Kommentar von Wolfgang Straßer, @-yet

Einfallstor Werkhalle: Ohne IT-Aufrüstung wird unsere Industrie zur leichten Beute

Wolfgang Straßer, Geschäftsführender Gesellschafter bei @-yet GmbH

Bild: Steffi Hergenröder, Foto Vogt
07.07.2026

Wenn ich nach über vierundzwanzig Jahren Erfahrung mit meinen eigenen Beratungsunternehmen in der IT- und OT-Sicherheit, der @-yet GmbH und der @-yet Industrial IT Security GmbH, auf den aktuellen Zustand der deutschen Industrie blicke, mischen sich in mir tiefe Sorge und absolutes Unverständnis, insbesondere wenn es um den potenziellen Einstieg des zivilen Mittelstands in den hochsensiblen Verteidigungssektor geht, sagt Wolfgang Straßer.

Die intensiven Pausengespräche, die ich zum Beispiel auf der Fachkonferenz Zukunft.DEFENCE mit unseren ukrainischen Kollegen geführt habe, sowie meine langjährigen Erfahrungen im Präsidium des Deutsch-Israelischen Wirtschaftsvereins führen mir schmerzhaft vor Augen, was echte, überlebensnotwendige Resilienz in Krisenzeiten bedeutet. Länder wie Israel oder die Ukraine, die unter massivem geopolitischem und militärischem Druck stehen, verteidigen sich ganzheitlich und strategisch mit allem, was sie haben – sowohl auf der Ebene der nationalen Sicherheit als auch tief verwurzelt in den einzelnen produzierenden Unternehmen, weil sie längst verstanden haben, dass sie sich ohne eine kompromisslose Cybersicherheit ihren Angreifern völlig ausliefern würden.

Im krassen Gegensatz dazu steht das teilweise verzerrte Eigenbild vieler deutscher Unternehmen, denn eine Studie des TÜV aus dem Jahr 2025 zeigt, dass unglaubliche 91 Prozent der deutschen Betriebe glauben, sie seien beim Thema Cybersicherheit gut oder sehr gut aufgestellt. Das ist aus meiner Sicht der täglichen forensischen Praxis und aus der Erfahrung unserer permanenten Incident-Response-Einsätze schlichtweg falsch.

2025 verzeichnete 290 Milliarden Euro Schaden

@-yet erlebt jeden Tag hautnah, wie unsere Wirtschaft durch Erpressung, Finanzbetrug, Spionage, Infiltration und physische Sabotage massiv geschädigt wird. Wir sprechen hier über einen dramatischen Anstieg der weltweiten Cyberangriffe um 70 Prozent seit 2023 und einen jährlichen Schaden für die deutsche Wirtschaft, laut Zahlen des Bitkom, von 290 Milliarden Euro allein im Jahr 2025, was unfassbaren 4,7 Prozent der deutschen Wirtschaftsleistung entspricht. Wir lassen uns in einer ohnehin angespannten konjunkturellen Lage bewusst weiter schädigen und setzen dem oft nur einen konzeptionellen Flickenteppich aus isolierten Einzelmaßnahmen entgegen, während unsere Angreifer – seien es kriminelle Banden oder staatlich gelenkte Akteure aus Ländern wie China, Russland, dem Iran oder Nordkorea – längst einen ganzheitlichen Attackenansatz fahren, der auch gezielte Manipulation und Desinformation über soziale Medien umfasst, um unsere Gesellschaften und Unternehmen systematisch zu destabilisieren.

Wer nun als etabliertes ziviles Produktionsunternehmen den lukrativen, aber anspruchsvollen Schritt in die Sicherheits- und Verteidigungsindustrie wagen möchte, muss wissen, dass eine herausragende Cybersicherheit die absolute Eintrittskarte in diesen Markt ist. Ohne dieses Fundament haben wir nicht den Hauch einer Chance, überhaupt Fuß zu fassen, denn die großen Systemhäuser und Erstausrüster (OEMs) der Rüstungsbranche werden unerbittlich darauf achten, dass ihre Lieferketten in der Tiefe mindestens genauso gut geschützt sind wie in der Automobilindustrie.

Um diese strengen Anforderungen der Beschaffer zu erfüllen, müssen Sie in Ihrem Betrieb eine Reihe harter Fakten und regulatorischer Voraussetzungen schaffen. Das absolute Minimum hierfür ist ein nachgewiesenes und gelebtes Informationssicherheits-Managementsystem (ISMS), das idealerweise nach ISO 27001 zertifiziert ist oder sich besser noch auf den BSI IT-Grundschutz stützt, wobei Letzterer noch tiefer in die technischen Prozesse hineinreicht und daher von @-yet besonders empfohlen wird.

Wichtige Punkte werden vernachlässigt

Ein paar gerahmte Zertifikate an der Wand nützen jedoch in der Praxis gar nichts, wenn die tatsächliche, technische IT-Sicherheit miserabel ist, denn genau dort, bei der „Technical Prevention“, greifen die Hacker an. Sie müssen sich zwingend darauf einstellen, dass zunehmend eine VS-NfD-Umgebung – also für Verschlusssachen, die nur für den Dienstgebrauch bestimmt sind – aufgebaut und eine generelle Geheimschutzfähigkeit erlangt werden muss wenn Sie mit den großen Akteuren im Defence-Umfeld kooperieren wollen. Das bedeutet eine glasklare Definition und Absicherung Ihrer internen Sicherheitsgebiete: Forschung und Entwicklung, kritische Geschäftsstrategien, restriktive Berechtigungskonzepte und eine strikte Netzsegmentierung müssen wasserdicht umgesetzt werden. Ein Hacker oder auch ein böswilliger Innentäter darf, wenn er einmal im Unternehmensnetz ist, nicht ungehindert überallhin gelangen können; gebraucht werden hier wirksame interne Barrieren und Zäune, die in den meisten Unternehmen heute meist fehlen.

Ein weiterer, oft sträflich vernachlässigter Punkt für die Industrie ist die OT-Security, also der direkte Schutz der operativen Produktionsanlagen und der physischen Sicherheit des Firmengeländes. Wenn Sie Hardware oder Systemkomponenten herstellen, muss die Produktion zwingend gegen fremden Zugriff geschützt sein, damit Lieferungen nicht manipuliert werden oder Qualitätsmängel entstehen, die im militärischen Ernstfall lebensbedrohliche Konsequenzen haben könnten. Dies gewinnt noch an massiver Brisanz, wenn man bedenkt, dass ab Ende dieses Jahres oder spätestens im nächsten Jahr der europäische Cyber Resilience Act (CRA) greifen wird, der grundlegende Sicherheitsanforderungen für alle digitalen Produkte definiert, ganz zu schweigen von Vorgaben wie der NIS2-Richtlinie, KRITIS oder der DSGVO, die Sie ohnehin erfüllen müssen.

Auch der Faktor Mensch bleibt eine massive Schwachstelle, die Sie strategisch adressieren müssen, was unter anderem Personalüberprüfungen für sensible Bereiche und vor allem strikte, klare Regeln für die Nutzung von Social Media erfordert. Ich habe es selbst in der eigenen Familie bei meinem Neffen erlebt, der vor Jahren schon auf LinkedIn stolz seinen neuen Job in einem sicherheitskritischen Umfeld inklusive der Nennung von technischen Herausforderungen gepostet hat – das sind exakt die Einfallstore, auf die ausländische Nachrichtendienste oder Angreifer warten, um über Social Engineering den allerersten Zugang in Ihre Unternehmensorganisation zu finden.

Cybersecurity muss als Überlebensstrategie gesehen werden

Warum sind wir in der deutschen Wirtschaft trotz all dieser offensichtlichen Bedrohungen immer noch so unfassbar schlecht aufgestellt? Die Antwort ist simpel und erschreckend zugleich: Es fehlt nach wie vor die ausgreichende und ernsthafte Management-Attention in den Chefetagen. Die Führungskräfte glauben dem geschönten Eigenbild, investieren nicht genügend finanzielle Mittel in eine ganzheitliche Governance und überlassen die gewaltige Verantwortung oft allein den IT-Leitern und Administratoren, die in diesem hochspezifischen Security-Umfeld meist gar nicht tiefgehend genug ausgebildet sind.

Auch klassische IT-Systemhäuser können zwar isolierte Produkte für den besagten Flickenteppich liefern, bieten aber in der Regel keine geschlossenen IT-Sicherheitskonzepte an, die einer militärischen Bedrohungslage standhalten. Mein eindringlicher Appell an alle Geschäftsführer und Vorstände der produzierenden Industrie lautet daher unmissverständlich: Wer den Schritt in den hochlukrativen Defence-Sektor machen will, muss zwingend seine sicherheitstechnischen Hausaufgaben machen und Cybersecurity nicht länger als lästigen Kostenfaktor betrachten, sondern als zentrale Überlebensstrategie, als Schutzschild für das eigene geistige Eigentum und als unabdingbare Grundvoraussetzung, um in der Sicherheitsarchitektur Europas überhaupt eine Rolle spielen zu dürfen.

Firmen zu diesem Artikel
Verwandte Artikel