Onekey warnt: Hacker werden zunehmend industrielle Steuerungen und IoT-Geräte angreifen
Ein Viertel der Befragten räumte sogar ein, die Vorschriften und Standards zur Cybersicherheit rein gar nicht zu kennen. Das sind Schlüsselergebnisse aus dem "OT+IoT Cybersecurity Report 2024" des Düsseldorfer Cybersicherheitsunternehmens Onekey. Für den Report zur Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) wurden im Frühjahr 2024 über 300 Industrieunternehmen befragt. Neben IT-Verantwortlichen kamen auch Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) zu Wort. Der vollständige Studien-Report erscheint im Oktober 2024 auf der Onekey-Website.
Das alarmierende Ergebnis der Studie lässt sich wie folgt zusammenfassen: Obwohl sich die industrielle Digitalisierung seit Jahren beschleunigt und immer mehr Software in Steuerungssystemen verwendet wird, scheint das Bewusstsein für die damit verbundenen Cyberrisiken bei vielen Herstellern und Betreibern deutlich unterentwickelt. "Dies ist bereits heute eine konkrete Gefahr für Hersteller und damit alle Betreiber von industriellen Geräten und Infrastrukturen", betont Onekey-CEO Jan Wendenburg.
Die Gründe erklärt er wie folgt: "Für viele Hersteller ist es schwierig die wirklich relevanten Compliance-Vorschriften zu identifizieren. International ist viel in Bewegung, der neue Cyber Resiliance Act in der EU, der PSTI in England, der Biden Act in USA und viele andere. Daher haben wir einen Compliance Wizard entwickelt, der in einer Kombination aus automatisierter Cyber-Sicherheitsprüfung und virtuellem Assistenten Unternehmen durch ein vereinfachtes Assessment der organisatorischen Compliance führt. Die daraus resultierende Dokumentation kann unmittelbar für die künftige Nachweispflicht in Cybersicherheitsfragen und zusätzliche Zertifizierungen genutzt werden."
Industrielle Steuerungen nicht im Blick
Bei herkömmlichen Cybersicherheitsanalysen stehen vor allem Computersysteme und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen sowie IoT-Geräte (Internet of Things) häufig weniger Beachtung finden, so die Ergebnisse des Onekey-Reports. Die Mehrheit der Befragten (51 Prozent) ist jedoch überzeugt, dass die Hackerszene bereits einen Fokus auf den Missbrauch von Maschinen- und Anlagensteuerungen sowie IoT-Geräten gelegt hat. Sie vermuten, dass Cyberkriminelle diese bereits aktiv als Einfallstor in Firmennetzwerke nutzen. Ein weiteres knappes Viertel (23 Prozent) erwartet, dass sich künftig immer mehr Hacker bei ihren digitalen Beutezügen auf Industriesteuerungen und das Internet of Things konzentrieren werden.
"Somit gehen beinahe drei Viertel der kontaktierten Führungskräfte aus der Industrie davon aus, dass Hacker zunehmend industrielle Steuerungen und IoT-Geräte angreifen. Für die Hersteller dieser Steuerungen und Geräte ist es daher von höchster Dringlichkeit, ihre Produkte vor Cyberangriffen zu schützen", mahnt Wendenburg.
Unbekannter Cyber Resilience Act
Fast die Hälfte (46 Prozent) der Betroffenen kann die Frage, welche technischen Standards für die Cybersicherheit in Geräten, Maschinen und Anlagen von Bedeutung sind, nicht beantworten. Weniger als ein Viertel (23 Prozent) hält den neuen Cyber Resilience Act (CRA) der Europäischen Union für relevant, obwohl nach aktuellem Zeitplan ab 2027 in der Europäischen Union keine Geräte und Industriesteuerungen mehr verkauft werden dürfen, die nicht dem CRA entsprechen.
"Angesichts von üblichen Entwicklungszeiten von mehr als zwei Jahren ist es verwunderlich, wie wenig Bewusstsein für die Bedeutung der neuen Regulatorik rund zwei, beziehungsweise drei Jahre vor Inkrafttreten herrscht", wundert sich Jan Wendenburg. Er führt aus: "Wenn Steuerungssysteme ab 2027 nicht den CRA-Anforderungen entsprechen, stellt das nicht nur die Hersteller von Geräten, Maschinen und Anlagen vor erhebliche Probleme, sondern auch die industriellen Anwender. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, die Cybersicherheit im OT- und IoT-Bereich zügig auf das gesetzlich geforderte Mindestmaß aufzurüsten."
OT und IoT werden vernachlässigt
Die weit verbreitete Unkenntnis über Cybersicherheit im OT- und IoT-Bereich hängt laut Report damit zusammen, dass die meisten Unternehmen andere Unternehmensbereiche als stärker gefährdete Angriffsziele für Hacker einstufen und die industriellen Komponenten daher vernachlässigen. So halten 42 Prozent der für den Security Report befragten Führungskräfte die Zahlungs- und Finanzsysteme für besonders schützenswert vor Cyberangriffen. 39 Prozent (Mehrfachnennungen waren möglich) sehen die größte Gefahr in Angriffen auf Unternehmensnetzwerke und Rechenzentren. 36 Prozent glauben, dass es Hacker auf Kundendaten abgesehen haben.
In den Bereichen OT und IoT wird das Bedrohungspotenzial vergleichsweise gering eingestuft, ergab die Umfrage. Nur 11 Prozent der Befragten halten Produktions- und Lieferkettenmanagementsysteme für ein primäres Ziel von Cyberkriminellen. Nur 12 Prozent gehen von Hackerangriffen auf Geräte und Systeme aus dem Internet der Dinge aus. Produktionsanlagen und industrielle Steuerungen (OT-Systeme) hält nicht einmal ein Zehntel (9 Prozent) einer ernsthaften Gefahr durch Angreifer aus dem Internet ausgesetzt. Nur bei mobilen Anwendungen und Geräten wird das Risiko als noch geringer eingestuft (5 Prozent).
Dringend mehr Aufmerksamkeit nötig
Der Onekey-Chef appelliert an die Industrie, bei ihren Zulieferern auf die notwendige Cybersicherheit von Geräten, Maschinen und Anlagen zu drängen. "Natürlich müssen die Hersteller sicherstellen, dass ihre Produkte CRA-konform sind. Aber ein Unternehmen, das keine CRA-konformen Produkte im Einsatz hat, ist ebenfalls nicht optimal aufgestellt. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, dem Thema Cybersicherheit über Computer und Netzwerke hinausgehend auch bei industriellen Steuerungssystemen und dem Industrial Internet of Things die Aufmerksamkeit zu widmen, die ihm gebührt."
Onekey ist Spezialist für Product Cybersecurity & Compliance Management. Neben dem Hauptsitz in Düsseldorf sind auch Teams in Wien und Budapest für den Anbieter tätig. Das Unternehmen ist Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC).
