40 Prozent der Industrieunternehmen in Deutschland führen regelmäßige Schulungs- und Trainingsmaßnahmen in Sachen Cybersicherheit für ihre Beschäftigten durch. 27 Prozent haben Regeln und Verfahren für Cybersecurity in ihre Mitarbeiterhandbücher und Firmenrichtlinien aufgenommen. „Das klingt nach viel, aber es bedeutet letztlich, dass ein Großteil der Industrie der Frage, wie man sich vor Hackern schützen kann, noch zu wenig Beachtung schenkt“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersecurity-Spezialisten Onekey. Dies geht aus dem „OT+IoT Cybersecurity Report 2024“ von Onekey hervor. Das Resultat: Die deutsche Wirtschaft unterschätzt das Risiko von Hackerangriffen auf Maschinen, industrielle Steuerungen (Operational Technology, OT) und das Internet der Dinge (Internet of Things, IoT).
Laut Bericht sensibilisiert nur etwas mehr als ein Zehntel (11 Prozent) der Industrie seine Beschäftigten systematisch für Bedrohungen durch Cyberkriminelle. „Wenn ein Produktionsband oder ein Verpackungsroboter nicht richtig funktioniert, sollte der Maschinenführer auch den Fall einer Hackerattacke in Betracht ziehen“, gibt Jan Wendenburg ein Beispiel, „doch ohne Schulung wird genau das nicht passieren und die Erkenntnis, dass Hacker eingedrungen sind, setzt sich erst durch, wenn der Schaden längst angerichtet ist.“
Überprüfungen der Cyber-Resilienz bei über einem Drittel der Unternehmen unklar
Immerhin führen 62 Prozent der untersuchten Industrieunternehmen regelmäßig Cybersecuritiy-Audits durch. 24 Prozent der Betriebe verlassen sich dabei auf externe Bewertungen, 18 Prozent auf interne, und 20 Prozent fahren hybrid mit eigenen und externen Audits.
„Bei mehr als einem Drittel der Industrie scheint unklar, ob oder in welchem Umfang eine regelmäßige oder auch nur gelegentliche Prüfung der Resilienz gegenüber Hackerangriffen vorgenommen wird“, wundert sich Jan Wendenburg über den aktuellen Umgang mit einer der größten Bedrohungen unserer Zeit. Beinahe ein Fünftel (19 Prozent) der Befragten bekennt, dass bei ihnen keinerlei Audits zur Cybersicherheit stattfinden, weder intern noch extern.
Alles über Cybersecurity
Mehr zum Thema Cybersecurity erfahren Sie in den folgenden Artikeln:
- Cybersecurity im Maschinenbau - Das müssen Sie wissen
- Cybercrime: So wollen Maschinenbau und BKA zusammenarbeiten
- Cybersecurity: Der Mensch steht im Ziel der Attacke
- Mit diesen Tipps schützen Sie Ihr Unternehmen gegen Cyber-Angriffe
- Cybersecurity: Über die Risiken Mensch und Maschine
- Ukraine-Krieg: Drohen dem Maschinenbau Cyberattacken?
Bedrohungslage so groß wie nie zuvor
Die Statistik des Bundeskriminalamtes (BKA) führt für das letzte Jahr beinahe 135.000 offiziell gemeldete Fälle von Cyberkriminalität auf und geht dabei von einem Dunkelfeld von 90 Prozent aus. „Das entspräche mehr als 4.000 Angriffen am Tag“, warnt der Onekey-CEO. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt in seinem Lagebericht zum vergangenen Jahr: „Die Bedrohung durch Cybercrime ist so hoch wie nie zuvor.“
Der Bedrohungslage zum Trotz ist laut Umfrage weniger als die Hälfte der Unternehmen (46 Prozent) mit den getroffenen Maßnahmen zum Schutz gegen Cyberkriminelle zufrieden. „Es wird höchste Zeit zum Handeln“, mahnt Jan Wendenburg. Er führt aus: „Ein erster Schritt besteht darin, die Software in allen Connected Devices einer gründlichen Prüfung zu unterziehen, und eventuelle Schwachstellen aufzudecken.“
Product Cybersecurity & Compliance Platform als Basis für Prüfungen
Onekey betreibt hierfür eine Product Cybersecurity & Compliance Platform (PCCP), um die Software in industriellen Steuerungen und in vernetzten Geräten einer gründlichen Analyse zu unterziehen und Sicherheitslücken aufzudecken. „Eine solche Prüfung dokumentiert den Ist-Zustand und gibt konkrete Hinweise, an welchen Stellen Verbesserungen angeraten sind“, erklärt Jan Wendenburg. Er gibt zu bedenken: „Wer ab 2027 ein vernetztes Elektronikprodukt mit bekannten ausnutzbaren Schwachstellen auf den EU-Markt bringt, haftet dafür mit bis zu 15 Millionen Euro. Der Dokumentation der Sicherheit fällt also nicht nur technisch, sondern auch rechtlich und finanziell eine Schlüsselrolle zu.“
Allein in der ersten Hälfte 2024 hat das US-amerikanische National Institute of Standards and Technology (NIST) rund 15.000 „Common Vulnerabilities and Exposures“ (kurz CVEs), also Sicherheitslücken und Schwachstellen in Software, veröffentlicht. „Die Herausforderung ist groß“, sagt Jan Wendenburg, und erklärt: „Umso dringlicher ist es, die für eine Verbesserung der Cybersecurity entlang der gesetzlichen Anforderungen notwendigen Maßnahmen zügig auf den Weg zu bringen. Audits und Schulungen der Beschäftigten spielen dabei eine Schlüsselrolle. Wir empfehlen, dies in die Liste der guten Vorsätze für 2025 aufzunehmen – und dann dies auch umzusetzen.“
Quelle: Onekey GmbH