Intralogistik-Cybersecurity: Neue EU-Vorgaben für automatisierte Systeme

von | 20. Nov. 2025 | Logistik allgemein | 0 Kommentare

Intralogistik-Cybersecurity

BU: Regelmäßige Sicherheitsupdates für Betriebssysteme, Datenbanken und Laufzeitumgebungen werden strukturiert geplant, getestet und in Abstimmung mit dem Kunden ausgerollt. Foto: Unitechnik

Intralogistik-Cybersecurity steht am Beginn einer neuen Ära für innerbetriebliche Materialflussanlagen. Automatisierte Intralogistikanlagen gelten als Rückgrat moderner Produktions- und Distributionsprozesse. Sie ermöglichen eine präzise, schnelle und effiziente Abwicklung innerbetrieblicher Materialflüsse. Doch mit der zunehmenden Digitalisierung dieser Systeme wächst auch ihre Verwundbarkeit – insbesondere gegenüber Cyberbedrohungen. Die Europäische Union hat darauf reagiert und mit der neuen Maschinenverordnung (EU 2023/1230), dem Cyber Resilience Act (EU 2024/2847) sowie der NIS-2-Richtlinie einen neuen Ordnungsrahmen geschaffen, der auch Betreiber und Inverkehrbringer automatisierter Anlagen in die Pflicht nimmt.

Ab dem Jahr 2027 wird es für Unternehmen in der Intralogistik nicht mehr ausreichen, ihre neugebauten Anlagen lediglich mechanisch instand zu halten. Vielmehr sind dann ganzheitliche Sicherheitsstrategien gefordert, die auch Software, Kommunikationstechnik und vernetzte Infrastrukturen einbeziehen. Für viele Betreiber bedeutet das eine grundlegende Umstellung. Gleichzeitig ergeben sich Chancen für Automatisierungsspezialisten.

Intralogistik-Cybersecurity
IT-Security schützt klassische Unternehmens-IT, während OT-Security sich auf die Absicherung von industriellen Steuerungs- und Automatisierungssystemen bezieht. Grafik: Unitechnik

Regulatorischer Umbruch: Was sich ab 2027 ändert

Die neue EU-Maschinenverordnung löst die bisherige Maschinenrichtlinie ab und definiert erstmals explizit Anforderungen an die Cybersicherheit von Maschinen und Anlagen. Damit wird anerkannt, dass moderne Maschinen häufig softwarebasiert arbeiten, mit Netzwerken verbunden sind und über digitale Schnittstellen verfügen. Herstellende Unternehmen – und in vielen Fällen auch Betreiber – sind künftig verpflichtet, digitale Risiken bereits in der Entwurfsphase zu berücksichtigen. Ebenso verlangt die Verordnung, dass auch bei Softwareänderungen, beispielsweise durch die Integration neuer Funktionen oder Softwareupdates, eine erneute Risikobewertung durchgeführt werden muss.

Ergänzt wird dies durch den Cyber Resilience Act, der branchenübergreifend verbindliche Anforderungen an die Sicherheit digitaler Produkte definiert. Für Anbieter von Maschinen mit digitalem Kern, wie etwa Lagerverwaltungssoftware oder Automatisierungskomponenten, bedeutet dies unter anderem die Pflicht, sichere Grundeinstellungen ab Werk zu gewährleisten, Schwachstellen (beispielsweise durch verwendete Drittanbieterprodukte) offenzulegen und auf empfohlene Sicherheitsupdates hinzuweisen. Darüber hinaus verlangt die NIS-2-Richtlinie von sogenannten „wichtigen Einrichtungen“ ein professionelles Risikomanagement in der Informationssicherheit, inklusive Meldepflichten bei Sicherheitsvorfällen.

All dies führt zu einer tiefgreifenden Veränderung in der Betreiberverantwortung. Wer eine automatisierte Intralogistikanlage betreibt, muss nicht nur deren Verfügbarkeit und Leistung sicherstellen, sondern auch ihre digitale Resilienz dauerhaft gewährleisten. Dazu gehören Maßnahmen wie Patchmanagement, Zugriffskontrolle, Protokollierung, sichere Update­verfahren und ein kontinuierliches Monitoring. Diese Anforderungen sind kein einmaliger Akt, sondern verlangen organisatorische, personelle und technische Veränderungen über den gesamten Lebenszyklus einer Anlage hinweg.

Auch wenn der grobe regulatorische Rahmen bereits festgelegt wurde, gibt es für die Gremien der EU-Kommissionen noch viel Detailarbeit zu erledigen. Bis zum Inkrafttreten von Maschinenverordnung und Cyber Resilience Act müssen noch etwa 800 relevante Normen entsprechend angepasst und harmonisiert werden. Das stellt eine große Herausforderung für Hersteller und Inverkehrbringer dar, die heute eine langfristige Lieferverpflichtung eingehen, aber auch für die mittelfristige Planung der Betreiber.

Weitere Informationen zum Thema Logistik allgemein: Nachhaltigkeitsreporting-Logistikbranche: Wie neue Berichtspflichten die Branche verändern

Die Betreiberperspektive: Herausforderungen und Verantwortungsverschiebung

Für Betreiber von Bestandsanlagen stellt sich insbesondere die Frage, wie sie diesen neuen Vorgaben gerecht werden können, ohne dabei laufende Prozesse zu gefährden oder hohe Investitionen tätigen zu müssen. Denn viele Anlagen sind über Jahre gewachsen, wurden modular erweitert und basieren auf Software- und Hardwareständen, die nicht mehr dem aktuellen Stand der Technik entsprechen.

Ein weiteres Problem ist die unklare Trennung zwischen Hersteller- und Betreiberpflichten. Wenn Betreiber eigenständig Softwareänderungen vornehmen oder Komponenten austauschen, können sie unter Umständen rechtlich als „neuer Inverkehrbringer“ gelten und müssen allen damit verbundenen Pflichten der CE-Konformität nachkommen. Die Einbindung von Drittanbietern, etwa im Rahmen von Fernwartung oder Cloud-Anbindungen, erhöht die Komplexität zusätzlich.

Hier wird deutlich: Betreiber benötigen Partner, die nicht nur technische Expertise mitbringen, sondern auch in der Lage sind, regulatorische Anforderungen zu übersetzen und in konkrete Maßnahmen zu überführen.

Intralogistik-Cybersecurity
Ganzheitliche Sicherheitsstrategien für Intralogistikanlagen erfordern die Einbeziehung von Software, Kommunikationstechnik und vernetzten Infrastrukturen in die Instandhaltung. Foto: Unitechnik

Sicherheit als Service – exemplarisch erläutert

Unitechnik unterstützt Kunden bereits heute mit mehreren aufeinander abgestimmten Dienstleistungsbausteinen, die exakt auf die kommenden Anforderungen ausgerichtet sind – auch wenn diese erst ab 2027 rechtlich greifen. Ein zentraler Baustein ist der Softwarewartungsvertrag, der über die reine Fehlerbehebung hinausgeht. Regelmäßige Sicherheitsupdates für Betriebssysteme, Datenbanken und Laufzeitumgebungen werden strukturiert geplant, getestet und in Abstimmung mit dem Kunden ausgerollt. Dabei sorgt ein vierteljährlicher Health Check für Transparenz bezüglich des Systemzustands, dokumentiert den Patchstatus und liefert proaktiv Hinweise auf mögliche Schwachstellen. Die Ergebnisse werden in Form eines Berichts zur Verfügung gestellt und können im Sinne der Nachweispflichten gegenüber Behörden oder Auditoren verwendet werden.

Ein weiteres Angebot ist der Automation-Check-up. Dabei handelt es sich um eine vorausschauende Wartungsstrategie, die deutlich mehr leistet als eine technisch rein mechanische Instandhaltung. In einem mehrstufigen Prozess analysiert das Unternehmen systematisch Störmeldungen, bewertet den Softwarestand und empfiehlt konkrete Maßnahmen zur Optimierung und Risikoabsicherung. Besonders hervorzuheben sind die Integration sicherheitsrelevanter Softwareupdates und die strukturierte Nachverfolgung ihrer Wirksamkeit – ein Vorgehen, das in der neuen Maschinenverordnung ausdrücklich gefordert wird. Ein Beispiel für sicherheitsrelevante Softwareupdates sind Antriebsregler. Hier wird regelmäßig geprüft, ob die Firmware des Herstellers auf dem neuesten Stand ist.

Darüber hinaus wird aktiv bei der Migration veralteter Steuerungssysteme unterstützt. Die Umstellung von klassischen Steuerungssystemen auf moderne Plattformen ist aus technischer Sicht längst überfällig und gewinnt durch die Sicherheitsanforderungen an Dringlichkeit. Denn ältere Engineering-PCs mit veralteten Betriebssystemen bergen ein erhebliches Sicherheitsrisiko. Die moderne Plattform erlaubt nicht nur den Einsatz aktueller Hardware, sondern auch die Einbindung von sicheren Kommunikationsprotokollen, Benutzerrechteverwaltung und Diagnosefunktionen. All dies sind essenzielle Elemente moderner Cybersecurity-Konzepte.

Auch im Bereich der Systemarchitektur wird umfangreich auf Sicherheit gesetzt: Der Zugang zu Kundensystemen erfolgt grundsätzlich über virtuelle Maschinen. In dieser virtuellen Umgebung, die exklusiv für einen Kunden genutzt wird, sind die individuellen Zugangsmechanismen sowie alle benötigten Entwicklungs- und Diagnosewerkzeuge installiert. Im Falle eines Angriffs ist dadurch eine Isolation gewährleistet, die verhindert, dass Schadsoftware von einem Kundensystem auf ein anderes übertragen werden kann. Diese Maßnahme entspricht dem Prinzip der Segmentierung, wie es in vielen Sicherheitsstandards empfohlen wird.

Weitere Informationen zum Thema Logistik allgemein: Deutscher Logistik-Preis 2025: Strauss gewinnt mit „Logistics Next Level“

Fazit: Cybersecurity wird Pflicht – Lösungen liefern Antworten

Intralogistik-Cybersecurity markiert den Beginn eines neuen Zeitalters in der industriellen Automatisierung. Cybersicherheit ist keine nette Zusatzoption mehr, sondern eine gesetzlich verankerte Pflicht. Betreiber und Inverkehrbringer sind gleichermaßen gefordert, über den gesamten Lebenszyklus ihrer Systeme hinweg für Schutz, Transparenz und Reaktionsfähigkeit zu sorgen.

Automatisierungsspezialisten nehmen sich dieser Herausforderung an – nicht erst ab 2027, sondern schon heute. Mit einem durchdachten Portfolio von Wartungs- und Migrationsdienstleistungen sowie einem tiefen Verständnis der regulatorischen Anforderungen unterstützen diese Fachfirmen die Kunden dabei, ihre Anlagen nicht nur effizient, sondern auch zukunftssicher zu betreiben. So wird Cybersecurity zum festen Bestandteil der Intralogistik – technisch, organisatorisch und rechtlich.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert