Top 1 Cybergefahr: Software Supply-Chain-Angriffe in der Industrie

Die Europäische Cybersicherheitsbehörde ENISA hat Software Supply-Chain-Angriffe zu der größten Bedrohung erklärt. Damit besteht akuter Handlungsbedarf auch für industrielle IT- und OT-Systeme. Die Zahl der Vorfälle zu Software-Lieferketten hat sich in der EU seit 2020 mehr als verdoppelt.

Düsseldorf, 3. Juni 2025 – Auch die deutsche Industrie sieht sich zunehmend mit Software-Supply-Chain-Cyberattacken auf smarte Systeme, sogenannte Embedded Systems, konfrontiert. Dies sind Angriffe, die gezielt über externe Komponenten, Software-Bibliotheken oder Firmware-Updates eingeschleust werden. Darauf weist das Düsseldorfer Cybersicherheitsunternehmen ONEKEY hin, das unter dem Namen Product Cybersecurity & Compliance Platform (OCP) eine Plattform zur automatisierten Überprüfung von Software in Embedded Systems auf Schadcode oder Schwachstellen betreibt. Diese Form der Cyberkriminalität nutzt Sicherheitslücken bei Zulieferern, Dienstleistern oder Softwareanbietern aus, um in der Lieferkette nachgelagerte Unternehmen oder gar den Endkunden anzugreifen. Besonders betroffen sind Industrieanlagen, Maschinensteuerungen (OT-Systeme, Operational Technology), IoT-Komponenten (Internet of Things) und andere eingebettete Systeme, die meist langjährige Betriebszyklen haben und selten sicherheitskritisch untersucht, überwacht und aktualisiert werden. „Hier besteht akuter Handlungsbedarf“, wendet sich der CEO von ONEKEY, Jan Wendenburg, an die Industrie. Er erklärt: „Cybersecurity muss die gesamte Wertschöpfungskette umfassen, um wirksam zu sein.“

Die Marktforschungsfirma Cybersecurity Ventures veranschlagt in einer aktuellen Studie den durch Supply-Chain-Angriffe verursachten Schaden auf weltweit 80 Milliarden Dollar jährlich. „Die Komplexität globaler Lieferketten verschärft das Problem“, sagt Jan Wendenburg. Er verweist auf einen Bericht der Europäischen Agentur für Cybersicherheit (ENISA), wonach zwei Drittel der Unternehmen in der EU mindestens schon einmal von kompromittierten Zulieferern betroffen waren. Laut ENISA gehören Supply-Chain-Angriffe zu den Top-5-Bedrohungen für industrielle IT- und OT-Systeme und werden im „ENISA Foresight 2023 Report“ als die TOP-1 Cybersecurity Gefahr herausgestellt.

‍

Jedes Vorprodukt stellt eine potenzielle Gefahr dar

Die deutsche Wirtschaft ist traditionell stark internationalisiert. Der Wert der importierten Vorprodukte, die von der deutschen Industrie aus aller Welt bezogen und in ihre Produkte eingebaut werden, liegt in der Größenordnung von 370 Milliarden Dollar. Diese Importe von sogenannten „intermediate goods“ sind von zentraler Bedeutung für die Produktion in Deutschland. „Jede ver-wendete Software und jedes mit vernetzter Digitaltechnik ausgerüstete Vorprodukt stellt eine potenzielle Gefahr dar“, umreißt Jan Wendenburg die Dimension der Bedrohung.

Dabei besteht das große Gefährdungspotenzial von Supply-Chain-Angriffen darin, dass nicht nur das jeweilige Unternehmen mit Schadsoftware infiziert wird, sondern diese über Produktauslieferungen an Kunden weitergegeben wird. So wäre es beispielsweise möglich, dass ein Maschinenbauer an seine Kunden Anlagen mit industriellen Steuerungen abgibt, die ein Schadprogramm in sich tragen. Dabei kann der bösartige Code über zwei Wege aus der Lieferkette kommen: entweder als Software, die in die Produktenwicklung einfließt, oder als Teil eines Vorprodukts, das im Endprodukt verbaut wird.

