Eine aktuelle Umfrage zeigt: Maschinen und Steuerungen der deutschen Industrie sind nur selten gut genug vor Hackern geschützt. Dabei stehen gerade diese Anlagen häufig im Visier von Cyberkriminellen. Das macht die Cybersicherheit in der Industrie 4.0 zu einem kritischen Thema.
Nicht einmal die Hälfte der deutschen Industrieunternehmen (46 Prozent) ist nach eigener Einschätzung ausreichend vor Cyberangriffen geschützt. Dies ist das Ergebnis einer Befragung von IT-Verantwortlichen für den ‚OT+IoT Cybersecurity Report 2024‘ des Düsseldorfer Cybersicherheitsspezialisten Onekey. Für diesen Report zur Cybersicherheit in der Industrie 4.0 insbesondere im Bereich der industrieller Steuerungen (Operational Technology/OT) und Geräten für das Internet der Dinge (Internet of Things/IoT) wurden im Frühjahr 2024 über 300 Industrieunternehmen befragt. Neben IT-Verantwortlichen kamen auch Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) zu Wort.
„Obwohl sich die Digitalisierung der Industrie seit Jahren beschleunigt und immer mehr Software in Steuerungssystemen verwendet wird, scheint das Bewusstsein für die damit verbundenen Cyberrisiken bei vielen Herstellern und Betreibern noch unterentwickelt“, erläutert Jan Wendenburg, CEO von Onekey. „Dies ist eine große Gefahr für Hersteller und Betreiber von industriellen Geräten und Infrastrukturen.“
Anzeige | Expertenbeitrag | Trovarit-MES-Center
|
Artikel
Organisation und Technik sichern IoT-Projekte ab |
| Autor: | Jürgen Frisch | Redakteur der IT-Matchmaker®.news | |
| Erschienen: | 2021-03-30 | |
| Schlagworte: | IT-Sicherheit, Industrie 4.0, Internet of Things | |
| Für viele Unternehmen ist das Internet der Dinge ein Schritt in Richtung Industrie 4.0. Mit der Absicherung hakt es aber vielerorts. Als Abhilfe empfehlen Projektmanager des FIR an der RWTH Aachen ein Bündel aus organisatorischen und technischen Maßnahmen. | ||
| Download | ||
Cybersicherheit in der Industrie 4.0 fokussiert bislang auf Rechner und Netze
Bei herkömmlichen Cybersicherheitsanalysen stehen laut dem Onekey-Report vor allem Computer und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen sowie IoT-Geräte wenig Beachtung finden. Dabei ist die Mehrheit der Befragten (51 Prozent) überzeugt davon, dass die Hackerszene längst einen Fokus auf den Missbrauch von Maschinen- und Anlagensteuerungen sowie auf Geräte im Internet der Dinge legt. Ein weiteres knappes Viertel der Befragten (23 Prozent) erwartet, dass viele Hacker sich künftig bei ihren digitalen Beutezügen auf Industriesteuerungen konzentrieren.
Mit den relevanten Vorschriften und Standards zur Cybersicherheit in der Industrie 4.0 ist jedoch weniger als ein Drittel der befragten Unternehmen (29 Prozent) wirklich vertraut. Ein Viertel kennt diese gar nicht. Für viele Hersteller ist es schwierig, die für sie wichtigen Compliance-Vorschriften zu identifizieren“, erklärt Security-Profi Wendenburg. „International ist viel in Bewegung, der Cyber Resiliance Act in der EU, der PSTI in England oder der Biden Act in USA. Daher haben wir einen Compliance Wizard entwickelt, der in einer Kombination aus automatisierter Cyber-Sicherheitsprüfung und virtuellem Assistenten Unternehmen durch ein vereinfachtes Assessment der organisatorischen Compliance führt.“ Die daraus resultierende Dokumentation könnten Unternehmen für die künftige Nachweispflicht in Cybersicherheitsfragen und zusätzliche Zertifizierungen nutzen.
