• 28.07.2025
  • Artikel
  • Industry

Kritische Infrastruktur: Warum die Verpackungsindustrie jetzt handeln muss!

Cyberattacken, Systemausfälle, Krisenresilienz: Die Verpackungsbranche rückt ins Visier der neuen KRITIS- und NIS2-Vorgaben – und ist darauf schlecht vorbereitet. Dabei ist klar: Wer als Teil der kritischen Infrastruktur gilt, muss seine Sicherheitsarchitektur dringend überdenken.
Containerschiff in schwerer See mit EU-Flagge auf dem Dach. (FACHPACK/ KI-generiert)
Die Verpackungsindustrie spielt eine zentrale Rolle in der Lebensmittel-Lieferkette – doch fehlende Sicherheitskonzepte machen sie anfällig für Störungen und Angriffe. (Quelle: FACHPACK/ KI-generiert)

Es geht längst nicht mehr um die Frage, ob Unternehmen der Lebensmittelwirtschaft ihre Lieferketten absichern müssen. Die Frage ist: Wie schnell sie handeln, bevor aus Nachlässigkeit ein systemisches Risiko wird.

Das geplante KRITIS-Dachgesetz der Bundesregierung („Kritische Infrastrukturen“) und die europäische NIS2-Richtlinie (Netz- und Informationssicherheit) verändern die Spielregeln im Schattenbereich von Produktion und Logistik. Wer künftig als relevant für die Grundversorgung der Bevölkerung gilt – und das reicht von Verpackungsmaschinenbauern über Reinigungsteams bis hin zu IT-Dienstleistern –, muss seine Sicherheitsarchitektur neu aufstellen.

„Viele Unternehmen unterschätzen ihre Relevanz im KRITIS-Kontext“, warnt Christian Heppner, Experte für strategisches Sicherheitsmanagement beim Beratungsunternehmen SecCon Group. Er ergänzt: „Dabei können sie als einfaches Ziel missbraucht werden, um größere Strukturen lahmzulegen.“

Die Verpackungsbranche ist offenbar schlecht vorbereitet. Anfragen bei führenden Unternehmen verliefen im Sande. Der VDMA-Fachverband Nahrungsmittel- und Verpackungsmaschinen verwies auf den Herbst. Ein Sprecher eines anderen Verbandes, der ungenannt bleiben möchte, zieht ein ernüchterndes Fazit: „Die Lebensmittel-Lieferkette ist trotz Krisenpermanenz nicht gut auf noch existentiellere Krisen vorbereitet. Ein weiteres Abwarten kann es nicht geben. Wir müssen endlich ins Handeln kommen!“
 

Gefährliche Lücken im System

Die Lebensmittelwirtschaft gilt als streng reguliert: Hygiene, Qualitätsmanagement, Rückverfolgbarkeit – alles lückenlos dokumentiert. Doch beim Thema Sicherheit, insbesondere bei IT-Infrastruktur, Cyberabwehr und Notfallplänen, klafft eine bedrohliche Lücke. Und diese kann zur Gefahr werden – nicht nur für einzelne Unternehmen, sondern für die Versorgungslage insgesamt.

Denn KRITIS betrifft längst mehr als nur Strom oder Wasser. „Verpacken zählt zu den Verfahren, die unmittelbar an der Lebensmittelversorgung beteiligt sind“, erklärt Heppner. Damit rücken Packmittelhersteller, Maschinenbauer und Software-Zulieferer in den Fokus der neuen Sicherheitsvorgaben. Sie müssen künftig nachweisen, dass sie den gestiegenen Anforderungen gerecht werden – etwa durch Zugangskontrollen, alternative Lieferketten, Risikoanalysen und vorausschauende Wartungskonzepte.

„Wenn ein Verpackungsmaschinenbauer ausfällt oder seine Systeme kompromittiert werden, steht schnell eine komplette Abfülllinie still“, warnt Heppner. Unternehmen entlang der Wertschöpfungskette müssen daher geeignete Sicherheitsmaßnahmen umsetzen – nicht nur aus regulatorischer Pflicht, sondern aus betrieblichem Eigeninteresse. Denn in Ausschreibungen wird künftig nur noch berücksichtigt, wer seine Resilienz nachweisen kann.
 

