[datensicherheit.de, 10.11.2025] Laut einer aktuellen Stellungnahme von ONEKEY entwickeln sich erweiterte Software-Stücklisten zum Sicherheitspass mit integrierter Risikobewertung und allen regulatorisch konformen Nachweisen. Die EU-Verordnung „Cyber Resilience Act“ (CRA) schreibt vor, dass die Hersteller und Inverkehrbringer digitaler Produkte mit Internetanschluss künftig eine „Software Bill of Materials“ (SBOM), also eine Software-Stückliste, vorweisen müssen – mit dem Ziel, mögliche Software-Schwachstellen, die Hackern als Angriffsfläche dienen könnten, zu identifizieren, um sie zeitnah beheben zu können.

Derzeit noch viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen

Der CRA verlange daher für vernetzte Geräte, Maschinen und Anlagen ausnahmslos eine detaillierte Auflistung aller Programme, Bibliotheken, „Frameworks“ und Abhängigkeiten mit genauen Versions­nummern der einzelnen Komponenten, Informationen zu den jeweiligen Lizenzen, Angaben zu den Urhebern und einem Überblick über alle bekannten Schwachstellen und Sicherheitslücken.

• Diese Anforderungen zu erfüllen falle noch vielen Herstellern schwer – und sei es nur, weil sie von ihren Vorlieferanten nicht die gewünschten Informationen in der notwendigen Vollständigkeit erhielten.

Aus diesem Grund seien viele SBOMs unvollständig, veraltet oder ohne Kontext zu Schwachstellen. Für die in der EU-Regulatorik zwingend vorgeschriebene Nachweispflicht von Seiten der Hersteller seien diese lückenhaften und teilweise überholten SBOMs somit unbrauchbar.

Angereicherte SBOMs – Software- Stücklisten auf dem Weg zum Sicherheitspass

Jetzt hat ONEKEY seine Plattform zur Überprüfung von Gerätesoftware (Firmware) auf Sicherheitsmängel nach eigenen Angaben mit einer neuen Funktion versehen, um sogenannte angereicherte SBOMs zu erzeugen.

• Die stark erweiterten Software-Stücklisten enthielten alle relevanten Informationen zu Schwachstellen – die damit erzeugten SBOMs erfüllten alle Anforderungen der Branche vollumfänglich. Sie enthielten nicht nur die Schwachstellen mit Risikoeinordnung, sondern stellten auch die Nachweise und Begründungen in einer einzigen leicht handhabbaren Datei bereit.

„Somit wird die SBOM von der bloßen Stückliste zu einer Art Sicherheitspass mit integrierter Risiko­bewertung“, unterstreicht Jan Wendenburg, CEO von ONEKEY. Seine Erkenntnis auf Basis vieler Gespräche mit Herstellern: „Die häufig komplexen Lieferketten und das oftmals mangelnde Verständnis von Lieferanten außerhalb der Europäischen Union für EU-spezifische Regulierungen erschweren es, den Anforderungen des ,Cyber Resilience Act’ nachzukommen.“ Die neue Funktionalität stelle nun einen entscheidenden Beitrag dar, diese Hürde zu überwinden.

Umfassendes Schwachstellen-Management statt bloßer -Erkennung mittels ONEKEY-Plattform

Das jüngste Feature sei Teil einer Offensive zum Ausbau der Plattform von ONEKEY, so dass diese das umfassende Management von Schwachstellen in Software noch besser unterstützen könne. Bislang sie diese Plattform vor allem auf die bloße Erkennung von Software-Schwachstellen ausgerichtet gewesen.

• „Mängel zu identifizieren ist nur der erste Schritt“, so Wendenburg. Er führt weiter aus: „Jetzt gehen wir die weiteren Schritte, um die Hersteller soweit wie möglich von aufwändigen manuellen Tätigkeiten zur Erlangung der CRA-Konformität zu entlasten.“

Durch automatisierte „Workflows“, kontextuelle Bewertungen und audit-fertige Dokumentationen sollen Sicherheits- und „Compliance“-Teams demnach in die Lage versetzt werden, schneller zu reagieren und regulatorisch korrekt zu agieren. „Indem wir der Plattform ermöglichen, immer mehr Routineaufgaben zu übernehmen, geben wir den Spezialisten mehr Zeit, sich auf ihre wichtigste Aufgabe zu konzentrieren, die Sicherheit ihrer Geräte, Maschinen und Anlagen zu maximieren“, kommentiert Wendenburg in Anlehnung an die Unternehmensstrategie.

Weitere Informationen zum Thema:

ONEKEY
wir ermöglichen Produkt Cybersicherheit und Compliance in einer vernetzten Welt

ONEKEY
Automatisiertes Schwachstellenmanagement / Reduzieren Sie die time-to-fix und dringen Sie durch den Lärm

Linkedin
Jan C. Wendenburg – ONEKEY

Bundesamt für Sicherheit in der Informationstechnik
SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

Bundesamt für Sicherheit in der Informationstechnik
Cyber Resilience Act / Cybersicherheit EU-weit gedacht

datensicherheit.de, 18.06.2025
SBOM for AI: BSI-geleitete G7-Arbeitsgruppe veröffentlicht gemeinsames Konzept / Im Rahmen des jüngsten G7-Arbeitstreffens in Ottawa hat das BSI mit den -Partnern ein gemeinsames Konzept für eine „Stückliste“ für KI-Systeme abgestimmt

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 13.06.2025] Jan Wendenburg, der CEO von ONEKEY ist in seiner Stellungnahme vom 3. Juni 2025 auf den Umstand eingegangen, dass die Europäische Cybersicherheitsbehörde ENISASoftware-Supply-Chain-Angriffe zu der größten Bedrohung erklärt hat. Damit bestehe akuter Handlungsbedarf auch für industrielle IT- und OT-Systeme. Die Zahl der Vorfälle zu Software-Lieferketten hat sich in der EU demnach seit 2020 mehr als verdoppelt.

Zunehmend Software-Supply-Chain-Cyberattacken auf Embedded Systems in Deutschland

Auch die deutsche Industrie sieht sich laut Wendenburg zunehmend mit Software-Supply-Chain-Cyberattacken auf „smarte Systeme“, sogenannte Embedded Systems, konfrontiert. „Dies sind Angriffe, die gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust werden.“

• Diese Form der Cyberkriminalität nutze Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder gar den Endkunden anzugreifen. Besonders betroffen seien Industrieanlagen, Maschinensteuerungen (OT-Systeme / Operational Technology), IoT-Komponenten (Internet of Things) und andere eingebettete Systeme, welche meist langjährige Betriebszyklen hätten und selten sicherheitskritisch untersucht, überwacht und aktualisiert würden.

„Hier besteht akuter Handlungsbedarf“, betont Wendenburg mit Blick auf die Industrie. Er stellt hierzu klar: „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein!“

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme

Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. „Die Komplexität globaler Lieferketten verschärft das Problem“, so Wendenburg.

• Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren.

Laut ENISA gehören Supply-Chain-Angriffe zu den „Top 5“-Bedrohungen für industrielle IT- und OT-Systeme und werden im „ENISA Foresight 2023 Report“ als die „TOP-1 Cybersecurity“-Gefahr herausgestellt.

Bösartiger Code über zwei Wege: Als Software in der Produktenwicklung oder als Teil eines Vorprodukts

Die deutsche Wirtschaft ist traditionell stark internationalisiert – der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen und in ihre Produkte eingebaut werden, liegt in der Größenordnung von 370 Milliarden US-Dollar. Diese Importe von „intermediate goods“ sind von zentraler Bedeutung für die Produktion in Deutschland. „Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, erläutert Wendenburg die Dimension der Bedrohung.

• Dabei bestehe das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert werde, „sondern diese über Produktauslieferungen an Kunden weitergegeben wird“.

So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, welche ein Schadprogramm in sich tragen. Dabei könne der bösartige Code über zwei Wege aus der Lieferkette kommen: „Entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.“

Stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen

„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, unterstreicht Wendenburg und führt weiter aus: „Daher sollten ,Embedded Systems’, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden!“ Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.

• Nach seinen Angaben erfährt ONEKEY derzeit eine „stark steigende Nachfrage nach Sicherheitsüberprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (Real-Time Operating Systems / RTOS), wie sie in ,Embedded Systems’ typischerweise zum Einsatz kommen“.

Das Düsseldorfer Sicherheitsunternehmen habe erst vor wenigen Monaten seine „Product Cybersecurity & Compliance Platform“ (OCP) weiterentwickelt, so dass diese auch RTOS-Firmware auf Schwachstellen und Sicherheitslücken überprüfen könne. Dies habe zuvor in der Branche als schwierig bis unmöglich gegolten, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei marktgängigen Echtzeit-Betriebssystemen wie etwa „FreeRTOS“, „Zephyr OS“, „ThreadX“ und anderen im Einsatz sind.

Zunehmende Komplexität industrieller Systeme lässt Supply-Chain-Angriffe zur immer größeren Bedrohung werden

Als ein besonders kritisches Einfallstor in der Lieferkette gälten Open-Source-Komponenten, welche in rund 80 Prozent aller Firmware-Stacks für „Embedded Systems“ enthalten seien. Sicherheitslücken in weitverbreiteten Bibliotheken wie „uClibc“, „BusyBox“ oder „OpenSSL“ könnten eine Vielzahl von Systemen gleichzeitig betreffen.

• Der Fall „Log4Shell“ im Jahr 2021 – eine Schwachstelle in der weitverbreiteten „Java“-Bibliothek „Log4j“ – hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der „Log4Shell“-Fall gilt als einer der gravierendsten Sicherheitslücken der letzten Jahrzehnte, weil die Software Bestandteil von Millionen „Java“-Anwendungen ist, darunter auch zehntausende OT- und IoT-Systeme.

„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von ,Embedded Systems’ lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden“, so Wendenburg. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleiden würden, der ihre Betriebsfähigkeit beeinträchtigt.

Höchste Zeit, Software für „Embedded Systems“ systematisch vor dem Einsatz und während des Betriebs zu überprüfen

„Die immer stärkere Integration von ,Industrial IoT’-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, gibt Wendenburg abschließend zu bedenken. Er appelliert an die Unternehmensführungen: „Es ist höchste Zeit, Software für ,Embedded Systems’, unabhängig ob aus eigenem Haus oder von Lieferanten systematisch vor dem Einsatz und laufend zu überprüfen! Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“

• Hinzu komme der rechtliche Aspekt: Die „Radio Equipment Directive“ EN18031 und der „EU Cyber Resilience Act“ (CRA) und andere gesetzliche Vorgaben schrieben die Verantwortung der Hersteller für die Cybersicherheit vernetzter Geräte, Maschinen und Anlagen zwingend vor.

Die „Product Cybersecurity & Compliance Platform“ (OCP) von ONEKEY ermögliche mit dem „Compliance Wizard“ eine automatisierte Überprüfung der Konformität zum CRA und weiteren cybersicherheitsrelevanten Normen. „Dies erleichtert die Vorbereitung auf Audits erheblich und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.“

Weitere Informationen zum Thema:

ONEKEY
Managen Sie Produkt Cybersicherheit und Compliance effizient

ONEKEY
Reduzieren Sie Komplexität, Kosten und Zeit für Ihre Produkt Compliance

Switch, Frank Herberg, 25.03.2024
Cyber-Bedrohung Nummer 1: Die Lieferkette

Europäische Kommission, 04.08.2021
ENISA veröffentlichte ihre Bedrohungslage für Lieferkettenangriffe

enisa, Juni 2023
GOOD PRACTICES FOR SUPPLY CHAIN CYBERSECURITY

enisa, 29.07.2021
Threat Landscape for Supply Chain Attacks

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 11.04.2025
BSI und ZenDis: openCode-Leitfaden zur Strategie einer automatisierten Absicherung von Softwarelieferketten / Gemeinsame Veröffentlichung vom BSI und ZenDiS für die Verwaltung

datensicherheit.de, 27.02.2025
Cyber Resilience Act – Absicherung der Software-Lieferkette / Cyberkriminelle nutzen zunehmend Schwachstellen in Entwicklungspipelines aus„

[datensicherheit.de, 06.04.2025] „Unternehmen, die dem ,EU Cyber Resilience Act’ (CRA) unterliegen, sollten sich beeilen, ihre Produkte den Anforderungen des CRA anzupassen“, betont Jan Wendenburg, „CEO“ von ONEKEY. Er erinnert daran, dass die ersten Vorschriften des CRA bereits ab September 2026 und alle weiteren ab dem 11. Dezember 2027 Anwendung finden. „Ab diesem Zeitpunkt müssen alle vernetzten Produkte die Cyber-Sicherheitsanforderungen des ,Cyber Resilience Act’ vollständig erfüllen“, stellt Wendenburg klar. Hersteller, Importeure und Händler seien gleichermaßen gefordert: Ohne CRA-Konformität dürfe das CE-Kennzeichen nicht vergeben, und so die betroffenen Produkte nicht mehr in der EU verkauft werden.

CRA stellt bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar

Der am 10. Dezember 2024 verabschiedete CRA der Europäischen Kommission stelle die bisher umfassendste Regelung zur Cyber-Sicherheit vernetzter Produkte in Europa dar. Für alle Hersteller von Geräten „mit digitalen Elementen“, d.h. alle sogenannten Smarten Produkte, egal ob für Industrie, „Consumer“ oder Unternehmen, drängt demnach die Zeit, denn die neuen Sicherheitsvorgaben müssen bereits innerhalb der Produktentwicklung berücksichtigt werden:

„Angesichts Produktlebens­zyklen, die in der Regel viele Jahre umfassen, sollte dem Thema CRA also höchste Priorität eingeräumt werden, um auch künftig auf dem EU-Markt verkaufen zu können“, legt Wendenburg nahe. Zentrale Elemente für die CRA-Compliance sind das Prinzip „Security by Design“ sowie eine kontinuierliche Risikobewertung und Schwachstellenbehebung.

Darüber hinaus fordert der EU CRA eine „Software Bill of Materials“ (SBOM), um Softwarekomponenten rückverfolgbar zu machen und Risiken in der Lieferkette frühzeitig zu erkennen. Der CRA kategorisiert Produkte in die drei Sicherheitsklassen: „Kritisch“, „Wichtig“ und „Sonstige“. In jeder Klasse sind entsprechende Anforderungen zu erfüllen. Die Sicherheit der Lieferkette ist hierbei besonders relevant, da Schwachstellen in Drittanbieter- und Open-Source-Komponenten die Integrität des Gesamtsystems gefährden können.

Neben dem CRA müssen weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ Berücksichtigung finden

Die Umsetzungsfrist von 24, bzw. 36 Monaten seit Inkrafttreten am 10. Dezember 2024 stellt Hersteller vor große Herausforderungen, da Produktentwicklungen oft Jahre dauern. Um den Anforderungen des CRA gerecht zu werden, sollten Unternehmen schnellstmöglich „Best Practices“ zur Cyber-Sicherheit implementieren.

Dabei gilt es, neben dem CRA weitere regulatorische Rahmenbedingungen wie „RED II“ (EN 18031) und „IEC 62443-4-2“ zu berücksichtigen. „Spezielle Compliance-Tools können helfen, die heutigen und künftigen Anforderungen zu erfüllen, indem sie eine schnelle, einfache und damit effiziente Cyber-Sicherheitsbewertung der Software von Produkten ermöglichen.“ Beispielhaft hierfür stehe der zum Patent angemeldete „Compliance Wizard“ von ONEKEY.

Wendenburg gibt zu bedenken: „Unternehmen, die ihre Produktstrategie rechtzeitig anpassen, sichern nicht nur ihre Marktzulassung in der EU, sondern auch ihre Wettbewerbsfähigkeit. Product-Lifecycle-Cybersecurity, proaktive ,Compliance’ und ,Supply Chain’-Transparenz werden zu unverzichtbaren Erfolgsfaktoren für alle Hersteller auf dem EU Markt.“

CRA-Anforderungen und ihre Auswirkungen

Um den neuen Anforderungen gerecht zu werden, müssten Unternehmen in der Lage sein, Sicherheitslücken in ihren Produkten zu erkennen und eine kontinuierliche Überwachung über den Produktlebenszyklus durchzuführen. „Das bedeutet, dass jede Softwareversion geprüft und – solange aktiv – ununterbrochen auf mögliche neue Schwachstellen überwacht werden muss.“ Neue Schwachstellen seien laufend zu bewerten und bei Bedarf zu melden und/oder Maßnahmen zur Reparatur zu ergreifen.

„Die CRA-Vorgaben betreffen den gesamten Lebenszyklus Smarter Produkte – von der Planung und Entwicklung bis hin zum Betrieb und der anschließenden Außerbetriebnahme.“ Hersteller seien verpflichtet, Sicherheitsupdates für ihre Produkte über einen Zeitraum von mindestens fünf Jahren anzubieten. Sollte die Nutzung des Produkts kürzer sein, könne dieser Zeitraum entsprechend verkürzt werden. „In vielen Industriebereichen jedoch sind Produktlaufzeiten von zehn oder 20 Jahren – oder sogar länger – keine Seltenheit. Das bedeutet, dass auch die Überwachung, Wartung, das Schwachstellen-Management und die Patch-Strategien über einen entsprechend langen Zeitraum aufrechterhalten werden müssen“, stellt Wendenburg klar.

