Düsseldorf (ots)
Die Europäische Cybersicherheitsbehörde ENISA hat Software Supply-Chain-Angriffe als die größte Bedrohung identifiziert. Dies erfordert dringende Maßnahmen, besonders im Bereich der industriellen IT- und OT-Systeme. Seit 2020 hat sich die Anzahl solcher Vorfälle in der EU mehr als verdoppelt.
Die deutsche Industrie sieht sich ebenfalls zunehmend mit Cyberattacken auf Softwarelieferketten konfrontiert, insbesondere bei modernen Systemen, sogenannten Embedded Systems. Diese Angriffe erfolgen gezielt über externe Softwarekomponenten, Bibliotheken oder Firmware-Updates. Das Düsseldorfer Cybersicherheitsunternehmen ONEKEY weist darauf hin, dass sie eine Plattform namens Product Cybersecurity & Compliance Platform (OCP) betreiben, die automatisierte Prüfungen von Software in Embedded Systems auf Schadcode und Sicherheitslücken durchführt. Diese Form der digitalen Kriminalität nutzt Sicherheitsanfälligkeiten bei Zulieferern und Dienstleistern aus, um Unternehmen in der Lieferkette und sogar Endkunden zu attackieren. Besonders betroffen sind industrielle Anlagen, Steuerungssysteme (OT-Systeme), IoT-Komponenten sowie weitere eingebettete Systeme, die oft eine lange Lebensdauer haben und selten sicherheitsrelevant überprüft oder aktualisiert werden. „Es ist höchste Zeit zu handeln“, erklärt der CEO von ONEKEY, Jan Wendenburg. „Cybersecurity muss die gesamte Wertschöpfungskette einbeziehen, um wirksam zu sein.“
Die Marktforschungsfirma Cybersecurity Ventures schätzt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten jährlichen Schaden weltweit auf 80 Milliarden Dollar. „Die komplexen globalen Lieferketten verschärfen das Problem“, sagt Jan Wendenburg und verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), der besagt, dass zwei Drittel der Unternehmen in der EU mindestens einmal von kompromittierten Zulieferern betroffen waren. ENISA stuft Supply-Chain-Angriffe als eine der fünf größten Bedrohungen für industrielle IT- und OT-Systeme ein und hebt sie im „ENISA Foresight 2023 Report“ als die größte Cybersecurity-Gefahr hervor.
Jedes Vorprodukt stellt ein potenzielles Risiko dar
Die deutsche Wirtschaft ist traditionell stark international ausgerichtet. Der Wert der importierten Vorprodukte, die in der deutschen Industrie aus aller Welt bezogen und verarbeitet werden, beläuft sich auf etwa 370 Milliarden Dollar. Diese sogenannten „Intermediate Goods“ sind zentral für die Produktion in Deutschland. „Jede Softwarekomponente und jedes mit digitaler Technologie ausgestattete Vorprodukt kann ein potenzielles Risiko darstellen“, beschreibt Jan Wendenburg die Situation.
Das Gefährdungspotenzial von Supply-Chain-Angriffen besteht darin, dass nicht nur das betreffende Unternehmen mit Schadsoftware infiltriert werden kann, sondern diese auch über Produkte an die Kunden weitergegeben wird. Ein Beispiel wäre, wenn ein Maschinenbauer Anlagen mit industriellen Steuerungen an seine Kunden verkauft, die bösartige Programme beinhalten. Der schädliche Code kann entweder als Teil der Software in die Produktentwicklung einfließen oder als integraler Bestandteil eines Vorprodukts, das im Endprodukt verbaut ist.
Wachsender Bedarf an Sicherheitsprüfungen
„Dieser Trend ist besorgniserregend, da die Lieferketten der deutschen Industrie eng miteinander verknüpft sind und ein einzelner Angriff erhebliche Folgen haben kann“, warnt Jan Wendenburg. „Daher sollten Embedded Systems, die in der Steuerungstechnik, Automatisierung oder IoT-Geräten genutzt werden, einer umfassenden Prüfung auf Cybersecurity-Mängel unterzogen werden.“ Dies gilt für alle Komponenten, unabhängig davon, ob sie intern oder von Zulieferern stammen.
