Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie die Ausnahme dar, obgleich sie als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyberangriffe gilt.
Dies geht aus dem neuen „OT+IoT Cybersecurity Report 2024“ der Düsseldorfer Cybersicherheitsfirma ONEKEY hervor. Die Studie über die Cyberresilienz von industriellen Steuerungen (Operational Technology, OT) und Geräten für das Internet der Dinge (Internet of Things, IoT) basiert auf einer Umfrage unter 300 Führungskräften aus der Industrie. Befragt wurden Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) und IT-Verantwortliche. Der Report erscheint im Oktober auf der ONEKEY-Website.
Veraltete Software als Einfallstor
Laut Umfrage führt nicht einmal ein Viertel (24 Prozent) der Industrieunternehmen eine vollständige Software Bill of Materials. „Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art“, sagt Jan Wendenburg, der CEO von ONEKEY.
„Das ist fatal“, sagt er, „denn veraltete Software in industriellen Steuerungen ist ein immer beliebteres Einfallstor für Hacker.“ Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungsmaschinen, Produktionsanlagen, Gebäudeautomatisierungssysteme, Heizungs- und Klimaanlagen. „Alle diese Systeme sind an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente steckt Software“, verdeutlicht Jan Wendenburg die große Angriffsfläche, die Unternehmen Cyberkriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht up-to-date halten. Die Mehrheit der Unternehmen (51 Prozent) verfügt jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.
Software-Stücklisten mit vielen Lücken
„Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten“, formuliert Jan Wendenburg, und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen.“ Besonders erschreckend laut Report: Ein knappes Viertel der befragten Unternehmen ist sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.
„Das ist wie nachts auf der Autobahn fahren ohne Licht“, verdeutlicht der ONEKEY-CEO das Gefahrenpotenzial. Er resümiert: „Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Softwareschwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyberattacke wird, sondern nur wann und mit welchen Folgen.“
Lieferanten und Drittanbieter kaum geprüft
Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornehmen. Gut ein Drittel (34 Prozent) verwenden Fragebögen von Branchenverbänden wie dem VDMA, um die Cybersicherheitslage ihrer Lieferanten einschätzen zu können. 31 Prozent verlassen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11 Prozent) verfügt eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyberangriffe geschützt sind.
„Wir raten jedem Industrieunternehmen, sich mit einer Software Bill of Materials einen Überblick über die Cyberrisiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden“, mahnt Jan Wendenburg zur Eile. Er gibt zu bedenken: „Eine moderne Analyse Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den Shopfloor Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.“
EU Cyber Resilience Act
Der ONEKEY-Chef weist darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den EU Cyber Resilience Act (CRA) gesetzlich verpflichtet sind, ihre Steuerungssysteme mit aktueller Software gegen Cyberangriffe zu schützen. „Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten“, appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf die neue CRA-Gesetzgebung einzustellen.
Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen ist bereits heute auf dem neuesten Stand: Sie aktualisieren ihre Software, sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht. Immerhin 28 Prozent prüfen automatisch, ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen. 30 Prozent begnügen sich mit gelegentlichen manuellen Überprüfungen. 31 Prozent verzichten auf einen Sicherheitspatch zwischendurch und warten auf das nächste geplante Release, mit dem das Einfallstor für Hacker geschlossen wird. „Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyberkriminellen ausgenutzt“, warnt Jan Wendenburg.
Es bleibt insgesamt aber noch viel zu tun, so überprüfen 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken. 10 Prozent liefern keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten sind sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.
Mehr bei Onekey.com
Über ONEKEY ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.