Industrie sollte Cyber-Sicherheit ihrer Geräte, Maschinen und Anlagen dringend auf ihre Agenda 2025 setzen!

Angesichts der permanenten Bedrohungslage sollte die deutsche Industrie 2025 ihre Cyber-Resilienz weiter stärken, rät Jan Wendenburg

[datensicherheit.de, 07.02.2025] Laut dem Bundesamt für Sicherheit in der Informations­technik (BSI) werden jeden Monat durchschnittlich mehr als 2.000 neue Schwachstellen in Software bekannt, von denen demnach etwa 15 Prozent als „kritisch“ eingestuft werden. Jan Wendenburg, „CEO“ von ONEKEY, kommentiert diese Erkenntnis in seiner aktuellen Stellungnahme: „Angesichts dieser permanenten Bedrohungslage sollte die deutsche Industrie 2025 ihre Cyber-Resilienz weiter stärken!“ In diesem Zusammenhang verweist auf den „OT+IoT Cybersecurity Report 2024“ seines Unternehmens, demzufolge die Industrie im letzten Jahr die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt hat.

Bei 27% der Firmen Budgetsituation zur Erhöhung der Cyber-Sicher­heit im Unklaren

„Die Industrie hat auf diesem Gebiet 2025 einen enormen Nachholbedarf gegenüber dem Vorjahr“, erläutert Wendenburg. Dem Report über die Sicherheit Industrieller Steuerungen (Operational Technology / OT) und in Geräten für das sogenannte Internet der Dinge (Internet of Things / IoT) liege eine Umfrage unter 300 Führungskräften aus der Industrie zugrunde. Laut dieser Studie sollte die Cyber-Sicherheit bei rund zwei Dritteln der befragten Unternehmen nach eigener Einschätzung verbessert werden.

Ein Drittel davon stufe das für die Hacker-Abwehr verwendete Budget selbst als „begrenzt“ ein, gehe also davon aus, dass hierauf mehr Wert gelegt werden sollte. Bei 27 Prozent der Firmen liege die Budgetsituation in Bezug auf Aktionen zur Erhöhung der Cyber-Sicher­heit im Unklaren – lediglich 34 Prozent der befragten Unternehmen verfügten über ein nach eigener Einschätzung „angemessenes“ oder sogar „signifikantes“ Budget für Initiativen zur Stärkung der Cyber-Resilienz. „Es ist den anderen zwei Dritteln anzuraten, ihr IT-Sicherheitsbudget im neuen Jahr zu klären und zügig aufzustocken“, empfiehlt Wendenburg für den weiteren Jahresverlauf 2025.

Gros der Firmen vertraut auf vertragliche Cyber-Sicherheit

Im Rahmen der Umfrage habe ONEKEY auch wissen wollen, „mit welchen Maßnahmen die Firmen ihre Cyber-Resilienz prüfen“. So führten 36 Prozent Bedrohungsanalysen durch, 23 Prozent veranlassten Penetrationstests, 22 Prozent setzten auf „Intrusion Detection“, also die aktive Überwachung von Netzwerken, und 15 Prozent bevorzugten Schwachstellen-Assessments (Mehrfachnennungen seien erwünscht gewesen). 19 Prozent stärkten die Sicherheit durch Netzwerk-Segmentierung, „so dass ein erfolgreicher Einbruch in ein Segment nicht das gesamte Firmennetz kompromittieret“.

Als meist eingesetzte Maßnahme gegen Cyber-Kriminelle habe sich in dieser Umfrage jedoch kein technischer Schutz herausgestellt, sondern ein rechtlicher: 38 Prozent der Unternehmen ließen sich von ihren IT-Dienstleistern und IT-Lieferanten vertraglich zusichern, „dass alles sicher ist“. „Ob dies eine wirksame Maßnahme ist bleibt jedoch fraglich, da bei fast allen größeren Sicherheitsvorfällen in den letzten Jahren auch Lieferanten mit ,vertraglich zugesicherter Sicherheit’ involviert waren, wie z.B. bei Cloudflare, Crowdstrike, Cisco und anderen.“

Zu viele Unternehmen stehen Cyber-Angriffen noch mehr oder minder hilflos gegenüber

Ein knappes Drittel (32%) der in der Studie untersuchten Unternehmen habe Verfahren eingerichtet, um aus Sicherheitsvorfällen zu lernen und notwendige Verbesserungen umzusetzen. „Vordefinierte Geschäftsprozesse, die den Umgang mit Hacker-Angriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheits­repertoire jeder Firma gehören“, betont Wendenburg. Er führt hierzu aus: „Angesichts der fort­währenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen!“

Ein gutes Drittel (34%) der Unternehmen kümmere sich immerhin nach einer Hacker-Attacke um mehr Sicherheit. Diese Firmen bemühten sich laut der Umfrage um eine gründliche Analyse und Bewertung des überstandenen Sicherheitsvorfalls und leiteten daraus Verbesserungen in Bezug auf die Maßnahmen zur Abwehr Cyber-Krimineller ab. Ungefähr ebenso viele Unternehmen stünden jedoch Cyber-Angriffen indes mehr oder minder hilflos gegenüber – bei ihnen herrsche weitgehend Unklarheit darüber, „wie mit Attacken auf vernetzte Geräte, Maschinen und Anlagen umzugehen ist“. 16 Prozent hätten keine betrieblichen Verfahren entwickelt, um aus Cyber-Angriffen zu lernen und notwendige Verbesserungen umzusetzen. „Die Unternehmensleitungen sollten Cyber-Resilienz ganz oben auf ihre Agenda für 2025 setzen“, so Wendenburgs abschließender Rat.

Weitere Informationen zum Thema:

ONEKEY, 17.01.2025
Whitepaper / OT & IoT Cybersecurity Report 2024: SURGE IN CYBERATTACKS ON INDUSTRY – URGENT ACTION NEEDED FOR STRONGER PROTECTION

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 23.07.2024
Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten / IT-Notfallkarten sollten angelegt und Sicherheitslücken fortlaufend ermittelt werden

datensicherheit.de, 29.11.2023
Wandel: Vom Cyber-Risiko zur Cyber-Resilienz / Bitdefender erinnert an zehn bewährte „Gebote“ für die IT-Sicherheit in Unternehmen