emphasis on productivity and profitability. However, according to a BSI poll, 78% of food-sector respondents said their organisation was not adequately prepared for a cyberattack, highlighting a common trade-off where security takes a back seat to operational eficiency in digitally evolving environments.

According to Sue Newton, GB food and drink practice leader at WTW, “The issue with the food and drink industry is that they are considered more vulnerable because the operational technology underpinning production has increased but cybersecurity measures for businesses in the sector haven’t been sufficiently considered, so many companies are now having to play catch up.”

In fact, cybersecurity concerns in food manufacturing environments often fall down to other critical priorities, such as food safety, contamination prevention, and public health. Ironically, while these priorities can divert attention away from cybersecurity, they are the very factors that could be directly compromised in the event of an attack.

Pharmaceutical Manufacturing

Pharmaceutical companies are rapidly shifting toward continuous manufacturing models, with interconnected environments designed to optimise production, ensure regulatory compliance, and maintain product quality.

These transformations bring both operational advantages and critical risks, as pharmaceutical organisations manage a wide range of sensitive assets. This includes intellectual property related to drug formulas and production methods, research and development data for future treatments, sensitive health records from clinical trials, and patient data—all of which are subject to strict regulatory protections.

This data is a prime target for ransomware, espionage, and intellectual property theft, especially by nation-state actors and organised cybercriminal groups. However, external actors are not the only concern. According to a survey carried out bythe World Economic Forum, respondents from the healthcare manufacturing sector ranked insider threats as their second most concerning cyber threat, reflecting growing awareness of the risks posed by internal actors.

Ransomware: A Persistent Threat to Manufacturing

Ransomware remains one of the most pressing cybersecurity challenges facing the manufacturing sector in 2025. According to the 2025 Verizon DBIR, ransomware accounted for 47% of all breaches in manufacturing—underscoring its dominance as the attack method of choice. This trend is echoed in the IBM X-Force Threat Intelligence Index, which reported that manufacturing led all industry ransomware cases in 2024.

While the ransomware epidemic spans nearly every industry, it has taken a particularly aggressive hold in manufacturing due to the sector’s unique vulnerabilities.

Manufacturers are especially attractive targets for ransomware actors due to the combined pressure of managing high-value data, relying on legacy systems, and the severe operational consequences of downtime. Unlike other sectors, disruptions in manufacturing can cascade through entire supply chains, affecting product quality, delivery timelines, and overall profitability. ReliaQuest noted a 24% increase in ransomware groups specifically targeting the sector over the past year, with particular focus on the group ‘PlayCrypt’ who they coined one of the “most dangerous ransomware groups targeting manufacturing”.

In Europe, manufacturing was the most targeted sector by ransomware between July 2023 and June 2024, according to the ENISA Threat Landscape 2024.4 Prominent ransomware groups such as LockBit and 8Base were observed to display a large focus on European manufacturers, leveraging both commodity malware and custom-built tools to infiltrate supply chains and disrupt operations.

Social Engineering and Phishing

Unsurprisingly, social engineering—particularly phishing—plays a significant role in manufacturing-related cyberattacks. The Verizon DBIR revealed social engineering as the second most common attack type in the sector, accounting for 22% of breaches behind system intrusion. Notably, phishing was responsible for 19% of incidents, highlighting the persistent vulnerability of human users within manufacturing environments.

However, the influence of social engineering extends beyond its own category. Many breaches listed under headings like stolen credentials, privilege misuse, or malware installation often begin with social engineering tactics such as phishing. Even incidents like business email compromise (BEC), sometimes categorized separately, rely on human manipulation. The DBIR ultimately attributes 60% of breaches to the human element, illustrating how deeply embedded social engineering is across the threat landscape—not as a standalone tactic, but as a foundational enabler of many attack types.

From August to November 2024, CYFIRMA reported a surge in advanced persistent threat (APT) activity, with 69% of observed APT campaigns recording manufacturing industry victims. Notable actors for these attacks included Chinese-linked threat actors such as Stone Panda (APT10), Emissary Panda (APT27), and Volt Typhoon.

This spike in APT activity reflects the sector’s relatively low cyber maturity. Known for favouring scale over sophistication, many APT groups exploit this gap by overwhelming manufacturing organisations with high volumes of phishing and social engineering attempts—methods that remain highly effective in industrial environments with limited user training and fragmented security defences across technology.

The State of Cyberattacks Across Europe

The regulatory environment across Europe is shaping cybersecurity practices within the manufacturing industry, but due to the number of different sectors that make up manufacturing, and their differing levels of digital maturity, this has not been a unified process. The EU’s NIS2 Directive,  for example, mandates stricter cybersecurity measures and incident reporting for operators of essential services, including key manufacturing industries like automotive, pharmaceuticals, and critical infrastructure. This has driven many organisations in these sectors to bolster their cybersecurity posture, invest in risk management frameworks, and enhance supply chain security.

Similarly, the upcoming Cyber Resilience Act, set to regulate security requirements for connected products, will further push manufacturers to adopt cybersecurity-by-design approaches, particularly impacting companies producing smart, connected equipment and IoT devices.

In contrast, the food and drink manufacturing sector has historically operated under relatively relaxed cybersecurity regulations. While food safety regulations emphasise hygiene and traceability, they do not specifically mandate comprehensive cybersecurity controls. As a result, many food manufacturers have not prioritised cybersecurity investment to the same degree as sectors facing more rigorous compliance demands.

Notable Cyberattacks in DACH

In February 2024, German battery manufacturer Varta suffered a cyberattack that disrupted operations across five production plants. The organisation proactively shut down its IT systems and disconnected them from the internet to contain the breach, leading to halted production and administrative processes.

In March 2024 German industrial conglomerate, ThyssenKrupp, confirmed a cyberattack. The breach involved unauthorised access to IT infrastructure, prompting them to temporarily shut down certain applications and systems. As a key player in the global supply chain for steel-based products, the incident raised concerns about the downstream impact of breaches on interconnected industries, despite reports that the customer supply chain was not affected.

Barriers to Cybersecurity Investment in Manufacturing

Despite widespread cyberattacks on manufacturers across Europe, a general trend of resistance remains among organisations to prioritise cybersecurity investment. Several key factors contribute to this challenge:

Lack of Awareness and Expertise

Manufacturing is typically not an office-centric industry, which often results in lower cybersecurity awareness among employees who don’t receive regular training, as well as a shortage of skilled personnel to effectively manage and mitigate cyber risks. This skills gap is highlighted in ENISA’s NIS Investments Report 2024, where it was reported that 59% of small and medium size enterprises were finding it challenging to fill cybersecurity roles.

Dependence on Legacy Systems

Manufacturing environments often rely heavily on outdated OT systems. These legacy systems are difficult to secure or replace without incurring significant costs and risking operational disruptions, creating persistent security challenges.

Financial Constraints and Downtime Risks

The financial impact of downtime is particularly acute in manufacturing. For example, every unproductive hour in automotive manufacturing costs approximately $2.3 million (around €2.04 million). This risk discourages investment in cybersecurity updates or system replacements that might interrupt production, further exacerbating vulnerabilities.

Competing Priorities

Manufacturers often face a balancing act between operational demands and cybersecurity investments. With the primary focus on maintaining production uptime, physical safety, and meeting tight delivery schedules, cybersecurity can be deprioritised. This trade-off means that even when risks are understood, limited resources and urgent business needs often delay necessary security upgrades or training initiatives.

What Can Organisations Do to Address the Challenge?

Cyberattacks on the manufacturing sector are persistent, damaging, and growing in volume. As digitalisation continues, manufacturers can no longer rely on reactive or piecemeal approaches to cybersecurity. Instead, building long-term resilience requires an integrated strategythat addresses both technical vulnerabilities and human risk.

• Secure Legacy Systems Without Sacrificing Uptime
• Embed Cybersecurity into Digital Transformation

While replacing legacy systems may not be immediately feasible, manufacturers should take steps to minimise exposure. This includes:

• Network segmentation to isolate legacy systems from core IT infrastructure.
• Virtual patching through intrusion detection systems and endpoint protection tools.
• Strict access controls and monitoring to limit who can interact with vulnerable assets.
• Establish a robust change management process to ensure that any modifications to legacy systems are properly tested and approved before deployment.

Cybersecurity must be woven into the design and deployment of new technologies—from smart machinery to cloud-based analytics. This includes:

• Adopting a cybersecurity-by-design approach, where security is embedded into the architecture of every new system, device, and process from the outset.
• Conducting regular risk assessments across the IT/OT stack.
• Aligning with frameworks such as NIS2, ISO 27001 or IEC 62443.30
• Strengthen the Supply Chain
• Don’t Overlook Human Risk

With suppliers and third parties often representing a weak link, organisations should:

• Implement vendor risk management programs.
• Require cybersecurity assessments from critical partners.
• Share threat intelligence collaboratively across the supply chain.
• Ensure the incident response plans include supply chain partners. This should outline roles, responsibilities, and communication protocols in the event of an incident.

Despite increasing automation, people remain one of the most common entry points for attackers—particularly through phishing, social engineering, or misconfigured systems. To address this:

• Make it dificult for attacks to reach employees. Use intelligent technology that can filter and block suspicious emails, direct messages, or other channels that can be monitored.
• Roll out relevant and timely security awareness training tailored to the manufacturing environment.
• Simulate phishing campaigns to improve employee response and awareness.
• Provide nudges or just-in-time training to minimise the impact of any risky behaviour an employee may engage in.
• Invest in cyber talent and leadership, creating clear pathways for cybersecurity roles within OT and IT.

Mitigating Human Risk in the Manufacturing Sector

Each year, KnowBe4 measures an organisation’s Phish-prone™ Percentage (PPP)—the proportion of employees likely to fall for phishing or social engineering attacks. In the latest analysis of 67.7 million simulations across 14.5 million users in over 62,000 organisations, the European baseline PPP was 32.5%, meaning nearly one-third of employees interact with phishing simulations before taking part in best-practice security awareness training (SAT).

In the manufacturing sector, the baseline PPP across organisations of all sizes was close to the European average at 31.8%, with large enterprises (10,000+ employees) showing the highest baseline at 43.7%. However, after just three months of consistent and effective SAT, the overall PPP dropped significantly to 19.8%—demonstrating the powerful impact of SAT in reducing human risk. After 12 months, the PPP declined even further to just 3.6%, representing a 89% reduction. Encouragingly, this progress proved sustainable, with general click rates remaining low at 3.3% after two years and 3.0% after three.

With ransomware, phishing and APT campaigns playing a prominent role in cyberattacks targeting the manufacturing sector, it’s clear that strengthening employee awareness and response is critical in building a stronger security culture, defending against initial access attempts, and protecting the broader supply chain from compromise. By stopping attacks at the human entry point, organisations not only protect themselves but help prevent a cascade of disruption across interconnected sectors.

The evidence is clear: Cybersecurity in manufacturing is not optional, it’s foundational. For Europe’s manufacturing sector, the path forward demands action—not hesitation. Recognising the evolving threat landscape, addressing persistent vulnerabilities, and committing to smart, strategic investment in security are essential steps toward a resilient and secure digital future.