Die Europäis­che Cyber­sicher­heits­be­hörde ENISA hat Soft­ware Sup­ply-Chain-Angriffe zu der größten Bedro­hung erk­lärt. Damit beste­ht akuter Hand­lungs­be­darf auch für indus­trielle IT- und OT-Sys­teme. Die Zahl der Vor­fälle zu Soft­ware-Liefer­ket­ten hat sich in der EU seit 2020 mehr als verdoppelt.

Auch die deutsche Indus­trie sieht sich zunehmend mit Soft­ware-Sup­ply-Chain-Cyber­at­tack­en auf smarte Sys­teme, soge­nan­nte Embed­ded Sys­tems, kon­fron­tiert. Dies sind Angriffe, die gezielt über externe Kom­po­nen­ten, Soft­ware-Bib­lio­theken oder Firmware-Updates eingeschleust wer­den. Darauf weist das Düs­sel­dor­fer Cyber­sicher­heit­sun­ternehmen ONEKEY hin, das unter dem Namen Prod­uct Cyber­se­cu­ri­ty & Com­pli­ance Plat­form (OCP) eine Plat­tform zur automa­tisierten Über­prü­fung von Soft­ware in Embed­ded Sys­tems auf Schad­code oder Schwach­stellen betreibt. Diese Form der Cyberkrim­i­nal­ität nutzt Sicher­heit­slück­en bei Zulief­er­ern, Dien­stleis­tern oder Soft­ware­an­bi­etern aus, um in der Liefer­kette nachge­lagerte Unternehmen oder gar den End­kun­den anzu­greifen. Beson­ders betrof­fen sind Indus­triean­la­gen, Maschi­nen­s­teuerun­gen (OT-Sys­teme, Oper­a­tional Tech­nol­o­gy), IoT-Kom­po­nen­ten (Inter­net of Things) und andere einge­bet­tete Sys­teme, die meist langjährige Betrieb­szyklen haben und sel­ten sicher­heit­skri­tisch unter­sucht, überwacht und aktu­al­isiert wer­den. „Hier beste­ht akuter Hand­lungs­be­darf“, wen­det sich der CEO von ONEKEY, Jan Wen­den­burg, an die Indus­trie. Er erk­lärt: „Cyber­se­cu­ri­ty muss die gesamte Wertschöp­fungs­kette umfassen, um wirk­sam zu sein.“

Die Mark­t­forschungs­fir­ma Cyber­se­cu­ri­ty Ven­tures ver­an­schlagt in ein­er aktuellen Studie den durch Sup­ply-Chain-Angriffe verur­sacht­en Schaden auf weltweit 80 Mil­liar­den Dol­lar jährlich. „Die Kom­plexität glob­aler Liefer­ket­ten ver­schärft das Prob­lem“, sagt Jan Wen­den­burg. Er ver­weist auf einen Bericht der Europäis­chen Agen­tur für Cyber­sicher­heit (ENISA), wonach zwei Drit­tel der Unternehmen in der EU min­destens schon ein­mal von kom­pro­mit­tierten Zulief­er­ern betrof­fen waren. Laut ENISA gehören Sup­ply-Chain-Angriffe zu den Top-5-Bedro­hun­gen für indus­trielle IT- und OT-Sys­teme und wer­den im „ENISA Fore­sight 2023 Report“ als die TOP‑1 Cyber­se­cu­ri­ty Gefahr herausgestellt.

Jedes Vorprodukt stellt eine potenzielle Gefahr dar

Die deutsche Wirtschaft ist tra­di­tionell stark inter­na­tion­al­isiert. Der Wert der importierten Vor­pro­duk­te, die von der deutschen Indus­trie aus aller Welt bezo­gen und in ihre Pro­duk­te einge­baut wer­den, liegt in der Größenord­nung von 370 Mil­liar­den Dol­lar. Diese Importe von soge­nan­nten „inter­me­di­ate goods“ sind von zen­traler Bedeu­tung für die Pro­duk­tion in Deutsch­land. „Jede ver­wendete Soft­ware und jedes mit ver­net­zter Dig­i­tal­tech­nik aus­gerüstete Vor­pro­dukt stellt eine poten­zielle Gefahr dar“, umreißt Jan Wen­den­burg die Dimen­sion der Bedrohung.

