Gravierende Mängel in der industriellen Cybersicherheit

© Pexels

Eine aktuelle Umfrage zeigt, dass weniger als die Hälfte der IT-Verantwortlichen in der deutschen Industrie die Cybersicherheit für ausreichend hält, wobei viele Compliance-Vorschriften nicht bekannt sind. Besonders in den Bereichen industrieller Steuerungen (OT) und IoT-Geräte wird das Bedrohungspotenzial oft unterschätzt, obwohl Hacker diese zunehmend als Einfallstor in Firmennetzwerke nutzen.

Weniger als ein Drittel (29 Prozent) sind eigenen Angaben zufolge mit den für ihre Branche relevanten Vorschriften und Standards zur Cybersicherheit wirklich vertraut; ein Viertel kennt diese gar nicht. Das sind Schlüsselergebnisse aus dem „OT+IoT Cybersecurity Report 2024“ des Düsseldorfer Cybersicherheitsunternehmens ONEKEY.

Für den Report zur Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) wurden im Frühjahr 2024 über 300 Industrieunternehmen befragt. Neben IT-Verantwortlichen kamen auch Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) zu Wort. Der Report erscheint im Oktober auf der ONEKEY-Website.

Identifikation der relevanten Compliance-Vorschriften

Das ernüchternde Ergebnis der Studie lässt sich wie folgt zusammenfassen: Obwohl sich die industrielle Digitalisierung seit Jahren beschleunigt und immer mehr Software in Steuerungssystemen verwendet wird, scheint das Bewusstsein für die damit verbundenen Cyberrisiken bei vielen Herstellern und Betreibern deutlich unterentwickelt. „Dies ist bereits heute eine konkrete Gefahr für Hersteller und damit alle Betreiber von industriellen Geräten und Infrastrukturen“, formuliert der CEO von ONEKEY, Jan Wendenburg.

Die Gründe erklärt er wie folgt: „Für viele Hersteller ist es schwierig die wirklich relevanten Compliance-Vorschriften zu identifizieren. International ist viel in Bewegung, der neue Cyber Resiliance Act in der EU, der PSTI in England, der Biden Act in USA und viele andere. Daher haben wir einen Compliance Wizard entwickelt, der in einer Kombination aus automatisierter Cyber-Sicherheitsprüfung und virtuellem Assistenten Unternehmen durch ein vereinfachtes Assessment der organisatorischen Compliance führt. Die daraus resultierende Dokumentation kann unmittelbar für die künftige Nachweispflicht in Cybersicherheitsfragen und zusätzliche Zertifizierungen genutzt werden.“

Industrielle Steuerungen und IoT-Geräte werden vernachlässigt

Bei herkömmlichen Cybersicherheitsanalysen stehen vor allem Computersysteme und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen sowie IoT-Geräte (Internet of Things) häufig weniger Beachtung finden, so die Ergebnisse des ONEKEY-Reports. Die Mehrheit der Befragten (51 Prozent) ist jedoch überzeugt, dass die Hackerszene schon einen Fokus auf den Missbrauch von Maschinen- und Anlagensteuerungen sowie IoT-Geräten gelegt hat. Sie vermuten, dass Cyberkriminelle diese bereits aktiv als Einfallstor in Firmennetzwerke nutzen. Ein weiteres knappes Viertel (23 Prozent) erwartet, dass sich künftig immer mehr Hacker bei ihren digitalen Beutezügen auf Industriesteuerungen und das Internet of Things konzentrieren werden.

„Somit gehen beinahe drei Viertel der kontaktierten Führungskräfte aus der Industrie davon aus, dass Hacker zunehmend industrielle Steuerungen und IoT-Geräte angreifen. Für die Hersteller dieser Steuerungen und Geräte ist es daher von höchster Dringlichkeit, ihre Produkte vor Cyberangriffen zu schützen“, mahnt ONEKEY-CEO Jan Wendenburg zur Eile.

