Industrie weiterhin anfällig für Cyberangriffe
Foto: Billion Photos - shutterstock.com
Der "OT+IoT Cybersecurity Report 2024" der Düsseldorfer Cybersicherheitsfirma Onekey offenbart, dass viele industrielle Steuerungen nicht ausreichend gegen HackerangriffeHackerangriffe geschützt sind. Der Bericht basiert auf einer Umfrage, die unter 300 Führungskräften der IndustrieIndustrie durchgeführt wurde. Hierbei fanden die Forscher heraus, dass Cybersicherheit bei vielen Herstellern von Geräten, Maschinen und Anlagen kaum Priorität hat. Alles zu Hacker auf CIO.de Top-Firmen der Branche Industrie
Lieferanten und Drittanbieter werden kaum geprüft
So haben viele Industriebetriebe keinen ausreichenden Überblick über die Software, die in ihren Maschinen und Anlagen zum Einsatz kommt. Der Grund: Nur selten müssen sie die eingebettete Software ihrer Lieferanten umfassend prüfen. Stattdessen:
nutzt ein Drittel der Unternehmen Fragebögen von Branchenverbänden,
verlassen sich 31 Prozent auf standardisierte Zertifizierungen, und
über 11 Prozent haben keinerlei systematisches Verfahren zur Überprüfung der Cybersicherheit ihrer Geräte.
Ohne Übersicht agieren Hacker ungeniert
Gleichzeitig stellt veraltete Software, so die Experten, in industriellen Steuerungen ein erhebliches Risiko für Cyberangriffe dar. Insbesondere Embedded-Software in vernetzten Geräten wie Maschinen und Anlagen, in denen solche Software verbaut ist, stellen große Schwächen dar.
Gleichzeitig führten laut der Umfrage nur 24 Prozent der Industrieunternehmen eine vollständige Software-Stückliste (Software Bill of Materials). Ähnlich wenige Firmen, so fanden die Forscher heraus, wissen , ob sie überhaupt solche Listen führen.
Typische betroffene Geräte sind Produktionsanlagen, CNC-Maschinen und Gebäudeautomatisierungssysteme. Mehr als die Hälfte der Unternehmen hat zudem entweder keine oder nur eine unvollständige Übersicht über ihre allgemein eingesetzte Software.
Immer Up-to-Date gegen Cyberangriffe
Ein solches Verhalten, so warnen die Experten, kann drastische Konsequenzen haben. Bereits ein veraltetes Programm in einer Maschine mache es Hackern möglich, Zugang zum Firmennetzwerk zu erhalten. Bei über 2.000 monatlich entdeckten Softwareschwachstellen ist es für Unternehmen, die ihre Software nicht regelmäßig überwachen, dabei nur eine Frage der Zeit, bis sie Opfer eines Cyberangriffs werden.
EU Cyber Resilience Act zwingt Hersteller ab 2027 zum Handeln
Wer bislang keine Notwendigkeit sieht, diese Missstände zügig zu beheben, den zwingt der EU Cyber Resilience Act (CRA) ab 2027 dazu. Er verpflichtet Hersteller von Geräten, Maschinen und Anlagen dazu , ihre Steuerungssysteme mit aktueller Software gegen Cyberangriffe zu schützen. Unternehmen, die Systeme mit bekannten Sicherheitslücken liefern oder Sicherheitsupdates verzögern, haften für Schäden durch Hackerangriffe.
Laut der Onekey-Umfrage halten momentan nur ein Drittel der Unternehmen ihre Software regelmäßig aktuell, während 28 Prozent automatisch nach Sicherheitslücken in ausgelieferten Geräten suchen.
Drei von zehn Unternehmen führen nur gelegentliche manuelle Prüfungen durch, und 31 Prozent warten auf das nächste geplante Release für Sicherheitsupdates - ein hohes Risiko laut den Experten. So bestehe die Gefahr, dass Hacker das Zeitfenster zwischen Entdeckung und Behebung von Schwachstellen ausnutzen.
Die Forscher konstatieren, dass es noch erheblichen Handlungsbedarf in der Cybersicherheit gib. Laut Studie
überprüfen 16 Prozent der befragten Unternehmen ihre Geräte nach der Auslieferung nicht auf Sicherheitslücken,
10 Prozent liefern keine Updates oder Sicherheitspatches, und
26 Prozent kennen die Update-Politik ihrer Geräte nicht.