BREAKING
Staatshacker nutzen Google Gemini: Die dunkle Seite der GenAI-Revolution OpenClaw – Der AI-Security-Albtraum des Jahres
Deutschland KRITIS

BSI und CISA veröffentlichen gemeinsamen Schutzrahmen für KI in industriellen Steuerungssystemen

Dirk Althaus
4 min read

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) haben gemeinsam mit fünf weiteren Nationen erstmals einen einheitlichen Schutzrahmen für künstliche Intelligenz in industriellen Steuerungssystemen veröffentlicht. Das Dokument markiert einen Paradigmenwechsel: weg von reiner Compliance-Dokumentation, hin zu operativer, technischer Verteidigung kritischer Infrastruktur gegen KI-spezifische Bedrohungen.

Sieben Nationen, ein Framework

Neben Deutschland (BSI) und den USA (CISA) beteiligen sich fünf weitere Nationen an der Initiative – darunter Großbritannien, Australien und Kanada. Die Zusammensetzung ist bemerkenswert: Sie vereint den europäischen Regulierungsansatz mit dem threat-fokussierten Pragmatismus der Five-Eyes-Allianz.

Das Framework adressiert spezifisch die Integration von KI in industrielle Steuerungssysteme (ICS) und Operational Technology (OT). Also genau die Systeme, die Stromnetze steuern, Wasserwerke betreiben, Produktionsanlagen kontrollieren und Transportsysteme managen. Systeme, bei denen ein Ausfall nicht nur finanzielle, sondern physische Konsequenzen hat.

Vom Compliance-Checkbox zur operativen Verteidigung

Industrial-Cyber-Analysten kommentieren die Veröffentlichung mit einer prägnanten Einordnung: „Industrial cybersecurity lived in the shadow of checkbox compliance.“ Die Aussage trifft einen wunden Punkt. Bisherige Regulierung – etwa die NIS-Richtlinie oder branchenspezifische Standards wie IEC 62443 – konzentrierte sich auf Dokumentation, Risikoanalysen und Prozessbeschreibungen. Ob die dokumentierten Maßnahmen tatsächlich gegen reale Angriffe schützen, wurde selten verifiziert.

Der neue Schutzrahmen setzt anders an: Er definiert technische Verteidigungsmaßnahmen gegen konkrete, KI-spezifische Angriffsvektoren. Dazu gehören:

  • Adversarial Attacks auf KI-Modelle in Steuerungssystemen: Wie Angreifer Sensordaten manipulieren können, um KI-basierte Anomalieerkennung zu täuschen.
  • Data Poisoning in prädiktiver Wartung: Wie vergiftete Trainingsdaten dazu führen können, dass KI-Systeme Anlagenfehler nicht erkennen oder Fehlalarme generieren.
  • Model Extraction aus OT-Netzwerken: Wie Angreifer proprietäre KI-Modelle stehlen können, die für industrielle Prozessoptimierung eingesetzt werden.
  • Autonome KI-Agenten in Angriffsszenarien: Wie KI-gestützte Malware eigenständig OT-Netzwerke erkunden und Schwachstellen ausnutzen kann.

Deutschlands strategische Positionierung

Die Beteiligung des BSI signalisiert eine strategische Neuausrichtung. Deutschland positioniert sich nicht nur als Regulierer (EU AI Act, NIS2), sondern als aktiver Mitgestalter operativer Sicherheitsstandards auf internationaler Ebene. Das ist relevant, weil deutsche Industrieunternehmen – von Automobilzulieferern über Chemiekonzerne bis zu Energieversorgern – zu den weltweit größten Anwendern industrieller KI gehören.

Der BSI-Lagebericht 2025 beschreibt die IT-Sicherheitslage in Deutschland als „angespannt“. Die zunehmende Integration von KI in OT-Umgebungen verschärft diese Lage, weil sie neue Angriffsflächen schafft, die mit herkömmlichen Sicherheitsmaßnahmen nicht abgedeckt werden. Wer die BSI-Warnungen im Kontext autonomer KI-Angriffe verstehen möchte, findet in unserer Analyse der BSI- und CISA-Warnungen vor autonomen KI-Angriffen 2026 die Hintergründe.

OT-Security: Warum klassische IT-Ansätze versagen

Industrielle Steuerungssysteme operieren unter Bedingungen, die sich fundamental von klassischer IT unterscheiden:

  • Verfügbarkeit vor Vertraulichkeit: In der IT gilt die Reihenfolge CIA (Confidentiality, Integrity, Availability). In OT ist Availability das oberste Gebot. Ein Produktionsstopp kostet Millionen pro Stunde.
  • Lange Lebenszyklen: IT-Systeme werden alle drei bis fünf Jahre ausgetauscht. OT-Systeme laufen 20 bis 30 Jahre. Patching ist oft technisch unmöglich oder wirtschaftlich nicht vertretbar.
  • Safety vs. Security: OT-Systeme müssen nicht nur sicher vor Angriffen sein (Security), sondern auch sicher für Menschen und Umgebung (Safety). Eine Sicherheitsmaßnahme, die die Anlagensicherheit beeinträchtigt, ist inakzeptabel.
  • Air-Gap-Mythos: Viele OT-Netzwerke, die als isoliert galten, sind mittlerweile direkt oder indirekt mit IT-Netzwerken und dem Internet verbunden – für Fernwartung, Cloud-Analytics oder KI-basierte Optimierung.

KI-Integration verstärkt diese Spannungen: Prädiktive Wartung erfordert Cloud-Konnektivität. Anomalieerkennung braucht Echtzeit-Datenflüsse. Prozessoptimierung setzt kontinuierliches Modelltraining voraus. Jede dieser Anforderungen durchlöchert die traditionelle OT-Isolation.

Autonome KI-Angriffe und die OT-Bedrohungslage

HP Security Lab warnt in einer aktuellen Analyse, dass autonome KI-Angriffe 2026 die OT-Landschaft erreichen werden. Die Prognose basiert auf drei beobachteten Trends:

  1. KI-gestützte Reconnaissance: Autonome Agenten scannen OT-Netzwerke, identifizieren Protokolle (Modbus, OPC UA, Profinet) und kartieren Anlagenarchitekturen – schneller und gründlicher als menschliche Angreifer.
  2. Automatisierter Token-Diebstahl: KI-Malware extrahiert Session-Tokens aus Browsern und umgeht damit Zwei-Faktor-Authentifizierung. In OT-Umgebungen, wo Fernwartungszugänge oft über Webbrowser laufen, ist das ein direkter Angriffsvektor auf Steuerungssysteme.
  3. Adaptive Angriffe: KI-Malware passt ihr Verhalten an die erkannte Umgebung an – sie verhält sich in einer Sandbox anders als in einem produktiven OT-Netzwerk.

Was der Schutzrahmen für Unternehmen bedeutet

Das gemeinsame BSI-CISA-Framework ist kein Gesetz, sondern eine Orientierung. Aber seine praktischen Implikationen sind konkret:

  • KI-spezifische Risikoanalyse: Unternehmen müssen ihre bestehenden OT-Risikoanalysen um KI-spezifische Bedrohungen erweitern – Adversarial Attacks, Data Poisoning, Model Theft.
  • Segmentierung verschärfen: KI-Komponenten in OT-Netzwerken müssen in eigenen Netzwerksegmenten isoliert werden – mit strikten Firewall-Regeln für Datenflüsse.
  • Monitoring erweitern: Klassisches OT-Monitoring erkennt keine KI-spezifischen Angriffe. Modellverhalten, Datenintegrität und Inferenz-Ergebnisse müssen überwacht werden.
  • Incident Response aktualisieren: Was passiert, wenn ein KI-Modell in der Produktionssteuerung kompromittiert wird? Ohne vordefinierten Incident-Response-Plan für KI-spezifische Vorfälle in OT-Umgebungen fehlt die Handlungsfähigkeit im Ernstfall.

Die regulatorischen Anforderungen des EU AI Act und der NIS2-Richtlinie werden diese operativen Maßnahmen ab 2026 zunehmend verpflichtend machen.

Fazit

Der gemeinsame BSI-CISA-Schutzrahmen ist das erste international koordinierte Dokument, das KI-Sicherheit in kritischer Infrastruktur operativ definiert. Für die DACH-Region markiert er den Übergang von der Compliance-Dokumentation zur technischen Verteidigungsfähigkeit. Unternehmen, die KI in ihre OT-Umgebungen integrieren, haben jetzt eine Referenz – und eine Erwartungshaltung, an der sie gemessen werden.

Quellen

Teilen:
Deutschland KRITIS AI Governance
// Mission Critical

Woechentliches AI Security Briefing erhalten.

Fuer Analysten, Forscher und Verteidiger, die Bedrohungen im AI Stack verfolgen.

Kostenlos abonnieren

Verwandte Artikel