Fast die Hälfte (46 Prozent) der Betroffenen kann die Frage, welche technischen Standards für die Cybersicherheit in Geräten, Maschinen und Anlagen von Bedeutung sind, nicht beantworten, ist dem „OT+IoT Cybersecurity Report 2024“ von ONEKEY zu entnehmen. Weniger als ein Viertel (23 Prozent) hält den neuen Cyber Resilience Act (CRA) der Europäischen Union für relevant, obwohl nach aktuellem Zeitplan ab 2027 in der Europäischen Union keine Geräte und Industriesteuerungen mehr verkauft werden dürfen, die nicht dem CRA entsprechen. 

„Angesichts von üblichen Entwicklungszeiten von mehr als zwei Jahren ist es verwunderlich, wie wenig Bewusstsein für die Bedeutung der neuen Regulatorik rund zwei, bzw. drei Jahre vor Inkrafttreten herrscht“, wundert sich Jan Wendenburg. Er führt aus: „Wenn Steuerungssysteme ab 2027 nicht den CRA-Anforderungen entsprechen, stellt das nicht nur die Hersteller von Geräten, Maschinen und Anlagen vor erhebliche Probleme, sondern auch die industriellen Anwender. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, die Cybersicherheit im OT- und IoT-Bereich zügig auf das gesetzlich geforderte Mindestmaß aufzurüsten.“

OT und IoT werden vernachlässigt

Die weit verbreitete Unkenntnis über Cybersicherheit im OT- und IoT-Bereich hängt laut Report damit zusammen, dass die meisten Unternehmen andere Unternehmensbereiche als stärker gefährdete Angriffsziele für Hacker einstufen und die industriellen Komponenten daher vernachlässigen. So halten 42 Prozent der für den „OT+IoT Cyber Security Report 2024“ befragten Führungskräfte die Zahlungs- und Finanzsysteme für besonders schützenswert vor Cyberangriffen.

39 Prozent (Mehrfachnennungen waren möglich) sehen die größte Gefahr in Angriffen auf Unternehmens­netzwerke und Rechenzentren. 36 Prozent glauben, dass es Hacker auf Kundendaten abgesehen haben. Gut ein Viertel (26 Prozent) befürchtet, dass die E-Mail-Kommunikation von Unbefugten abgefangen wird. Genau ein Viertel befürchtet den Abfluss von Geschäftsgeheimnissen und Patent­unterlagen. Gut ein Fünftel (22 Prozent) stuft Cloud-Dienste als ein Einfallstor für Hacker ein. Weitere besonders schützenswerte Bereiche sind laut Umfrage: personalisierte Arbeitsplatzsysteme (16 Prozent), Überwachungs- und Sicherheitssysteme (16 Prozent), kritische Infrastrukturen und Gesundheitsdaten (15 Prozent), Telekommunikations­anlagen (12 Prozent), Webapplikationen und Webseiten (9 Prozent) sowie Big Data und Systeme mit Künstlicher Intelligenz (8 Prozent).

In den Bereichen OT und IoT wird das Bedrohungspotenzial vergleichsweise gering eingestuft, ergab die Umfrage. Nur 11 Prozent der Befragten halten Produktions- und Lieferkettenmanagementsysteme für ein primäres Ziel von Cyberkriminellen. Nur 12 Prozent gehen von Hackerangriffen auf Geräte und Systeme aus dem Internet der Dinge aus. Produktionsanlagen und industrielle Steuerungen (OT-Systeme) hält nicht einmal ein Zehntel (9 Prozent) einer ernsthaften Gefahr durch Angreifer aus dem Internet ausgesetzt. Nur bei mobilen Anwendungen und Geräten wird das Risiko als noch geringer eingestuft (5 Prozent). 

Der ONEKEY-Chef appelliert an die Industrie, bei ihren Zulieferern auf die notwendige Cybersicherheit von Geräten, Maschinen und Anlagen zu drängen. Er erklärt: „Natürlich müssen die Hersteller sicherstellen, dass ihre Produkte CRA-konform sind. Aber ein Unternehmen, das keine CRA-konformen Produkte im Einsatz hat, ist ebenfalls nicht optimal aufgestellt. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, dem Thema Cybersicherheit über Computer und Netzwerke hinausgehend auch bei industriellen Steuerungssystemen und dem Industrial Internet of Things die Aufmerksamkeit zu widmen, die ihm gebührt.“

(pi)

Upcoming events