ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken

„Smart Factory“ ein großartiges Konzept – aber ONEKEY-CEO sieht damit verbundene Cyber-Risiken noch zu oft als vernachlässigt an

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Stellungnahme von ONEKEY birgt die Digitalisierung von Produktion und Logistik unbekannte Software-Schwachstellen, über welche Hacker angreifen können – der „OT+ IoT Cybersecurity Report 2024“ von ONEKEY zeigt demnach auf, dass die „Smart Factory“ häufig unzureichend geschützt ist.

Für den „OT+ IoT Cybersecurity Report 2024“ ließ ONEKEY 300 Führungskräften aus der Industrie befragen

Die deutsche Industrie kaufe sich mit der weiterhin zunehmenden Digitalisierung auf Produktions- und Logistikebene immer mehr Sicherheitslücken ein: „In den vernetzten Geräten, Maschinen und Anlagen, die im Rahmen von Industrie 4.0 angeschafft werden, arbeiten elektronische Steuerungssysteme, in die Hacker häufig leicht eindringen können.“

Der Grund sei, dass die in den Komponenten eingesetzte Software häufig nicht auf dem neuesten Stand sei, da sie von den Herstellern nicht kontinuierlich aktualisiert werde – wie es ja eigentlich notwendig wäre, um neu entdeckte Sicherheitslücken zu schließen. Zu diesem Ergebnis kommt demnach der „OT+ IoT Cybersecurity Report 2024“ des Düsseldorfer Cyber-Sicherheitsunternehmens ONEKEY. Die zugrundeliegende Studie basiere auf einer Befragung von 300 Führungskräften aus der Industrie.

Laut ONEKEY-Umfrage nur 28 Prozent der Unternehmen mit spezifischen Compliance-Regelungen für OT-Sicherheit

„,Smart Factory’ ist ein großartiges Konzept“, so Jan Wendenburg, „CEO“ von ONEKEY, „aber die damit verbundenen Cyber-Risiken werden noch zu oft vernachlässigt“. Laut der Umfrage führten lediglich 29 Prozent der Industrieunternehmen bei der Beschaffung von vernetzten Gerät­en und Maschinen eine umfassende Sicherheitsprüfung durch, „um festzustellen, wie gut die Neuanschaffungen gegen Hacker-Angriffe geschützt sind“. Weitere 30 Prozent beließen es eigenen Angaben zufolge bei oberflächlichen Tests oder Stichproben. Die Unsicherheit sei laut Report groß: „Über ein Viertel (26%) der Befragten kann zu dieser Frage keine Auskunft geben.“ Wendenburg kommentiert: „Die Dunkelziffer bei veralteter Software in Fertigungsbetrieben scheint offensichtlich hoch zu sein.“

So verfügten laut der Umfrage nur 28 Prozent der Unternehmen über spezifische Compliance-Regelungen für die Sicherheit in industriellen Steuerungssystemen oder Geräten für das „Industrial Internet of Things“. Bei einem guten Drittel (34%) gebe es zwar keine speziellen OT- oder IoT-Sicherheitsvorschriften, aber diese seien ein Teil der allgemeinen Richtlinien zur Cyber­-Sicherheit im Unternehmen. 19 Prozent hätten laut eigene Angaben keine besonderen Vorkehrungen getroffen.

ONEKEY-Erkenntnis: Nur 31% der Unternehmen unterziehen in vernetzten Geräten eingebettete Programme regelmäßigen Sicherheitstests

Sogenannte Firmware, also die in digitalen Steuerungssystemen, vernetzten Geräten, Maschinen und Anlagen integrierte Software, werde in der Industrie nicht systematisch auf Cyber-Resilienz getestet – der „OT+IoT Cybersecurity Report 2024“ zeigt, dass nicht einmal ein Drittel (31%) der Unternehmen die in vernetzten Geräten eingebetteten Programme regelmäßigen Sicherheitstests unterziehe, um Schwachstellen und damit potenzielle Einfallstore für Hacker zu identifizieren und zu beheben.

Beinahe die Hälfte (47%) führe nur hin und wieder Firmware-Tests durch oder verzichte ganz darauf. Zumal mehr als die Hälfte der befragten Unternehmen (52%) angebe, bereits mindestens einmal von Hackern über OT- oder IoT-Geräte angegriffen worden zu sein. Ein Viertel wisse von drei oder mehr Fällen zu berichten, bei denen Cyber-Kriminelle die Firma über industrielle Steuerungen attackiert hätten.

ONEKEY-Empfehlung: Industrie sollte aktuelle Software verlangen und einsetzen

„In den vernetzten Geräten läuft teilweise sehr alte Software“, berichtet Wendenburg und erläutert: „Weil sie seit Jahren oder gar Jahrzehnten einwandfrei funktioniert, befasst sich niemand damit. Das kann aber fatale Folgen haben, wenn Hacker mit veralteter Software die digitale Steuerung angreifen.“ Der ONEKEY-Chef nennt hierzu ein Beispiel aus der Fertigung:

„Über eine ungeschützte Firmware können Cyber-Kriminelle die interne Konfiguration einer CNC-Maschine aus der Ferne manipulieren und sowohl die Maschine selbst als auch Werkstücke beschädigen. Der Maschinenschaden kann irreparabel sein, eine ganze Produktionscharge unbrauchbar werden.“ Ebenso könnten Hacker über die Firmware ins Firmennetzwerk gelangen und beispielsweise eine Ransomware-Attacke durchführen: „Bei dieser Angriffsform werden betriebswichtige Datenbestände verschlüsselt und erst gegen die Zahlung einer Lösegeldsumme freigegeben.“

ONEKEY erinnert an CRA, der es künftig verbietet, vernetzte Geräte mit bekannten Schwachstellen in der EU zu verkaufen

Die Verantwortung für veraltete Maschinensoftware trügen Hersteller und Nutzer gleichermaßen, gibt Wendenburg zu bedenken und verweist auf den „EU Cyber Resilience Act“ (CRA), „der es ab 2026/2027 verbietet, vernetzte Geräte mit bekannten Schwachstellen in der Europäischen Union zu verkaufen“. Darüber hinaus seien die Hersteller durch den CRA verpflichtet, alle Firmware nach Auslieferung zu überwachen und bei neuen Sicherheitslücken entsprechende neue Versionen zeitnah bereitzustellen. Dies sei von der heutigen Realität noch weit entfernt, wie dem „OT + IoT Cybersecurity Report 2024“ zu entnehmen sei.

Danach folgten derzeit nämlich nur 28 Prozent der Richtlinie, welche ab 2027 verbindlich werde, und stellten systematisch aktuelle Software-Updates für an Kunden ausgelieferte vernetzte Geräte und Maschinen bereit. 30 Prozent führten gelegentlich Aktualisierungen durch, 17 Prozent überhaupt keine. „Es ist an der Zeit, dass die Hersteller ihre Software-Entwicklung und Überwachung auf die bald geltenden gesetzlichen Anforderungen anpassen“, rät Wendenburg.

ONEKEY-Report zeigt, dass nur 26% der Unternehmen hinsichtlich Cyber-Resilienz angemessen betrieblichen Reifegrad bei Produkt- und Projektentwicklung aufweisen

Laut „OT + IoT Cybersecurity Report 2024“ bewertet nur ein gutes Viertel (26%) der Unternehmen den eigenen betrieblichen Reifegrad bei der Produkt- und Projektentwicklung als angemessen in Bezug auf Cyber-Resilienz. Diese Firmen verfügten über einen definierten Prozess für einen sicheren Entwicklungszyklus, der aktiv angegangen wird.

Weitere zwölf Prozent hätten einen solchen Sicherheitsprozess zwar aufgesetzt, kontrollierten ihn aber nach eigener Einschätzung eher schlecht und gingen überwiegend reaktiv damit um. In beinahe einem Zehntel der befragten Unternehmen (9%) existiere ein solcher Prozess zur Qualitätssicherung bei der Produkt- und Projektentwicklung nicht.

Weitere Informationen zum Thema:

datensicherheit.de, 02.10.2024
Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht / BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt

datensicherheit.de, 17.09.2024
Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich / KRITIS und Produktionsumgebungen heute stärker denn je Cyber-Bedrohungen ausgesetzt

datensicherheit.de, 28.08.2024
OT-Sicherheit in der Lebensmittelindustrie / Rolle der NIS-2-Richtlinie in der Europäischen Union