Dringende Schutzmaßnahmen gegen Mängel in der industriellen Cybersicherheit gefordert

Düsseldorf, Starnberg, 15. Okt. 2024 - ONEKEY-Studie: aktuelle Maßnahmen gegen Cyberangriffe sind unzureichend; relevante Standards und Vorschriften oft nicht bekannt…

Zum Beitrag: Fast die Hälfte der Befragten hält die aktuellen Schutzmaßnahmen der Wirtschaft vor Cyberangriffen für unzureichend und fast ein Drittel kennt die relevanten Standards und Vorschriften nicht… Bei einer aktuellen Befragung von IT-Verantwortlichen aus der deutschen Industrie zeigte sich nicht einmal die Hälfte (46 Prozent) davon überzeugt, dass die Wirtschaft ausreichend vor Cyberangriffen geschützt ist. Weniger als ein Drittel (29 Prozent) sind eigenen Angaben zufolge mit den für ihre Branche relevanten Vorschriften und Standards zur Cybersicherheit wirklich vertraut; ein Viertel kennt diese gar nicht. (1) Das sind Schlüsselergebnisse aus dem „OT+IoT Cybersecurity Report 2024“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY.

 

Für den Report zur Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) wurden im Frühjahr 2024 mehr als 300 Industrieunternehmen befragt. Neben IT-Verantwortlichen kamen auch Chief Executive Officers, Chief Information Officers, Chief Information Security Officers und Chief Technology Officers zu Wort. Das Ergebnis der Studie lässt sich wie folgt zusammenfassen:

 

Obwohl sich die industrielle Digitalisierung seit Jahren beschleunigt und immer mehr Software in Steuerungssystemen verwendet wird, scheint das Bewusstsein für die damit verbundenen Cyberrisiken bei vielen Herstellern und Betreibern deutlich unterentwickelt. Dazu auch der CEO von ONEKEY, Jan Wendenburg: „Für viele Hersteller ist es schwierig die wirklich relevanten Compliance-Vorschriften zu identifizieren. International ist viel in Bewegung, der neue Cyber Resiliance Act in der EU, der PSTI in England, der Biden Act in USA und viele andere. Daher haben wir einen Compliance Wizard entwickelt, der in einer Kombination aus automatisierter Cyber-Sicherheitsprüfung und virtuellem Assistenten Unternehmen durch ein vereinfachtes Assessment der organisatorischen Compliance führt. Die daraus resultierende Dokumentation kann unmittelbar für die künftige Nachweispflicht in Cybersicherheitsfragen und zusätzliche Zertifizierungen genutzt werden.“

 

Industrielle Steuerungen und IoT-Geräte werden vernachlässigt

Bei herkömmlichen Cybersicherheitsanalysen stehen vor allem Computersysteme und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen sowie IoT-Geräte (Internet of Things) häufig weniger Beachtung finden, so die Ergebnisse des Reports. Die Mehrheit der Befragten (51 Prozent) ist jedoch überzeugt, dass die Hackerszene schon einen Fokus auf den Missbrauch von Maschinen- und Anlagensteuerungen sowie IoT-Geräten gelegt hat. Sie vermuten, dass Cyberkriminelle diese bereits aktiv als Einfallstor in Firmennetzwerke nutzen. Ein weiteres knappes Viertel (23 Prozent) erwartet, dass sich künftig immer mehr Hacker bei ihren digitalen Beutezügen auf Industriesteuerungen und das Internet of Things konzentrieren werden.

Fast die Hälfte (46 Prozent) der Betroffenen kann die Frage, welche technischen Standards für die Cybersicherheit in Geräten, Maschinen und Anlagen von Bedeutung sind, nicht beantworten, ist dem „OT+IoT Cybersecurity Report 2024“ von ONEKEY zu entnehmen. Weniger als ein Viertel (23 Prozent) hält den neuen Cyber Resilience Act (CRA) der Europäischen Union für relevant, obwohl nach aktuellem Zeitplan ab 2027 in der Europäischen Union keine Geräte und Industriesteuerungen mehr verkauft werden dürfen, die nicht dem CRA entsprechen.

 

OT und IoT laut Report vernachlässigt

Die weit verbreitete Unkenntnis über Cybersicherheit im OT- und IoT-Bereich hängt laut dem Bericht damit zusammen, dass die meisten Unternehmen andere Unternehmensbereiche als stärker gefährdete Angriffsziele für Hacker einstufen und industrielle Komponenten daher vernachlässigen. So halten 42 Prozent der für den „OT+IoT Cyber Security Report 2024“ befragten Führungskräfte die Zahlungs- und Finanzsysteme für besonders schützenswert vor Cyberangriffen. 39 Prozent (Mehrfachnennungen waren möglich) sehen die größte Gefahr in Angriffen auf Unternehmens­netzwerke und Rechenzentren. 36 Prozent glauben, dass es Hacker auf Kundendaten abgesehen haben.

Gut ein Viertel (26 Prozent) befürchtet, dass die E-Mail-Kommunikation von Unbefugten abgefangen wird. Genau ein Viertel befürchtet den Abfluss von Geschäftsgeheimnissen und Patent­unterlagen. Gut ein Fünftel (22 Prozent) stuft Cloud-Dienste als ein Einfallstor für Hacker ein.

Weitere besonders schützenswerte Bereiche sind laut Umfrage: personalisierte Arbeitsplatzsysteme (16 Prozent), Überwachungs- und Sicherheitssysteme (16 Prozent), kritische Infrastrukturen und Gesundheitsdaten (15 Prozent), Telekommunikations­anlagen (12 Prozent), Webapplikationen und Webseiten (9 Prozent) sowie Big Data und Systeme mit Künstlicher Intelligenz (8 Prozent).

In den Bereichen OT und IoT wird das Bedrohungspotenzial vergleichsweise gering eingestuft, ergab die Umfrage. Nur 11 Prozent der Befragten halten Produktions- und Lieferketten-Managementsysteme für ein primäres Ziel von Cyberkriminellen. Nur 12 Prozent gehen von Hackerangriffen auf Geräte und Systeme aus dem Internet der Dinge aus. Produktionsanlagen und industrielle Steuerungen (OT-Systeme) hält nicht einmal ein Zehntel (9 Prozent) einer ernsthaften Gefahr durch Angreifer aus dem Internet ausgesetzt. Nur bei mobilen Anwendungen und Geräten wird das Risiko als noch geringer eingestuft (5 Prozent).

ONEKEY appelliert dehalb an die Industrie, bei ihren Zulieferern auf die notwendige Cybersicherheit von Geräten, Maschinen und Anlagen zu drängen. Dazu CEO Wendenburg: „Natürlich müssen die Hersteller sicherstellen, dass ihre Produkte CRA-konform sind. Aber ein Unternehmen, das keine CRA-konformen Produkte im Einsatz hat, ist ebenfalls nicht optimal aufgestellt. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, dem Thema Cybersicherheit über Computer und Netzwerke hinausgehend auch bei industriellen Steuerungssystemen und dem Industrial Internet of Things die Aufmerksamkeit zu widmen, die ihm gebührt.“



(1) ONEKEY ist Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Hier ein Auszug zu den Leistungsmerkmalen des Anbieters (Quelle/ONEKEY): „Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. „Digital Cyber Twins“ ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus. Der zum Patent angemeldete, integrierte Compliance Wizard™ deckt bereits heute den kommenden EU Cyber Resilience Act (CRA) und bestehende Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und anderen ab…“. Extener Link > https://www.onekey.com/

 

Querverweis:

Unser Blogpost > Funktionen zum Aufbau cyberresistenter Speicherinfrastrukturen für den Applikationsbetrieb

Unser Beitrag > Edge Computing: verbesserte Datensicherheit und Datenschutz mit Kubernetes und Container

In unserem Experten-Podcast nachgefragt > Intelligente Dateninfrastrukturen zur IT-Infrastruktur-Modernisierung am Beispiel NetApp