Mit der zunehmenden Digitalisierung von Intralogistikanlagen wächst auch ihre Verwundbarkeit – insbesondere gegenüber Cyberbedrohungen. Die Europäische Union hat darauf reagiert und einen neuen Ordnungsrahmen geschaffen, der auch Betreiber und Inverkehrbringer automatisierter Anlagen in die Pflicht nimmt.
Ab dem Jahr 2027 wird es für Unternehmen in der Intralogistik nicht mehr ausreichen, ihre neugebauten Anlagen lediglich mechanisch instand zu halten. Vielmehr sind dann ganzheitliche Sicherheitsstrategien gefordert, die auch Software, Kommunikationstechnik und vernetzte Infrastrukturen einbeziehen. Für viele Betreiber bedeutet das eine grundlegende Umstellung. Gleichzeitig ergeben sich Chancen für Automatisierungsspezialisten wie Unitechnik: Sie können Verantwortung übernehmen und Kunden dabei unterstützen, die neuen Anforderungen zu erfüllen, indem sie progressive und weitsichtige Serviceangebote bereitstellen.
Regulatorischer Umbruch: was sich ab 2027 ändert
Die neue EU-Maschinenverordnung EU 2023/1230 löst die bisherige Maschinenrichtlinie ab und definiert erstmals explizit Anforderungen an die Cybersicherheit von Maschinen und Anlagen. Damit wird anerkannt, dass moderne Maschinen häufig softwarebasiert arbeiten, mit Netzwerken verbunden sind und über digitale Schnittstellen verfügen. Herstellende Unternehmen – und in vielen Fällen auch Betreiber – sind künftig verpflichtet, digitale Risiken bereits in der Entwurfsphase zu berücksichtigen. Ebenso verlangt die Verordnung, dass auch bei Softwareänderungen, beispielsweise durch die Integration neuer Funktionen oder Softwareupdates, eine erneute Risikobewertung durchgeführt werden muss.
Ergänzt wird dies durch den Cyber Resilience Act (EU 2024/2847), der branchenübergreifend verbindliche Anforderungen an die Sicherheit digitaler Produkte definiert. Für Anbieter von Maschinen mit digitalem Kern, wie etwa Lagerverwaltungssoftware oder Automatisierungskomponenten, bedeutet dies unter anderem die Pflicht, sichere Grundeinstellungen ab Werk zu gewährleisten, Schwachstellen (beispielsweise durch verwendete Drittanbieterprodukte) offenzulegen und auf empfohlene Sicherheitsupdates hinzuweisen. Darüber hinaus verlangt die NIS-2-Richtlinie von sogenannten »wichtigen Einrichtungen« ein professionelles Risikomanagement in der Informationssicherheit, inklusive Meldepflichten bei Sicherheitsvorfällen.
All dies führt laut Unitechnik zu einer tiefgreifenden Veränderung in der Betreiberverantwortung. Wer eine automatisierte Intralogistikanlage betreibt, muss nicht nur deren Verfügbarkeit und Leistung sicherstellen, sondern auch ihre digitale Resilienz dauerhaft gewährleisten. Dazu gehören Maßnahmen wie Patchmanagement, Zugriffskontrolle, Protokollierung, sichere Updateverfahren und ein kontinuierliches Monitoring. Diese Anforderungen sind kein einmaliger Akt, sondern verlangen organisatorische, personelle und technische Veränderungen über den gesamten Lebenszyklus einer Anlage hinweg, betont das Unternehmen.
Auch wenn der grobe regulatorische Rahmen bereits festgelegt wurde, gibt es für die Gremien der EU-Kommissionen noch viel Detailarbeit zu erledigen. Bis zum Inkrafttreten von Maschinenverordnung und Cyber Resilience Act müssen noch etwa 800 relevante Normen entsprechend angepasst und harmonisiert werden. Das stellt eine große Herausforderung für Hersteller und Inverkehrbringer dar, die heute eine langfristige Lieferverpflichtung eingehen, aber auch für die mittelfristige Planung der Betreiber.
Die Betreiberperspektive: Herausforderungen und Verantwortungsverschiebung
Für Betreiber von Bestandsanlagen stellt sich insbesondere die Frage, wie sie diesen neuen Vorgaben gerecht werden können, ohne dabei laufende Prozesse zu gefährden oder hohe Investitionen tätigen zu müssen. Denn viele Anlagen sind über Jahre gewachsen, wurden modular erweitert und basieren auf Software- und Hardwareständen, die nicht mehr dem aktuellen Stand der Technik entsprechen.
Ein weiteres Problem ist die unklare Trennung zwischen Hersteller- und Betreiberpflichten. Wenn Betreiber eigenständig Softwareänderungen vornehmen oder Komponenten austauschen, können sie unter Umständen rechtlich als »neuer Inverkehrbringer« gelten und müssen allen damit verbundenen Pflichten der CE-Konformität nachkommen. Die Einbindung von Drittanbietern, etwa im Rahmen von Fernwartung oder Cloud-Anbindungen, erhöht die Komplexität zusätzlich.
Hier wird deutlich: Betreiber benötigen Partner, die nicht nur technische Expertise mitbringen, sondern auch in der Lage sind, regulatorische Anforderungen zu übersetzen und in konkrete Maßnahmen zu überführen. Genau an diesem Punkt setzt Unitechnik mit seinen Leistungen an.
