PRESSEPORTAL Presseportal Logo

mehr Themen

Die Presseportal-AppGoogle PlayApp Store
Alle Storys
Folgen
Keine Story von ONEKEY GmbH mehr verpassen.
Warum muss ich meine Email-Adresse eingeben?

ONEKEY GmbH

TOP 1 Cybergefahr: Software Supply-Chain-Angriffe in der Industrie

Düsseldorf (ots)

Die Europäische Cybersicherheitsbehörde ENISA hat Software Supply-Chain-Angriffe zu der größten Bedrohung erklärt. Damit besteht akuter Handlungsbedarf auch für industrielle IT- und OT-Systeme. Die Zahl der Vorfälle zu Software-Lieferketten hat sich in der EU seit 2020 mehr als verdoppelt.

Auch die deutsche Industrie sieht sich zunehmend mit Software-Supply-Chain-Cyberattacken auf smarte Systeme, sogenannte Embedded Systems, konfrontiert. Dies sind Angriffe, die gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust werden. Darauf weist das Düsseldorfer Cybersicherheitsunternehmen ONEKEY hin, das unter dem Namen Product Cybersecurity & Compliance Platform (OCP) eine Plattform zur automatisierten Überprüfung von Software in Embedded Systems auf Schadcode oder Schwachstellen betreibt. Diese Form der Cyberkriminalität nutzt Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder gar den Endkunden anzugreifen. Besonders betroffen sind Industrieanlagen, Maschinensteuerungen (OT-Systeme, Operational Technology), IoT-Komponenten (Internet of Things) und andere eingebettete Systeme, die meist langjährige Betriebszyklen haben und selten sicherheitskritisch untersucht, überwacht und aktualisiert werden. "Hier besteht akuter Handlungsbedarf", wendet sich der CEO von ONEKEY, Jan Wendenburg, an die Industrie. Er erklärt: "Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein."

Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. "Die Komplexität globaler Lieferketten verschärft das Problem", sagt Jan Wendenburg. Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren. Laut ENISA gehören Supply-Chain-Angriffe zu den Top-5-Bedrohungen für industrielle IT- und OT-Systeme und werden im "ENISA Foresight 2023 Report" als die TOP-1 Cybersecurity Gefahr herausgestellt.

Jedes Vorprodukt stellt eine potenzielle Gefahr dar

Die deutsche Wirtschaft ist traditionell stark internationalisiert. Der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen und in ihre Produkte eingebaut werden, liegt in der Größenordnung von 370 Milliarden Dollar. Diese Importe von sogenannten "intermediate goods" sind von zentraler Bedeutung für die Produktion in Deutschland. "Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar", umreißt Jan Wendenburg die Dimension der Bedrohung.

Dabei besteht das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert wird, sondern diese über Produktauslieferungen an Kunden weitergegeben wird. So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, die ein Schadprogramm in sich tragen. Dabei kann der bösartige Code über zwei Wege aus der Lieferkette kommen: entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.

Steigende Nachfrage nach Sicherheitsüberprüfungen

"Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann", erklärt Jan Wendenburg. Er sagt: "Daher sollten Embedded Systems, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden." Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.

Nach seinen Angaben erfährt ONEKEY derzeit eine "stark steigende Nachfrage" nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (Real-Time Operating Systems, RTOS), wie sie in Embedded Systems typischerweise zum Einsatz kommen. Das Düsseldorfer Sicherheitsunternehmen hatte erst vor wenigen Monaten seine Product Cybersecurity & Compliance Platform (OCP) weiterentwickelt, so dass diese auch RTOS-Firmware auf Schwachstellen und Sicherheitslücken überprüfen kann. Dies galt zuvor in der Branche als schwierig bis unmöglich, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei marktgängigen Echtzeit-Betriebssystemen wie etwa FreeRTOS, Zephyr OS, ThreadX und anderen im Einsatz sind.