Sein Fazit: „Die Umsetzung des ,Cyber Resilience Act’ stellt Hersteller vor erhebliche praktische Herausforderungen.“ Er nennt konkrete Beispiele:

• „In der Industriellen Fertigung, in der Steuerungs- und Produktionsanlagen über Jahrzehnte genutzt werden und regelmäßige Sicherheitsupdates erforderlich sind, um die Konformität zu gewährleisten.
• In der IoT-Industrie, etwa bei Smarten Haushaltsgeräten, ist die ständige Pflege der ,Software Bill of Materials’ ebenfalls notwendig, um potenzielle Schwachstellen schnell zu identifizieren und zu beheben.“

Die Unternehmen müssten mit ihren Zulieferern eng zusammenarbeiten und Werkzeuge zur Prüfung von Fremdsoftware, wie Binär-Analyse-Lösungen einsetzen, um eine Sicherheitsüberwachung bei Wareneingang und über den gesamten Lebenszyklus des Produkts hinweg zu gewährleisten. „Nur automatisierte Prozesse und Werkzeuge zur Schwachstellen- und ,Compliance’-Analyse ermöglichen die neuen gesetzlichen Anforderungen wirtschaftlich vertretbar und effizient zu erfüllen.“

Weitere Informationen zum Thema:

ONEKEY
Prepare for the EU Cyber Resilience Act with a Tailored Assessment

datensicherheit.de, 07.11.2024
ONEKEY-Report warnt Industrie vor Einkauf von Cyber-Sicherheitslücken / „Smart Factory“ ein großartiges Konzept – aber ONEKEY-CEO sieht damit verbundene Cyber-Risiken noch zu oft als vernachlässigt an

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 06.06.2024
Smarte Produkte mit bekannten Sicherheitslücken: Cyber Resilience Act gebietet Lieferstopp / Laut Cyber Resilience Act dürfen Geräte mit bekannten ausnutzbaren Schwachstellen demnächst nicht mehr ausgeliefert werden

[datensicherheit.de, 07.02.2025] Laut dem Bundesamt für Sicherheit in der Informations­technik (BSI) werden jeden Monat durchschnittlich mehr als 2.000 neue Schwachstellen in Software bekannt, von denen demnach etwa 15 Prozent als „kritisch“ eingestuft werden. Jan Wendenburg, „CEO“ von ONEKEY, kommentiert diese Erkenntnis in seiner aktuellen Stellungnahme: „Angesichts dieser permanenten Bedrohungslage sollte die deutsche Industrie 2025 ihre Cyber-Resilienz weiter stärken!“ In diesem Zusammenhang verweist auf den „OT+IoT Cybersecurity Report 2024“ seines Unternehmens, demzufolge die Industrie im letzten Jahr die Softwaresicherheit in vernetzten Geräten, Maschinen und Anlagen vernachlässigt hat.

Bei 27% der Firmen Budgetsituation zur Erhöhung der Cyber-Sicher­heit im Unklaren

„Die Industrie hat auf diesem Gebiet 2025 einen enormen Nachholbedarf gegenüber dem Vorjahr“, erläutert Wendenburg. Dem Report über die Sicherheit Industrieller Steuerungen (Operational Technology / OT) und in Geräten für das sogenannte Internet der Dinge (Internet of Things / IoT) liege eine Umfrage unter 300 Führungskräften aus der Industrie zugrunde. Laut dieser Studie sollte die Cyber-Sicherheit bei rund zwei Dritteln der befragten Unternehmen nach eigener Einschätzung verbessert werden.

Ein Drittel davon stufe das für die Hacker-Abwehr verwendete Budget selbst als „begrenzt“ ein, gehe also davon aus, dass hierauf mehr Wert gelegt werden sollte. Bei 27 Prozent der Firmen liege die Budgetsituation in Bezug auf Aktionen zur Erhöhung der Cyber-Sicher­heit im Unklaren – lediglich 34 Prozent der befragten Unternehmen verfügten über ein nach eigener Einschätzung „angemessenes“ oder sogar „signifikantes“ Budget für Initiativen zur Stärkung der Cyber-Resilienz. „Es ist den anderen zwei Dritteln anzuraten, ihr IT-Sicherheitsbudget im neuen Jahr zu klären und zügig aufzustocken“, empfiehlt Wendenburg für den weiteren Jahresverlauf 2025.

Gros der Firmen vertraut auf vertragliche Cyber-Sicherheit

Im Rahmen der Umfrage habe ONEKEY auch wissen wollen, „mit welchen Maßnahmen die Firmen ihre Cyber-Resilienz prüfen“. So führten 36 Prozent Bedrohungsanalysen durch, 23 Prozent veranlassten Penetrationstests, 22 Prozent setzten auf „Intrusion Detection“, also die aktive Überwachung von Netzwerken, und 15 Prozent bevorzugten Schwachstellen-Assessments (Mehrfachnennungen seien erwünscht gewesen). 19 Prozent stärkten die Sicherheit durch Netzwerk-Segmentierung, „so dass ein erfolgreicher Einbruch in ein Segment nicht das gesamte Firmennetz kompromittieret“.

Als meist eingesetzte Maßnahme gegen Cyber-Kriminelle habe sich in dieser Umfrage jedoch kein technischer Schutz herausgestellt, sondern ein rechtlicher: 38 Prozent der Unternehmen ließen sich von ihren IT-Dienstleistern und IT-Lieferanten vertraglich zusichern, „dass alles sicher ist“. „Ob dies eine wirksame Maßnahme ist bleibt jedoch fraglich, da bei fast allen größeren Sicherheitsvorfällen in den letzten Jahren auch Lieferanten mit ,vertraglich zugesicherter Sicherheit’ involviert waren, wie z.B. bei Cloudflare, Crowdstrike, Cisco und anderen.“

Zu viele Unternehmen stehen Cyber-Angriffen noch mehr oder minder hilflos gegenüber

Ein knappes Drittel (32%) der in der Studie untersuchten Unternehmen habe Verfahren eingerichtet, um aus Sicherheitsvorfällen zu lernen und notwendige Verbesserungen umzusetzen. „Vordefinierte Geschäftsprozesse, die den Umgang mit Hacker-Angriffen sowohl während einer Attacke als auch im Nachgang festlegen, sollten eigentlich zum selbstverständlichen Sicherheits­repertoire jeder Firma gehören“, betont Wendenburg. Er führt hierzu aus: „Angesichts der fort­währenden Bedrohungslage sollte jede Unternehmensleitung für den Fall der Fälle ausreichende Vorbereitungen treffen!“

Ein gutes Drittel (34%) der Unternehmen kümmere sich immerhin nach einer Hacker-Attacke um mehr Sicherheit. Diese Firmen bemühten sich laut der Umfrage um eine gründliche Analyse und Bewertung des überstandenen Sicherheitsvorfalls und leiteten daraus Verbesserungen in Bezug auf die Maßnahmen zur Abwehr Cyber-Krimineller ab. Ungefähr ebenso viele Unternehmen stünden jedoch Cyber-Angriffen indes mehr oder minder hilflos gegenüber – bei ihnen herrsche weitgehend Unklarheit darüber, „wie mit Attacken auf vernetzte Geräte, Maschinen und Anlagen umzugehen ist“. 16 Prozent hätten keine betrieblichen Verfahren entwickelt, um aus Cyber-Angriffen zu lernen und notwendige Verbesserungen umzusetzen. „Die Unternehmensleitungen sollten Cyber-Resilienz ganz oben auf ihre Agenda für 2025 setzen“, so Wendenburgs abschließender Rat.

Weitere Informationen zum Thema:

ONEKEY, 17.01.2025
Whitepaper / OT & IoT Cybersecurity Report 2024: SURGE IN CYBERATTACKS ON INDUSTRY – URGENT ACTION NEEDED FOR STRONGER PROTECTION

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 23.07.2024
Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten / IT-Notfallkarten sollten angelegt und Sicherheitslücken fortlaufend ermittelt werden

datensicherheit.de, 29.11.2023
Wandel: Vom Cyber-Risiko zur Cyber-Resilienz / Bitdefender erinnert an zehn bewährte „Gebote“ für die IT-Sicherheit in Unternehmen

[datensicherheit.de, 22.11.2024] Hersteller vernetzter Geräte, Maschinen und Anlagen sollten bei der Verwendung von Open-Source-Software in ihren Produkten aufgrund einer neuen EU-Regulierung besondere Vorsicht walten lassen: Open-Source-Programme selbst unterlägen nämlich nicht den strengen Regeln des bald in Kraft tretenden „Cyber Resilience Act“ (CRA) – die Hersteller von Produkten unter Verwendung von Open-Source-Komponenten hingegen sehr wohl: Vor dieser „Open-Source-Falle“ warnen Jan Wendenburg, „CEO“ von ONEKEY, und sein Cyber-Sicherheits-Expertenteam.

