Experten empfehlen: Risikomanagement in der Software-Lieferkette von Industrieanlagen und Produkten

- Mit einer neuen Cybersicherheitsagenda will die Bundesregierung die Sicherheit von Industrieanlagen verbessern. Das scheint sich aber nicht zu verwirklichen, kritisiert der Verband Deutscher Maschinen- und Anlagenbau (VDMA). Der Verband hatte eine breitere Unterstützung und Förderung der Resilienz in der Lieferkette erwartet. „Leider wird die Agenda diesem Anspruch nicht gerecht“, sagt Claus Oetter, Geschäftsführer Software & Digitalisierung beim VDMA, der größten Netzwerkorganisation und einer wichtigen Stimme der Maschinenbauindustrie in Deutschland und Europa, in einer . ONEKEY, ein auf Anlagen- und IoT-Sicherheit spezialisiertes Unternehmen, bestätigt dies und sagt: Cyberangriffe auf „Industrial Automation and Control Systems“ (IACS) nehmen zu. „In der Vergangenheit waren IT- und IoT-Systeme die Hauptziele von Cyberkriminellen. Dieselben Bedrohungen wie Ransomware-Angriffe und die Vernetzung von Geräten zu riesigen Botnetzen wirken sich jedoch zunehmend auf IACS aus und stellen ein riesiges und kaum kalkulierbares Risiko dar „, erklärt Jan Wendenburg, CEO von ONEKEY und Betreiber einer der führenden automatisierten Plattformen für die automatische Analyse von Firmware, die in industriellen Anlagensteuerungssystemen aller Art, insbesondere kritischer Infrastrukturen (CRITIS), sowie in vernetzten Geräten verwendet wird. Allzu oft wird es Hackern zu einfach gemacht, wie die laufenden Analysen von ONEKEY zeigen. „Die internen Komponenten der für den Betrieb erforderlichen Firmware und Software sind oft unbekannt und es herrscht ein Mangel an Transparenz. Die gesamte Software-Lieferkette transparent zu machen, ist noch schwieriger, wenn der Quellcode der betroffenen Komponenten nicht verfügbar ist. Eine automatisierte SBOM (Software Bill of Materials), die aus dem Binärcode erstellt wird, kann für Transparenz für alle sorgen und die Schritte ermöglichen, vor denen die politischen Entscheidungsträger immer noch zurückschrecken. In diesem Fall muss die Geschäftswelt das Ruder übernehmen „, sagt Wendenburg von ONEKEY. Zu diesem Zweck hat das Unternehmen ein Whitepaper veröffentlicht, das das Problem sowie Lösungsszenarien entscheidend skizziert. Laut VDMA haben Cyberkriminelle der Software und der Digitalisierung der deutschen Industrie bereits mit sogenannten Ransomware-Angriffen immensen Schaden zugefügt. Die Kosten solcher Cyberangriffe sollen sich auf deutlich Millionen Euro pro Tag belaufen, und Produktionsanlagen stehen laut VDMA häufig zwischen vier und acht Wochen nach einem Hackerangriff still. Die erhöhte Risikosituation führt zu wachsenden Sicherheitsanforderungen für Anlagenbesitzer und Systemintegratoren. Seit 2009 hat die International Electrotechnical Commission (IEC) eine Reihe von Richtlinien für die Sicherheit industrieller Automatisierungs- und Steuerungssysteme entwickelt: die IEC 62443. „In modernen Anlagen bestehen 80 bis 90 Prozent der Codebasis aus Softwarekomponenten von Drittanbietern. Da ein Großteil der Codebasis nicht unter der direkten Kontrolle des Anbieters steht, geht ein erheblicher Teil des Risikos und der Gefährdung von Softwarekomponenten von Drittanbietern aus „, fügt Jan Wendenburg von ONEKEY hinzu. Mit der automatisierten Erstellung von SBOMs und Schwachstellenanalysen auf Basis der ONEKEY-Compliance-Plattform wird ein wesentlicher Beitrag zur Einhaltung von IEC 62443-4-1 geleistet — bei gleichzeitig hohem Automatisierungsgrad. Das vollständige Whitepaper „Bekämpfung von Risiken in der Softwarelieferkette mit IEC 62443 und SBOM“ kann heruntergeladen werden .