Open Source und der Fall Log4Shell

Als ein besonders kritisches Einfallstor in der Lieferkette gelten Open-Source-Komponenten, die in rund 80 Prozent aller Firmware-Stacks für Embedded Systems enthalten sind. Sicherheitslücken in weitverbreiteten Bibliotheken wie uClibc, BusyBox oder OpenSSL können eine Vielzahl von Systemen gleichzeitig betreffen. Der Fall Log4Shell im Jahr 2021 - eine Schwachstelle in der weitverbreiteten Java-Bibliothek Log4j - hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der Log4Shell-Fall gilt als einer der gravierendsten Sicherheitslücken der letzten Jahrzehnte, weil die Software Bestandteil von Millionen Java-Anwendungen ist, darunter auch zehntausende OT- und IoT-Systeme.

"Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von Embedded Systems lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden", sagt Jan Wendenburg. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleiden werden, der ihre Betriebsfähigkeit beeinträchtigt.

Es steht viel auf dem Spiel: Produktion, Reputation, Lieferfähigkeit

"Die immer stärkere Integration von Industrial IoT-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette", erklärt Jan Wendenburg. Er appelliert an die Unternehmensführungen: "Es ist höchste Zeit, Software für Embedded Systeme, unabhängig ob aus eigenem Haus oder von Lieferanten systematisch vor dem Einsatz und laufend zu überprüfen. Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel."

Hinzu kommt der rechtliche Aspekt: Die Radio Equipment Directive EN18031 und der EU Cyber Resilience Act (CRA) und andere gesetzliche Vorgaben schreiben die Verantwortung der Hersteller für die Cybersicherheit vernetzter Geräte, Maschinen und Anlagen zwingend vor. Die Product Cybersecurity & Compliance Platform (OCP) von ONEKEY ermögliche mit dem Compliance Wizard eine automatisierte Überprüfung der Konformität zum CRA und weiteren cybersicherheitsrelevanten Normen. Dies erleichtert die Vorbereitung auf Audits erheblich und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.

ONEKEY ist Europas führender Spezialist für Product Cybersecurity & Compliance Management und Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Consulting Services bietet schnelle und umfassende Analyse, Unterstützung und Management zur Verbesserung der Produkt Cybersecurity und Compliance vom Produkt Einkauf, Design, Entwicklung, Produktion bis zum End-of-Life.

Kritische Sicherheitslücken und Compliance-Verstöße in der Geräte-Firmware werden durch die KI-basierte Technologie innerhalb von Minuten vollautomatisch im Binärcode identifiziert - ohne Quellcode, Geräte- oder Netzwerkzugriff. Durch die integrierte Erstellung von "Software Bill of Materials (SBOM)" können Software-Lieferketten proaktiv überprüft werden. "Digital Cyber Twins" ermöglichen die automatisierte 24/7 Überwachung der Cybersicherheit auch nach dem Release über den gesamten Produktlebenszyklus.

Der zum Patent angemeldete, integrierte Compliance Wizard(TM) deckt bereits heute den EU Cyber Resilience Act (CRA) und Anforderungen nach IEC 62443-4-2, ETSI EN 303 645, UNECE R1 55 und vielen anderen ab.

Das Product-Security-Incident-Response-Team (PSIRT) wird durch die integrierte, automatische Priorisierung von Schwachstellen effektiv unterstützt und die Zeit bis zur Fehlerbehebung deutlich verkürzt.

International führende Unternehmen in Asien, Europa und Amerika profitieren bereits erfolgreich von der ONEKEY Product Cybersecurity & Compliance Platform (OCP) und den ONEKEY Cybersecurity Experten.

Pressekontakt:

Weitere Informationen: ONEKEY GmbH,
Sara Fortmann, E-Mail: sara.fortmann@onekey.com,
Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland,
Web: www.onekey.com

PR-Agentur: euromarcom public relations GmbH,
Mühlhohle 2, 65205 Wiesbaden, Deutschland,
E-Mail: team@euromarcom.de, Web: www.euromarcom.de

Original-Content von: ONEKEY GmbH, übermittelt durch news aktuell

Alle Storys
Folgen
Keine Story von ONEKEY GmbH mehr verpassen.
Warum muss ich meine Email-Adresse eingeben?
  • Druckversion
  • PDF-Version
Orte in dieser Story
Themen in dieser Story
Weitere Storys: ONEKEY GmbH
Weitere Storys: ONEKEY GmbH
Alle Storys Alle
Das könnte Sie auch interessieren
Das könnte Sie auch interessieren