IT-Studie deckt eklatante Schwachstellen auf: Industrie muss IoT-Steuerungen schützen
IT-Studie deckt eklatante Schwachstellen auf: Industrie muss IoT-Steuerungen schützen
Industrieanlagen rücken weltweit in den Hacker-Fokus und bergen enorme Risiken
Düsseldorf, 2. Juni 2022 – Mit der steigenden Nutzung intelligenter und in ein gesamtes Fertigungsnetzwerk eingebundenen Maschinen steigt das Risiko von Hackerangriffen enorm. Eine IT-Studie deckt auf, dass viele industrielle Unternehmen dieses Risiko kaum wahrnehmen und daher auch keine Compliance-Regeln für die Anschaffung und den Betrieb von IoT-Anlagen implementiert haben. Nur knapp über die Hälfte der über 300 befragten Wirtschaftsvertreter gibt an, über Compliance-Regelungen für IoT-Sicherheit im Unternehmen zu verfügen, 35 Prozent haben keine Regeln. Die Zahlen wurden durch das IT-Unternehmen ONEKEY im Rahmen des „IoT-Sicherheitsreports 2022“ ermittelt. „Die vernetzte Fertigung ist ebenso effizient wie gefährlich. Die Anlagen verfügen über zahlreiche Hardware-Bausteine, die eine eigene Firmware nutzen und mittlerweile mehr denn je im Fokus von Hackern stehen“, warnt Jan Wendenburg, CEO von ONEKEY. Das auf IT-Security spezialisierte Unternehmen betreibt eine automatisierte Analyseplattform für Software von smarten Produkten mit einem Netzwerkanschluss, vor allem aber intelligente industrielle Steuerungssysteme und Produktionsanlagen. Der Großteil aller Unternehmen vertraut bei der Absicherung von IoT-Infrastrukturen auf Bedrohungsanalysen (50 Prozent) und vertragliche Anforderungen an Lieferanten (42 Prozent). „Damit ist im Zweifel die Haftungsfrage geklärt – aber Unternehmen ist nicht klar, dass eine dezidierte Attacke auf Fertigungsanlagen innerhalb weniger Tage die Existenz einer Firma bedrohen kann“, sagt Jan Wendenburg von ONEKEY.
Vorbild Prozessindustrie Das Vertrauen der im Rahmen der Studie befragten mehr als 300 Wirtschaftsrepräsentanten in die eigenen IT-Sicherheitsmaßnahmen zeigt die Unsicherheit: Nur 26 Prozent halten die eigene IoT-Sicherheit für vollständig ausreichend, 49 Prozent nur für teilweise ausreichend. Fast 15 Prozent hingegen halten die eigenen Maßnahmen sogar für nicht ausreichend oder sogar mangelhaft. Selbst Penetration Testing genießt kein volles Vertrauen – nur 14 Prozent sehen darin einen effizienten Weg, die Sicherheit einer Infrastruktur zu prüfen. 68 Prozent sehen es als teilweise effizient an. „Das Problem muss an der Wurzel gepackt werden, direkt während der Produktion der Anlagen, Maschinen und Endpoints. Die IT-Branche könnte sich an der Prozessindustrie – beispielsweise der Pharmabranche – orientieren. Dort ist es gesetzliche Pflicht, eine komplette Rückverfolgbarkeit und Transparenz über jeden Bestandteil eines Produktes zu haben. Das müsste in der IT ebenso Standard sein, um die Risiken durch leicht von Hackern zu attackierende Firmware von Produktionsanlagen und anderen Endpoints zu eliminieren. Jedes Stück unbekannte Software auf einem Gerät oder einem einfachen Baustein eines Devices ist ein schwarzes Loch mit vollem Risiko, von einem Hacker oder ganzen Gruppierungen attackiert zu werden“, sagt Jan Wendenburg, CEO von ONEKEY. Für diese Software-Stückliste, auch genannt „SBOM – Software Bill of Materials“, sprechen sich auch 75 Prozent der Befragten aus.
Studie bekräftigt Forderung nach Herkunftsnachweis Der Schaden kann indes schnell in die Millionen gehen: 35 Prozent der für die Studie befragten IT-Verantwortlichen und Entscheider halten einen jährlichen Schaden von bis zu 100 Millionen Euro für realistisch, weitere 24 Prozent sogar bis zu 500 Millionen, 17 Prozent mehr als 500 Millionen Euro. „Da die Zahlen zwischen Januar und Februar 2022 erfragt wurden, kann man jetzt ein weit dramatischeres Bild zeichnen. Seitdem wir wissen, dass IT-Angriffe auch Teil einer Kriegsführung sind, müssen wir uns noch besser schützen. Zumal auch, durch die Sanktionen bedingt, eine weiter zunehmende Wirtschaftsspionage zu erwarten ist. Auch hier können Schwächen in der Firmware das Eindringen von Hackern begünstigen und sogar nahezu unsichtbar machen, weil bei einem Hack über industrielle Systeme oder Geräte oftmals klassische Sicherungsmaßnahmen versagen“, erklärt Jan Wendenburg von ONEKEY.
Über ONEKEY: ONEKEY (vormals IoT Inspector) ist die führende europäische Plattform für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance-Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach in die Software-Entwicklung und Procurement-Prozesse zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle, automatische Sicherheits- und Compliance-Prüfung bereits vor einer Nutzung und darüber hinaus 24/7 über den kompletten Produktlebenszyklus. Führende Unternehmen, wie z. B. SWISSCOM, VERBUND AG und ZYXEL, nutzen heute diese Plattform – Universitäten und Forschungseinrichtungen können die ONEKEY Plattform für Studienzwecke kostenfrei nutzen.
Weitere Informationen: ONEKEY GmbH, Kaiserswerther Straße 45, 40477 Düsseldorf, Deutschland, Sara Fortmann, E-Mail: sara.fortmann@onekey.com, Web: www.onekey.com
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Comments are closed