Gravierende Mängel in der industriellen Cybersicherheit

Illustration Absmeier foto freepik ki

  • Fast die Hälfte der Befragten hält die aktuellen Schutzmaßnahmen der Wirtschaft vor Cyberangriffen für unzureichend.
  • Fast ein Drittel kennt die relevanten Standards und Vorschriften nicht.

 

Bei einer aktuellen Befragung von IT-Verantwortlichen aus der deutschen Industrie zeigte sich nicht einmal die Hälfte (46 Prozent) davon überzeugt, dass die Wirtschaft ausreichend vor Cyberangriffen geschützt ist. Weniger als ein Drittel (29 Prozent) sind eigenen Angaben zufolge mit den für ihre Branche relevanten Vorschriften und Standards zur Cybersicherheit wirklich vertraut; ein Viertel kennt diese gar nicht. Das sind Schlüsselergebnisse aus dem »OT+IoT Cybersecurity Report 2024« des Düsseldorfer Cybersicherheitsunternehmens ONEKEY. Für den Report zur Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) wurden im Frühjahr 2024 über 300 Industrieunternehmen befragt. Neben IT-Verantwortlichen kamen auch Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) zu Wort. Der Report erscheint im Oktober auf der ONEKEY-Website.

Das ernüchternde Ergebnis der Studie lässt sich wie folgt zusammenfassen: Obwohl sich die industrielle Digitalisierung seit Jahren beschleunigt und immer mehr Software in Steuerungssystemen verwendet wird, scheint das Bewusstsein für die damit verbundenen Cyberrisiken bei vielen Herstellern und Betreibern deutlich unterentwickelt. »Dies ist bereits heute eine konkrete Gefahr für Hersteller und damit alle Betreiber von industriellen Geräten und Infrastrukturen«, formuliert der CEO von ONEKEY, Jan Wendenburg.

Die Gründe erklärt er wie folgt: »Für viele Hersteller ist es schwierig die wirklich relevanten Compliance-Vorschriften zu identifizieren. International ist viel in Bewegung, der neue Cyber Resiliance Act in der EU, der PSTI in England, der Biden Act in USA und viele andere. Daher haben wir einen Compliance Wizard entwickelt, der in einer Kombination aus automatisierter Cybersicherheitsprüfung und virtuellem Assistenten Unternehmen durch ein vereinfachtes Assessment der organisatorischen Compliance führt. Die daraus resultierende Dokumentation kann unmittelbar für die künftige Nachweispflicht in Cybersicherheitsfragen und zusätzliche Zertifizierungen genutzt werden.«

 

Industrielle Steuerungen und IoT-Geräte werden vernachlässigt

Bei herkömmlichen Cybersicherheitsanalysen stehen vor allem Computersysteme und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen sowie IoT-Geräte (Internet of Things) häufig weniger Beachtung finden, so die Ergebnisse des ONEKEY-Reports. Die Mehrheit der Befragten (51 Prozent) ist jedoch überzeugt, dass die Hackerszene schon einen Fokus auf den Missbrauch von Maschinen- und Anlagensteuerungen sowie IoT-Geräten gelegt hat. Sie vermuten, dass Cyberkriminelle diese bereits aktiv als Einfallstor in Firmennetzwerke nutzen. Ein weiteres knappes Viertel (23 Prozent) erwartet, dass sich künftig immer mehr Hacker bei ihren digitalen Beutezügen auf Industriesteuerungen und das Internet of Things konzentrieren werden.

»Somit gehen beinahe drei Viertel der kontaktierten Führungskräfte aus der Industrie davon aus, dass Hacker zunehmend industrielle Steuerungen und IoT-Geräte angreifen. Für die Hersteller dieser Steuerungen und Geräte ist es daher von höchster Dringlichkeit, ihre Produkte vor Cyberangriffen zu schützen«, mahnt ONEKEY-CEO Jan Wendenburg zur Eile.

Fast die Hälfte (46 Prozent) der Betroffenen kann die Frage, welche technischen Standards für die Cybersicherheit in Geräten, Maschinen und Anlagen von Bedeutung sind, nicht beantworten, ist dem »OT+IoT Cybersecurity Report 2024« von ONEKEY zu entnehmen. Weniger als ein Viertel (23 Prozent) hält den neuen Cyber Resilience Act (CRA) der Europäischen Union für relevant, obwohl nach aktuellem Zeitplan ab 2027 in der Europäischen Union keine Geräte und Industriesteuerungen mehr verkauft werden dürfen, die nicht dem CRA entsprechen.