Dabei beste­ht das große Gefährdungspoten­zial von Sup­ply-Chain-Angrif­f­en darin, dass nicht nur das jew­eilige Unternehmen mit Schad­soft­ware infiziert wird, son­dern diese über Pro­duk­taus­liefer­un­gen an Kun­den weit­ergegeben wird. So wäre es beispiel­sweise möglich, dass ein Maschi­nen­bauer an seine Kun­den Anla­gen mit indus­triellen Steuerun­gen abgibt, die ein Schad­pro­gramm in sich tra­gen. Dabei kann der bösar­tige Code über zwei Wege aus der Liefer­kette kom­men: entwed­er als Soft­ware, die in die Pro­duk­ten­wick­lung ein­fließt, oder als Teil eines Vor­pro­duk­ts, das im End­pro­dukt ver­baut wird.

Steigende Nachfrage nach Sicherheitsüberprüfungen

„Dieser Trend ist alarmierend, da die Liefer­ket­ten der deutschen Indus­trie hochgr­a­dig ver­net­zt sind und ein einziger Angriff weitre­ichende Fol­gen haben kann“, erk­lärt Jan Wen­den­burg. Er sagt: „Daher soll­ten Embed­ded Sys­tems, die in Steuerung­stech­nik, Automa­tisierung oder IoT-Geräten zum Ein­satz kom­men, ein­er umfassenden Prü­fung im Hin­blick auf Cyber­se­cu­ri­ty unter­zo­gen wer­den.“ Das gelte aus­nahm­s­los für alle Kom­po­nen­ten, also nicht nur die im eige­nen Unternehmen entwick­el­ten, son­dern auch für die von Zulief­er­ern über­nomme­nen Vorprodukte.

Nach seinen Angaben erfährt ONEKEY derzeit eine „stark steigende Nach­frage“ nach Sicherheits­überprüfungen von Geräten, Anla­gen und Sys­te­men mit Echtzeit-Betrieb­ssys­te­men (Real-Time Oper­at­ing Sys­tems, RTOS), wie sie in Embed­ded Sys­tems typ­is­cher­weise zum Ein­satz kom­men. Das Düs­sel­dor­fer Sicher­heit­sun­ternehmen hat­te erst vor weni­gen Monat­en seine Prod­uct Cyber­se­cu­ri­ty & Com­pli­ance Plat­form (OCP) weit­er­en­twick­elt, so dass diese auch RTOS-Firmware auf Schwach­stellen und Sicher­heit­slück­en über­prüfen kann. Dies galt zuvor in der Branche als schwierig bis unmöglich, ins­beson­dere bei soge­nan­nten mono­lithis­chen Binär­dateien, wie sie bei mark­t­gängi­gen Echtzeit-Betrieb­ssys­te­men wie etwa FreeR­TOS, Zephyr OS, ThreadX und anderen im Ein­satz sind.

Open Source und der Fall Log4Shell

Als ein beson­ders kri­tis­ches Ein­fall­stor in der Liefer­kette gel­ten Open-Source-Kom­po­nen­ten, die in rund 80 Prozent aller Firmware-Stacks für Embed­ded Sys­tems enthal­ten sind. Sicher­heit­slück­en in weitver­bre­it­eten Bib­lio­theken wie uClibc, Busy­Box oder OpenSSL kön­nen eine Vielzahl von Sys­te­men gle­ichzeit­ig betr­e­f­fen. Der Fall Log4Shell im Jahr 2021 – eine Schwach­stelle in der weitver­bre­it­eten Java-Bib­lio­thek Log4j – hat­te gezeigt, wie gefährlich eine unsichere Soft­ware-Kom­po­nente sein kann, selb­st wenn sie nur in einem Sub­sys­tem ver­wen­det wird. Der Log4Shell-Fall gilt als ein­er der gravierend­sten Sicher­heit­slück­en der let­zten Jahrzehnte, weil die Soft­ware Bestandteil von Mil­lio­nen Java-Anwen­dun­gen ist, darunter auch zehn­tausende OT- und IoT-Systeme.

