![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Ein St\u00fcckliste der Software, die in einem vernetzten Ger\u00e4t verwendet wird, ist eigentlich essentiell, um dessen Sicherheit und Patchstand zu gew\u00e4hrleisten. Eine Studie hat nun aber gezeigt, dass solche St\u00fccklisten der verwendeten Software (Software Bill of Materials, kurz SBOM) in der Industrie weiterhin die Ausnahme sind. Wird zum rechtlichen Problem, wenn 2027 der EU Cyber Resilience Act ab 2027 in Kraft tritt.<\/p>\n
<\/p>\n
Eine Software Bill of Materials (SBOM) ist eine St\u00fcckliste aller Software-Komponenten in einem vernetzten Ger\u00e4t. Diese Inventarisierung ist eigentlich essentiell, wenn man wissen will, welche Software in seinen Unternehmensger\u00e4ten eingesetzt wird. Das ist bei Bekannt-werden von Schwachstellen eigentlich lebenswichtig, um die betroffenen Ger\u00e4te zu identifizieren.<\/p>\n
Die D\u00fcsseldorfer Cyber\u00adsicherheits\u00adfirma ONEKEY<\/a> wollte genauer wissen, wie es um das Thema Software-St\u00fccklisten in der deutschen Industrie steht. Dazu hat man eine Umfrage unter 300 F\u00fchrungskr\u00e4ften aus der Industrie gemacht. Befragt wurden Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) und IT-Verantwortliche.<\/p>\n Das ern\u00fcchternde Ergebnis: Eine solche Software Bill of Materials (SBOM) stellt in der deutschen Industrie die Ausnahme dar, obgleich sie als unverzichtbare Voraussetzung f\u00fcr einen wirksamen Schutz gegen Cyberangriffe gilt.<\/p>\n Laut Umfrage f\u00fchrt nicht einmal ein Viertel (24 Prozent) der Industrieunternehmen eine vollst\u00e4ndige Software Bill of Materials. \"W\u00e4hrend Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt h\u00e4ufig der \u00dcberblick \u00fcber die eingebettete Software in zahllosen Ger\u00e4ten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art\", sagt Jan Wendenburg, der CEO von ONEKEY.<\/p>\n \"Das ist fatal\", meint Wendenburg, \"denn veraltete Software in industriellen Steuerungen ist ein immer beliebteres Einfallstor f\u00fcr Hacker.\" Als typische Beispiele nennt er Fertigungsroboter, CNC-Maschinen, F\u00f6rderb\u00e4nder, Verpackungs\u00admaschinen, Produktionsanlagen, Geb\u00e4ude\u00adautomatisierungs\u00adsysteme, Heizungs- und Klimaanlagen.<\/p>\n \"Alle diese Systeme sind an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente steckt Software\", verdeutlicht Jan Wendenburg die gro\u00dfe Angriffsfl\u00e4che, die Unternehmen Cyberkriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht up-to-date halten. Die Mehrheit der Unternehmen (51 Prozent) verf\u00fcgt jedoch entweder \u00fcber gar keine oder bestenfalls \u00fcber eine unvollst\u00e4ndige Software-St\u00fcckliste.<\/p>\n \"Die Software-St\u00fccklisten vernetzter Ger\u00e4te in vielen Firmen haben viele L\u00fccken und Unsicherheiten\", formuliert Jan Wendenburg, und gibt zu bedenken: \u201eEin einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu erm\u00f6glichen.\" Besonders erschreckend laut Report: Ein knappes Viertel der befragten Unternehmen ist sich nicht einmal dar\u00fcber im Klaren, ob und wo \u00fcberhaupt Software-St\u00fccklisten bestehen.<\/p>\n \"Das ist wie nachts auf der Autobahn fahren ohne Licht\", verdeutlicht der ONEKEY-CEO das Gefahrenpotenzial und res\u00fcmiert: \"Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Softwareschwachstellen pro Monat stellt sich f\u00fcr eine Firma, die ihre Programme nicht st\u00e4ndig automatisch \u00fcberwacht und auf dem neuesten Stand h\u00e4lt, gar nicht die Frage, ob<\/em> sie Opfer einer Cyberattacke wird, sondern nur wann<\/em> und mit welchen Folgen.\"<\/p>\n Der mangelnde \u00dcberblick \u00fcber die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zur\u00fcckzuf\u00fchren, dass die wenigsten Industriebetriebe eine umfassende Pr\u00fcfung der eingebetteten Software ihrer Ger\u00e4telieferanten und Drittanbieter vornehmen.<\/p>\n \"Wir raten jedem Industrieunternehmen, sich mit einer Software Bill of Materials einen \u00dcberblick \u00fcber die Cyberrisiken von der Produktion \u00fcber die Logistik bis zur Geb\u00e4udeautomatisierung zu verschaffen. So k\u00f6nnen die aufgedeckten Sicherheitsl\u00fccken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden\", mahnt Jan Wendenburg zur Eile.<\/p>\n Er gibt zu bedenken: \"Eine moderne Analyse Plattform erstellt eine Software-St\u00fcckliste (SBOM) v\u00f6llig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker \u00fcber den Shopfloor Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.\"<\/p>\n Der ONEKEY-Chef weist darauf hin, dass ab 2027 die Ger\u00e4te-, Maschinen- und Anlagenhersteller durch den EU Cyber Resilience Act (CRA) gesetzlich verpflichtet sind, ihre Steuerungssysteme mit aktueller Software gegen Cyberangriffe zu sch\u00fctzen.<\/p>\n \"Hersteller, die dann noch Systeme mit bekannten Sicherheitsl\u00fccken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden f\u00fcr die Folgen haften m\u00fcssen, wenn Hacker \u00fcber ihre veraltete Software eindringen und Schaden anrichten\", appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf die neue CRA-Gesetzgebung einzustellen.<\/p>\n Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen ist bereits heute auf dem neuesten Stand: Sie aktualisieren ihre Software, sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verf\u00fcgung steht.<\/p>\n \"Eine zeitliche Verz\u00f6gerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird nat\u00fcrlich auch von Cyberkriminellen ausgenutzt\", warnt Jan Wendenburg.\u00a0Es bleibt insgesamt aber noch viel zu tun:<\/p>\n Die Studie OT+IoT Cybersecurity Report 2024<\/em> \u00fcber die Cyberresilienz von industriellen Steuerungen (Operational Technology, OT) und Ger\u00e4ten f\u00fcr das Internet der Dinge (Internet of Things, IoT) erscheint im Oktober 2024 auf der ONEKEY-Website (Link liegt mir noch nicht vor).<\/p>\n","protected":false},"excerpt":{"rendered":" Ein St\u00fcckliste der Software, die in einem vernetzten Ger\u00e4t verwendet wird, ist eigentlich essentiell, um dessen Sicherheit und Patchstand zu gew\u00e4hrleisten. Eine Studie hat nun aber gezeigt, dass solche St\u00fccklisten der verwendeten Software (Software Bill of Materials, kurz SBOM) in … Weiterlesen Veraltete Software als Einfallstor f\u00fcr Angreifer<\/h3>\n
Software-St\u00fccklisten mit vielen L\u00fccken und Unsicherheiten<\/h3>\n
Lieferanten und Drittanbieter werden kaum gepr\u00fcft<\/h3>\n
\n
EU Cyber Resilience Act tritt ab 2027 in Kraft<\/h2>\n
\n
\n