Open-Source-Software mit ausnutzbaren Schwachstellen: Verkäufer haftet

Die von der EU auf den Weg gebrachte CRA-Regulierung verlange von den Herstellern oder Inverkehrbringern (z.B. Importeure, Distributoren) von „Connected Devices“, dass sie diese auch nach der Auslieferung mit stets neuen Software-Updates versorgten, um sie dauerhaft gegen Hacker-Angriffe zu schützen.

Bei schwerwiegenden Verstößen gegen den CRA könnten Unternehmen mit Bußgeldern von bis zu 15 Millionen Euro oder bis zu 2,5 Prozent des weltweiten Jahresumsatzes bestraft werden, „je nachdem, welcher Betrag höher ist“.

Wendenburg verdeutlicht: „Wenn Open-Source-Software mit ausnutzbaren Schwachstellen in neuen vernetzten Geräten verkauft wird, haftet nicht automatisch der Software-Anbieter, sondern immer derjenige, der das Produkt mit der integrierten Software auf den Markt bringt!“

„Open Source“ könnte Synonym für potenziell unsichere Software werden

ONEKEY erläutert den Hintergrund: Die EU trage beim CRA den Besonderheiten der Open-Source-Community Rechnung. Dadurch sollten nicht-kommerzielle Projekte, Hochschulen, Organisationen der Zivilgesellschaft und öffentliche Verwaltungen von den strengen Regularien in Bezug auf Cyber-Sicherheit befreit werden.

„Das ist zwar einerseits lobenswert, weil damit Forschung, Entwicklung und ehrenamtliches Engagement gefördert wird, aber andererseits könnten die geringeren Anforderungen zu potenziell unsicherer Software führen“, kommentiert Wendenburg.

Die CRA-Sonderrolle sogenannter Stewards von Open-Source-Projekten bewertet Wendenburg ebenfalls ambivalent: „Für diese Organisationen, die in einem geschäftlichen Umfeld Open-Source-Software entwickeln, sieht die CRA-Regulierung abgeschwächte Sicherheitsregeln vor.“ So seien sie beispielsweise von Geldbußen vollständig ausgenommen. Immerhin müssten sie eine Cyber-Sicherheitsstrategie für ihre Programme vorweisen, dürften erkannte Schwach­stellen in der Software nicht ignorieren und müssten mit den CRA-Behörden zusammenarbeiten.

Hersteller von OT- und IoT-Geräten sollten Open-Source-Aktivitäten erneut überdenken

„Bei allem Verständnis für die Open-Source-Community, ist durch die zahlreichen Ausnahmen und Abschwächungen für die Akteure auf diesem Sektor, der Schutzwall gegen Cyber-Kriminelle, den die EU mit dem ,Cyber Resilience Act’ gerade aufbaut, von Anfang an löchrig geworden“, warnt Wendenburg.

Er verweist auf die Diskrepanz zwischen den niedrigeren Anforderungen bei der Entwicklung von Open-Source-Programmen einerseits und der vollständigen Pflichterfüllung anderer­seits, sobald die Software als Bestandteil eines „Produkts mit digitalen Elementen“ kommerziell genutzt wird.

„Die Hersteller von OT- und IoT-Geräten sind daher gut beraten, ihre Open-Source-Aktivitäten neu zu überdenken“, so seine dringende Empfehlung. Gemeint seien damit Maschinelle Steuerungen („Operation Technology“ / OT), wie sie in der sogenannten Industrie 4.0 auf breiter Front zum Einsatz kämen, und Geräte für das „Internet of Things“ (IoT), also beispielsweise im „Smart Home“.

Immer mehr Open-Source-Software bei OT und IoT im Einsatz

Nach aktuellem Stand werde Open-Source-Technologie zunehmend in der Entwicklung und im Einsatz von OT- und IoT-Plattformen verwendet. Über 100 Open-Source-Projekte für OT/IoT seien alleine in EU-Initiativen dokumentiert, welche eine große Bandbreite von Softwarekomponenten umfassten, wie etwa „Gateways, Middleware für Edge-Computing und Cloud-Plattformen“.

Die EU fördere aktiv Open-Source-Projekte für den OT/IoT-Sektor. Wendenburgs Analyse: „Der Einsatz von ,Open Source’ bringt viele Vorteile, aber auch erhebliche Herausforderungen bei der OT- und IoT-Integration mit sich.“

Mit der CRA-Regulierung kämen zusätzliche Auflagen in Sachen Sicherheit hinzu, die es zu erfüllen gelte. Die neue Dimension liege dabei in der Haftung: „Jeder Fehler kann einen Produkthersteller im wahrsten Sinne des Wortes teuer zu stehen kommen!“

„Software Bill of Materials“ und Schwachstellenprüfung unerlässlich – nicht nur bei Verwendung von Open-Source-Komponenten

Wendenburg rät den Herstellern vernetzter Geräte, Maschinen und Anlagen zu einer automatischen SBOM- und Schwachstellenanalyse, bevor die Produkte auf den Markt gebracht werden. Das Kürzel SBOM stehe für „Software Bill of Materials“, also für eine Stückliste aller Softwarekomponenten, „in der die Komponenten festgestellt werden“. Anschließend werde die Cyber-Resilienz auf Schwachstellen geprüft und dokumentiert.

Dazu erfolge zuerst ein Abgleich mit der CVE-Datenbank aller bekannten Softwareschwachstellen (CVE: „Common Vulnerabilities and Exposures“), welche vom Massachusetts Institute of Technology Research and Engineering (MITRE) im Auftrag der US-Regierung verwaltet werde. Jeden Monat kämen zwischen 500 und 2.000 neue Einträge über bekanntwerdende Sicherheitslücken hinzu. Etwa 25 bis 30 Prozent davon entfielen auf Open-Source-Software, schätzten Experten.

Danach werde auf unbekannte, sogenannte Zero-Day-Schwachstellen geprüft. „Allerdings genügt es laut CRA nicht, diesen Check nur bei der Auslieferung eines neuen OT/IoT-Produktes auf den Markt durchzuführen, sondern es muss über die gesamte Produklebensdauer hinweg immer wieder neu geprüft werden“, betont Wendenburg, und ergänzt abschließend: „Bei IoT-Geräten etwa für das ,Smart Home’ wird üblicherweise von fünf Jahren Einsatzdauer ausgegangen, aber bei Maschinellen Steuerungen für die ,Industrie 4.0‘ kann der Lebenszyklus bei zehn, 20 oder mehr Jahren liegen.“

Weitere Informationen zum Thema:

Europäisches Parlament
Standpunkt des Europäischen Parlaments festgelegt in erster Lesung am 12. März 2024 im Hinblick auf den Erlass der Verordnung (EU) 2024/… des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2019/1020 (Cyberresilienz-Verordnung)

datensicherheit.de, 20.11.2024
CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand / „Cyber Resilience Act“ (CRA) offiziell im Amtsblatt der Europäischen Union veröffentlicht

datensicherheit.de, 24.10.2024
CRA-Verabschiedung ein Paradigmenwechsel für die Produkt-Cyber-Sicherheit / CRA erzwingt, vernetzte Produkte über gesamten Lebenszyklus hinweg mit neuen Updates zu versehen

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 09.10.2024
SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie / Eine SBOM gilt inzwischen als unverzichtbare Voraussetzung für wirksamen Schutz gegen Cyber-Angriffe

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 07.11.2024] Laut einer aktuellen Stellungnahme von ONEKEY birgt die Digitalisierung von Produktion und Logistik unbekannte Software-Schwachstellen, über welche Hacker angreifen können – der „OT+ IoT Cybersecurity Report 2024“ von ONEKEY zeigt demnach auf, dass die „Smart Factory“ häufig unzureichend geschützt ist.

Für den „OT+ IoT Cybersecurity Report 2024“ ließ ONEKEY 300 Führungskräften aus der Industrie befragen

Die deutsche Industrie kaufe sich mit der weiterhin zunehmenden Digitalisierung auf Produktions- und Logistikebene immer mehr Sicherheitslücken ein: „In den vernetzten Geräten, Maschinen und Anlagen, die im Rahmen von Industrie 4.0 angeschafft werden, arbeiten elektronische Steuerungssysteme, in die Hacker häufig leicht eindringen können.“

Der Grund sei, dass die in den Komponenten eingesetzte Software häufig nicht auf dem neuesten Stand sei, da sie von den Herstellern nicht kontinuierlich aktualisiert werde – wie es ja eigentlich notwendig wäre, um neu entdeckte Sicherheitslücken zu schließen. Zu diesem Ergebnis kommt demnach der „OT+ IoT Cybersecurity Report 2024“ des Düsseldorfer Cyber-Sicherheitsunternehmens ONEKEY. Die zugrundeliegende Studie basiere auf einer Befragung von 300 Führungskräften aus der Industrie.

Laut ONEKEY-Umfrage nur 28 Prozent der Unternehmen mit spezifischen Compliance-Regelungen für OT-Sicherheit

„,Smart Factory’ ist ein großartiges Konzept“, so Jan Wendenburg, „CEO“ von ONEKEY, „aber die damit verbundenen Cyber-Risiken werden noch zu oft vernachlässigt“. Laut der Umfrage führten lediglich 29 Prozent der Industrieunternehmen bei der Beschaffung von vernetzten Gerät­en und Maschinen eine umfassende Sicherheitsprüfung durch, „um festzustellen, wie gut die Neuanschaffungen gegen Hacker-Angriffe geschützt sind“. Weitere 30 Prozent beließen es eigenen Angaben zufolge bei oberflächlichen Tests oder Stichproben. Die Unsicherheit sei laut Report groß: „Über ein Viertel (26%) der Befragten kann zu dieser Frage keine Auskunft geben.“ Wendenburg kommentiert: „Die Dunkelziffer bei veralteter Software in Fertigungsbetrieben scheint offensichtlich hoch zu sein.“

So verfügten laut der Umfrage nur 28 Prozent der Unternehmen über spezifische Compliance-Regelungen für die Sicherheit in industriellen Steuerungssystemen oder Geräten für das „Industrial Internet of Things“. Bei einem guten Drittel (34%) gebe es zwar keine speziellen OT- oder IoT-Sicherheitsvorschriften, aber diese seien ein Teil der allgemeinen Richtlinien zur Cyber­-Sicherheit im Unternehmen. 19 Prozent hätten laut eigene Angaben keine besonderen Vorkehrungen getroffen.

ONEKEY-Erkenntnis: Nur 31% der Unternehmen unterziehen in vernetzten Geräten eingebettete Programme regelmäßigen Sicherheitstests

Sogenannte Firmware, also die in digitalen Steuerungssystemen, vernetzten Geräten, Maschinen und Anlagen integrierte Software, werde in der Industrie nicht systematisch auf Cyber-Resilienz getestet – der „OT+IoT Cybersecurity Report 2024“ zeigt, dass nicht einmal ein Drittel (31%) der Unternehmen die in vernetzten Geräten eingebetteten Programme regelmäßigen Sicherheitstests unterziehe, um Schwachstellen und damit potenzielle Einfallstore für Hacker zu identifizieren und zu beheben.

Beinahe die Hälfte (47%) führe nur hin und wieder Firmware-Tests durch oder verzichte ganz darauf. Zumal mehr als die Hälfte der befragten Unternehmen (52%) angebe, bereits mindestens einmal von Hackern über OT- oder IoT-Geräte angegriffen worden zu sein. Ein Viertel wisse von drei oder mehr Fällen zu berichten, bei denen Cyber-Kriminelle die Firma über industrielle Steuerungen attackiert hätten.

ONEKEY-Empfehlung: Industrie sollte aktuelle Software verlangen und einsetzen

„In den vernetzten Geräten läuft teilweise sehr alte Software“, berichtet Wendenburg und erläutert: „Weil sie seit Jahren oder gar Jahrzehnten einwandfrei funktioniert, befasst sich niemand damit. Das kann aber fatale Folgen haben, wenn Hacker mit veralteter Software die digitale Steuerung angreifen.“ Der ONEKEY-Chef nennt hierzu ein Beispiel aus der Fertigung:

„Über eine ungeschützte Firmware können Cyber-Kriminelle die interne Konfiguration einer CNC-Maschine aus der Ferne manipulieren und sowohl die Maschine selbst als auch Werkstücke beschädigen. Der Maschinenschaden kann irreparabel sein, eine ganze Produktionscharge unbrauchbar werden.“ Ebenso könnten Hacker über die Firmware ins Firmennetzwerk gelangen und beispielsweise eine Ransomware-Attacke durchführen: „Bei dieser Angriffsform werden betriebswichtige Datenbestände verschlüsselt und erst gegen die Zahlung einer Lösegeldsumme freigegeben.“

ONEKEY erinnert an CRA, der es künftig verbietet, vernetzte Geräte mit bekannten Schwachstellen in der EU zu verkaufen

Die Verantwortung für veraltete Maschinensoftware trügen Hersteller und Nutzer gleichermaßen, gibt Wendenburg zu bedenken und verweist auf den „EU Cyber Resilience Act“ (CRA), „der es ab 2026/2027 verbietet, vernetzte Geräte mit bekannten Schwachstellen in der Europäischen Union zu verkaufen“. Darüber hinaus seien die Hersteller durch den CRA verpflichtet, alle Firmware nach Auslieferung zu überwachen und bei neuen Sicherheitslücken entsprechende neue Versionen zeitnah bereitzustellen. Dies sei von der heutigen Realität noch weit entfernt, wie dem „OT + IoT Cybersecurity Report 2024“ zu entnehmen sei.

Danach folgten derzeit nämlich nur 28 Prozent der Richtlinie, welche ab 2027 verbindlich werde, und stellten systematisch aktuelle Software-Updates für an Kunden ausgelieferte vernetzte Geräte und Maschinen bereit. 30 Prozent führten gelegentlich Aktualisierungen durch, 17 Prozent überhaupt keine. „Es ist an der Zeit, dass die Hersteller ihre Software-Entwicklung und Überwachung auf die bald geltenden gesetzlichen Anforderungen anpassen“, rät Wendenburg.

ONEKEY-Report zeigt, dass nur 26% der Unternehmen hinsichtlich Cyber-Resilienz angemessen betrieblichen Reifegrad bei Produkt- und Projektentwicklung aufweisen

Laut „OT + IoT Cybersecurity Report 2024“ bewertet nur ein gutes Viertel (26%) der Unternehmen den eigenen betrieblichen Reifegrad bei der Produkt- und Projektentwicklung als angemessen in Bezug auf Cyber-Resilienz. Diese Firmen verfügten über einen definierten Prozess für einen sicheren Entwicklungszyklus, der aktiv angegangen wird.

Weitere zwölf Prozent hätten einen solchen Sicherheitsprozess zwar aufgesetzt, kontrollierten ihn aber nach eigener Einschätzung eher schlecht und gingen überwiegend reaktiv damit um. In beinahe einem Zehntel der befragten Unternehmen (9%) existiere ein solcher Prozess zur Qualitätssicherung bei der Produkt- und Projektentwicklung nicht.

Weitere Informationen zum Thema:

datensicherheit.de, 02.10.2024
Cyber-Sicherheit industrieller Anlagen: Internationales OT-Grundsatzpapier veröffentlicht / BSI unterstreicht, dass der sichere Betrieb von OT große Herausforderungen birgt

datensicherheit.de, 17.09.2024
Mehr Cyber-Sicherheit für OT in Unternehmen erforderlich / KRITIS und Produktionsumgebungen heute stärker denn je Cyber-Bedrohungen ausgesetzt

datensicherheit.de, 28.08.2024
OT-Sicherheit in der Lebensmittelindustrie / Rolle der NIS-2-Richtlinie in der Europäischen Union

[datensicherheit.de, 24.10.2024] Der „Cyber Resilience Act“ (CRA) wurde am 10. Oktober 2024 vom Europäischen Rat verabschiedet und verankert damit die Cybersecurity verpflichtend für alle Hersteller. „Vernetzte Geräte müssen so entwickelt werden, dass sie über den gesamten Lebenszyklus hinweg mit aktueller Software vor Cyber-Angriffen geschützt sind“, kommentiert Jan Wendenburg, „CEO“ von ONEKEY. Mit dem CRA werde erstmals der Grundsatz „Security by Design“ in das europäische Technikrecht aufgenommen – dieser „Paradigmenwechsel“ habe unmittelbare Konsequenzen für alle Hersteller und Inverkehrbringer vernetzer Geräte. Wendenburg verweist in seiner aktuellen Stellungnahme auf die weitreichenden Folgen der anstehenden gesetzlichen Regelungen für die Absicherung digitaler Produkte gegen Hacker-Angriffe.

CRA-Konformität eines Produkts erfordert nunmehr fortlaufende Risikobewertung und gegebenenfalls Aktualisierung

Es sei nunmehr in Zukunft nicht mehr ausreichend, die CRA-Konformität eines Produkts mit digitalen Elementen nur zum Zeitpunkt des Markteintritts zu gewährleisten, sondern es müsse eine fortlaufende Risikobewertung und gegebenenfalls Aktualisierung der in den Geräten enthaltenen Soft- und Firmware erfolgen.

Wendenburg erläutert: „Die Hersteller müssen von Anfang an einen Mechanismus in ihre Produkte integrieren, um neue Software-Versionen einzuspielen und damit nach Auslieferung auftretende Sicherheitslücken zu schließen.“ Versäumen es die Hersteller dieses Designmerkmal zu integrieren, dürften die entsprechenden Produkte künftig in den Ländern der Europäischen Union (EU) nicht mehr verkauft werden.

