IT-Sicherheit & Datenschutz bei vernetzten Robotern und Cobots — was KMU beachten sollten
Ein moderner Cobot oder AMR ist heute kein isoliertes Maschinenbauteil mehr, sondern ein vernetztes IT/OT-System: Steuerung, Kamera, Sensorik und häufig eine Cloud-Anbindung für Fernwartung, Fleet-Management oder Datenanalyse. Damit entstehen Angriffsflächen und Datenschutzfragen, die viele KMU bei der Roboter-Einführung nicht auf dem Schirm haben — schließlich stand bei der klassischen Maschinensicherheit bisher der Personenschutz, nicht die Cybersicherheit im Vordergrund. Dieser Ratgeber ordnet ein, worauf es bei IT-Sicherheit und Datenschutz vernetzter Robotik in der betrieblichen Praxis ankommt.
Auf dieser Seite
- 1. Warum Robotik heute ein IT-Sicherheitsthema ist
- 2. Typische Angriffsflächen bei vernetzten Robotern/Cobots
- 3. BSI-IT-Grundschutz und OT-Sicherheit — was das für die Werkstatt bedeutet
- 4. ISO/IEC 27001 — Managementsystem statt Einzelmaßnahme
- 5. Datenschutz: Kamera-, Sensor- und Bewegungsdaten in der Fertigung
- 6. VDMA-Praxishinweise für Integratoren und Betreiber
- 7. Checkliste für die Roboter-Einführung
- 8. Häufige Fragen
1. Warum Robotik heute ein IT-Sicherheitsthema ist
Klassische Industrieroboter liefen jahrzehntelang in geschlossenen Zellen, oft ohne jede Netzwerkanbindung nach außen. Das hat sich grundlegend geändert: Cobots und AMR werden zunehmend über Ethernet/WLAN, OPC UA oder Herstellerclouds vernetzt — für Fernwartung, Flottenmanagement, Firmware-Updates oder Produktionsdatenanalyse.1 Damit gehören Roboterzellen technisch zur sogenannten Operational Technology (OT) eines Betriebs und sind über Schnittstellen potenziell mit der klassischen IT (Büro-Netzwerk, ERP, Internet) verbunden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft industrielle Steuerungs- und Automatisierungssysteme (ICS) ausdrücklich als eigenes Schutzgut ein, für das eigene Sicherheitsmaßnahmen nötig sind — losgelöst von klassischer Büro-IT-Sicherheit.1
Für KMU-Betreiber heißt das: Die Frage „Ist unser Roboter sicher?" hat neben der mechanischen Sicherheit (siehe Ratgeber MRK-Sicherheit und Ratgeber ISO-Normen für Betreiber) eine zweite, eigenständige Dimension: Cybersicherheit und Datenschutz. Beide werden bei der Anschaffung häufig nachrangig behandelt, weil sie im Lastenheft klassischer Maschinenbeschaffung historisch nicht vorkamen.
2. Typische Angriffsflächen bei vernetzten Robotern/Cobots
| Angriffsfläche | Beschreibung | Worauf Betreiber achten sollten |
|---|---|---|
| Fernwartungszugänge | Hersteller/Integrator erhalten Remote-Zugriff auf die Robotersteuerung, z. B. über VPN oder Cloud-Portal | Zugriffe protokollieren, zeitlich begrenzen, Zugangsdaten nicht dauerhaft offen lassen |
| Standard- oder Werkspasswörter | Steuerungen und HMI-Panels werden häufig mit Herstellerstandard-Zugangsdaten ausgeliefert | Vor Produktivbetrieb ändern; Passwortrichtlinie wie für andere IT-Systeme anwenden |
| Ungesicherte Netzwerksegmentierung | Roboter-Netzwerk ist nicht vom Büro-/Internet-Netzwerk getrennt | Netzwerksegmentierung (VLAN, Firewall-Regeln) zwischen OT- und IT-Netz einplanen1 |
| Veraltete Firmware/Software | Steuerungssoftware, Betriebssystem oder Sicherheits-SPS erhalten keine oder verspätete Updates | Update-/Patch-Prozess vertraglich mit Integrator/Hersteller regeln |
| Kamera- und Sensordatenströme | Bilderkennung, 3D-Kameras und Kraft-/Drehmomentsensoren erzeugen Daten, die ggf. Personen erfassen (Werker im Sichtfeld) | Datenschutzrechtliche Einordnung prüfen, siehe Abschnitt 5 |
| Herstellerclouds/Fleet-Management-Plattformen | Betriebs- und Prozessdaten werden an Cloud-Dienste des Herstellers übertragen, teils außerhalb der EU | Auftragsverarbeitungsvertrag (AVV) prüfen, Speicherort und Drittlandtransfer klären |
Belastbare, öffentlich zugängliche Statistiken zu tatsächlich erfolgten Cyberangriffen speziell auf Roboterzellen im deutschen Mittelstand liegen nach unserer Recherche nicht in ausreichender Breite vor (Schätzung/unbestätigt); die genannten Angriffsflächen leiten sich aus den allgemeinen BSI-Einordnungen zu industriellen Steuerungssystemen ab.1
3. BSI-IT-Grundschutz und OT-Sicherheit — was das für die Werkstatt bedeutet
Das BSI stellt mit dem IT-Grundschutz-Kompendium einen methodischen Rahmen bereit, um Informationssicherheit systematisch aufzubauen — von der Bestandsaufnahme über die Risikoanalyse bis zu konkreten Bausteinen für einzelne Systemtypen, unter anderem für industrielle Steuerungssysteme (ICS/OT).2 Für ein KMU, das erstmals einen vernetzten Roboter einführt, sind vor allem drei Bausteine praktisch relevant:
- Netztrennung/Segmentierung: Das OT-Netz der Roboterzelle sollte vom übrigen Firmennetz getrennt oder zumindest durch Firewall-Regeln kontrolliert werden, damit ein kompromittierter Büro-PC nicht direkt auf die Steuerung zugreifen kann.
- Zugriffs- und Rechtemanagement: Wer darf die Steuerung programmieren, parametrieren oder fernwarten? Diese Rechte sollten dokumentiert und regelmäßig überprüft werden, analog zum Rechtemanagement in der Büro-IT.
- Notfallplanung: Was passiert bei Ausfall oder Verdacht auf Kompromittierung der Robotersteuerung? Ein Notfallplan (Wer wird informiert? Wie wird die Anlage isoliert?) gehört zur betrieblichen Vorsorge.
Das BSI bietet zudem allgemeine Empfehlungen für Betreiber industrieller Steuerungs- und Automatisierungssysteme, die sich sinngemäß auf Roboterzellen übertragen lassen — etwa zur Absicherung von Fernwartungszugängen und zur Reaktion auf Sicherheitsvorfälle.1 Für KMU ohne eigene IT-Sicherheitsabteilung empfiehlt es sich, diese Punkte explizit mit dem Systemintegrator zu besprechen (siehe auch Ratgeber Systemintegrator auswählen) und vertraglich festzuhalten, wer für Patches und Zugriffsschutz zuständig ist.
4. ISO/IEC 27001 — Managementsystem statt Einzelmaßnahme
ISO/IEC 27001 ist die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS). Sie beschreibt keinen technischen Maßnahmenkatalog für einzelne Geräte, sondern einen Rahmen, wie ein Unternehmen Informationssicherheit systematisch plant, umsetzt, überwacht und verbessert (Plan-Do-Check-Act-Zyklus).3 Für die meisten KMU, die einen einzelnen Roboter oder eine kleine Roboterflotte betreiben, ist eine vollständige ISO/IEC 27001-Zertifizierung in der Regel kein unmittelbares Ziel — wohl aber ein sinnvoller Referenzrahmen, wenn:
- Kunden oder Auftraggeber (z. B. in der Automotive- oder Zuliefererkette) ein ISMS oder eine ISO/IEC 27001-Zertifizierung vertraglich voraussetzen,
- der Betrieb ohnehin plant, ein ISMS für andere Unternehmensbereiche einzuführen, und die Robotik-Zelle als weiteres „Asset" mit aufgenommen werden soll,
- oder der Integrator/Hersteller selbst nach ISO/IEC 27001 zertifiziert ist — dann lohnt sich die Nachfrage, welche vertraglichen Sicherheitsgarantien (SLA, Meldepflichten bei Vorfällen) sich daraus für die gelieferte Anlage ableiten.
Wichtig für die Einordnung: ISO/IEC 27001 ersetzt nicht die technischen OT-spezifischen Empfehlungen des BSI (Abschnitt 3) — beide ergänzen sich, das eine als Managementrahmen, das andere mit konkreten Bausteinen für Steuerungssysteme.
5. Datenschutz: Kamera-, Sensor- und Bewegungsdaten in der Fertigung
Viele Cobot- und AMR-Anwendungen nutzen Kameras, 3D-Sensoren oder Kraft-/Drehmomentmessung zur Objekterkennung und Kollisionsvermeidung. Sobald dabei auch Personen im Sichtfeld erfasst werden können — etwa Werker, die im selben Arbeitsbereich tätig sind — stellt sich die Frage nach der Datenschutz-Grundverordnung (DSGVO).4 Relevante Punkte für Betreiber:
- Personenbezug prüfen: Werden Bilddaten so gespeichert oder verarbeitet, dass Personen identifizierbar sind (z. B. Gesichtserkennung, dauerhafte Videoaufzeichnung), greift die DSGVO. Reine Abstandssensorik ohne Bildspeicherung ist in der Regel unkritischer — die konkrete Einordnung hängt vom Einzelfall ab und sollte im Zweifel mit dem betrieblichen Datenschutzbeauftragten geklärt werden.
- Rechtsgrundlage und Transparenz: Falls personenbezogene Daten verarbeitet werden, ist eine Rechtsgrundlage (z. B. berechtigtes Interesse an Arbeitssicherheit) zu dokumentieren und die Belegschaft entsprechend zu informieren — üblicherweise über den Betriebsrat und eine Betriebsvereinbarung, sofern ein Betriebsrat besteht.
- Speicherort und Cloud-Anbindung: Werden Kamera- oder Prozessdaten an eine Herstellercloud übertragen, ist zu prüfen, wo diese Daten verarbeitet werden (EU/EWR oder Drittland) und ob ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vorliegt.
- Löschkonzept: Für gespeicherte Sensor-/Kameradaten sollte eine Aufbewahrungsfrist mit anschließender Löschung festgelegt sein, statt Daten unbegrenzt vorzuhalten.
- Mitbestimmung: Systeme, die geeignet sind, Leistung oder Verhalten von Mitarbeitenden zu überwachen (z. B. Bewegungsprofile über AMR-Sensorik), unterliegen in Betrieben mit Betriebsrat regelmäßig der Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG — unabhängig davon, ob eine Überwachung tatsächlich beabsichtigt ist.
Diese Punkte sind eine allgemeine Orientierung, keine abschließende Rechtsberatung. Ob und in welchem Umfang die DSGVO im Einzelfall greift, hängt von der konkreten technischen Ausgestaltung ab und sollte vor Inbetriebnahme mit dem betrieblichen oder externen Datenschutzbeauftragten geklärt werden.
6. VDMA-Praxishinweise für Integratoren und Betreiber
Der VDMA (Verband Deutscher Maschinen- und Anlagenbau) engagiert sich über seine Fachverbände Robotik + Automation sowie das Querschnittsthema Industrial Security für praxisnahe Sicherheitsempfehlungen im Maschinen- und Anlagenbau, unter anderem zu sicherer Vernetzung, Fernwartung und Security-by-Design bei Maschinen und Robotik.5 Für KMU-Betreiber lassen sich daraus folgende praktische Ansatzpunkte ableiten:
- Cybersecurity-Anforderungen bereits im Lastenheft/Pflichtenheft der Roboterbeschaffung festhalten, statt sie erst nach der Installation nachträglich zu adressieren.
- Beim Integrator konkret nachfragen, welche Sicherheitsmaßnahmen (Netzwerksegmentierung, Update-Prozess, Zugriffsschutz) Teil des Lieferumfangs sind und welche zusätzlich vom Betreiber selbst umzusetzen sind — analog zur Abgrenzung von Betreiber- und Integrator-Pflichten bei der Maschinensicherheit (siehe Ratgeber ISO-Normen für Betreiber).
- Bei absehbar zunehmender Regulierung (z. B. EU Cyber Resilience Act für vernetzte Produkte) frühzeitig mit Integrator/Hersteller klären, wie zukünftige Sicherheitsupdates über den Lebenszyklus der Anlage sichergestellt werden.
7. Checkliste für die Roboter-Einführung
- ☐ Netzwerksegmentierung zwischen Roboter-/OT-Netz und Büro-IT ist umgesetzt oder geplant
- ☐ Standard-/Werkspasswörter der Steuerung und HMI-Panels wurden geändert
- ☐ Fernwartungszugänge sind protokolliert, zeitlich begrenzt und nur bei Bedarf aktiv
- ☐ Zuständigkeit für Firmware-/Software-Updates ist vertraglich mit Integrator/Hersteller geklärt
- ☐ Personenbezug von Kamera-/Sensordaten wurde geprüft, ggf. mit Datenschutzbeauftragtem
- ☐ Auftragsverarbeitungsvertrag (AVV) liegt vor, falls Daten an eine Herstellercloud übertragen werden
- ☐ Löschkonzept für gespeicherte Sensor-/Kameradaten ist festgelegt
- ☐ Betriebsrat wurde einbezogen, falls Systeme zur Leistungs-/Verhaltensüberwachung geeignet sind
- ☐ Notfallplan für Sicherheitsvorfälle an der Roboteranlage besteht
8. Häufige Fragen
Muss unser Betrieb ISO/IEC 27001-zertifiziert sein, um einen Cobot sicher zu betreiben?
Nein. Eine Zertifizierung ist kein rechtliches Muss für den Betrieb einzelner Roboter, sondern ein freiwilliger Managementrahmen, der vor allem relevant wird, wenn Kunden oder Lieferketten dies vertraglich fordern (Abschnitt 4). Unabhängig von einer Zertifizierung sollten die grundlegenden technischen Maßnahmen aus Abschnitt 3 und 7 trotzdem umgesetzt werden.
Ist jede Kamera an einem Cobot automatisch ein Datenschutzproblem?
Nicht automatisch. Entscheidend ist, ob Personen identifizierbar erfasst und die Daten gespeichert oder ausgewertet werden. Reine Objekterkennung ohne Personenbezug und ohne dauerhafte Speicherung ist in der Regel weniger kritisch als Systeme mit Gesichtserkennung oder durchgehender Videoaufzeichnung. Die Einzelfallprüfung sollte dennoch nicht übersprungen werden (Abschnitt 5).
Reicht die CE-Kennzeichnung der Maschine nicht schon für die Sicherheit aus?
Nein. Die CE-Kennzeichnung nach Maschinenrichtlinie adressiert primär den Personenschutz vor mechanischen und funktionalen Gefahren (siehe Ratgeber CE-Kennzeichnung), nicht Cybersicherheit oder Datenschutz. Beide Themen sind rechtlich und technisch eigenständig zu behandeln.
Was, wenn unser Integrator sich mit Cybersecurity nicht auskennt?
Sprechen Sie das Thema aktiv an und fragen Sie nach den Grundmaßnahmen aus Abschnitt 3 (Netzsegmentierung, Zugriffsschutz, Update-Prozess). Falls der Integrator dazu keine Aussage treffen kann, ist ggf. eine zusätzliche IT-Sicherheitsberatung sinnvoll, bevor die Anlage produktiv ans Netz geht.
Weiterführende Ratgeber
- ISO-Normen für Betreiber — Betreiberpflichten nach EN ISO 10218/ISO TS 15066
- CE-Kennzeichnung für Roboter-Installationen — Rechtsrahmen und Verantwortung
- MRK-Sicherheit & ISO/TS 15066 — mechanische Sicherheit bei Mensch-Roboter-Kollaboration
- Systemintegrator auswählen — worauf es bei der Integrator-Auswahl ankommt
- Risikobeurteilung Schritt für Schritt — Methodik nach EN ISO 12100
- Bundesamt für Sicherheit in der Informationstechnik (BSI) — Informationen und Empfehlungen zu industriellen Steuerungs- und Automatisierungssystemen (ICS/OT-Sicherheit). bsi.bund.de — Industrielle Steuerungs- und Automatisierungssysteme.
- Bundesamt für Sicherheit in der Informationstechnik (BSI) — IT-Grundschutz-Kompendium, Methodik zum systematischen Aufbau von Informationssicherheit inkl. Bausteinen für OT/ICS. bsi.bund.de — IT-Grundschutz.
- International Organization for Standardization — ISO/IEC 27001 Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Norm für Informationssicherheits-Managementsysteme (ISMS). iso.org/standard/27001.
- Europäische Kommission / EUR-Lex — Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, DSGVO), insb. Art. 4 (Begriffsbestimmungen personenbezogener Daten), Art. 6 (Rechtsgrundlagen), Art. 28 (Auftragsverarbeitung). EUR-Lex: Verordnung (EU) 2016/679.
- VDMA (Verband Deutscher Maschinen- und Anlagenbau) — Fachverband Robotik + Automation und Querschnittsthema Industrial Security, Empfehlungen zu sicherer Vernetzung und Security-by-Design im Maschinen- und Anlagenbau. vdma.org — Industrial Security · vdma.org — Robotik + Automation.
Angaben ohne Gewähr, können Fehler enthalten. Dieser Ratgeber gibt einen allgemeinverständlichen Überblick und ersetzt keine IT-Sicherheitsberatung, kein Datenschutz-Audit und keine rechtsverbindliche Beratung. Verbindlich sind ausschließlich die Originaldokumente von BSI, ISO/IEC, VDMA und der DSGVO in ihrer jeweils gültigen Fassung.
Hinweis: Dieser Inhalt wurde automatisiert mit KI erstellt.