Cybersicherheit war in der Industrie lange ein technisches Randthema. Inzwischen wird sie immer stärker zu einer Frage von Lieferfähigkeit, Regulierung und Vertrauen. GEA reagiert darauf mit einer deutlich breiteren Zertifizierungsbasis für Standorte, Entwicklungsprozesse und Produktionsumgebungen.
GEA lässt nach eigenen Angaben inzwischen 98 Standorte weltweit nach ISO/IEC 27001:2022 zertifizieren, darunter 45, die binnen eines Jahres neu in den Geltungsbereich aufgenommen worden seien. Mehr als drei Viertel der Beschäftigten arbeiteten damit an Standorten, die unter diesen Rahmen fallen. Für einen Industriekonzern mit globalen Anlagen-, Service- und Entwicklungsstrukturen ist das mehr als ein formaler Nachweis. Es zeigt, dass GEA Cybersicherheit nicht nur punktuell absichern will, sondern als Managementaufgabe über viele Länder und Bereiche hinweg organisiert.
Für Außenstehende ist der Standard zunächst sperrig, sein praktischer Kern aber leicht erklärbar. ISO 27001 soll belegen, dass ein Unternehmen mit sensiblen Informationen nach festen, überprüfbaren Regeln umgeht, Risiken bewertet und Schutzmaßnahmen regelmäßig kontrolliert. Gerade in der vernetzten Prozessindustrie, in der Konstruktionsdaten, Qualitätsinformationen und Servicedaten eng mit laufenden Abläufen verbunden sind, wird daraus ein wirtschaftlicher Faktor. Wer solche Daten nicht ausreichend schützt, riskiert nicht nur IT-Probleme, sondern Störungen entlang der gesamten Wertschöpfung.
GEA setzt bei Produkten und Werken dort an, wo digitale Angriffe unmittelbare Folgen haben können
Noch wichtiger als klassische Informationssicherheit ist in vielen Fabriken die Absicherung der Systeme, die physische Prozesse steuern. Genau hier setzt der Standard ISA/IEC 62443 an, den GEA für ausgewählte Standorte zusätzlich nutzt. Gemeint sind Umgebungen, in denen IT und operative Technik zusammenlaufen, also etwa dort, wo Maschinen, Steuerungen, Sensoren und Software über lange Zeiträume stabil funktionieren müssen. In solchen Umgebungen kann ein Cybervorfall schnell reale Folgen haben, von Produktionsausfällen bis zu Qualitätsproblemen.
Nach Unternehmensangaben verfügen Düsseldorf, Oelde und Alcobendas über eine sogenannte Umbrella-Zertifizierung nach ISA/IEC 62443-4-1. Damit werde bestätigt, dass Sicherheitsanforderungen bereits im Entwicklungsprozess verankert seien und nicht erst nachträglich ergänzt würden. Oelde und Niederahr seien zudem nach ISA/IEC 62443-2-1 zertifiziert, was auf strukturierte Sicherheitsprozesse in industriellen Produktionsumgebungen ziele. Der häufig gebrauchte Begriff Secure-by-Design bekommt damit einen konkreten Sinn: Sicherheit soll von Beginn an in Produkte und Abläufe eingebaut werden, nicht erst dann, wenn Anlagen bereits beim Kunden im Einsatz sind.
Europäische Cyberregulierung erhöht den Druck auf Industrie und Zulieferer spürbar
Die Zertifizierungen fallen in eine Phase, in der sich die regulatorischen Anforderungen in Europa deutlich verschärfen. Die NIS2-Richtlinie richtet sich zwar in vielen Fällen direkt an Betreiber kritischer oder besonders relevanter Einrichtungen. Praktisch wirkt sie aber weit in die Lieferkette hinein, weil Auftraggeber von ihren Zulieferern zunehmend belastbare Nachweise über Risikomanagement, Schutzmaßnahmen und Verantwortlichkeiten verlangen. Für Anbieter industrieller Systeme wird Cybersicherheit damit zu einem Kriterium im Vertrieb und nicht nur zu einer Aufgabe der IT-Abteilung.
Hinzu kommt der Cyber Resilience Act, der Hersteller digitaler Produkte stärker in die Pflicht nimmt und Sicherheitsanforderungen über den Lebenszyklus hinweg betont. Dass GEA seine industriellen Zertifizierungsstandards nun auf Standorte, Entwicklung und Produktion ausweitet, lässt sich daher auch als Vorbereitung auf einen Markt lesen, in dem Auditfähigkeit und regulatorische Anschlussfähigkeit an Bedeutung gewinnen. Der TÜV Rheinland bescheinigt dem Konzern, die „Anforderungen der ISO/IEC 27001:2022 und ISA/IEC 62443 werden umfassend erfüllt“. Solche Aussagen sind zwar Teil eines Prüfkontexts, sie zeigen aber, wie stark sich technische Sicherheit inzwischen mit Compliance und Geschäftsbeziehungen verschränkt.
Für Kunden wird Cybersicherheit zur Voraussetzung für belastbare Lieferketten
Für die Abnehmer von GEA-Anlagen liegt der praktische Nutzen weniger in Zertifikaten an sich als in deren Wirkung auf Betrieb und Beschaffung. Viele der Anlagen stehen laut Unternehmen in sensiblen Bereichen wie Lebensmittel, Pharma oder chemienahe Prozesse. Dort laufen Produktionen oft rund um die Uhr, Ausfälle sind teuer und Dokumentationspflichten hoch. Wenn Hersteller belegen können, dass Produkte sicher entwickelt wurden und Standorte nach einheitlichen Regeln mit Informationen umgehen, sinkt aus Kundensicht das Risiko, Sicherheitslücken in die eigene Produktion zu übernehmen.
Zugleich stärkt das die Position des Konzerns im Wettbewerb. In Ausschreibungen, internationalen Partnerschaften und langfristigen Serviceverträgen dürfte GEA Cybersicherheit damit stärker als Verkaufsargument einsetzen können, ohne es offen als Marketingbotschaft formulieren zu müssen. Gerade in der europäischen Cyberregulierung zeigt sich, dass belastbare Nachweise künftig häufiger über Tempo und Erfolg von Audits entscheiden werden. Wer diese Unterlagen schon mitliefert, verbessert die eigene Rolle in der vernetzten Prozessindustrie und macht GEA Cybersicherheit zu einem Baustein strategischer Lieferkettensicherheit.
Die Ausweitung der Zertifizierungen zeigt, wie sich Industriepolitik und Technik im Alltag verbinden
Der Vorgang ist auch deshalb bemerkenswert, weil er einen breiteren Wandel in der Industrie sichtbar macht. Lange galt Cybersicherheit vor allem als Schutz gegen Angreifer. Heute wird sie zunehmend zur Voraussetzung für Investitionen, internationale Zusammenarbeit und regulatorische Handlungsfähigkeit. Dass GEA diesen Ausbau konzernweit organisiert und vom TÜV prüfen lässt, deutet auf einen Reifegrad hin, der über reine Schadensabwehr hinausgeht.
Für den Markt bedeutet das vor allem eines: Zertifizierte Prozesse werden vom Zusatznutzen zum Mindeststandard. Unternehmen, die in der vernetzten Prozessindustrie tätig sind, müssen nicht nur Maschinen liefern, sondern auch nachweisen, wie sie Daten, Entwicklungsabläufe und Produktionsumgebungen absichern. Der Ausbau der industriellen Zertifizierungsstandards bei GEA passt daher in eine Entwicklung, in der europäische Vorgaben, Kundenanforderungen und Wettbewerbsvorteile immer enger zusammenrücken.