Kleine Unternehmen am Limit

Die Regulierung trifft die Branche ungleich. Große Konzerne investieren längst in Sicherheitsarchitekturen, doch viele kleine und mittlere Unternehmen hinken hinterher. Zwar sei das Problembewusstsein gestiegen, so Heppner, „aber oft fehlen Ressourcen oder Know-how für die Umsetzung.“

Brisant ist zudem, dass die neue Gesetzeslage auch die Geschäftsleitung in die Pflicht nimmt. Bei Sicherheitsverstößen, die zu Ausfällen oder Angriffen führen, drohen erstmals persönliche Konsequenzen. Das KRITIS-Dachgesetz verschärft damit die Verantwortung – eine Tatsache, die vielen Mittelständlern bisher nicht bewusst war.
 

Sicherheit wird zur Vertragsbedingung

Was früher Vertrauenssache war, wird nun Vertragsgrundlage: Wartung, Cyberschutz und Ausfallsicherheit sind heute Bestandteil verbindlicher Ausschreibungsbedingungen. „Die Ausfallsicherheit entlang der Lieferkette wird zum strategischen Erfolgsfaktor“, so Heppner. Das betrifft nicht nur Zulieferer im engeren Sinne, sondern auch Dienstleister wie Reinigungsfirmen oder IT-Support. Der Blick auf Sicherheit muss breiter werden.

Vor allem für vernetzte Anlagen braucht es Zugriffsschutz, Patch-Management und transparente Notfallkonzepte. Resilienz wird messbar – und ausschlaggebend für wirtschaftliche Partnerschaften.
 

Mehr als Technik – ein Kulturwandel ist nötig

Die technische Seite ist nur ein Teil des Problems. Viel entscheidender ist das kulturelle Umdenken. Sicherheitsmaßnahmen werden in einigen Betrieben immer noch als bürokratischer Ballast wahrgenommen – ein gefährlicher Irrtum. „Die Lücke zwischen regulatorischen Anforderungen und betrieblicher Realität ist groß“, sagt Heppner. „Aber sie lässt sich mit einfachen, skalierbaren Maßnahmen überbrücken – wenn man endlich beginnt.“

Dazu zählen:

  • Sensibilisierung der Mitarbeiter,
  • Basisschutz der Netzwerkinfrastruktur,
  • klassisches Risikomanagement,
  • regelmäßige Audits und Notfallübungen.

Der Staat gibt mit KRITIS und NIS2 den Rahmen vor – aber die Umsetzung bleibt Aufgabe der Unternehmen. Und wer glaubt, mit einem Zertifikat im Schrank sei es getan, der irrt: Resilienz ist kein Zustand, sondern künftig ein kontinuierlicher Prozess.
 

Die neue Ernsthaftigkeit

Kim Cheng, Geschäftsführerin des Bundesverbands der Deutschen Ernährungsindustrie (BVE) und frühere Chefin des Deutschen Verpackungsinstituts (DVI), bringt es auf den Punkt: „Die Supply Chain Security wird neu und vertiefend reguliert.“ Unternehmen müssen künftig belegen, dass ihre gesamte Lieferkette den Anforderungen an Sicherheit und Resilienz entspricht. Ein einziger schwacher Dienstleister kann zum Ausschluss führen. Der Weckruf ist deutlich – ob er gehört wird, ist eine andere Frage. Fest steht: In einer Welt wachsender hybrider Bedrohungen – von Cyberattacken bis zu physischen Anschlägen – kann sich die Lebensmittelwirtschaft kein Sicherheitsleck leisten. Deshalb steht auch die Verpackungsbranche unter verschärfter Beobachtung.

Christian Heppner formuliert es so: „Sicherheit ist keine Kür mehr, sondern Pflicht. Und wer diese Pflicht ignoriert, gefährdet mehr als sein eigenes Unternehmen – er gefährdet die Versorgung der Bevölkerung.“ Politik und Wirtschaft sind gleichermaßen gefordert: Es geht um nicht weniger als die Widerstandsfähigkeit unserer Versorgungssysteme.

Gastbeitrag von Matthias Mahr