„Wirtschaft sollte 2025 mehr in industrielle Cybersicherheit investieren“

„Vernetzte Geräte, Maschinen und Anlagen, wie sie in der Industrie 4.0, in Smart Factories, Smart Buildings, Kritischen Infrastrukturen, Logistiksystemen, der Energieversorgung, dem Gesundheitswesen und vielen weiteren Wirtschaftszweigen zum Einsatz kommen, sollten besser gegen Cyberangriffe geschützt werden“, empfiehlt Jan Wendenburg. Der Hintergrund: In den vernetzten Geräten, Maschinen und Anlagen verrichtet oftmals veraltete Software ihren Dienst, die nicht ausreichend gegen Cyberattacken gesichert ist.

Software in Geräten, Maschinen und Anlagen sollte regelmäßig aktualisiert werden

„Die in maschinellen Steuerungen und sonstigen Komponenten eingesetzten Programme sollten von den Herstellern kontinuierlich aktualisiert werden, um neu entdeckte Sicherheitslücken zu schließen“, sagt der CEO von Onekey. Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungsmaschinen, Produktionsanlagen, Gebäudeautomatisierungssysteme, Heizungs- und Klimaanlagen, die teilweise mit veralteter Software Angriffsziele für Hacker darstellen. Die Studie „OT+ IoT Cybersecurity Report“, für die mehr als 300 Industrieunternehmen befragt wurden, liefert Zahlen.

Jan Wendenburg rät der Industrie, bei der Beschaffung vernetzter Geräte und Maschinen eine gründliche Sicherheitsüberprüfung durchzuführen, um zu ermitteln, wie gut die Neuanschaffungen vor Hackerangriffen geschützt sind. Laut Umfrage wird eine solche Prüfung nur in 29 Prozent der Firmen vorgenommen. Weitere 30 Prozent geben an, sich mit oberflächlichen Tests oder Stichproben zufriedenzugeben. Über ein Viertel (26 Prozent) der Befragten konnte zu dieser Frage keine Auskunft geben. „Die Dunkelziffer veralteter Software in produzierenden Betrieben scheint offensichtlich hoch zu sein“, meint Jan Wendenburg. Lediglich 28 Prozent der befragten Firmen haben laut Umfrage spezielle Compliance-Vorgaben für die Sicherheit von industriellen Steuerungssystemen oder Geräten im Bereich des Industrial Internet of Things.

Firmware sollte systematisch auf Cyberresilienz überprüft werden

Firmware, wie die in digitalen Steuerungssystemen, vernetzten Geräten, Maschinen und Anlagen eingebettete Software im Fachjargon genannt wird, sollte systematisch auf ihre Widerstandsfähigkeit gegen Cyberangriffe geprüft werden, empfiehlt Onekey-CEO Jan Wendenburg. Doch laut Bericht unterzieht weniger als ein Drittel (31 Prozent) der Unternehmen die in vernetzten Geräten integrierten Programme regelmäßig Sicherheitsprüfungen, um Schwachstellen und damit mögliche Angriffspunkte für Hacker zu erkennen und zu schließen. Fast die Hälfte (47 Prozent) führt nur gelegentlich Tests der Firmware durch oder lässt diese sogar vollständig wegfallen.

Eine lückenlose Software Bill of Materials ist die Ausnahme

Jan Wendenburg rät zu einer vollständigen Software Bill of Materials (SBOM), die einen umfassenden Überblick über alle verwendeten Programme liefert. Aus der Studie geht jedoch hervor, dass nur ein knappes Viertel (24 Prozent) der Industrieunternehmen eine lückenlose SBOM besitzt. Die Mehrheit der Firmen (51 Prozent) hat entweder keine oder nur eine lückenhafte Software-Stückliste. „Die Firmen sollten die Unklarheiten und Schwächen in ihren Software-Stücklisten zügig beheben“, empfiehlt Jan Wendenburg. Er fügt hinzu: „Schon ein einziges veraltetes Programm in einer Maschine kann Hackern den Zugang zum Unternehmensnetzwerk eröffnen.“

Der Onekey-Chef nennt ein Beispiel aus der Fertigung: „Über eine ungeschützte Firmware können Cyberkriminelle aus der Ferne die interne Konfiguration einer CNC-Maschine manipulieren und sowohl die Maschine selbst als auch Werkstücke beschädigen. Der Schaden an der Maschine kann irreparabel sein, eine ganze Produktionscharge wird möglicherweise unbrauchbar.“ Genauso können Hacker über die Firmware in das Unternehmensnetzwerk eindringen und beispielsweise einen Ransomware-Angriff durchführen: Bei dieser Form des Angriffs werden geschäftskritische Datenbestände verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigegeben.

Prüfung von Lieferanten sollte verstärkt werden

Der unzureichende Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark lässt sich laut Onekey-Report darauf zurückführen, dass nur wenige Industrieunternehmen eine gründliche Überprüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter durchführen. Etwas über ein Drittel (34 Prozent) verwendet Fragebögen von Branchenverbänden, um die Cybersicherheit ihrer Zulieferer einzuschätzen. 31 Prozent stützen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11 Prozent) gibt an, kein geregeltes Verfahren zu haben, um sicherzustellen, dass die für den Betrieb angeschafften Geräte, Maschinen und Anlagen ausreichend vor Cyberangriffen geschützt sind.

„Jedes Industrieunternehmen sollte mit einer vollständigen Software Bill of Materials einen klaren Einblick in die Cyber-Risiken gewinnen – von der Produktion über die Logistik bis zur Gebäudeautomation“, empfiehlt Jan Wendenburg.

Verantwortung liegt bei Herstellern und Anwendern

Die Verantwortung für veraltete Maschinensoftware tragen sowohl die Hersteller als auch die Anwender, hebt Jan Wendenburg hervor. Er verweist auf den Cyber Resilience Act (CRA) der EU, der ab dem 11. Dezember 2027 den Verkauf vernetzter Geräte mit bekannten Schwachstellen in der Europäischen Union untersagt. Zudem verpflichtet der CRA die Hersteller, die Firmware auch nach der Auslieferung zu überwachen und bei neu entdeckten Sicherheitslücken zeitnah aktualisierte Versionen bereitzustellen.

Die derzeitige Praxis liegt weit hinter den Anforderungen zurück, wie der „OT + IoT Cybersecurity Report“ von Onekey zeigt. Aktuell erfüllen nur 28 Prozent der Unternehmen die ab 2027 vorgeschriebene Regelung und stellen regelmäßig aktuelle Software-Updates für vernetzte Geräte und Maschinen bereit, die an Kunden ausgeliefert werden. 30 Prozent setzen Updates nur sporadisch ein, während 17 Prozent gänzlich darauf verzichten.

„Die Hersteller sollten ihre Softwareentwicklung an die bald geltenden gesetzlichen Vorgaben anpassen“, rät Jan Wendenburg. Er fügt hinzu: „Und es ist ebenso zu empfehlen, dass die Industrie von ihren Zulieferern verbindlich einfordert, die Cyberresilienz ihrer Produkte zu gewährleisten und dies auch nachzuweisen.“