Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine aktuelle Software Bill of Materials ist die Ausnahme

Beitrag teilen

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie die Ausnahme dar, obgleich sie als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyberangriffe gilt.

Dies geht aus dem neuen „OT+IoT Cybersecurity Report 2024“ der Düsseldorfer Cyber­sicherheits­firma ONEKEY hervor. Die Studie über die Cyberresilienz von industriellen Steuerungen (Operational Technology, OT) und Geräten für das Internet der Dinge (Internet of Things, IoT) basiert auf einer Umfrage unter 300 Führungskräften aus der Industrie. Befragt wurden Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) und IT-Verantwortliche. Der Report erscheint im Oktober auf der ONEKEY-Website.

Anzeige

Veraltete Software als Einfallstor

Laut Umfrage führt nicht einmal ein Viertel (24 Prozent) der Industrieunternehmen eine vollständige Software Bill of Materials. „Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art“, sagt Jan Wendenburg, der CEO von ONEKEY.

„Das ist fatal“, sagt er, „denn veraltete Software in industriellen Steuerungen ist ein immer beliebteres Einfallstor für Hacker.“ Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungs­maschinen, Produktionsanlagen, Gebäude­automatisierungs­systeme, Heizungs- und Klimaanlagen. „Alle diese Systeme sind an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente steckt Software“, verdeutlicht Jan Wendenburg die große Angriffsfläche, die Unternehmen Cyberkriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht up-to-date halten. Die Mehrheit der Unternehmen (51 Prozent) verfügt jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.

Software-Stücklisten mit vielen Lücken

„Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten“, formuliert Jan Wendenburg, und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen.“ Besonders erschreckend laut Report: Ein knappes Viertel der befragten Unternehmen ist sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.

„Das ist wie nachts auf der Autobahn fahren ohne Licht“, verdeutlicht der ONEKEY-CEO das Gefahrenpotenzial. Er resümiert: „Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Softwareschwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyberattacke wird, sondern nur wann und mit welchen Folgen.“

Lieferanten und Drittanbieter kaum geprüft

Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornehmen. Gut ein Drittel (34 Prozent) verwenden Fragebögen von Branchenverbänden wie dem VDMA, um die Cybersicherheitslage ihrer Lieferanten einschätzen zu können. 31 Prozent verlassen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11 Prozent) verfügt eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyberangriffe geschützt sind.

„Wir raten jedem Industrieunternehmen, sich mit einer Software Bill of Materials einen Überblick über die Cyberrisiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden“, mahnt Jan Wendenburg zur Eile. Er gibt zu bedenken: „Eine moderne Analyse Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den Shopfloor Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.“

EU Cyber Resilience Act

Der ONEKEY-Chef weist darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den EU Cyber Resilience Act (CRA) gesetzlich verpflichtet sind, ihre Steuerungssysteme mit aktueller Software gegen Cyberangriffe zu schützen. „Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten“, appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf die neue CRA-Gesetzgebung einzustellen.

Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen ist bereits heute auf dem neuesten Stand: Sie aktualisieren ihre Software, sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht. Immerhin 28 Prozent prüfen automatisch, ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen. 30 Prozent begnügen sich mit gelegentlichen manuellen Überprüfungen. 31 Prozent verzichten auf einen Sicherheitspatch zwischendurch und warten auf das nächste geplante Release, mit dem das Einfallstor für Hacker geschlossen wird. „Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyberkriminellen ausgenutzt“, warnt Jan Wendenburg.

Es bleibt insgesamt aber noch viel zu tun, so überprüfen 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken. 10 Prozent liefern keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten sind sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.

Mehr bei Onekey.com

 


Über ONEKEY

ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff.


 

Passende Artikel zum Thema

Security Report deckt Missbrauch von Blockchains für Malware auf

Der neue Internet Security Report von WatchGuard deckt unter anderem die Instrumentalisierung von Blockchains als Hosts für schädliche Inhalte auf. ➡ Weiterlesen

PKI-Zertifikate sicher verwalten

Mit der Zunahme von Hard- und Software nimmt die Anzahl von Zertifikaten für diese Geräte zu. Ein Cybersicherheitsunternehmen hat jetzt ➡ Weiterlesen

Cloud-Sicherheitsstrategien: eBook gibt Tipps

Cloud-Computing nimmt immer weiter zu. Das ebook erklärt effektive Cloud-Sicherheitsstrategien, inklusive Identitätsmodernisierung, KI-Herausforderungen und Secure-by-Design-Strategien, und bietet Unternehmen umsetzbare Erkenntnisse ➡ Weiterlesen

Mit KI-Technologie Geschäftsanwendungen sicher verwalten

Ein  Anbieter von Cybersicherheitslösungen, launcht die neueste Version seiner Sicherheitsmanagement-Plattform. Mithilfe von moderner KI-Technologie lassen sich Geschäftsanwendungen schnell und präzise ➡ Weiterlesen

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen