Experten empfehlen: Risiken in der Softwarelieferkette von Industrieanlagen & Produkten bewältigen

Experten empfehlen: Risiken in der Softwarelieferkette von Industrieanlagen & Produkten bewältigen

Neues Experten-Whitepaper zur Bewältigung von Risiken in der Softwarelieferkette mittels IEC 62443 und automatischen Software-Stücklisten jetzt verfügbar!

Düsseldorf, 7. September 2022 – Mit einer neuen Cybersicherheitsagenda will die Bundesregierung die Sicherheit von Industrieanlagen verbessern. Das allerdings scheint sich nicht zu erfüllen, kritisiert der Verband Deutscher Maschinen- und Anlagenbau (VDMA). Der Verband habe sich eine breitere Unterstützung und Förderung der Resilienz in der Lieferkette versprochen. „Leider erfüllt die Agenda diesen Anspruch nicht“, sagt Claus Oetter, Geschäftsführer beim VDMA für Software und Digitalisierung, in einer Presseerklärung. Das bestätigt auch das auf Anlagen- und IoT-Sicherheit spezialisierte Unternehmen ONEKEY: Cyberangriffe auf ,,Industrial Automation and Control Systems“ (IACS) seien auf dem Vormarsch. „In der Vergangenheit waren vor allem IT- und IoT-Systeme das Ziel von Cyberkriminellen. Doch dieselben Bedrohungen, wie Ransomware-Angriffe und das Zusammenschließen von Geräten zu massiven Botnetzen, betreffen zunehmend auch IACS und bilden ein enormes und kaum kalkulierbares Risiko“, erklärt Jan Wendenburg, CEO von ONEKEY und Betreiber einer der führenden automatisierten Plattformen zur selbsttätigen Analyse von Firmware, die in industriellen Anlagensteuerungen aller Art, insbesondere kritischen Infrastrukturen (KRITIS), sowie vernetzten Geräten eingesetzt werden.

Softwarelieferkette braucht Überwachung   
Den Hackern wird es dabei allzu oft leichtgemacht, ergeben die fortlaufenden Analysen von ONEKEY. „Die internen Komponenten der zum Betrieb notwendigen Firm- und Software sind oft unbekannt und werden von mangelnder Transparenz dominiert. Die gesamte Softwarelieferkette transparent zu machen ist umso schwieriger, wenn der Quellcode der betroffenen Komponenten nicht verfügbar ist. Eine aus dem Binär-Code automatisiert erstellte SBOM (Software Bill of Materials), oder Software-Stückliste, kann für alle die Transparenz schaffen und die Schritte ermöglichen, vor denen die Politik noch zurückschreckt. In diesem Fall muss die Wirtschaft übernehmen“, so Wendenburg von ONEKEY. Dazu hat das Unternehmen ein Whitepaper veröffentlicht, in dem die Problemstellung wie auch Lösungsszenarien dezidiert dargelegt werden. Cyberkriminelle haben laut VDMA Software und Digitalisierung der deutschen Industrie mit sogenannten Ransomware-Angriffen zumindest bereits jetzt einen immensen Schaden zugefügt. Die Kosten solcher Cyberangriffe sollen sich durchaus auf eine Million Euro pro Tag beziffern lassen, und oft stehen die Produktionsanlagen nach einem Hackerangriff laut VDMA zwischen vier und acht Wochen still. 

IEC 62443 Richtline legt Grundlagen  
Die erhöhte Risikosituation führt zu wachsenden Sicherheitsanforderungen für Anlagenbesitzer und Systemintegratoren. Die International Electrotechnical Commission (IEC) hat seit 2009 eine Reihe von Richtlinien für die Sicherheit von industriellen Automatisierungs- und Steuerungssystemen erarbeitet: die IEC 62443. „In modernen Anlagen bestehen 80 bis 90 Prozent der Codebasis aus Softwarekomponenten von Drittanbietern. Da ein Großteil der Codebasis nicht unter der direkten Kontrolle des Anbieters steht, geht ein erheblicher Teil des Risikos und der Gefährdung von Softwarekomponenten Dritter aus“, ergänzt Jan Wendenburg von ONEKEY. Mit der automatisierten Erstellung von SBOMs und Schwachstellenanalysen auf der Basis der Compliance-Plattform ONEKEY wird ein wesentlicher Beitrag zur Einhaltung der IEC 62443-4-1 geleistet – bei einem gleichzeitig hohen Automatisierungsanteil.

Das komplette Whitepaper „Tackling Software Supply Chain Risks with IEC 62443 and SBOM“ kann hier heruntergeladen werden.

Über ONEKEY:  
ONEKEY ist ein führender europäischer Spezialist für automatische Security & Compliance Analysen für Geräte in der Industrie (IIoT), Produktion (OT) und dem Internet der Dinge (IoT). Über automatisch erstellte „Digital Twins“ und „Software Bill of Materials (SBOM)“ der Geräte analysiert ONEKEY eigenständig Firmware auf kritische Sicherheitslücken und Compliance Verstöße, ganz ohne Sourcecode, Geräte- oder Netzwerkzugriff. Schwachstellen für Angriffe und Sicherheitsrisiken werden in kürzester Zeit identifiziert und können so gezielt behoben werden. Die einfach in die Software-Entwicklung und Procurement-Prozesse zu integrierende Lösung ermöglicht für Hersteller, Inverkehrbringer und Nutzer von IoT-Technologie die schnelle, automatische Sicherheits- und Compliance Prüfung bereits vor einer Nutzung und darüber hinaus 24/7 über den kompletten Produktlebenszyklus. Führende Unternehmen, wie z. B. SWISSCOM, VERBUND AG und ZYXEL, nutzen heute diese Plattform – Universitäten und Forschungseinrichtungen können die ONEKEY Plattform für Studienzwecke kostenfrei nutzen.