Bei einer aktuellen Befragung von IT-Verantwortlichen aus der deutschen Industrie zeigte sich nicht einmal die Hälfte (46%) davon überzeugt, dass die Wirtschaft ausreichend vor Cyberangriffen geschützt ist. Weniger als ein Drittel (29%) sind eigenen Angaben zufolge mit den für ihre Branche relevanten Vorschriften und Standards zur Cybersicherheit wirklich vertraut; ein Viertel kennt diese gar nicht. Das sind Schlüsselergebnisse aus dem OT+IoT Cybersecurity Report 2024 des Düsseldorfer Cybersicherheitsunternehmens OneKey.
Für den Report zur Sicherheit von industriellen Steuerungen (Operational Technology, OT) und in Geräten für das Internet der Dinge (Internet of Things, IoT) wurden im Frühjahr 2024 über 300 Industrieunternehmen befragt. Neben IT-Verantwortlichen kamen auch Chief Executive Officers (CEO), Chief Information Officers (CIO), Chief Information Security Officers (CISO) und Chief Technology Officers (CTO) zu Wort.
Obwohl sich die industrielle Digitalisierung seit Jahren beschleunigt und immer mehr Software in Steuerungssystemen verwendet wird, scheint das Bewusstsein für die damit verbundenen Cyberrisiken bei vielen Herstellern und Betreibern deutlich unterentwickelt. „Dies ist bereits heute eine konkrete Gefahr für Hersteller und damit alle Betreiber von industriellen Geräten und Infrastrukturen“, formuliert der CEO von OneKey, Jan Wendenburg.
Die Gründe erklärt er wie folgt: „Für viele Hersteller ist es schwierig die wirklich relevanten Compliance-Vorschriften zu identifizieren. International ist viel in Bewegung, der neue Cyber Resiliance Act in der EU, der PSTI in England, der Biden Act in USA und viele andere. Daher haben wir einen Compliance Wizard entwickelt, der in einer Kombination aus automatisierter Cyber-Sicherheitsprüfung und virtuellem Assistenten Unternehmen durch ein vereinfachtes Assessment der organisatorischen Compliance führt. Die daraus resultierende Dokumentation kann unmittelbar für die künftige Nachweispflicht in Cybersicherheitsfragen und zusätzliche Zertifizierungen genutzt werden.“
Industrielle Steuerungen und IoT-Geräte werden vernachlässigt
Bei herkömmlichen Cybersicherheitsanalysen stehen vor allem Computersysteme und Netzwerke im Vordergrund, während industrielle Steuerungen in Maschinen und Anlagen sowie IoT-Geräte (Internet of Things) häufig weniger Beachtung finden, so die Ergebnisse des OneKey-Reports. Die Mehrheit der Befragten (51 Prozent) ist jedoch überzeugt, dass die Hackerszene schon einen Fokus auf den Missbrauch von Maschinen- und Anlagensteuerungen sowie IoT-Geräten gelegt hat. Sie vermuten, dass Cyberkriminelle diese bereits aktiv als Einfallstor in Firmennetzwerke nutzen. Ein weiteres knappes Viertel (23 Prozent) erwartet, dass sich künftig immer mehr Hacker bei ihren digitalen Beutezügen auf Industriesteuerungen und das Internet of Things konzentrieren werden.
Fast die Hälfte (46 Prozent) der Betroffenen kann die Frage, welche technischen Standards für die Cybersicherheit in Geräten, Maschinen und Anlagen von Bedeutung sind, nicht beantworten. Weniger als ein Viertel (23 Prozent) hält den neuen Cyber Resilience Act (CRA) der Europäischen Union für relevant, obwohl nach aktuellem Zeitplan ab 2027 in der Europäischen Union keine Geräte und Industriesteuerungen mehr verkauft werden dürfen, die nicht dem CRA entsprechen.
OT und IoT werden vernachlässigt
Die weit verbreitete Unkenntnis über Cybersicherheit im OT- und IoT-Bereich hängt laut Report damit zusammen, dass die meisten Unternehmen andere Unternehmensbereiche als stärker gefährdete Angriffsziele für Hacker einstufen und die industriellen Komponenten daher vernachlässigen. So halten 42 Prozent der für den OT+IoT Cyber Security Report 2024 befragten Führungskräfte die Zahlungs- und Finanzsysteme für besonders schützenswert vor Cyberangriffen. 39 Prozent (Mehrfachnennungen waren möglich) sehen die größte Gefahr in Angriffen auf Unternehmensnetzwerke und Rechenzentren. 36 Prozent glauben, dass es Hacker auf Kundendaten abgesehen haben. Gut ein Viertel (26 Prozent) befürchtet, dass die E-Mail-Kommunikation von Unbefugten abgefangen wird. Genau ein Viertel befürchtet den Abfluss von Geschäftsgeheimnissen und Patentunterlagen. Gut ein Fünftel (22 Prozent) stuft Cloud-Dienste als ein Einfallstor für Hacker ein. Weitere besonders schützenswerte Bereiche sind laut Umfrage: personalisierte Arbeitsplatzsysteme (16 Prozent), Überwachungs- und Sicherheitssysteme (16 Prozent), kritische Infrastrukturen und Gesundheitsdaten (15 Prozent), Telekommunikationsanlagen (12 Prozent), Webapplikationen und Webseiten (9 Prozent) sowie Big Data und Systeme mit Künstlicher Intelligenz (8 Prozent).
In den Bereichen OT und IoT wird das Bedrohungspotenzial vergleichsweise gering eingestuft, ergab die Umfrage. Nur 11 Prozent der Befragten halten Produktions- und Lieferkettenmanagementsysteme für ein primäres Ziel von Cyberkriminellen. Nur 12 Prozent gehen von Hackerangriffen auf Geräte und Systeme aus dem Internet der Dinge aus. Produktionsanlagen und industrielle Steuerungen (OT-Systeme) hält nicht einmal ein Zehntel (9 Prozent) einer ernsthaften Gefahr durch Angreifer aus dem Internet ausgesetzt. Nur bei mobilen Anwendungen und Geräten wird das Risiko als noch geringer eingestuft (5 Prozent).