Extrem breite Palette vom CRA betroffener Produktkategorien

Die Palette der betroffenen Produktkategorien sei „extrem breit“, so Wendenburg und er nennt hierzu Beispiele: „Geräte für das ,Smart Home’ und die ,Smart Security’, vernetzte Haushaltsgeräte aller Art, Spielzeug mit WLAN-Anbindung, VoIP-Telefone, Netzwerkausrüstung wie Router, Switches oder Firewalls, vernetzte Medizingeräte, Fahrzeuge, Geräte des ,Industrial Internet of Things’ und industrielle Steuerungssysteme, wie sie im produzierenden Gewerbe von der Fertigung bis zur Logistik abteilungsübergreifend eingesetzt werden…“

Praktisch alle Bereiche der industriellen Automatisierung seien heute digitalisiert. Geräte, Maschinen und Anlagen, welche früher noch rein mechanisch funktioniert hätten, seien längst mit Steuerungselektronik ausgestattet und ans Netz angeschlossen. „Doch viele Hersteller dieser Automatisierungsprodukte sind diesen Weg vom Maschinenbauer zum Softwarehersteller nicht wirklich selbst gegangen, sondern beziehen die digitalen Komponenten und die entsprechenden Programme von Zulieferern.“ Mit der CRA-Regulierung seien diese Hersteller nun direkt haftbar für die Digitaltechnik in ihren vernetzten Geräten. Wendenburg warnt: „Hier sind viele Unternehmen bislang noch nicht ausreichend vorbereitet.“

CRA insbesondere Herausforderung für mittelständische Hersteller industrieller Automatisierungstechnik

„Die Herstellerseite von industriellen Automatisierungskomponenten ist im Bezug auf das Software-Know-how sehr heterogen“, weiß Wendenburg aus zahlreichen Projekten. Seine Einschätzung: „Die vernetzten Produkte über ihren gesamten Lebenszyklus hinweg mit neuen Updates zu versehen, um immer wieder neu aufkommende Sicherheitslücken in der Software zu schließen, stellt für viele überwiegend mittelständische Hersteller von industrieller Automatisierungstechnik eine große Herausforderung dar.“

Er weist darauf hin, dass die Datenbank der öffentlich bekannten Schwachstellen in Software, die von Hackern ausgenutzt werden könnten (CVE-Datenbank: „Common Vulnerabilities and Exposures“), über 240.000 Einträge umfasse. „Schon für IT-Abteilungen in der Konzernwelt ist es schwierig den Überblick über Cyber-Sicherheitslücken zu behalten, für den Mittelstand ist das aber praktisch unmöglich“, befürchtet Wendenburg.

Mit CRA-Inkrafttreten könnrn Hersteller und Inverkehrbringer in die Haftung kommen

Er erinnert an den Klassiker der IoT-Hacks: Den Angriff auf die Cyber-Sicherheit mittels der weltweit bekannten „Stuxnet“-Attacke 2010, bei der über das Internet gezielt sogenannte Scada-Systeme (Supervisory Control and Data Acquisition) von Siemens attackiert wurden. „Diese industriellen Steuerungssysteme werden global in Industrieanlagen, Kraftwerken oder Pipelines eingesetzt.“ „Stuxnet“ zielte demnach darauf ab, die Drehgeschwindigkeit der von den „Scada“-Systemen gesteuerten Motoren zu verändern und dadurch die Maschinen physisch zu zerstören. „Der Computer-Virus hatte damals Tausende Anlagensteuerungen befallen und unter anderem die im Bau befindlichen Atomkraftwerke im Iran sabotiert, wofür er nach überwiegender Expertenmeinung eigens entwickelt und von einer staatlichen Behörde auf den Weg gebracht worden war.“

Wendenburg unterstreicht: „Spätestens seit 2010 ist klar, dass Cyber-Attacken Maschinen und Anlagen irreparabel zerstören können. Mit Inkrafttreten des ,EU Cyber Resilience Act’ haften die Hersteller und Inverkehrbringer dafür, wenn ihre digitalen Steuerungssysteme nicht von Grund auf so konzipiert sind, dass sie laufend mit aktueller Software ausgestattet werden können, die bestmöglich vor Angriffen schützt.“

CRA-Anforderungen lassen sich in weiten Teilen automatisieren

Als ersten Schritt empfiehlt Wendenburg den Anbietern vernetzter Geräte, Maschinen und Anlagen, „Software Bills of Materials“ (SBOM) zu erstellen, d.h. genaue Stücklisten aller in ihren Produkten verwendeten Komponenten. „ONEKEY betreibt eine ,Product Cybersecurity & Compliance Platform’ (OCP), die SBOMs automatisch generiert und dabei potenzielle Sicherheitslücken identifiziert.“

Damit seien die Voraussetzungen geschaffen, um mögliche Sicherheitslücken zu verfolgen und dann gezielt zu schließen: „Mit unserer Plattform können Hersteller die Anforderungen des ,Cyber Resilience Act’ in weiten Teilen automatisieren und so die zusätzlichen Aufwände wesentlich reduzieren“, betont Wendenburg abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 18.10.2024
Cyber Resilience Act der EU (CRA): Verabschiedung und Konsequenzen für Unternehmen / Suzanne Button kommentiert Bedeutung des CRA für europäische Unternehmen und unterstreicht Handlungsbedarf

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 09.10.2024] Eine sogenannte Stückliste aller Software-Komponenten in einem vernetzten Gerät („Software Bill of Materials“ / SBOM) stellt in der deutschen Industrie offenbar noch immer eine Ausnahme dar, obgleich sie inzwischen als unverzichtbare Voraussetzung für einen wirksamen Schutz gegen Cyber-Angriffe gilt. Dies geht laut einer aktuellen Stellungnahme von ONEKEY aus dem eigenen neuen „OT+IoT Cybersecurity Report 2024“ hervor. Diese Studie über die Cyber-Resilienz Industrieller Steuerungen („Operational Technology“ / OT) und Geräten für das sogenannte Internet der Dinge („Internet of Things“ / IoT) basiert demnach auf einer Umfrage unter 300 Führungskräften aus der Industrie. Befragt worden seien „Chief Executive Officers“ (CEOs), „Chief Information Officers“ (CIOs), „Chief Information Security Officers“ (CISOs) und „Chief Technology Officers“ (CTOs) sowie IT-Verantwortliche. Der Report soll noch im Oktober 2024 auf der ONEKEY-Website publiziert werden.

SBOM zum Aufspüren veraltete Software – Einfallstore für Angreifer

Laut Umfrage führe nicht einmal ein Viertel (24%) der Industrieunternehmen eine vollständige Software Bill of Materials. „Während Computer- und Netzwerksoftware in der Regel erfasst wird, fehlt häufig der Überblick über die eingebettete Software in zahllosen Geräten mit Netzwerkzugang, wie Maschinen und Anlagen aller Art“, berichtet Jan Wendenburg, der „CEO“ von ONEKEY.

„Das ist fatal!“, so Wendenburg, denn veraltete Software in Industriellen Steuerungen sei ein „immer beliebteres Einfallstor für Hacker“. Als typische Beispiele nennt er: „Fertigungsroboter, CNC-Maschinen, Förderbänder, Verpackungs­maschinen, Produktionsanlagen, Gebäude­automatisierungs­systeme, Heizungs- und Klimaanlagen.“

Alle diese Systeme seien an das Firmennetzwerk angebunden und in fast jeder einzelnen Komponente stecke Software – Wendenburg verdeutlicht die große Angriffsfläche, welche Unternehmen Cyber-Kriminellen bieten, wenn sie ihre Programme etwa in der Produktions- und Logistikkette nicht „up-to-date“ halten. Die Mehrheit der Unternehmen (51%) verfüge jedoch entweder über gar keine oder bestenfalls über eine unvollständige Software-Stückliste.

SBOM bisher oftmals noch mit vielen Lücken und Unsicherheiten

„Die Software-Stücklisten vernetzter Geräte in vielen Firmen haben viele Lücken und Unsicherheiten“, warnt Wendenburg und gibt zu bedenken: „Ein einziges veraltetes Programm in einer Maschine kann ausreichen, um Hackern Eingang ins Firmennetz zu ermöglichen.“

Besonders erschreckend sei laut Report: Ein knappes Viertel der befragten Unternehmen sei sich nicht einmal darüber im Klaren, ob und wo überhaupt Software-Stücklisten bestehen.