Sicherheit als Service – am Beispiel Unitechnik
Unitechnik unterstützt Kunden bereits heute mit mehreren aufeinander abgestimmten Dienstleistungsbausteinen, die exakt auf die kommenden Anforderungen ausgerichtet sind – auch wenn diese erst ab 2027 rechtlich greifen.
Ein zentraler Baustein ist der Softwarewartungsvertrag, der über die reine Fehlerbehebung hinausgeht. Regelmäßige Sicherheitsupdates für Betriebssysteme, Datenbanken und Laufzeitumgebungen werden strukturiert geplant, getestet und in Abstimmung mit dem Kunden ausgerollt. Dabei sorgt ein vierteljährlicher Health Check für Transparenz bezüglich des Systemzustands, dokumentiert den Patchstatus und liefert proaktiv Hinweise auf mögliche Schwachstellen. Die Ergebnisse werden in Form eines Berichts zur Verfügung gestellt und können im Sinne der Nachweispflichten gegenüber Behörden oder Auditoren verwendet werden.
Ein weiteres zukunftsorientiertes Angebot ist der Automation-Check-up. Dabei handelt es sich um eine vorausschauende Wartungsstrategie, die deutlich mehr leistet als eine technische Instandhaltung. In einem mehrstufigen Prozess analysiert Unitechnik systematisch Störmeldungen, bewertet den Softwarestand und empfiehlt konkrete Maßnahmen zur Optimierung und Risikoabsicherung. Besonders hervorzuheben sind die Integration sicherheitsrelevanter Softwareupdates und die strukturierte Nachverfolgung ihrer Wirksamkeit – ein Vorgehen, das in der neuen Maschinenverordnung ausdrücklich gefordert wird. Ein Beispiel für sicherheitsrelevante Softwareupdates sind Antriebsregler. Hier wird regelmäßig geprüft, ob die Firmware des Herstellers auf dem neuesten Stand ist.
Darüber hinaus unterstützt Unitechnik aktiv bei der Migration veralteter Steuerungssysteme. Die Umstellung von Siemens Step7 auf das moderne TIA-Portal ist aus technischer Sicht längst überfällig und gewinnt laut des Unternehmens durch die Sicherheitsanforderungen an Dringlichkeit. Denn ältere Engineering-PCs mit Windows XP oder 7, wie sie häufig für Step7 benötigt werden, bergen ein erhebliches Sicherheitsrisiko. Die TIA-Plattform hingegen erlaubt nicht nur den Einsatz aktueller Hardware, sondern auch die Einbindung von sicheren Kommunikationsprotokollen, Benutzerrechteverwaltung und Diagnosefunktionen. All dies sind essenzielle Elemente moderner Cybersecurity-Konzepte, betont Unitechnik.
Auch im Bereich der Systemarchitektur setzt der Intralogistik-Experte aus dem oberbergischen Wiehl auf Sicherheit: Der Zugang zu Kundensystemen erfolgt grundsätzlich über virtuelle Maschinen. In dieser virtuellen Umgebung, die exklusiv für einen Kunden genutzt wird, sind die individuellen Zugangsmechanismen sowie alle benötigten Entwicklungs- und Diagnosewerkzeuge installiert. Im Falle eines Angriffs sei dadurch eine Isolation gewährleistet, die verhindert, dass Schadsoftware von einem Kundensystem auf ein anderes übertragen werden kann. Diese Maßnahme entspricht dem Prinzip der Segmentierung, wie es in vielen Sicherheitsstandards empfohlen wird.
Neues Zeitalter der Automatisierung
Die neuen EU-Regularien markieren nach Überzeugung von Unitechnik den Beginn eines neuen Zeitalters in der industriellen Automatisierung. Cybersicherheit ist keine nette Zusatzoption mehr, sondern eine gesetzlich verankerte Pflicht. Betreiber und Inverkehrbringer seien gleichermaßen gefordert, über den gesamten Lebenszyklus ihrer Systeme hinweg für Schutz, Transparenz und Reaktionsfähigkeit zu sorgen. Automatisierungsspezialisten wie Unitechnik nehmen sich dieser Herausforderung an – nicht erst ab 2027, sondern schon heute. Mit einem durchdachten Portfolio von Wartungs- und Migrationsdienstleistungen sowie einem tiefen Verständnis der regulatorischen Anforderungen unterstützen diese Fachfirmen die Kunden dabei, ihre Anlagen nicht nur effizient, sondern auch zukunftssicher zu betreiben. So wird Cybersecurity zum festen Bestandteil der Intralogistik – technisch, organisatorisch und rechtlich.
Unterschied zwischen IT-Security und OT-Security
IT-Security (Information Technology Security) schützt klassische Unternehmens-IT wie Server, Netzwerke und Daten vor Cyberangriffen, wobei Vertraulichkeit, Integrität und Verfügbarkeit im Fokus stehen. OT-Security (Operational Technology Security) hingegen bezieht sich auf die Absicherung von industriellen Steuerungs- und Automatisierungssystemen, bei denen vor allem die Verfügbarkeit und die Sicherheit physischer Prozesse wie dem Materialfluss im Vordergrund stehen. Während IT-Security stärker softwaregetrieben ist, erfordert OT-Security ein tiefes Verständnis für Maschinen und Anlagen sowie deren Echtzeitverhalten.
