1 Bewertungen

Sicherheitsprüfungen sind oft mangelhaft Industrie kauft sich Cyber-Sicherheitslücken ein

Laut Umfrage führen lediglich 29 Prozent der Industrieunternehmen bei der Beschaffung von vernetzten Geräten und Maschinen eine umfassende Sicherheitsprüfung durch, um festzustellen, wie gut die Neuanschaffungen gegen Hackerangriffe geschützt sind.

Bild: publish-industry, DALL·E
07.11.2024

Die deutsche Industrie kauft sich mit der weiterhin zunehmenden Digitalisierung auf Produktions- und Logistikebene immer mehr Sicherheitslücken ein: Ddie Digitalisierung von Produktion und Logistik birgt unbekannte Software-Schwachstellen, über die Hacker angreifen können – und Smart Factorys sind häufig unzureichend geschützt.

In den vernetzten Geräten, Maschinen und Anlagen, die im Rahmen von Industrie 4.0 angeschafft werden, arbeiten elektronische Steuerungssysteme, in die Hacker häufig leicht eindringen können. Der Grund: Die in den Komponenten eingesetzte Software ist häufig nicht auf dem neuesten Stand, da sie von den Herstellern nicht kontinuierlich aktualisiert wird, wie es notwendig wäre, um neu entdeckte Sicherheitslücken zu schließen. Zu diesem Ergebnis kommt der „OT+ IoT Cybersecurity Report 2024“ des Düsseldorfer Cybersicherheitsunternehmens Onekey. Die Studie basiert auf einer Befragung von 300 Führungskräften aus der Industrie.

„Smart Factory ist ein großartiges Konzept“, sagt Jan Wendenburg, CEO von Onekey, „aber die damit verbundenen Cyberrisiken werden noch zu oft vernachlässigt.“ Laut Umfrage führen lediglich 29 Prozent der Industrieunternehmen bei der Beschaffung von vernetzten Geräten und Maschinen eine umfassende Sicherheitsprüfung durch, um festzustellen, wie gut die Neuanschaffungen gegen Hackerangriffe geschützt sind. Weitere 30 Prozent belassen es eigenen Angaben zufolge bei oberflächlichen Tests oder Stichproben. Die Unsicherheit ist laut Report groß: Über ein Viertel (26 Prozent) der Befragten kann zu dieser Frage keine Auskunft geben. „Die Dunkelziffer bei veralterter Software in Fertigungsbetrieben scheint offensichtlich hoch zu sein“, so Jan Wendenburg.

Mehr Regeln für Sicherheit in industriellen Steuerungen

So verfügen nur 28 Prozent der Unternehmen über spezifische Compliance-Regelungen für die Sicherheit in industriellen Steuerungssystemen oder Geräten für das Industrial Internet of Things, hat die Umfrage ergeben. Bei einem guten Drittel (34 Prozent) gibt es zwar keine speziellen OT- oder IoT-Sicherheitsvorschriften, aber sie sind ein Teil der allgemeinen Richtlinien zur Cyber­sicherheit im Unternehmen. 19 Prozent haben laut eigene Angaben keine besonderen Vorkehrungen getroffen.

Firmware, wie die in digitalen Steuerungssystemen, vernetzten Geräten, Maschinen und Anlagen integrierte Software im Fachjargon heißt, wird in der Industrie nicht systematisch auf Cyber-Resilienz getestet, heißt es im „OT+IoT Cybersecurity Report 2024“ von Onekey. Nicht einmal ein Drittel (31 Prozent) der Unternehmen unterzieht die in vernetzten Geräten eingebetteten Programme regelmäßigen Sicherheitstests, um Schwachstellen und damit potenzielle Einfallstore für Hacker zu identifizieren und zu beheben.

Beinahe die Hälfte (47 Prozent) führt nur hin und wieder Firmwaretests durch oder verzichtet ganz darauf. Zumal mehr als die Hälfte der befragten Unternehmen (52 Prozent) angibt, bereits mindestens einmal von Hackern über OT- oder IoT-Geräte angegriffen worden zu sein. Ein Viertel weiß von drei oder mehr Fällen zu berichten, bei denen Cyberkriminlle die Firma über industrielle Steuerungen attackiert haben.

Industrie sollte aktuelle Software verlangen und einsetzen

„In den vernetzten Geräten läuft teilweise sehr alte Software“, sagt Jan Wendenburg: „Weil sie seit Jahren oder gar Jahrzehnten einwandfrei funktioniert, befasst sich niemand damit. Das kann aber fatale Folgen haben, wenn Hacker mit veralteter Software die digitale Steuerung angreifen.“ Der Onekey-Chef gibt ein Beispiel aus der Fertigung: „Über eine ungeschützte Firmware können Cyberkriminelle die interne Konfiguration einer CNC-Maschine aus der Ferne manipulieren und sowohl die Maschine selbst als auch Werkstücke beschädigen. Der Maschinenschaden kann irreparabel sein, eine ganze Produktionscharge unbrauchbar werden.“

Ebenso können Hacker über die Firmware ins Firmennetzwerk gelangen und beispielsweise eine Ransomware-Attacke durchführen: Bei dieser Angriffsform werden betriebswichtige Datenbestände verschlüsselt und erst gegen die Zahlung einer Lösegeldsumme freigegeben.

Die Verantwortung für veraltete Maschinensoftware tragen Hersteller und Nutzer gleichermaßen, gibt Jan Wendenburg zu bedenken. Er verweist auf den EU Cyber Resilience Act (CRA), der es ab 2026/2027 verbietet, vernetzte Geräte mit bekannten Schwachstellen in der Europäischen Union zu verkaufen. Darüber hinaus sind die Hersteller durch den CRA verpflichtet, alle Firmware nach Auslieferung zu überwachen und bei neuen Sicherheitslücken entsprechende neue Versionen zeitnah bereitzustellen. Das ist von der heutigen Realität noch weit entfernt, wie dem „OT + IoT Cybersecurity Report 2024“ von Onekey zu entnehmen ist. Demnach folgen derzeit nur 28 Prozent der Richtlinie, die ab 2027 verbindlich wird, und stellen systematisch aktuelle Software-Updates für an Kunden ausgelieferte vernetzte Geräte und Maschinen bereit. 30 Prozent führen gelegentlich Aktualisierungen durch, 17 Prozent überhaupt keine. „Es ist an der Zeit, dass die Hersteller ihre Softwareentwicklung und Überwachung auf die bald geltenden gesetzlichen Anforderungen anpassen“, empfiehlt Jan Wendenburg.

Laut „OT + IoT Cybersecurity Report 2024“ von Onekey bewertet nur ein gutes Viertel (26 Prozent) der Unternehmen den eigenen betrieblichen Reifegrad bei der Produkt- und Projektentwicklung als angemessen in Bezug auf Cyber-Resilienz. Diese Firmen verfügen über einen definierten Prozess für einen sicheren Entwicklungszyklus, der aktiv angegangen wird. Weitere 12 Prozent haben einen solchen Sicherheitsprozess zwar aufgesetzt, kontrollierten ihn aber nach eigener Einschätzung eher schlecht und gehen überwiegend reaktiv damit um. In beinahe einem Zehntel der befragten Unternehmen (9 Prozent) existiert ein solcher Prozess zur Qualitätssicherung bei der Produkt- und Projektentwicklung nicht.

Onekey ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.

Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert – ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.

Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.

Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt. International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der Onekey Product Cybersecurity & Compliance Plattform und den Onekey Cybersecurity Experten.

Firmen zu diesem Artikel
Verwandte Artikel