„Das ist wie nachts auf der Autobahn fahren ohne Licht“, verdeutlicht er das Gefahrenpotenzial. Er resümiert: „Angesichts von durchschnittlich mehr als 2.000 aufgedeckten Software-Schwachstellen pro Monat stellt sich für eine Firma, die ihre Programme nicht ständig automatisch überwacht und auf dem neuesten Stand hält, gar nicht die Frage, ob sie Opfer einer Cyber-Attacke wird, sondern nur wann und mit welchen Folgen…“

SBOM für einen Überblick über die Cyber-Risiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung

Der mangelnde Überblick über die Softwarekomponenten im Maschinen- und Anlagenpark ist laut ONEKEY-Report darauf zurückzuführen, dass die wenigsten Industriebetriebe eine umfassende Prüfung der eingebetteten Software ihrer Gerätelieferanten und Drittanbieter vornähmen. Gut ein Drittel (34%) verwendeten Fragebögen von Branchenverbänden wie dem VDMA, um die Cyber-Sicherheitslage ihrer Lieferanten einschätzen zu können. 31 Prozent verließen sich auf standardisierte Bewertungen und Zertifizierungen. Mehr als ein Zehntel (11%) verfüge eigenen Angaben zufolge über gar kein systematisches Verfahren, um sich zu vergewissern, ob die für den betrieblichen Einsatz angeschafften Geräte, Maschinen und Anlagen ausreichend gegen Cyber-Angriffe geschützt sind.

„Wir raten jedem Industrieunternehmen, sich mit einer ,Software Bill of Materials’ einen Überblick über die Cyber-Risiken von der Produktion über die Logistik bis zur Gebäudeautomatisierung zu verschaffen. So können die aufgedeckten Sicherheitslücken wirksam bewertet und neutralisiert werden, bevor sie von Hackern entdeckt und ausgenutzt werden“, rät Wendenburg nachdrücklich.

Er empfiehlt in diesem Zusammenhang: „Eine moderne Analyse-Plattform erstellt eine Software-Stückliste (SBOM) völlig automatisch zu vergleichsweise sehr geringen Kosten und Aufwand. Richtig teuer kann es jedoch werden, wenn sich Hacker über den ,Shopfloor’ Zugang zum Firmennetz verschaffen, weil veraltete Software im Einsatz ist.“

SBOM jetzt schon verwenden – EU Cyber Resilience Act tritt 2027 in Kraft

Der ONEKEY-Chef weist abschließend darauf hin, dass ab 2027 die Geräte-, Maschinen- und Anlagenhersteller durch den „EU Cyber Resilience Act“ (CRA) gesetzlich verpflichtet seien, ihre Steuerungssysteme mit aktueller Software gegen Cyber-Angriffe zu schützen. „Hersteller, die dann noch Systeme mit bekannten Sicherheitslücken im Programm ausliefern oder bei neu entdeckten Schwachstellen nicht umgehend ein Update bereitstellen, werden für die Folgen haften müssen, wenn Hacker über ihre veraltete Software eindringen und Schaden anrichten“, appelliert er an alle Zulieferer der Industrie 4.0, sich rechtzeitig auf diese neue CRA-Gesetzgebung einzustellen.

Ein Drittel der im Rahmen der Umfrage kontaktierten Unternehmen sei bereits heute auf dem neuesten Stand: Diese aktualisierten ihre Software, „sobald ein entsprechender Patch zur Behebung der Schwachstelle zur Verfügung steht“. Immerhin 28 Prozent prüften automatisch, „ob die bereits an die Kunden ausgelieferten Geräte eine Sicherheitslücke aufweisen“. 30 Prozent begnügten sich mit gelegentlichen manuellen Überprüfungen. 31 Prozent verzichteten auf einen Sicherheitspatch zwischendurch und warteten auf die nächste geplante Release, mit der das Einfallstor für Hacker geschlossen werde. „Eine zeitliche Verzögerung, die sich als fatal erweisen kann, denn genau dieses Zeitfenster zwischen Aufdeckung und Behebung wird natürlich auch von Cyber-Kriminellen ausgenutzt“, unterstreicht Wendenburg.

Es bleibe insgesamt aber noch viel zu tun – so überprüften 16 Prozent der Befragten die Geräte nach Auslieferung überhaupt nicht mehr auf Sicherheitslücken. Zehn Prozent lieferten keine Updates oder Sicherheitspatches mehr und bemerkenswerte 26 Prozent der Befragten seien sich über die Update-Politik ihrer Industrieausrüstung nicht im Klaren.

Weitere Informationen zum Thema:

datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 26.09.2024] Sämtliche Unternehmen, welche der neuen NIS-2-Regulierung unterliegen, sollten ihre Geräte-Software dringend zeitnah auf den neuesten Stand bringen – diese Erfordernis gilt für alle Geräte, Maschinen und Anlagen in Büro, Labor, Produktion und Logistik. „Der Regierungsentwurf NIS-2 ist verabschiedet und wartet nur noch auf Verkündung. Mit dem Inkrafttreten von NIS-2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cyber-Sicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind“, betont Jan Wendenburg, „CEO“ des deutschen Cyber-Sicherheitsunternehmens ONEKEY. Das Bundeskriminalamt (BKA) weise für das Jahr 2023 knapp 135.000 offiziell gemeldete Fälle von Cyber-Kriminalität aus und vermute ein Dunkelfeld von 90 Prozent – entsprechend etwa 1,5 Millionen Angriffen pro Jahr.

Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass ihre Geräte mit aktueller Software ausgestattet sind

Als typische Beispiele im Bürobereich nennt Wendenburg „Drucker, Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungs­systeme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutritts­kontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme“. In der Industrie kämen CNC-Maschinen, Fertigungsstraßen, Lager- und Logistiksysteme, autonome Fahrzeuge, Roboter, Sensoren und Anlagen aller Art hinzu.

Jan Wendenburg stellt klar: „Alle NIS-2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass all diese Geräte mit aktueller Software ausgestattet und damit bestmöglich gegen Cyber-Angriffe gewappnet sind.“ Die EU-Richtlinie „Network & Information Security 2″ (NIS-2) sei auf alle als sogenannte Kritische Infrastruktur (KRITIS) eingestuften Unternehmen anwendbar.

NIS-2 umfasst gesamte KRITIS-Lieferkette – sowie deren Lieferanten und Geschäftspartner!

Zur KRITIS zählen demnach Betreiber und Zulieferer in den Branchen Energie, Transport, Bankwesen, Finanzmarktinfrastruktur, Gesundheitswesen, Trinkwasser, Abwasser, Öffentliche Verwaltung, digitale Infrastruktur, IKT-Dienstleistungsmanagement, Post- und Kurierdienste, Abfall­wirtschaft, Raumfahrt, Herstellung, Produktion und Vertrieb von Chemikalien, Lebensmittelproduktion, -verarbeitung und -vertrieb, Herstellung von Medizin­produkten, Maschinen, Fahrzeugen sowie elektrischen / elektronischen Geräten und Forschungs­einrichtungen. Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) gehe von knapp 30.000 betroffenen Unternehmen aus und bietet online eine sogenannte NIS-2-Betroffenheitsprüfung an.

Wendenburg gibt hierzu zu bedenken: „NIS-2 umfasst die gesamte KRITIS-Lieferkette sowie deren Lieferanten und Geschäftspartner. Jedes Unternehmen, das beispielsweise Geschäftsbeziehungen zu einem Krankenhaus, einem Energieversorger oder einem Finanzdienstleister unterhält, sollte sich besser auf NIS-2 vorbereiten, also auch seine vernetzten Geräte im Büro, im Labor und in der Produktion.“

Kaum jemand kümmert sich bisher um Drucker-Software – NIS-2 erzwingt es

Nach Wendenburgs Einschätzung hätten die wenigsten Firmen die Resilienz gegenüber Hacker-Angriffen außerhalb der IT-Netzwerke im Blick. Er gibt ein praxisnahes Beispiel: „Die Druckersoftware steht oft nicht im Fokus, solange der Drucker reibungslos arbeitet. Tatsächlich aber können sich Hacker über veraltete Programme in Druckern Zugang zum Firmennetz verschaffen.“

Der Weg sei für geübte Programmierer ein Kinderspiel: „Die Hacker gehen vom Drucker aus, finden ein ,Active Directory’, führen eine Abfrage mit einem Konto des Druckers aus und landen im schlimmsten Fall mitten im IT-Herz des Unternehmens.“

Software-Stücklisten (SBOM) für NIS-2 und CRA erforderlich

Sogenannte Firmware (d.h. die in Geräten, Maschinen und Anlagen eingebettete Software) werde von vielen Experten als eine „kritische Lücke“ in der Sicherheitsstrategie von Unter­nehmen und Behörden gesehen. Die Empfehlung lautet daher, dass sich von NIS-2 betroffene Unternehmen schnellstmöglich von den Lieferanten aller im betrieblichen Einsatz befindlichen vernetzten Geräte im weitesten Sinne eine Software-Stückliste aushändigen lassen sollten.