»Angesichts von üblichen Entwicklungszeiten von mehr als zwei Jahren ist es verwunderlich, wie wenig Bewusstsein für die Bedeutung der neuen Regulatorik rund zwei, bzw. drei Jahre vor Inkrafttreten herrscht«, registriert Jan Wendenburg. Er führt aus: »Wenn Steuerungssysteme ab 2027 nicht den CRA-Anforderungen entsprechen, stellt das nicht nur die Hersteller von Geräten, Maschinen und Anlagen vor erhebliche Probleme, sondern auch die industriellen Anwender. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, die Cybersicherheit im OT- und IoT-Bereich zügig auf das gesetzlich geforderte Mindestmaß aufzurüsten.«

 

OT und IoT werden vernachlässigt

Die weit verbreitete Unkenntnis über Cybersicherheit im OT- und IoT-Bereich hängt laut Report damit zusammen, dass die meisten Unternehmen andere Unternehmensbereiche als stärker gefährdete Angriffsziele für Hacker einstufen und die industriellen Komponenten daher vernachlässigen. So halten 42 Prozent der für den »OT+IoT Cyber Security Report 2024« befragten Führungskräfte die Zahlungs- und Finanzsysteme für besonders schützenswert vor Cyberangriffen. 39 Prozent (Mehrfachnennungen waren möglich) sehen die größte Gefahr in Angriffen auf Unternehmensnetzwerke und Rechenzentren. 36 Prozent glauben, dass es Hacker auf Kundendaten abgesehen haben. Gut ein Viertel (26 Prozent) befürchtet, dass die E-Mail-Kommunikation von Unbefugten abgefangen wird. Genau ein Viertel befürchtet den Abfluss von Geschäftsgeheimnissen und Patentunterlagen. Gut ein Fünftel (22 Prozent) stuft Cloud-Dienste als ein Einfallstor für Hacker ein. Weitere besonders schützenswerte Bereiche sind laut Umfrage: personalisierte Arbeitsplatzsysteme (16 Prozent), Überwachungs- und Sicherheitssysteme (16 Prozent), kritische Infrastrukturen und Gesundheitsdaten (15 Prozent), Telekommunikationsanlagen (12 Prozent), Webapplikationen und Webseiten (9 Prozent) sowie Big Data und Systeme mit künstlicher Intelligenz (8 Prozent).

In den Bereichen OT und IoT wird das Bedrohungspotenzial vergleichsweise gering eingestuft, ergab die Umfrage. Nur 11 Prozent der Befragten halten Produktions- und Lieferkettenmanagementsysteme für ein primäres Ziel von Cyberkriminellen. Nur 12 Prozent gehen von Hackerangriffen auf Geräte und Systeme aus dem Internet der Dinge aus. Produktionsanlagen und industrielle Steuerungen (OT-Systeme) hält nicht einmal ein Zehntel (9 Prozent) einer ernsthaften Gefahr durch Angreifer aus dem Internet ausgesetzt. Nur bei mobilen Anwendungen und Geräten wird das Risiko als noch geringer eingestuft (5 Prozent).

Der ONEKEY-Chef appelliert an die Industrie, bei ihren Zulieferern auf die notwendige Cybersicherheit von Geräten, Maschinen und Anlagen zu drängen. Er erklärt: »Natürlich müssen die Hersteller sicherstellen, dass ihre Produkte CRA-konform sind. Aber ein Unternehmen, das keine CRA-konformen Produkte im Einsatz hat, ist ebenfalls nicht optimal aufgestellt. Es liegt daher im Interesse aller an der Industrie 4.0 Beteiligten, dem Thema Cybersicherheit über Computer und Netzwerke hinausgehend auch bei industriellen Steuerungssystemen und dem Industrial Internet of Things die Aufmerksamkeit zu widmen, die ihm gebührt.«

 

1731 Artikel zu „Cybersicherheit Industrie“

Die Bedeutung der Cybersicherheit für die Lebensmittelindustrie

Wie die Anforderungen der EU NIS 2-Direktive der Industrie helfen, Cyberangriffe abzuwehren.   Derzeit setzt die Lebensmittelindustrie im Einklang mit den Trends der Industrie 4.0 zunehmend auf eine intelligente Fertigung. Immer mehr ICT (Informations- und Kommunikationstechnologie) -Lösungen werden eingesetzt, um Produktionslinien zu optimieren, Qualität und Effizienz zu steigern und die hohen Anforderungen der Verbraucher an…

Vernachlässigt die deutsche Industrie die Cybersicherheit?

Während sich die Produktion immer weiter in Richtung Industrie 4.0 bewegt, bleibt die IT-Sicherheit in vielen Fällen auf der Strecke. Hacker strecken ihre Fühler auch in Richtung produzierendes Gewerbe aus, dass durch zunehmende Vernetzung in den Fokus von Cyber-Attacken geraten ist. Stichworte sind hier die Konvergenz von IT und OT. Die maschinelle Kommunikation und Vernetzung eröffnet nicht nur neue Wege in Hinsicht auf Effizienz und Datenverarbeitung in der Produktion, sondern leider auch Einfallstore für Hacker. Die Bedrohungslandschaft in Deutschland hat sich zu einem komplexen Konstrukt entwickelt.

Cybersicherheit im Jahr 2018 für industrielle Steuerungssysteme und Produktionsumgebungen

Cyberangriffe auf Produktionsumgebungen und industrielle Steuerungssysteme sind vor allem für hochindustrialisierte Volkswirtschaften eine zunehmend ernste Bedrohung. Palo Alto Networks sieht in diesem Zusammenhang für das kommende Jahr eine wachsende Bedeutung automatisierte Bedrohungsbekämpfung (ATR – Automated Threat Response).   Dabei handelt es sich um den Prozess zur Automatisierung von Maßnahmen, die bei erkannten Cybersicherheitsvorfällen ergriffen werden.…

Cybersicherheit Top-Thema bei Industrie 4.0

Mangelnde IT-Sicherheit ist eine der größten Hemmnisse für Industrie 4.0. So lautet das Ergebnis der Studie »Industrie 4.0 2017«, die das Medienunternehmen IDG gemeinsam mit Rohde & Schwarz Cybersecurity auf der Hannover Messe vorgestellt hat. Die befragten Unternehmen fürchten am meisten Hacker- und sogenannte DDoS-Angriffe, bei denen eine Vielzahl Geräte für einen Angriff zusammengeschlossen wird.…

Cybersicherheit für Produktionsprozesse: Sicherheit im industriellen »Internet of Things«

Das »Internet of Things« (IoT) ermöglicht der produzierenden Industrie einen riesigen Innovationssprung. Soll IoT ein Erfolg werden, müssen Cyberangriffe und Netzwerkprobleme allerdings rechtzeitig erkannt und konsequent abgeblockt werden – und zwar ohne, dass sich die Produktionsprozesse dadurch verzögern. Benötigt werden dafür speziell auf die Industrie ausgerichtete IT-Sicherheitslösungen. Im Zeitalter des IoT werden Maschinen, Werkzeuge und…

Italienischer IT-Marktführer auf der it-sa: Cybersicherheit trifft auf Geschwindigkeit

  Yarix präsentiert effiziente Cybersicherheitslösungen wie das Cognitive Security Operations Center Yarix, Kompetenzzentrum für Cyber Security der Var Group und eines der führenden Unternehmen im Bereich IT-Sicherheit in Italien, stellt auf der it-sa seine Cybersecurity-Kompetenzen vor. Messebesucher haben vom 22.-24.10 die Möglichkeit, sich am Stand 7A-608 über die Maßnahmen des Unternehmens im Bereich Cybersicherheit zu…

Cybersicherheit: Cyberangriffe auf Führungskräfte nehmen zu

Unternehmen sind in der heutigen digital vernetzten Welt zunehmend Zielscheibe von Cyberangriffen. Die Angreifer haben es vor allem auf Führungskräfte abgesehen, die aufgrund ihres Zugangs zu sensiblen Daten und umfangreichen Rechten innerhalb der IT-Systeme eine besonders attraktive Zielgruppe darstellen. Eine neue Studie von GetApp untersucht die Anfälligkeit von Führungskräften gegenüber Cyberangriffen und wie Unternehmen ihre…

Cybersicherheit: Werden Versicherungsprämien gegen Cyberkriminalität unbezahlbar?

Der Markt für Cyberversicherungen hat sich in den letzten Jahren teils drastisch verändert. Die steigenden Ausgaben aufgrund von Cyberkriminalität setzen Versicherungsnehmer und Versicherer gleichermaßen unter Druck. Laut jüngster Prognosen belaufen sich diese Ausgaben weltweit voraussichtlich innerhalb der nächsten vier Jahre auf schwindelerregende 23,8 Billionen Dollar [1]. Eine der Folgen ist, dass Versicherer künftig vor Rentabilitätsproblemen stehen…

Fertigungsindustrie – Stamm­daten­management in der Produktions­planung und Fertigungs­steuerung

Stammdaten sind essenziell, um Effizienz und Genauigkeit in der Fertigung zu gewährleisten. Die Qualität und Aktualität dieser Daten haben direkten Einfluss auf die Produktionsprozesse und die Fähigkeit eines Unternehmens, Kundenanforderungen termingerecht und kosteneffizient zu erfüllen.

NIS2: In 5 Schritten zu mehr OT-Cybersicherheit

Die Digitalisierung der Industrie hat kritische Infrastrukturen zu einem beliebten Ziel von Cyberangriffen gemacht. Die potenziell verheerenden Schäden für Unternehmen als auch für die Gesellschaft machen das Thema Cybersicherheit für Gesetzgeber immer relevanter. Die NIS2-Richtlinie greift dieses Problem auf, indem sie rechtliche Maßnahmen zur Verbesserung der allgemeinen Cybersicherheit in der EU vorsieht, wobei der Schwerpunkt…

Vier Tipps für verbesserte Cybersicherheit in KMU

Cyberangriffe betreffen nur Großunternehmen, soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken. Doch gerade dort fehlen oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten. Nils Gerhardt, CTO von Utimaco gibt vier Tipps,…

Cybersicherheit nicht kaputtsparen: Unternehmen stehen auf der Investitionsbremse

Kaum Fortschritte bei der Cybersicherheit: Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53 Prozent gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024. In einer umfassenden Analyse hat Wavestone fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen.…

NIS2 und KRITIS-Dach: Neun Bausteine für sichere industrielle Steuerungs- und Automatisierungssysteme

Zahl der durch NIS2 und KRITIS-Dach regulierten Organisationen erweitert sich auf über 30.000: eco Verband gibt 9 Tipps zur Steigerung der Cyberresilienz industrieller Steuerungsanlagen.   Mit der zunehmenden Vernetzung von Maschinen werden Industrieanlagen verwundbarer gegenüber Cyberangriffen. Zudem ändert sich die Regulierung dieses Jahr deutlich mit dem KRITIS-Dachgesetz und NIS2-Umsetzungsgesetz: Die Anzahl künftig regulierter Unternehmen erweitert…

Was ist OT-Cybersicherheit und wie unterscheidet sie sich von IT-Cybersicherheit?

Die fortschreitende Digitalisierung und Vernetzung verändern den Betrieb kritischer Infrastrukturen grundlegend. Herkömmliche Systeme werden zunehmend durch moderne Technologien erweitert, wodurch sie jedoch auch anfälliger für neuartige Cyberangriffe werden. Bisher haben sich Unternehmen auf die IT-Cybersicherheit verlassen, um ihre Daten und IT-Netzwerksysteme vor Cyberangriffen zu schützen. IT-Netzwerke werden in Bereichen wie Finanzen, Gesundheit und Bildung zur…

Die Cybersicherheit von EV-Ladeinfrastrukturen verbessern

  Wie Elektrofahrzeuge dank neuer Normen und Schutzlösungen sicherer geladen und betrieben werden können. Ladestationen für Elektrofahrzeuge (»Electric Vehicle« = EV) sind für das Wachstum der EV-Industrie von entscheidender Bedeutung, ähnlich wie Tankstellen für herkömmliche Fahrzeuge. Länder auf der ganzen Welt setzen sich ehrgeizige Ziele für die Schaffung und den Einsatz von Ladestationen, um deren…

Managed XDR – Cybersicherheit von Experten machen lassen

Viele IT-Verantwortliche sind überfordert, im Unternehmen für Cybersicherheit zu sorgen. Weder das nötige Spezialwissen noch ausreichendes Fachpersonal sind vorhanden. Effektive IT-Sicherheit ist unter diesen Bedingungen nicht umsetzbar. Eine Lösung für das Problem ist die Nutzung von G DATA 365 | Managed Extended Detection and Response (kurz G DATA 365 | MXDR).

Cybersicherheit im Gesundheitswesen – Die Zukunft gehört der KI

Die Cybersicherheit im Gesundheitswesen steht vor großen Herausforderungen. Zur stetig fortschreitenden Digitalisierung gesellt sich nun auch die Einführung der Elektronischen Patientenakte hinzu und bedingt dadurch eine signifikante Vergrößerung der Angriffsfläche für Cyberkriminelle. Besonders Ransomware-Angriffe und DDoS-Attacken, die auf sensible Patientendaten und kritische Infrastrukturen abzielen, sind in den letzten Jahren stark angestiegen.

Cybersicherheit: Selbstangriff ist die beste Verteidigung

Sicherheitsexperte: »Firmen sollten sich regelmäßig selbst angreifen, um ihre Cyberresilienz zu testen.« Rainer M. Richter: »Heutige Angriffssysteme aus der Cloud sind für jeden Mittelständler erschwinglich.« Bei mehr als 70 aufgedeckten Software-Schwachstellen am Tag kommen die Firmen nicht mehr nach, ihre Systeme vor Cyberangriffen sicher zu machen.   Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig…

Vier Prinzipien des intelligenten Data Mesh auf dem Weg hin zu Industrie 4.0

Künstliche Intelligenz (KI) und maschinelles Lernen (ML) sind für Fabriken von erheblichem Nutzen. Es gibt jedoch nach wie vor Herausforderungen. Diese liegen normalerweise nicht in der Datenwissenschaft – denn der Code funktioniert in der Regel gut. Bei der Umsetzung von KI/ML-Projekten in großem Maßstab liegen die Herausforderungen vorwiegend in der Architektur und Datenverwaltung. Hersteller müssen…