Thought Leadership
Cyberkriminelle setzen vermehrt auf Supply-Chain-Angriffe – eine perfide Methode mit enormem Schadpotenzial. Besonders gefährdet ist die vernetzte Industrie mit ihren langlaufenden Embedded Systems und kaum kontrollierten Zuliefer-Komponenten.
Industrie zunehmend von Supply-Chain-Angriffen bedroht
Die europäische Cybersicherheitsbehörde ENISA warnt deutlich: Angriffe auf Software-Lieferketten zählen mittlerweile zur größten digitalen Bedrohung in Europa. In der Industrie rückt damit ein oft übersehener Schwachpunkt in den Fokus – Embedded Systems, also smarte Systeme in Maschinen, Geräten und Steuerungen, die durch externe Software-Bestandteile kompromittiert werden können. Die Zahl solcher Attacken in der EU hat sich seit 2020 mehr als verdoppelt.
Das Düsseldorfer Sicherheitsunternehmen ONEKEY schlägt Alarm: Angreifer schleusen ihre Schadsoftware häufig über externe Bibliotheken, Firmware-Updates oder Drittanbieter-Komponenten ein. Besonders perfide ist dabei, dass die Attacke nicht nur das betroffene Unternehmen trifft, sondern über infizierte Produkte auch auf Kunden übergreifen kann.
Verwundbare Maschinen: OT-Systeme unter Beschuss
Industrieanlagen, IoT-Geräte und Maschinensteuerungen – sogenannte OT-Systeme – sind aufgrund ihrer langen Laufzeiten und veralteten Sicherheitsmechanismen ein ideales Ziel. Diese Systeme werden nur selten umfassend überprüft oder aktualisiert. ONEKEY-CEO Jan Wendenburg fordert deshalb: „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein.“
Die Bedrohung ist real: Laut einer aktuellen ENISA-Analyse wurden zwei Drittel der Unternehmen in Europa bereits durch kompromittierte Zulieferer in Mitleidenschaft gezogen. Weltweit summieren sich die Schäden durch solche Angriffe laut Cybersecurity Ventures auf jährlich rund 80 Milliarden US-Dollar.
Unsichere Vorprodukte: Eine tickende Zeitbombe
Deutsche Industrieunternehmen sind in hohem Maße auf internationale Vorprodukte angewiesen – jährlich im Wert von rund 370 Milliarden US-Dollar. Jedes digitale oder softwaregestützte Bauteil birgt potenzielle Risiken. Denn sobald eine fehlerhafte Komponente in ein Endprodukt eingebaut ist, lässt sich der Schadcode im schlimmsten Fall mit jeder Auslieferung vervielfältigen.
Das betrifft nicht nur Eigenentwicklungen, sondern auch zugekaufte Module. „Daher sollten Embedded Systems, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden.“, erklärt Wendenburg.
Echtzeit-Systeme und Open Source im Fokus
Insbesondere Echtzeitbetriebssysteme (RTOS), wie sie in industriellen Anwendungen weit verbreitet sind, stellen eine Herausforderung dar. ONEKEY hat seine Plattform OCP jüngst so weiterentwickelt, dass nun auch diese schwer analysierbaren Systeme auf Schwachstellen untersucht werden können.
Ein weiteres Einfallstor stellen Open-Source-Komponenten dar, die in rund 80 Prozent aller Firmware-Stapel integriert sind. Bibliotheken wie BusyBox oder OpenSSL können in vielen Geräten gleichzeitig zur Achillesferse werden. Der Fall Log4Shell im Jahr 2021 hat eindrucksvoll demonstriert, wie eine weitverbreitete Schwachstelle in einer Java-Bibliothek weltweit kritische Systeme lahmlegen kann.
Pflicht zur Sicherheit: Rechtlicher Druck steigt
Mit der zunehmenden Digitalisierung steigt nicht nur das Risiko, sondern auch der regulatorische Druck. Gesetze wie der EU Cyber Resilience Act (CRA) oder die Radio Equipment Directive (EN18031) verpflichten Hersteller zur Gewährleistung der Cybersicherheit vernetzter Produkte. Tools wie der Compliance Wizard von ONEKEY helfen dabei, diese Anforderungen automatisiert zu erfüllen.
Fazit: Kein Unternehmen ist zu klein für ein großes Problem
Die Prognosen sind alarmierend: Laut Gartner wird bis Ende 2025 nahezu jedes zweite Unternehmen weltweit von einem Supply-Chain-Angriff betroffen sein. Das stellt für die Industrie ein ernstzunehmendes Risiko dar – mit potenziellen Folgen für Produktion, Lieferfähigkeit und Unternehmensreputation.
Wendenburg bringt es auf den Punkt: „Es ist höchste Zeit, Software für Embedded Systeme, unabhängig ob aus eigenem Haus oder von Lieferanten, systematisch vor dem Einsatz und laufend zu überprüfen.“ Wer das versäumt, riskiert nicht nur wirtschaftliche Schäden – sondern den Vertrauensverlust seiner Kunden.
(vp/ONEKEY)