Diese Stückliste – in Fachkreisen „Software Bill of Materials“ (SBOM) genannt – soll alle im Unternehmen eingesetzten Programme vollständig auflisten. Da es bei älteren Geräten – wie etwa einem seit zehn Jahren seinen Dienst verrichtenden Drucker – offenkundig meist schwierig sein wird, an die Firmware heranzukommen, empfiehlt Wendenburg den Einsatz von SBOM-Tools zur automatischen Erfassung aller Software-Komponenten und Generierung einer entsprechenden Software-Stückliste: „Das ist nicht nur für die NIS-2-Konformität von Bedeutung, sondern auch für den kommenden ,EU Cyber Resilience Act’ (CRA).“

NIS-2 erinnert daran, dass jede Cyber-Sicherheitskette nur so stark ist wie ihr schwächstes Glied…

Der technische Hintergrund sei: „Die Genauigkeit der Komponenten-Informationen wirkt sich unmittelbar auf die Effektivität des Abgleichs mit der Datenbank ,Common Vulnerabilities and Exposures’ (CVE) des US-amerikanischen National Cybersecurity Federally Funded Research and Development Center aus. Dort werden alle nachgewiesenen Schwachstellen in Software einschließlich Firmware zentral erfasst, so dass durch einen Abgleich festgestellt werden kann, ob das eigene Gerät längst bekannte – und damit auch den Hackern bekannte – Einfallstore für Cyber-Kriminelle aufweist.“

Wendenburg führt abschließend aus: „Eine lückenlose und aktuelle Inventarisierung der Software in allen Geräten, Maschinen und Anlagen, die mit dem IT-Netzwerk verbunden sind, ist die Voraussetzung für Cyber-Sicherheit und Compliance mit den rechtlichen Regularien von NIS-2 bis CRA.“ Er warnt zudem: „Jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied. Ein einziges Gerät mit veralteter Software kann ausreichen, um ein ganzes Unternehmen zur Zielscheibe von Cyber-Kriminellen zu machen!“ Angesichts von Tausenden von Cyber-Angriffen pro Tag stelle sich für ihn „nicht die Frage, ob ein Unternehmen von Hackern angegriffen wird, sondern wann und wie gut es davor geschützt ist“.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik (BSI)
NIS-2-Betroffenheitsprüfung

datensicherheit.de, 18.09.2024
NIS-2: Stichtag 17. Oktober 2024 lässt keinen Zweifel am Handlungsbedarf / Die NIS-2-Bedeutung geht über jene einer Übung zur Compliance hinaus – Cybersecurity bedeutet Zukunftssicherheit

datensicherheit.de, 28.08.2024
Software Bill of Materials: TeleTrusT veröffentlicht Leitfaden / Der aktuelle TeleTrusT-Leitfaden beschreibt verfügbare SBOM-Tools sowie zukünftige Anforderungen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zu Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf

[datensicherheit.de, 06.06.2024] Allein in den USA sind im Jahr 2024 bisher 14.286 „Common Vulnerabilities and Exposures“ (CVE) auf der Website des National Institute of Standards and Technology (NIST) veröffentlicht worden – diese bezeichnen Sicherheitslücken und andere Schwachstellen in Computersystemen, welche einem Hacker einen Cyber-Angriff ermöglichen können. ONEKEY weist in einer aktuellen Stellungnahme darauf hin, dass gemäß der kommenden EU-Gesetzgebung, dem „Cyber Resilience Act“ (CRA), Geräte demnächst nicht mehr mit bekannten ausnutzbaren Schwachstellen ausgeliefert werden dürfen. „Treten dennoch bekannte und ausnutzbare Schwachstellen auf, haften Hersteller, Verkäufer oder Importeure als Unternehmen und die gesamte Unternehmensführung.“

Foto: ONEKEY

Jan C. Wendenburg: Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit!

Cyber Resilience Act soll Kunden zu effektivem Anspruch auf sichere Software verhelfen

Beim Thema Cyber-Resilienz solle für die Zukunft unter der Gesetzgebung des „Cyber Resilience Act“ (CRA) klar sein, dass Kunden – im privaten wie im industriellen Umfeld – einen effektiven Anspruch auf sichere Software hätten. „Der Wettlauf allerdings, wer Schwachstellen zuerst entdeckt, geht weiter: Unternehmen sind daher gut beraten, jetzt sowohl eine effiziente CVE-Erkennung als auch ein ,Impact Assessment’ einzuführen, um die eigenen Produkte besser zu durchleuchten und sich gegen schwerwiegende Folgen von Schwachstellenszenarien zu wappnen.“

Jan C. Wendenburg, „CEO“ von ONEKEY, kommentiert: „Der CRA fordert von allen Herstellern verpflichtende Prüfungen, Überwachung und Dokumentation der Produkt-Cyber-Sicherheit, dazu gehört auch die Prüfung auf unbekannte Schwachstellen, den sogenannten ‚Zero Days‘.“

Wissen um die eigenen Cyber-Schwachstellen

Der Begriff „Zero Day“ stehe für neu entdeckte Sicherheitslücken, über die Hacker angreifen könnten, und bezieht sich auf „Null Tage“, welche ein Hersteller oder Entwickler Zeit habe, den Fehler zu beheben. Viele Hersteller oder sogenannte Inverkehrbringer würden die potenziellen Schwachstellen ihrer eigenen Produkte nur unzureichend kennen, welche sich beispielsweise bei Industriesteuerungen auch in Komponenten mit eigener Firmware von Zulieferern verbergen könnten. Generell könnten Hardware und Firmware sowie alle Geräte des Internets der Dinge (Internet of Things / IoT) von solchen Schwachstellen betroffen sein.

Mit dem „ONEKEY Compliance Wizard“ möchten die Cyber-Sicherheitsexperten von ONEKEY eine umfassende Cyber-Sicherheitsbewertung von Produkten mit digitalen Elementen anbieten. Durch die Kombination von automatischer Schwachstellenerkennung, CVE-Priorisierung und Filterung mit einem ganzheitlichen, interaktiven Compliance-Fragebogen werden demnach Aufwand und Kosten von Cyber-Sicherheits-Compliance-Prozessen deutlich reduziert und das Risiko drohender Bußgelder minimiert. „Wer nicht pünktlich zum Start des CRA ganz vorne in der Reihe der Bußgeld-Zahler stehen will, muss bereits jetzt Prozesse schaffen, um die eigenen Risiken analysieren und patchen zu können“, unterstreicht Wendenburg.

Gesamte Lieferkette muss hinsichtlich der Cyber-Sicherheit von Produkten und Komponenten dokumentiert werden

Mit einem „CRA Assessment“ könne die aktuelle und zukünftige Compliance zu den CRA-Anforderungen ermittelt und so frühzeitig potenzieller Handlungsbedarf identifiziert werden. „Dafür können Unternehmen auf das Wissen der ONEKEY-Experten für Cyber-Sicherheit zurückgreifen.“ Hersteller und Importeure müssten im Zuge der neuen Anforderungen auch eine umfassende Dokumentation der Soft- und Firmwarekomponenten ihrer Produkte führen. Dafür sei nach CRA-Vorschriften eine Software-Stückliste (Software Bill of Materials / SBOM) zu erstellen und zu überwachen. So könne die gesamte Lieferkette hinsichtlich der Sicherheit von Produkten und Komponenten – also auch zugekaufte Komponenten mit eigener Firmware – dokumentiert werden.

Diese Anforderungen könnten mit vertretbarem Aufwand nur durch Automatisierung effizient abgebildet werden. Mit der „ONEKEY PLATFORM“ z.B. könne die Firmware automatisch auf Schwachstellen untersucht und eine SBOM erzeugt werden. Alle Geräte benötigten zukünftig entweder eine Sicherheits-Selbsterklärung oder externe Zertifizierung. „Durch Automatisierung lässt sich der Aufwand bei der Selbsterklärung oder Vorbereitung der Zertifizierung deutlich reduzieren. Dies stellen wir mit der „ONEKEY PLATFORM“ einfach zur Verfügung. Jetzt liegt es an den Unternehmen, die notwendigen Maßnahmen zur Erfüllung des CRA auch umzusetzen“, betont Wendenburg abschließend.

Weitere Informationen zum Thema:

ONEKEY PLATFORM
CUT COSTS AND TIME FOR PRODUCT CYBERSECURITY COMPLIANCE MANAGEMENT

datensicherheit.de, 13.05.2024
Blinder Fleck der Cybersecurity: Software-Lieferketten als Einfallstor / Eine große Mehrheit der Unternehmen hatte einen Cyber-Vorfall innerhalb der vergangenen zwölf Monate

datensicherheit.de, 07.05.2024
Cyber Resilience Act: Verstöße können Unternehmen CE-Kennzeichnung kosten / Hersteller, Importeure und Händler sollten umgehend cyber-sicherheitskonforme Prozesse schaffen und automatisieren

datensicherheit.de, 07.12.2023
SBOM : Software-Inventarliste wird Pflicht für alle Geräte / Whitepaper zur Software Bill of Materials (SBOM) zeigt kommende gesetzliche Anforderungen und Pflichten auf