Die europäische Agentur für Cybersicherheit ENISA hat Software Supply-Chain-Angriffe zur derzeit größten Bedrohung erklärt. In der Industrie wächst damit der Handlungsdruck, denn besonders eingebettete Systeme in Maschinen, Steuerungen und IoT-Komponenten sind anfällig. Die Angreifer zielen auf Schwachstellen in der Lieferkette, die oft über Jahre unverändert bleibt und zahlreiche Drittanbieter umfasst. Seit 2020 hat sich die Zahl solcher Vorfälle in der EU mehr als verdoppelt.
Das auf Produktsicherheit spezialisierte Unternehmen ONEKEY aus Düsseldorf warnt davor, dass Cyberangriffe zunehmend über externe Softwarekomponenten, Bibliotheken oder Firmware-Updates in die Systeme gelangen. Die Angreifer nutzen gezielt Schwachstellen bei Zulieferern, um nachgelagerte Unternehmen und sogar Endkunden zu gefährden. „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein“, erklärt Jan Wendenburg, CEO von ONEKEY.
Lieferkette als Einfallstor für Cyberangriffe
In der deutschen Industrie gehören Embedded Systems zu den am weitesten verbreiteten Technologien. Sie kommen in Steuerungstechnik, Maschinenautomatisierung und IoT-Geräten zum Einsatz. Aufgrund langer Lebenszyklen und seltener sicherheitskritischer Überprüfungen sind sie ein attraktives Ziel für Angriffe. Die Marktforschungsfirma Cybersecurity Ventures beziffert den weltweiten Schaden durch Software Supply-Chain-Angriffe auf 80 Milliarden Dollar jährlich. Laut ENISA haben zwei Drittel der Unternehmen in der EU bereits Vorfälle über kompromittierte Zulieferer erlebt.
„Jede verwendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, betont Jan Wendenburg. Die Risiken sind dabei weitreichend: Wird ein infiziertes Vorprodukt verbaut, kann sich Schadsoftware über das Endprodukt weiterverbreiten – beispielsweise durch industrielle Steuerungen in ausgelieferten Maschinen. Der Ursprung solcher Angriffe liegt oft in fehlerhaften Open-Source-Bibliotheken, unzureichend geprüfter Firmware oder mangelnder Kontrolle über externe Softwarebestandteile.
Sicherheitslösungen für Embedded Systems
ONEKEY hat mit der Product Cybersecurity & Compliance Platform (OCP) eine Lösung entwickelt, die Software in Embedded Systems automatisiert auf Schwachstellen und Schadcode untersucht. Die Plattform wurde kürzlich um die Fähigkeit erweitert, auch monolithische Binärdateien typischer Echtzeitbetriebssysteme wie FreeRTOS, Zephyr OS oder ThreadX zu analysieren – ein Bereich, der bislang als schwer überprüfbar galt.
„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, so Wendenburg. Der Bedarf an automatisierten Sicherheitsüberprüfungen steigt laut ONEKEY spürbar. Unternehmen sollten sämtliche Komponenten – ob selbst entwickelt oder zugekauft – systematisch vor dem Einsatz prüfen.
Regulatorische Anforderungen im Fokus
Neben den technischen Risiken rücken auch gesetzliche Vorgaben in den Fokus der Unternehmen. Die EU schreibt mit dem Cyber Resilience Act (CRA), der Radio Equipment Directive EN18031 sowie weiteren Normen wie IEC 62443-4-2 oder ETSI EN 303 645 verbindliche Sicherheitsanforderungen für vernetzte Geräte vor. ONEKEY unterstützt mit dem integrierten Compliance Wizard die automatisierte Überprüfung auf Konformität zu diesen Vorgaben.
Die OCP-Plattform analysiert mittels KI-basierter Technologie den Binärcode der Firmware in wenigen Minuten – ohne Quellcode oder Zugriff auf das Gerät. Ergänzt wird dies durch die Erstellung von Software Bills of Materials (SBOM), die proaktive Sicherheitsbewertung der Lieferkette und eine kontinuierliche 24/7-Überwachung mit sogenannten „Digital Cyber Twins“. Dadurch können Schwachstellen nicht nur erkannt, sondern auch priorisiert und schnell behoben werden.
Absicherung der digitalen Wertschöpfung
Die zunehmende Digitalisierung industrieller Systeme und die Einbindung externer Anbieter erhöhen die Angriffsfläche erheblich. Laut Gartner wird bis 2026 fast jedes zweite Unternehmen einen Cybervorfall über die Lieferkette erleben. „Die immer stärkere Integration von Industrial IoT-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, warnt Jan Wendenburg. „Es ist höchste Zeit, Software für Embedded Systeme, unabhängig ob aus eigenem Haus oder von Lieferanten, systematisch vor dem Einsatz und laufend zu überprüfen. Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“
Internationale Unternehmen aus Europa, Asien und Amerika setzen bereits erfolgreich auf die Sicherheitsplattform von ONEKEY. Das Unternehmen ist Teil des Investmentportfolios von PricewaterhouseCoopers Germany (PwC) und kombiniert technologische Innovation mit strategischer Beratung im Bereich Product Cybersecurity & Compliance.
Über ONEKEY
ONEKEY ist der führende europäische Spezialist für Product Cybersecurity & Compliance Management und Teil des Anlageportfolios von PricewaterhouseCoopers Deutschland (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Beratungsdiensten bietet schnelle und umfassende Analyse-, Support- und Verwaltungsfunktionen zur Verbesserung der Produktsicherheit und -konformität — vom Kauf über das Design, die Entwicklung, die Produktion bis hin zum Ende des Produktlebenszyklus.