„Die zunehmende Kom­plex­ität indus­trieller Sys­teme, die Vielzahl extern­er Anbi­eter und die Langzeit­nutzung von Embed­ded Sys­tems lassen Sup­ply-Chain-Angriffe zu ein­er immer größeren Bedro­hung wer­den“, sagt Jan Wen­den­burg. Er ver­weist auf Prog­nosen der Gart­ner Group, wonach bis 2026 über 45 Prozent aller Unternehmen min­destens einen Cyber­vor­fall über die Liefer­kette erlei­den wer­den, der ihre Betrieb­s­fähigkeit beeinträchtigt.

Es steht viel auf dem Spiel: Produktion, Reputation, Lieferfähigkeit

„Die immer stärkere Inte­gra­tion von Indus­tri­al IoT-Sys­te­men und Robotik bis hin zu autonomen Pro­duk­tion­slin­ien öffnet ger­adezu ein Sche­unen­tor für Attack­en aus der Liefer­kette“, erk­lärt Jan Wen­den­burg. Er appel­liert an die Unternehmensführun­gen: „Es ist höch­ste Zeit, Soft­ware für Embed­ded Sys­teme, unab­hängig ob aus eigen­em Haus oder von Liefer­an­ten sys­tem­a­tisch vor dem Ein­satz und laufend zu über­prüfen. Wer das unter­lässt, set­zt nicht nur seine Pro­duk­tion, son­dern auch seine Rep­u­ta­tion und Liefer­fähigkeit aufs Spiel.“

Hinzu kommt der rechtliche Aspekt: Die Radio Equip­ment Direc­tive EN18031 und der EU Cyber Resilience Act (CRA) und andere geset­zliche Vor­gaben schreiben die Ver­ant­wor­tung der Her­steller für die Cyber­sicher­heit ver­net­zter Geräte, Maschi­nen und Anla­gen zwin­gend vor. Die Prod­uct Cyber­se­cu­ri­ty & Com­pli­ance Plat­form (OCP) von ONEKEY ermögliche mit dem Com­pli­ance Wiz­ard eine automa­tisierte Über­prü­fung der Kon­for­mität zum CRA und weit­eren cyber­sicherheitsrelevanten Nor­men. Dies erle­ichtert die Vor­bere­itung auf Audits erhe­blich und reduziert den bürokratis­chen Aufwand, der durch neue Geset­ze entsteht.

Kri­tis­che Sicher­heit­slück­en und Com­pli­ance-Ver­stöße in der Geräte-Firmware wer­den durch die KI-basierte Tech­nolo­gie inner­halb von Minuten vol­lau­toma­tisch im Binär­code iden­ti­fiziert — ohne Quell­code, Geräte- oder Net­zw­erkzu­griff. Durch die inte­gri­erte Erstel­lung von “Soft­ware Bill of Mate­ri­als (SBOM)” kön­nen Soft­ware-Liefer­ket­ten proak­tiv über­prüft wer­den. „Dig­i­tal Cyber Twins“ ermöglichen die automa­tisierte 24/7 Überwachung der Cyber­sicher­heit auch nach dem Release über den gesamten Produktlebenszyklus.

Der zum Patent angemeldete, inte­gri­erte Com­pli­ance Wiz­ard™ deckt bere­its heute den EU Cyber Resilience Act (CRA) und Anforderun­gen nach IEC 62443–4‑2, ETSI EN 303 645, UNECE R1 55 und vie­len anderen ab.

Das Prod­uct-Secu­ri­ty-Inci­dent-Response-Team (PSIRT) wird durch die inte­gri­erte, automa­tis­che Pri­or­isierung von Schwach­stellen effek­tiv unter­stützt und die Zeit bis zur Fehler­be­he­bung deut­lich verkürzt.

Inter­na­tion­al führende Unternehmen in Asien, Europa und Ameri­ka prof­i­tieren bere­its erfol­gre­ich von der ONEKEY Prod­uct Cyber­se­cu­ri­ty & Com­pli­ance Plat­form (OCP) und den ONEKEY Cyber­se­cu­ri­ty Experten.