ONEKEY verzeichnet derzeit eine „deutlich steigende Nachfrage“ nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (RTOS), die typischerweise in Embedded Systems eingesetzt werden. Vor einigen Monaten hat das Düsseldorfer Unternehmen seine Product Cybersecurity & Compliance Platform (OCP) weiterentwickelt, um auch RTOS-Firmware auf Schwachstellen überprüfen zu können. Dies galt zuvor als schwierig, besonders bei sogenannten monolithischen Binärdateien, die in verbreiteten Echtzeit-Betriebssystemen wie FreeRTOS, Zephyr OS, ThreadX und anderen verwendet werden.
Open Source und der Log4Shell-Vorfall
Open-Source-Komponenten, die in etwa 80 Prozent aller Firmware-Stacks für Embedded Systems vorkommen, gelten als kritische Angriffspunkte in der Lieferkette. Sicherheitsanfälligkeiten in weit verbreiteten Bibliotheken wie uClibc, BusyBox oder OpenSSL können zahlreiche Systeme gleichzeitig betreffen. Der Log4Shell-Vorfall im Jahr 2021 – eine Schwachstelle in der häufig genutzten Java-Bibliothek Log4j – hat verdeutlicht, wie gefährlich unsichere Software-Komponenten sein können, selbst wenn sie nur in einem Subsystem eingesetzt werden. Diese Sicherheitslücke wird als eine der gravierendsten der letzten Jahrzehnte angesehen, da sie Bestandteil von Millionen Java-Anwendungen war, darunter auch zehntausende OT- und IoT-Systeme.
„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die langjährige Nutzung von Embedded Systems machen Supply-Chain-Angriffe zu einer stets wachsenden Bedrohung“, sagt Jan Wendenburg. Er verweist auf Prognosen der Gartner Group, die besagen, dass bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall in der Lieferkette erleben werden, der ihre Betriebsfähigkeit gefährdet.
Risiken für Produktion, Reputation und Lieferfähigkeit
„Die immer stärkere Integration von Industrial IoT-Systemen und Robotik, bis hin zu autonomen Produktionslinien, öffnet geradezu Tür und Tor für Angriffsmöglichkeiten aus der Lieferkette“, warnt Jan Wendenburg. Er appelliert an die Unternehmensleitungen: „Es ist höchste Zeit, Software für Embedded Systeme, unabhängig von ihrer Herkunft, systematisch vor dem Einsatz und kontinuierlich zu prüfen. Wer dies versäumt, gefährdet nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit.“
Hinzu kommt der rechtliche Aspekt: Die Radio Equipment Directive EN18031 sowie der EU Cyber Resilience Act (CRA) und andere gesetzliche Anforderungen verpflichten Hersteller zur Verantwortung für die Cybersicherheit vernetzter Geräte und Systeme. Die Product Cybersecurity & Compliance Platform (OCP) von ONEKEY bietet mithilfe des Compliance Wizards eine automatisierte Überprüfung der Konformität zum CRA und anderen sicherheitsrelevanten Normen. Dies erleichtert die Vorbereitung auf Audits und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.
ONEKEY ist der führende Spezialist für Product Cybersecurity & Compliance Management in Europa und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Beratungsdiensten ermöglicht eine schnelle und umfassende Analyse, Unterstützung und Verwaltung zur Verbesserung der Produktcybersicherheit und Compliance bei Einkauf, Design, Entwicklung, Produktion und bis zum Ende des Produktlebenszyklus.
Kritische Sicherheitsanfälligkeiten und Compliance-Verstöße in der Gerätesoftware werden durch die KI-unterstützte Technologie innerhalb weniger Minuten automatisiert im Binärcode identifiziert – ohne Zugriff auf Quellcode, Geräte oder Netzwerke. Durch die integrierte Erstellung von „Software Bill of Materials (SBOM)“ können Software-Lieferketten proaktiv überwacht werden. „Digitale Cyber-Zwillinge“ ermöglichen die automatisierte 24/7-Überwachung der Cybersicherheit auch nach der Markteinführung über den gesamten Lebenszyklus des Produkts.
Der zum Patent angemeldete und integrierte Compliance Wizard(TM) erfüllt bereits heute die Anforderungen des EU Cyber Resilience Act (CRA) und die Normen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen weiteren.
Das Product-Security-Incident-Response-Team (PSIRT) erhält durch die integrierte, automatische Priorisierung von Schwachstellen effektive Unterstützung, was die Zeit bis zur Fehlerbehebung erheblich verkürzt.
Unternehmen führender Marken aus Asien, Europa und Nordamerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den Cybersecurity-Experten von ONEKEY.
Pressekontakt:
Für weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: www.onekey.com
PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de