Veraltete Software auf Geräten erhöht Cyberrisiko

0

Unternehmen, die der NIS2-Regulierung unterliegen, müssen Gerätesoftware auf den neuesten Stand bringen.

„Mit dem Inkrafttreten von NIS2 unterliegen in den betroffenen Unternehmen nicht nur die IT-Netzwerke den neuen Cybersicherheitsregularien, sondern auch sämtliche industrielle Steuerungen, Büro- und Laborgeräte, Industriemaschinen und Anlagen, die in das Netzwerk eingebunden sind“, sagt Jan Wendenburg, CEO von ONEKEY. „Alle NIS2-pflichtigenUnternehmen müssen prüfen und dokumentieren, dass all diese Geräte mit aktueller Software ausgestattet und damit bestmöglich gegen Cyberangriffe gewappnet sind.“ Das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) geht von knapp 30.000 von NIS2 betroffenen Unternehmen aus.

Angriffe über Drucker, Whiteboards oder CNC-Maschinen

Typische Beispiele im Bürobereich sind Drucker, Sicherheitskameras, Bewegungsmelder, intelligente Beleuchtungs­systeme, vernetzte Konferenzsysteme, Whiteboards und andere Präsentationsgeräte, Zutritts­kontrollen, Raumbelegungssensoren, Briefwagen und intelligente Schließsysteme. In der Industrie kommen CNC-Maschinen, Fertigungsstraßen, Lager- und Logistiksysteme, autonome Fahrzeuge, Roboter, Sensoren und Anlagen aller Art hinzu. Nach Einschätzung von Jan Wendenburg „haben aber die wenigsten Firmen die Resilienz gegenüber Hackerangriffen außerhalb der IT-Netzwerke im Blick.“

So stehe die Druckersoftware oft nicht im Fokus, solange der Drucker reibungslos arbeitet. Tatsächlich aber könnten sich Hacker über veraltete Programme in Druckern Zugang zum Firmennetz verschaffen. Der Weg sei für geübte Programmierer ein Kinderspiel: „Die Hacker gehen vom Drucker aus, finden ein Active Directory, führen eine Abfrage mit einem Konto des Druckers aus und landen im schlimmsten Fall mitten im IT-Herz des Unternehmens.“

Software-Stücklisten für NIS2 und CRA erforderlich

Von NIS2 betroffene Unternehmen sollten sich schnellstmöglich von den Lieferanten aller vernetzter Geräte im weitesten Sinne, die im betrieblichen Einsatz sind, eine Software-Stückliste aushändigen lassen. Diese Software Bill of Materials (SBOM) listet alle im Unternehmen eingesetzten Programme vollständig auf. Da es bei älteren Geräten wie etwa einem Drucker, der seit zehn Jahren seinen Dienst verrichtet, meist schwierig ist, an die Firmware heranzukommen, empfiehlt sich der Einsatz von SBOM-Tools zur automatischen Erfassung aller Software-Komponenten und Generierung einer entsprechenden Software-Stückliste. Dies ist nicht nur für die NIS2-Konformität von Bedeutung, sondern auch für den kommenden EU Cyber Resilience Act (CRA). 

Die Genauigkeit der Komponenteninformationen wirkt sich unmittelbar auf die Effektivität des Abgleichs mit der Datenbank „Common Vulnerabilities and Exposures“ (CVE) des US-amerikanischen National Cybersecurity Federally Funded Research and Development Center aus. Dort werden alle nachgewiesenen Schwachstellen in Software einschließlich Firmware zentral erfasst, so dass durch einen Abgleich festgestellt werden kann, ob das eigene Gerät längst bekannte – und damit auch den Hackern bekannte – Einfallstore für Cyberkriminelle aufweist.