‍

Steigende Nachfrage nach Sicherheits-
überprüfungen

„Dieser Trend ist alarmierend, da die Lieferketten der deutschen Industrie hochgradig vernetzt sind und ein einziger Angriff weitreichende Folgen haben kann“, erklärt Jan Wendenburg. Er sagt: „Daher sollten Embedded Systems, die in Steuerungstechnik, Automatisierung oder IoT-Geräten zum Einsatz kommen, einer umfassenden Prüfung im Hinblick auf Cybersecurity unterzogen werden.“ Das gelte ausnahmslos für alle Komponenten, also nicht nur die im eigenen Unternehmen entwickelten, sondern auch für die von Zulieferern übernommenen Vorprodukte.

Nach seinen Angaben erfährt ONEKEY derzeit eine „stark steigende Nachfrage“ nach Sicherheits-überprüfungen von Geräten, Anlagen und Systemen mit Echtzeit-Betriebssystemen (Real-Time Operating Systems, RTOS), wie sie in Embedded Systems typischerweise zum Einsatz kommen. Das Düsseldorfer Sicherheitsunternehmen hatte erst vor wenigen Monaten seine Product Cybersecurity & Compliance Platform (OCP) weiterentwickelt, so dass diese auch RTOS-Firmware auf Schwach-stellen und Sicherheitslücken überprüfen kann. Dies galt zuvor in der Branche als schwierig bis unmöglich, insbesondere bei sogenannten monolithischen Binärdateien, wie sie bei marktgängigen Echtzeit-Betriebssystemen wie etwa FreeRTOS, Zephyr OS, ThreadX und anderen im Einsatz sind

‍

Open Source und der Fall Log4Shell

Als ein besonders kritisches Einfallstor in der Lieferkette gelten Open-Source-Komponenten, die in rund 80 Prozent aller Firmware-Stacks für Embedded Systems enthalten sind. Sicherheitslücken in weitverbreiteten Bibliotheken wie uClibc, BusyBox oder OpenSSL können eine Vielzahl von Systemen gleichzeitig betreffen. Der Fall Log4Shell im Jahr 2021 – eine Schwachstelle in der weitverbreiteten Java-Bibliothek Log4j – hatte gezeigt, wie gefährlich eine unsichere Software-Komponente sein kann, selbst wenn sie nur in einem Subsystem verwendet wird. Der Log4Shell-Fall gilt als einer der gravierendsten Sicherheitslücken der letzten Jahrzehnte, weil die Software Bestandteil von Millionen Java-Anwendungen ist, darunter auch zehntausende OT- und IoT-Systeme.

„Die zunehmende Komplexität industrieller Systeme, die Vielzahl externer Anbieter und die Langzeitnutzung von Embedded Systems lassen Supply-Chain-Angriffe zu einer immer größeren Bedrohung werden“, sagt Jan Wendenburg. Er verweist auf Prognosen der Gartner Group, wonach bis 2026 über 45 Prozent aller Unternehmen mindestens einen Cybervorfall über die Lieferkette erleiden werden, der ihre Betriebsfähigkeit beeinträchtigt

‍

Es steht viel auf dem Spiel: Produktion, Reputation, Lieferfähigkeit

„Die immer stärkere Integration von Industrial IoT-Systemen und Robotik bis hin zu autonomen Produktionslinien öffnet geradezu ein Scheunentor für Attacken aus der Lieferkette“, erklärt Jan

Wendenburg. Er appelliert an die Unternehmensführungen: „Es ist höchste Zeit, Software für Embedded Systeme, unabhängig ob aus eigenem Haus oder von Lieferanten systematisch vor dem Einsatz und laufend zu überprüfen. Wer das unterlässt, setzt nicht nur seine Produktion, sondern auch seine Reputation und Lieferfähigkeit aufs Spiel.“

Hinzu kommt der rechtliche Aspekt: Die Radio Equipment Directive EN18031 und der EU Cyber Resilience Act (CRA) und andere gesetzliche Vorgaben schreiben die Verantwortung der Hersteller für die Cybersicherheit vernetzter Geräte, Maschinen und Anlagen zwingend vor. Die Product Cybersecurity & Compliance Platform (OCP) von ONEKEY ermögliche mit dem Compliance Wizard eine automatisierte Überprüfung der Konformität zum CRA und weiteren cybersicherheitsrelevanten Normen. Dies erleichtert die Vorbereitung auf Audits erheblich und reduziert den bürokratischen Aufwand, der durch neue Gesetze entsteht.