.jpg "ONEKEY GmbH")
Experte: Wirtschaft sollte 2025 mehr in industrielle Cybersicherheit investieren
Düsseldorf (ots)
Jan Wendenburg, CEO von ONEKEY: "Die Industrie sollte sicherstellen, dass die Software in ihren vernetzten Geräten, Maschinen und Anlagen auf dem neuesten Stand ist, um Hacker abzuwehren."
Die deutsche Wirtschaft sollte 2025 mehr in ihre industrielle Cybersicherheit investieren", sagt Jan Wendenburg, CEO des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Er bezieht sich dabei auf eine Studie aus dem letzten Jahr ("OT+ IoT Cybersecurity Report 2024"), die der Industrie diesbezüglich einigen Nachholbedarf testiert. Das Kürzel OT steht für industrielle Steuerungen (Operational Technology), IoT für das Internet der Dinge (Internet of Things).
"Vernetzte Geräte, Maschinen und Anlagen, wie sie in der Industrie 4.0, in Smart Factories, Smart Buildings, Kritischen Infrastrukturen, Logistiksystemen, der Energieversorgung, dem Gesundheitswesen und vielen weiteren Wirtschaftszweigen zum Einsatz kommen, sollten besser gegen Cyberangriffe geschützt werden", empfiehlt Jan Wendenburg. Der Hintergrund: In den vernetzten Geräten, Maschinen und Anlagen verrichtet oftmals veraltete Software ihren Dienst, die nicht ausreichend gegen Cyberattacken gesichert ist.
Software in Geräten, Maschinen und Anlagen sollte regelmäßig aktualisiert werden
"Die in maschinellen Steuerungen und sonstigen Komponenten eingesetzten Programme sollten von den Herstellern kontinuierlich aktualisiert werden, um neu entdeckte Sicherheitslücken zu schließen", sagt der CEO von ONEKEY. Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungsmaschinen, Produktionsanlagen, Gebäudeautomatisierungssysteme, Heizungs- und Klimaanlagen, die teilweise mit veralteter Software Angriffsziele für Hacker darstellen. Die Studie "OT+ IoT Cybersecurity Report", für die mehr als 300 Industrieunternehmen befragt wurden, liefert Zahlen.
Jan Wendenburg rät der Industrie, bei der Beschaffung vernetzter Geräte und Maschinen eine gründliche Sicherheitsüberprüfung durchzuführen, um zu ermitteln, wie gut die Neuanschaffungen vor Hackerangriffen geschützt sind. Laut Umfrage wird eine solche Prüfung nur in 29 Prozent der Firmen vorgenommen. Weitere 30 Prozent geben an, sich mit oberflächlichen Tests oder Stichproben zufriedenzugeben. Über ein Viertel (26 Prozent) der Befragten konnte zu dieser Frage keine Auskunft geben. "Die Dunkelziffer veralteter Software in produzierenden Betrieben scheint offensichtlich hoch zu sein", meint Jan Wendenburg. Lediglich 28 Prozent der befragten Firmen haben laut Umfrage spezielle Compliance-Vorgaben für die Sicherheit von industriellen Steuerungssystemen oder Geräten im Bereich des Industrial Internet of Things.
Firmware sollte systematisch auf Cyberresilienz überprüft werden
Firmware, wie die in digitalen Steuerungssystemen, vernetzten Geräten, Maschinen und Anlagen eingebettete Software im Fachjargon genannt wird, sollte systematisch auf ihre Widerstandsfähigkeit gegen Cyberangriffe geprüft werden, empfiehlt ONEKEY-CEO Jan Wendenburg. Doch laut Bericht unterzieht weniger als ein Drittel (31 Prozent) der Unternehmen die in vernetzten Geräten integrierten Programme regelmäßig Sicherheitsprüfungen, um Schwachstellen und damit mögliche Angriffspunkte für Hacker zu erkennen und zu schließen. Fast die Hälfte (47 Prozent) führt nur gelegentlich Tests der Firmware durch oder lässt diese sogar vollständig wegfallen.
Eine lückenlose Software Bill of Materials ist die Ausnahme
Jan Wendenburg rät zu einer vollständigen Software Bill of Materials (SBOM), die einen umfassenden Überblick über alle verwendeten Programme liefert. Aus der Studie geht jedoch hervor, dass nur ein knappes Viertel (24 Prozent) der Industrieunternehmen eine lückenlose SBOM besitzt. Die Mehrheit der Firmen (51 Prozent) verfügt entweder über keine oder nur über eine lückenhafte Software-Stückliste. "Die Firmen sollten die Unklarheiten und Schwächen in ihren Software-Stücklisten zügig beheben", empfiehlt Jan Wendenburg. Er fügt hinzu: "Schon ein einziges veraltetes Programm in einer Maschine kann Hackern den Zugang zum Unternehmensnetzwerk eröffnen."
Der ONEKEY-Chef nennt ein Beispiel aus der Fertigung: "Über eine ungeschützte Firmware können Cyberkriminelle aus der Ferne die interne Konfiguration einer CNC-Maschine manipulieren und sowohl die Maschine selbst als auch Werkstücke beschädigen. Der Schaden an der Maschine kann irreparabel sein, eine ganze Produktionscharge wird möglicherweise unbrauchbar." Ebenso können Hacker über die Firmware in das Unternehmensnetzwerk eindringen und beispielsweise einen Ransomware-Angriff durchführen: Bei dieser Form des Angriffs werden geschäftskritische Datenbestände verschlüsselt und erst gegen Zahlung eines Lösegelds wieder freigegeben.
Prüfung von Lieferanten sollte verstärkt werden
Der unzureichende Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark lässt sich laut ONEKEY-Report darauf zurückführen, dass nur wenige Industrieunternehmen eine gründliche Überprüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter durchführen. Etwas über ein Drittel (34 Prozent) verwendet Fragebögen von Branchenverbänden, um die Cybersicherheit ihrer Zulieferer einzuschätzen. 31 Prozent stützen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11 Prozent) gibt an, über kein geregeltes Verfahren zu verfügen, um sicherzustellen, dass die für den Betrieb angeschafften Geräte, Maschinen und Anlagen ausreichend vor Cyberangriffen geschützt sind. "Jedes Industrieunternehmen sollte mit einer vollständigen Software Bill of Materials einen klaren Einblick in die Cyber-Risiken gewinnen - von der Produktion über die Logistik bis zur Gebäudeautomation", empfiehlt Jan Wendenburg.
Verantwortung liegt bei Herstellern und Anwendern
Die Verantwortung für veraltete Maschinensoftware tragen sowohl die Hersteller als auch die Anwender, hebt Jan Wendenburg hervor. Er verweist auf den Cyber Resilience Act (CRA) der EU, der ab dem 11. Dezember 2027 den Verkauf vernetzter Geräte mit bekannten Schwachstellen in der Europäischen Union untersagt. Zudem verpflichtet der CRA die Hersteller, die Firmware auch nach der Auslieferung zu überwachen und bei neu entdeckten Sicherheitslücken zeitnah aktualisierte Versionen bereitzustellen.
Die derzeitige Praxis liegt weit hinter den Anforderungen zurück, wie der "OT + IoT Cybersecurity Report" von ONEKEY zeigt. Aktuell erfüllen nur 28 Prozent der Unternehmen die ab 2027 vorgeschriebene Regelung und stellen regelmäßig aktuelle Software-Updates für vernetzte Geräte und Maschinen bereit, die an Kunden ausgeliefert werden. 30 Prozent setzen Updates nur sporadisch ein, während 17 Prozent gänzlich darauf verzichten.
"Die Hersteller sollten ihre Softwareentwicklung an die bald geltenden gesetzlichen Vorgaben anpassen", rät Jan Wendenburg. Er fügt hinzu: "Und es ist ebenso zu empfehlen, dass die Industrie von ihren Zulieferern verbindlich einfordert, die Cyberresilienz ihrer Produkte zu gewährleisten und dies auch nachzuweisen."
Besuchen Sie ONEKEY auf der Embedded World 2025
Erfahren Sie mehr über die ONEKEY Lösungen für OT- und IoT-Sicherheit auf der Embedded World 2025. ONEKEY ist mit einem Stand vertreten: Halle 5, Stand 5-376. Mehr Informationen finden Sie auf der Event-Seite: https://www.onekey.com...dworld2025
ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.
Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.
Der zum Patent angemeldete, integrierte Compliance Wizard(TM) deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.
Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.
International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.
Pressekontakt:
Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de
Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell