Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie die Ausnahme dar, obgleich sie als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyberangriffe gilt. Dies geht aus dem neuen „OT+IoT Cybersecurity Report 2024“ der Düsseldorfer CybersicherheitsFirma Onekey hervor. Die Studie über die Cyberresilienz von industriellen Steuerungen (Operational Technology, OT) und Geräten für das Internet der Dinge (Internet of Things, IoT) basiert auf einer Umfrage unter 300 Führungskräften aus der Industrie. Befragt wurden Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) und IT-Verantwortliche. Der Report erscheint im Oktober auf der Onekey-Website.
Veraltete Software ist Einfallstor für Angreifer
Laut Umfrage führt nicht einmal ein Viertel (24 Prozent) der Industrieunternehmen eine vollständige Software Bill of Materials. „Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art“, sagt Jan Wendenburg, der CEO von Onekey.
„Das ist fatal“, sagt er, „denn veraltete Software in industriellen Steuerungen ist ein immer beliebteres Einfallstor für Hacker.“ Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungsmaschinen, Produktionsanlagen, Gebäudeautomatisierungssysteme, Heizungs- und Klimaanlagen. „Alle diese Systeme sind an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente steckt Software“, verdeutlicht Jan Wendenburg die große Angriffsfläche, die Unternehmen Cyberkriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht up-to-date halten. Die Mehrheit der Unternehmen (51 Prozent) verfügt jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.
Software-Stücklisten mit vielen Lücken und Unsicherheiten
„Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten“, formuliert Jan Wendenburg, und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen.“ Besonders erschreckend laut Report: Ein knappes Viertel der befragten Unternehmen ist sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.
„Das ist wie nachts auf der Autobahn fahren ohne Licht“, verdeutlicht der Onekey-CEO das Gefahrenpotenzial. Er resümiert: „Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Softwareschwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyberattacke wird, sondern nur wann und mit welchen Folgen.“
Lieferanten und Drittanbieter werden kaum geprüft
Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut Onekey-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornehmen. Gut ein Drittel (34 Prozent) verwenden Fragebögen von Branchenverbänden wie dem VDMA, um die Cybersicherheitslage ihrer Lieferanten einschätzen zu können. 31 Prozent verlassen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11 Prozent) verfügt eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyberangriffe geschützt sind.
„Wir raten jedem Industrieunternehmen, sich mit einer Software Bill of Materials einen Überblick über die Cyberrisiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden“, mahnt Jan Wendenburg zur Eile. Er gibt zu bedenken: „Eine moderne Analyse Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den Shopfloor Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.“
EU Cyber Resilience Act tritt ab 2027 in Kraft
Der Onekey-Chef weist darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den EU Cyber Resilience Act (CRA) gesetzlich verpflichtet sind, ihre Steuerungssysteme mit aktueller Software gegen Cyberangriffe zu schützen. „Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten“, appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf die neue CRA-Gesetzgebung einzustellen.
Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen ist bereits heute auf dem neuesten Stand: Sie aktualisieren ihre Software, sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht. Immerhin 28 Prozent prüfen automatisch, ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen. 30 Prozent begnügen sich mit gelegentlichen manuellen Überprüfungen. 31 Prozent verzichten auf einen Sicherheitspatch zwischendurch und warten auf das nächste geplante Release, mit dem das Einfallstor für Hacker geschlossen wird. „Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyberkriminellen ausgenutzt“, warnt Jan Wendenburg.
Es bleibt insgesamt aber noch viel zu tun, so überprüfen 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken. 10 Prozent liefern keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten sind sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.
Onekey ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination aus einer automatisierten Product Cybersecurity & Compliance Platform (PCCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt. International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der Onekey Product Cybersecurity & Compliance Plattform und den Onekey Cybersecurity Experten.