Cyberkriminalität ist keine neuartige Bedrohung. Doch sie entwickelt sich genauso rasant und kontinuierlich mit der KI-Technologie weiter. Umso besorgniserregender ist das Ergebnis vom „OT+IoT Cybersecurity Report 2024“ von ONEKEY: 19 Prozent der Unternehmen führen keine Cybersecurity-Prüfungen durch. Damit unterschätzt die deutsche Wirtschaft die Risiken von Hackerangriffen auf Maschinen, industrielle Steuerungen (Operational Technology, OT) und das Internet of Things (IoT) deutlich. Dabei sollte vor allem das Bewusstsein für Cybersecurity in Unternehmen gestärkt werden. Jan Wendenburg, CEO von ONEKEY, erklärt warum.
In Sachen Cybersicherheit führen 40 Prozent der deutschen Industrieunternehmen regelmäßige Schulungen und Trainingsmaßnahmen für ihre Mitarbeitenden durch. 27 Prozent haben dazu Regeln und Verfahren für Cybersecurity in Mitarbeiterhandbücher und Firmenrichtlinien aufgenommen.
„Das klingt nach viel, aber es bedeutet letztlich, dass ein Großteil der Industrie der Frage, wie man sich vor Hackern schützen kann, noch zu wenig Beachtung schenkt“, sagt Jan Wendenburg, CEO des Düsseldorfer Cybersecurity-Spezialisten ONEKEY.
Laut des ONEKEY-Berichts sensibilisieren lediglich 11 Prozent der Industrie ihre Beschäftigten systematisch für Bedrohungen durch Cyberkriminelle. Dabei sollte auch ein Maschinenführer eine Hackerattacke in Betracht ziehen, wenn z. B. das Produktionsband oder ein Verpackungsroboter nicht korrekt funktionieren. „Doch ohne Schulung wird genau das nicht passieren, und die Erkenntnis, dass Hacker eingedrungen sind, setzt sich erst durch, wenn der Schaden längst angerichtet ist”, so Wendenburg.
Cyber-Resilienz bei über einem Drittel der Unternehmen ungeprüft
Zumindest realisieren 62 Prozent der untersuchten Industrieunternehmen in regelmäßigen Abständen Cybersecurity-Audits. Von denen verlässt sich der größere Teil der Betriebe (24 %) auf externe Bewertungen, 18 Prozent nutzen interne und 20 Prozent greifen auf eine hybride Variante – mit eigenen und externen Audits – zurück.
„Bei mehr als einem Drittel der Industrie schein unklar, ob oder in welchem Umfang eine regelmäßige oder auch nur gelegentliche Prüfung der Resilienz gegenüber Hackerangriffen vorgenommen wird“, meint Jan Wendenburg. Über diesen derzeitigen Umgang mit einer der größten Bedrohungen in der heutigen Zeit wundert sich der CEO. Denn fast 19 Prozent der Befragten gab an, dass bei ihnen keinerlei Audits zur Cybersicherheit, weder intern noch extern, stattfinden.
Wie die Statistik des Bundeskriminalamtes (BKA) für das letzte Jahr zeigt, gibt es fast 135.000 offiziell gemeldete Fälle von Cyberkriminalität. Dabei geht man zeitgleich von einem Dunkelfeld von 90 Prozent aus. Nach dem ONEKEY-CEO entspricht dies mehr als 4.000 Angriffen pro Tag. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte im Lagebericht zum vorherigem Jahr mit, dass die Bedrohung durch Cyberkriminalität so hoch wie nie zuvor sei.
Angesichts dieser Bedrohungslage geben dennoch 46 Prozent der Unternehmen an, mit den getroffenen Schutzmaßnahmen gegen Cyberangriffe zufrieden zu sein. Für Jan Wendenburg nicht nachvollziehbar. Er ruft zum aktiven Handeln auf:
„Ein erster Schritt besteht darin, die Software in allen Connected Devices einer gründlichen Prüfung zu unterziehen und eventuelle Schwachstellen aufzudecken.“
Basis für Prüfungen: Product Cybersecurity und Compliance Platform
ONEKEY betreibt hierfür eine Product Cybersecurity & Compliance Platform (PCCP), um die Software in industriellen Steuerungen und in vernetzten Geräten einer gründlichen Analyse zu unterziehen und Sicherheitslücken aufzudecken. Diese Prüfung hält den Ist-Zustand fest und lässt erkennen an welchen Stellen Verbesserungen vorzunehmen sind. Wendenburg gibt zu bedenken: „Wer ab 2027 ein vernetztes Elektronikprodukt mit bekannten ausnutzbaren Schwachstellen auf den EU-Markt bringt, haftet dafür mit bis zu 15 Millionen EUR. Der Dokumentation der Sicherheit fällt also nicht nur technisch, sondern auch rechtlich und finanziell eine Schlüsselrolle zu.“
Fazit
Das US-amerikanische National Institute of Standards and Technology (NIST) veröffentlichte bereits in der ersten Hälfte von 2024 etwa 15.000 Sicherheitslücken und Schwachstellen in Software. Eine große Herausforderung für jedes Unternehmen.
„Umso dringlicher ist es, die für eine Verbesserung der Cybersecurity entlang der gesetzlichen Anforderungen notwendigen Maßnahmen zügig auf den Weg zu bringen. Audits und Schulungen der Beschäftigten spielen dabei eine Schlüsselrolle. Wir empfehlen dies in die Liste der guten Vorsätze für 2025 aufzunehmen – und dann dies auch umzusetzen“, so Jan Wendenburg.