Die Security-Standards sind oft unbekannt
Fast die Hälft der Befragten (46 Prozent) kann laut der Onekey-Studie die Frage nicht beantworten, welche technischen Standards für die Cybersicherheit in Geräten, Maschinen und Anlagen von Bedeutung sind. Weniger als ein Viertel (23 Prozent) hält den Cyber Resilience Act der Europäischen Union für relevant. Dabei dürfen nach aktuellem Zeitplan ab 2027 in der Europäischen Union keine Geräte und Industriesteuerungen mehr verkauft werden, die diesem Gesetz nicht entsprechen.
„Angesichts der üblichen Entwicklungszeiten von mehr als zwei Jahren überrascht es, wie wenig Bewusstsein für die Bedeutung der neuen Regulatorik herrscht“, wundert sich Wendenburg. „Wenn Steuerungssysteme ab 2027 nicht den Anforderungen des Cyber Resilience Act entsprechen, stellt das nicht nur die Hersteller von Geräten, Maschinen und Anlagen vor erhebliche Probleme, sondern auch die industriellen Anwender.“
Operational Technology im Fokus der Hacker
Die Unkenntnis über Cybersicherheit in der Industrie 4.0, insbesondere im Bereich der Operational Technology und des Internet der Dinge, hängt damit zusammen, dass viele Unternehmen andere Bereiche als stärker gefährdet einstufen. So halten 42 Prozent der für die Studie befragten Führungskräfte die Zahlungs- und Finanzsysteme für besonders schützenswert vor Cyberangriffen. 39 Prozent sehen die größte Gefahr in Angriffen auf Unternehmensnetzwerke und Rechenzentren. 36 Prozent glauben, dass es Hacker auf Kundendaten abgesehen haben. Gut ein Viertel (26 Prozent) befürchtet, dass die E-Mail-Kommunikation von Unbefugten abgefangen wird.
Genau ein Viertel befürchtet den Abfluss von Geschäftsgeheimnissen. Gut ein Fünftel (22 Prozent) stuft Cloud-Dienste als ein Einfallstor für Hacker ein. Weitere besonders schützenswerte Bereiche sind laut Umfrage personalisierte Arbeitsplatzsysteme (16 Prozent), Überwachungs- und Sicherheitssysteme (16 Prozent), kritische Infrastrukturen und Gesundheitsdaten (15 Prozent), Telekommunikationsanlagen (12 Prozent), Webapplikationen und Webseiten (9 Prozent) sowie Big Data und Systeme mit Künstlicher Intelligenz (8 Prozent). Mehrfachnennungen waren bei dieser Frage möglich.
Maschinen und Anlagen brauchen Cybersicherheit
In den Bereichen Operational Technology und Internet der Dinge stufen die Verantwortlichen das Bedrohungspotenzial laut Studie als vergleichsweise gering ein. Lediglich 11 Prozent der Befragten halten Produktions- und Lieferkettenmanagementsysteme für ein primäres Ziel von Cyberkriminellen. Nur 12 Prozent gehen von Hackerangriffen auf Geräte und Systeme aus dem Internet der Dinge aus. Produktionsanlagen und industrielle Steuerungen hält nicht einmal ein Zehntel (9 Prozent) einer ernsthaften Gefahr durch Angreifer aus dem Internet ausgesetzt. Bei mobilen Anwendungen und Geräten stufen die befragten das Risiko mit 5 Prozent als noch geringer ein.
„Die Industrie muss bei ihren Zulieferern auf die notwendige Cybersicherheit von Geräten, Maschinen und Anlagen drängen“, appelliert der Onekey-Chef. „Die Hersteller müssen sicherstellen, dass ihre Produkte dem Cyber Resilience Act entsprechen. Darüber hinaus sind Unternehmen, die nicht gesetzeskonforme Produkte im Einsatz haben, in Sachen Sicherheit schlecht aufgestellt. Es liegt im Interesse aller Beteiligten, dem Thema Cybersicherheit auch bei industriellen Steuerungssystemen die gebührende Aufmerksamkeit zu widmen.“ Jürgen Frisch
