SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie

Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

[datensicherheit.de, 09.10.2024] Eine sogenannte Stückliste aller Software-Komponenten in einem vernetzten Gerät („Software Bill of Materials“ / SBOM) stellt in der deutschen Industrie offenbar noch immer eine Ausnahme dar, obgleich sie inzwischen als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyber-Angriffe gilt. Dies geht laut einer aktuellen Stellungnahme von ONEKEY aus dem eigenen neuen „OT+IoT Cybersecurity Report 2024“ hervor. Diese Studie über die Cyber-Resilienz Industrieller Steuerungen („Operational Technology“ / OT) und Geräten für das sogenannte Internet der Dinge („Internet of Things“ / IoT) basiert demnach auf einer Umfrage unter 300 Führungskräften aus der Industrie. Befragt worden seien „Chief Executive Officers“ (CEOs), „Chief Information Officers“ (CIOs), „Chief Information Security Officers“ (CISOs) und „Chief Technology Officers“ (CTOs) sowie IT-Verantwortliche. Der Report soll noch im Oktober 2024 auf der ONEKEY-Website publiziert werden.

SBOM zum Aufspüren veraltete Software – Einfallstore für Angreifer

Laut Umfrage führe nicht einmal ein Viertel (24%) der Industrieunternehmen eine vollständige Software Bill of Materials. „Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art“, berichtet Jan Wendenburg, der „CEO“ von ONEKEY.

„Das ist fatal!“, so Wendenburg, denn veraltete Software in Industriellen Steuerungen sei ein „immer beliebteres Einfallstor für Hacker“. Als typische Beispiele nennt er: „Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungs­maschinen, Produktionsanlagen, Gebäude­automatisierungs­systeme, Heizungs- und Klimaanlagen.“

Alle diese Systeme seien an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente stecke Software – Wendenburg verdeutlicht die große Angriffsfläche, welche Unternehmen Cyber-Kriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht „up-to-date“ halten. Die Mehrheit der Unternehmen (51%) verfüge jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.

SBOM bisher oftmals noch mit vielen Lücken und Unsicherheiten

„Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten“, warnt Wendenburg und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen.“

Besonders erschreckend sei laut Report: Ein knappes Viertel der befragten Unternehmen sei sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.

„Das ist wie nachts auf der Autobahn fahren ohne Licht“, verdeutlicht er das Gefahrenpotenzial. Er resümiert: „Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Software-Schwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyber-Attacke wird, sondern nur wann und mit welchen Folgen…“

SBOM für einen Überblick über die Cyber-Risiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung

Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornähmen. Gut ein Drittel (34%) verwendeten Fragebögen von Branchenverbänden wie dem VDMA, um die Cyber-Sicherheitslage ihrer Lieferanten einschätzen zu können. 31 Prozent verließen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11%) verfüge eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyber-Angriffe geschützt sind.

„Wir raten jedem Industrieunternehmen, sich mit einer ,Software Bill of Materials’ einen Überblick über die Cyber-Risiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden“, rät Wendenburg nachdrücklich.

Er empfiehlt in diesem Zusammenhang: „Eine moderne Analyse-Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den ,Shopfloor’ Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.“

SBOM jetzt schon verwenden – EU Cyber Resilience Act tritt 2027 in Kraft

Der ONEKEY-Chef weist abschließend darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den „EU Cyber Resilience Act“ (CRA) gesetzlich verpflichtet seien, ihre Steuerungssysteme mit aktueller Software gegen Cyber-Angriffe zu schützen. „Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten“, appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf diese neue CRA-Gesetzgebung einzustellen.

Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen sei bereits heute auf dem neuesten Stand: Diese aktualisierten ihre Software, „sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht“. Immerhin 28 Prozent prüften automatisch, „ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen“. 30 Prozent begnügten sich mit gelegentlichen manuellen Überprüfungen. 31 Prozent verzichteten auf einen Sicherheitspatch zwischendurch und warteten auf die nächste geplante Release, mit der das Einfallstor für Hacker geschlossen werde. „Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyber-Kriminellen ausgenutzt“, unterstreicht Wendenburg.

Es bleibe insgesamt aber noch viel zu tun – so überprüften 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken. Zehn Prozent lieferten keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten seien sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.

Weitere Informationen zum Thema:

datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf