Thought Leadership
Mit einer neuen Cybersicherheitsagenda will die Bundesregierung die Sicherheit von Industrieanlagen verbessern. Das allerdings scheint sich nicht zu erfüllen, kritisiert der Verband Deutscher Maschinen- und Anlagenbau (VDMA). Der Verband habe sich eine breitere Unterstützung und Förderung der Resilienz in der Softwarelieferkette versprochen.
„Leider erfüllt die Agenda diesen Anspruch nicht“, sagt Claus Oetter, Geschäftsführer beim VDMA für Software und Digitalisierung, in einer Presseerklärung. Das bestätigt auch das auf Anlagen- und IoT-Sicherheit spezialisierte Unternehmen ONEKEY: Cyberangriffe auf ,,Industrial Automation and Control Systems“ (IACS) seien auf dem Vormarsch. „In der Vergangenheit waren vor allem IT- und IoT-Systeme das Ziel von Cyberkriminellen. Doch dieselben Bedrohungen, wie Ransomware-Angriffe und das Zusammenschließen von Geräten zu massiven Botnetzen, betreffen zunehmend auch IACS und bilden ein enormes und kaum kalkulierbares Risiko“, erklärt Jan Wendenburg, CEO von ONEKEY und Betreiber einer der führenden automatisierten Plattformen zur selbsttätigen Analyse von Firmware, die in industriellen Anlagensteuerungen aller Art, insbesondere kritischen Infrastrukturen (KRITIS), sowie vernetzten Geräten eingesetzt werden.
Softwarelieferkette braucht Überwachung
Den Hackern wird es dabei allzu oft leichtgemacht, ergeben die fortlaufenden Analysen von ONEKEY. „Die internen Komponenten der zum Betrieb notwendigen Firm- und Software sind oft unbekannt und werden von mangelnder Transparenz dominiert. Die gesamte Softwarelieferkette transparent zu machen ist umso schwieriger, wenn der Quellcode der betroffenen Komponenten nicht verfügbar ist. Eine aus dem Binär-Code automatisiert erstellte SBOM (Software Bill of Materials), oder Software-Stückliste, kann für alle die Transparenz schaffen und die Schritte ermöglichen, vor denen die Politik noch zurückschreckt. In diesem Fall muss die Wirtschaft übernehmen“, so Wendenburg von ONEKEY. Dazu hat das Unternehmen ein Whitepaper veröffentlicht, in dem die Problemstellung wie auch Lösungsszenarien dezidiert dargelegt werden. Cyberkriminelle haben laut VDMA Software und Digitalisierung der deutschen Industrie mit sogenannten Ransomware-Angriffen zumindest bereits jetzt einen immensen Schaden zugefügt. Die Kosten solcher Cyberangriffe sollen sich durchaus auf eine Million Euro pro Tag beziffern lassen, und oft stehen die Produktionsanlagen nach einem Hackerangriff laut VDMA zwischen vier und acht Wochen still.
IEC 62443 Richtline legt Grundlagen
Die erhöhte Risikosituation führt zu wachsenden Sicherheitsanforderungen für Anlagenbesitzer und Systemintegratoren. Die International Electrotechnical Commission (IEC) hat seit 2009 eine Reihe von Richtlinien für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen erarbeitet: die IEC 62443. „In modernen Anlagen bestehen 80 bis 90 Prozent der Codebasis aus Softwarekomponenten von Drittanbietern. Da ein Großteil der Codebasis nicht unter der direkten Kontrolle des Anbieters steht, geht ein erheblicher Teil des Risikos und der Gefährdung von Softwarekomponenten Dritter aus“, ergänzt Jan Wendenburg von ONEKEY. Mit der automatisierten Erstellung von SBOMs und Schwachstellenanalysen auf der Basis der Compliance-Plattform ONEKEY wird ein wesentlicher Beitrag zur Einhaltung der IEC 62443-4-1 geleistet – bei einem gleichzeitig hohen Automatisierungsanteil.
Weitere Informationen:
Das komplette Whitepaper „Tackling Software Supply Chain Risks with IEC 62443 and SBOM“ kann hier heruntergeladen werden.
onekey.com
