Ein Stückliste der Software, die in einem vernetzten Gerät verwendet wird, ist eigentlich essentiell, um dessen Sicherheit und Patchstand zu gewährleisten. Eine Studie hat nun aber gezeigt, dass solche Stücklisten der verwendeten Software (Software Bill of Materials, kurz SBOM) in der Industrie weiterhin die Ausnahme sind. Wird zum rechtlichen Problem, wenn 2027 der EU Cyber Resilience Act ab 2027 in Kraft tritt.
Anzeige
Software Bill of Materials (SBOM)
Eine Software Bill of Materials (SBOM) ist eine Stückliste aller Software-Komponenten in einem vernetzten Gerät. Diese Inventarisierung ist eigentlich essentiell, wenn man wissen will, welche Software in seinen Unternehmensgeräten eingesetzt wird. Das ist bei Bekannt-werden von Schwachstellen eigentlich lebenswichtig, um die betroffenen Geräte zu identifizieren.
Studie zeigt: Software-Stücklisten sind die Ausnahme
Die Düsseldorfer Cybersicherheitsfirma ONEKEY wollte genauer wissen, wie es um das Thema Software-Stücklisten in der deutschen Industrie steht. Dazu hat man eine Umfrage unter 300 Führungskräften aus der Industrie gemacht. Befragt wurden Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) und IT-Verantwortliche.
Das ernüchternde Ergebnis: Eine solche Software Bill of Materials (SBOM) stellt in der deutschen Industrie die Ausnahme dar, obgleich sie als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyberangriffe gilt.
Veraltete Software als Einfallstor für Angreifer
Laut Umfrage führt nicht einmal ein Viertel (24 Prozent) der Industrieunternehmen eine vollständige Software Bill of Materials. "Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art", sagt Jan Wendenburg, der CEO von ONEKEY.
Anzeige
"Das ist fatal", meint Wendenburg, "denn veraltete Software in industriellen Steuerungen ist ein immer beliebteres Einfallstor für Hacker." Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungsmaschinen, Produktionsanlagen, Gebäudeautomatisierungssysteme, Heizungs- und Klimaanlagen.
"Alle diese Systeme sind an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente steckt Software", verdeutlicht Jan Wendenburg die große Angriffsfläche, die Unternehmen Cyberkriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht up-to-date halten. Die Mehrheit der Unternehmen (51 Prozent) verfügt jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.
Software-Stücklisten mit vielen Lücken und Unsicherheiten
"Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten", formuliert Jan Wendenburg, und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen." Besonders erschreckend laut Report: Ein knappes Viertel der befragten Unternehmen ist sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.
"Das ist wie nachts auf der Autobahn fahren ohne Licht", verdeutlicht der ONEKEY-CEO das Gefahrenpotenzial und resümiert: "Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Softwareschwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyberattacke wird, sondern nur wann und mit welchen Folgen."
Lieferanten und Drittanbieter werden kaum geprüft
Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornehmen.
- Gut ein Drittel (34 Prozent) verwenden Fragebögen von Branchenverbänden wie dem VDMA, um die Cybersicherheitslage ihrer Lieferanten einschätzen zu können.
- 31 Prozent verlassen sich auf standardisierte Bewertungen und Zertifizierungen.
- Mehr als ein Zehntel (11 Prozent) verfügt eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyberangriffe geschützt sind.
"Wir raten jedem Industrieunternehmen, sich mit einer Software Bill of Materials einen Überblick über die Cyberrisiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden", mahnt Jan Wendenburg zur Eile.
Er gibt zu bedenken: "Eine moderne Analyse Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den Shopfloor Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist."
EU Cyber Resilience Act tritt ab 2027 in Kraft
Der ONEKEY-Chef weist darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den EU Cyber Resilience Act (CRA) gesetzlich verpflichtet sind, ihre Steuerungssysteme mit aktueller Software gegen Cyberangriffe zu schützen.
"Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten", appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf die neue CRA-Gesetzgebung einzustellen.
Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen ist bereits heute auf dem neuesten Stand: Sie aktualisieren ihre Software, sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht.
- Immerhin 28 Prozent prüfen automatisch, ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen.
- 30 Prozent begnügen sich mit gelegentlichen manuellen Überprüfungen.
- 31 Prozent verzichten auf einen Sicherheitspatch zwischendurch und warten auf das nächste geplante Release, mit dem das Einfallstor für Hacker geschlossen wird.
"Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyberkriminellen ausgenutzt", warnt Jan Wendenburg. Es bleibt insgesamt aber noch viel zu tun:
- So überprüfen 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken.
- 10 Prozent liefern keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten sind sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.
Die Studie OT+IoT Cybersecurity Report 2024 über die Cyberresilienz von industriellen Steuerungen (Operational Technology, OT) und Geräten für das Internet der Dinge (Internet of Things, IoT) erscheint im Oktober 2024 auf der ONEKEY-Website (Link liegt mir noch nicht vor).
Anzeige
"Alle diese Systeme sind an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente steckt Software"
Wohl nur in größeren Firmen.
In Klein- und mittelständischen Unternehmen ist das eher die Ausnahme.
I.d.R. sind da z.B. die CNC-Steuerungen autark.
Wenn ich da z.B. in meiner Firma schaue:
Die Heizungs- und Lüftungstechnik ist nicht einmal netzwerkfähig.
Warum auch?
Das wird einmal eingestellt und dann jahrelang nicht mehr angefasst.
Und bei einer CNC-Steuerung müsste es erst einmal Updates vom Hersteller der CNC-Steuerung geben. Das ist aber i.d.R. nicht der Fall.
Da läuft zwar oft Windows Embedded oder iOt als Unterbau, und man könnte das manuell patchen, aber wer garantiert dann, das die CNC-Steuerungssoftware noch läuft?
Und i.d.R. kommt man auch gar nicht auf die Windows-Oberfläche, kann da also auch gar nicht nachschauen, was für Komponenten installiert sind.
Und selbst wenn man es könnte: Wer garantiert, das diese Komponenten nicht vom Hersteller der CNC-Steuerung angepasst oder verändert wurden?
Patchmanagement findet bei Industriesystemen oftmals gar nicht statt.
Es gibt schlicht keine Patches von den Herstellern der Systeme. Und solche Systeme laufen oft 20-30 Jahre.
Wir haben z.B. CNC-Maschinen, da ist die Steuerungssoftware noch propretiär, kein Linux- oder Windows-Unterbau. Warum die Maschinen tauschen, wenn deren Produktivität und Genauigkeit immer noch auf der Höhe der Zeit ist?
So eine SBOM ist also oft gar nicht erstellbar, weil es keine Infos seitens der Hersteller gibt. Und selbst wenn: Bei alten Maschinen ist es oft unmöglich, Patches bereit zu stellen, weil der Unterbau schlicht zu alt ist.
Bei 20 Jahre alten Maschinen wird bei der CNC-Steuerung oft noch Windows 2000 oder XP zu finden sein. Dafür gibt es seit Ewigkeiten keine Patches mehr.
Das CRA kann also nur für rel. neue Systeme überhaupt angewendet werden.
Ein Steuerungssoftwarehersteller wird sicher nicht die komplette Software austauschen. Und selbst wenn er wollte: Die Hardware lässt das oft nicht zu, da leistungsmäßig zu schwach.
Genau so ist es. Unser altes Blechzentrum der Firma Trumpf, welche letztes Jahr noch in Betrieb war, basierte auf einem Rechner mit NT4.0 als Betriebssystem. Die nagelneue Stanz- und Laserkombimaschine kommt mit einem frischen Windows 7 als Grundlage für die Steuerung daher. Die Maschine kostet knapp eine Million Euro. Die wirft man nicht weg, weil es keine Patches mehr gibt.
Eine weitere neue Maschine zum Bin-Packing verwendet Ubuntu 24.04 LTS auf dem Steuerungsrechner. Nun könnte man meinen: Super, dann gibt es ja zumindest bis 2029 Updates. Nein, die Installation von Updates ist ausdrücklich vom Hersteller untersagt, da die korrekte Funktion der Anlage nicht sichergestellt werden kann.
Das Installieren von Updates stellt eine Veränderung der Maschine dar und mit der Veränderung habe ich keine CE mehr. Entsprechend würde es einer neuen Risikobewertung nach Maschinenrichtlinie bedürfen, um erneute CE-Konformität zu erzielen. Mal ganz ehrlich: Wer macht sowas und betreibt derartigen Aufwand? Vermutlich niemand.
Entsprechend kapselt man die Maschinen ab und sperrt jede in ein eigenes VLAN. Zugriffsmöglichkeiten werden so weit wie eben möglich auf das gerade Notwendige eingeschränkt. Zum Beispiel das ein Blechzentrum eben per Netzwerk mit Programmen versorgt und programmiert werden kann.
Onekey wirbt mit Zyxel. Od die wohl deshalb soviele Vulnerabilities in ihrer ranzigen Software haben?