Technikforum Industrial IoT

Alle Produkte mit digitalen Elementen – vom Router über smarte Kühlschränke bis zum Fernseher und vor allem jede moderne Industrieanlage – sollen für die Nutzer zukünftig keine Cyber-Risiken mehr darstellen. Das fordert die EU-Kommission und legt mit dem Cyber Resilience Act – einem Gesetz zur Cyber-Widerstandsfähigkeit – fest, dass Produkte mit digitalen Elementen wie Hard- und Software zukünftig während des vollen Lebenszyklus vor durch Hacker ausnutzbaren Schwachstellen geschützt werden müssen. Jan Wendenburg, Geschäftsführer von Onekey, einem Unternehmen für IoT-Security, sagt dazu: „Dieses Gesetz wird zu einem Kraftakt für die Industrie.“ Laut Wendeburg sei die Regelung überfällig und sehr sinnvoll, da vor allem in den letzten Monaten mehr und mehr solcher Schwachstellen von smarten Geräten gnadenlos ausgenutzt oder als Einfallstor in Netzwerke verwendet wurden. Time-to-Market für neue Produkte und Anlagen könne allerdings unter dem Regelwerk leiden, und ohne automatisierte Analyse- und Prüfroutinen wäre der Prozess kaum abbildbar, so Wendeburg.

Hohe Verschachtelung digitaler Komponenten

Bis vor kurzem waren sich laut dem Unternehmen weder Nutzer noch Hersteller oder Inverkehrbringer darüber bewusst, aus welchen Komponenten Produkte mit digitalen Elementen und Netzwerkverbindungen bestehen. Hier sieht Onekey ein Problem, denn die Nutzung von Drittanbieter-Codes läuft außer Kontrolle. Generell wird Software schon lange nicht mehr in einer Hand entwickelt, sondern aus Bausteinen, also Komponenten zusammengesetzt – egal ob Open-Source- oder Binär-Lizenz-Software. Diese Komponentenbauweise wird genutzt, um die Kosten in der Entwicklung zu senken und Zeit zu sparen. Die Herausforderung besteht darin, dass die Komponenten wieder Komponenten enthalten – und so tief verschachtelt die eigene Firmware, Malware, Bugs oder andere Schwachstellen enthalten kann, von denen der Entwickler nichts weiß, betont Onekey. „Ohne ein robustes und zuverlässiges Prüfverfahren für den Code können sich Unternehmen der Bedrohungen nicht sicher sein und stehen gemäß Cyber Resilience Act mit einem Bein im zukünftig strafbaren Raum“, so Wendenburg weiter.

Industrielle Steuersysteme besonders gefährdet 

Die EU-Gesetzgebung sieht zudem vor, dass Hersteller für einen Zeitraum von fünf Jahren oder die vorgesehene Lebenszeit eines Produktes – der kürzere Zeitraum ist relevant – die Sicherheit und Integrität der Bauteile oder Produkte und Anlagen gewährleisten müssen. Hier sieht der Security-Experte von Onekey insbesondere bei industriellen Steuerungen Nachholbedarf. „IoT-Anlagen sind in der Industrie – in Fabriken, im Service und der Fertigung – wesentlich länger im Einsatz, selbst wenn der Hersteller nach fünf Jahren das Produkt einstellt. Hier müssen sich vor allem die nutzenden Unternehmen im Klaren sein, dass der Schutz des EU-Gesetzes irgendwann endet und die Eigenverantwortung beginnt“. In Zukunft verboten ist zudem das Inverkehrbringen von Produkten mit bekannten Schwachstellen. Damit endet nach Meinung von Onekey das heute oft übliche Copy-Paste-Engineering, das häufig unerkannte oder auch bekannte Fehler erneut in neue Produkte einbaut. Zukünftig müssen verwendete Komponenten oder Endergebnisse geprüft werden, um zu verhindern, dass alte Schwachstellen in neue Produkte kopiert werden.

Onekey ist Anbieter einer automatisierten Firmware-Analyse, die laut Unternehmen ohne Source Code die SBOM (Software Bill of Materials, Software-Stückliste) erstellen und bei Updates diese auch stetig und voll automatisiert weiter pflegen kann. Sie soll die softwaregestützte automatisierte Analyse von Binärsoftware ermöglichen, um bislang unbekannte Schwachstellen – bis hin zu Zero-Day-Lücken – zu erkennen.