Globale Zuliefer- und Produktionsbeziehungen sind selbst für mittelständische Unternehmen Realität. Diese komplexen Strukturen haben Einfluss auf die Cybersicherheit des Endprodukts. Denn dessen Cybersicherheit hängt stark von den Lieferanten ab. Anforderung ist, dass jedes Produkt nur exakt das tut, wozu es bestimmt ist und weder „Backdoors“ noch nicht deklarierte Funktionen aufweist. Hersteller tragen die Verantwortung dafür, dass vernetzbare Smart-TVs, Waschmaschinen, Industriesteuerungen und Medizintechnik durch Schwachstellen nicht zum Einfallstor für Hacker werden.

Die Gewährleistung der Integrität der eigenen Zulieferkette ist eine unternehmerische Aufgabe – und Herausforderung. Die Unternehmen müssen Antworten auf verschiedene Fragen finden: Wie lässt sich sicherstellen, dass eingekaufte Hard- und Software zuverlässig den Erwartungen entspricht? Und wie gewährleisten, dass unsichere externe Produkte nicht die eigene Sicherheit oder die der Kunden gefährdet? Was sind die Möglichkeiten und wo die Grenzen der Bestimmung, Überwachung und Gewährleistung von Vertrauenswürdigkeit? Diese Fragen betreffen die Abteilungen Technik, Recht, Zulieferer- und Kundenmanagement gleichermaßen.

ZVEI-Sicherheitslagebild der Elektroindustrie: Vertrauenswürdigkeit von eingekaufter Hard- und Software hat große Relevanz

Um die aktuelle Lage der Elektroindustrie in puncto Cybersicherheit besser einschätzen zu können, hat der ZVEI gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Mitgliederumfrage durchgeführt. Das daraus entstandene Sicherheitslagebild zeigt: Mehr als die Hälfte der befragten Unternehmen waren in den vergangenen zwei Jahren von Trojanern und Ransomware betroffen. Hauptfaktor für Sicherheitsvorfälle in der Produktion waren Schwachstellen in der eingesetzten Software. Dieses Ergebnis verdeutlicht die Relevanz der Bewertung und Prüfung von eingekaufter Soft- und Hardware. 39 Prozent der Befragten haben das erkannt und geben an, dass das Thema Vertrauenswürdigkeit von eingekauften Komponenten relevant für das Supply-Chain-Management ist. 19 Prozent planen entsprechende Maßnahmen. Allerdings messen auch 28 Prozent der Integrität von eingekaufter Soft- und Hardware noch keine hohe Bedeutung zu.

Was können Hersteller tun?
Aus Sicht des ZVEI besteht hier Nachholbedarf. In Zukunft sollte jeder Hersteller wissen, was eingekaufte Hard- und Software für die Security des Endprodukts leisten und was nicht. Dazu gehört auch die Kenntnis darüber, welche Security-Prozesse die einzelnen Zulieferer für Entwicklung und Fertigung anwenden. Halten diese sich beispielsweise an die entsprechenden Normen ISO 27001 oder IEC 62443-4-1? Zudem sollten sich Hersteller frühzeitig darüber Gedanken machen, wie sie ihren Kunden transparent und aussagekräftig darstellen, dass sie selbst – wie auch ihre Zulieferer – Security ausreichend berücksichtigt haben. Um das Thema anzugehen, gibt es verschiedene Ansätze. Diese betreffen zunächst den Einkauf sowie das Vertragsrecht. Hersteller sollten Cybersicherheit zum festen Anforderungspunkt in ihren Einkaufsrichtlinien machen und außerdem ihre Zulieferer entsprechend abfragen.

Wo liegen die Herausforderungen?
Mit Security-Maßnahmen und -Informationen ist allerdings nur die Hälfte der nötigen Schritte getan, die Cybersicherheit gewährleisten können. Genauso wichtig ist es, Maßnahmen und Quellen auch zu bewerten und zu entscheiden, ob diese tatsächlich das gewünschte Maß an Security bieten. Um Zuliefererangaben und -produkte fachgerecht prüfen zu können, braucht es eigene Bewertungskompetenzen bzw. die Beratungskompetenz von Dritten. Langfristig ist der Aufbau eines P-CERs (=Product Computer Emergency Response Team) hilfreich, das Vorfälle analysiert, Kunden informiert und Security Lessons Learned für neue Produktgenerationen festhält. Nur so wird aus Cybersicherheit auch Vertrauenswürdigkeit in der Lieferkette. Zur Beurteilung der übergreifenden Cybersicherheit (über Landes-, Sektoren- und Ebengrenzen hinweg) gibt es zurzeit jedoch noch keinen fertigen Rahmen wie zum Beispiel internationale Standards oder einheitliche Herstellerselbsterklärungen. Um die Produktsicherheit (im Sinne der Security) zu steigern, sollte das zu den langfristigen Zielen gehören. In der Zwischenzeit muss dennoch jeder Hersteller mit seinen Zulieferern sprechen, Security einfordern und sich über Verbände und Plattformen informieren, was inzwischen allgemeine und übertragbare Security-Anforderungen sind. Neben staatlichen Stellen und dem ZVEI ist auch die Allianz für Cyber-Sicherheit dafür eine gute Anlaufstelle. Sie bietet kostenlos Hilfestellung für Unternehmen und unterstützt zudem ihre Mitglieder mit BSI-Warnungen, aktuellen Lagebildern, Lösungshinweisen und verschiedenen Schulungsangeboten.

Mehr Cybersicherheit entlang der Lieferkette: Was jetzt zu tun ist
Nach Auffassung des ZVEI ist die Vertrauenswürdigkeit von eigenen und Drittprodukten ein entscheidender Faktor, um Cyberangriffen zu begegnen und die Branche robust aufzustellen. Um zukünftig auch entlang der Lieferkette mehr Security gewährleisten zu können, schlägt der ZVEI vor, in allen vernetzbaren Produkten risikobasierte Maßnahmen zur Identifizierung und Authentifizierung, Rollen- und Rechtemanagement, sicheren Kommunikation und Monitoring der Cybersicherheit zu berücksichtigen. Damit diese Maßnahmen erfolgreich sein können, ist es jedoch von großer Bedeutung, dass Deutschland keine Sonderwege geht, sondern vielmehr europäische und internationale Ansätze gewählt werden. Ziel sollte sein, dass Cybersicherheit international einheitlich von Zulieferern abgefragt und gegenüber den eigenen Kunden dargestellt werden kann. Entsprechende internationale Kategorien, Metriken und Standards fehlen jedoch bisher. Der ZVEI arbeitet an diesem Prozess mit und bringt seine Positionen in Europa sowie in internationale Partnerschaften (z.B. G20- und B20-Prozess) ein.

Vertrauenswürdigkeit ist auch ein Infrastrukturthema. Die IT-Infrastrukturen bilden das Rückgrat der „Economy of Things and Services“. Mehrheitlich befinden sich diese in außereuropäischer Hand, was eine Herausforderung für Know-how-Schutz und Souveränität der Bürger, Unternehmen und Behörden in Europa darstellt. Der ZVEI setzt sich zusammen mit dem Bundesverband der Deutschen Industrie (BDI) sowie dem TeleTrust Verband für Ansätze wie der „IT Security Replaceability“ in Produkten und Systemen ein. Anwendern soll standardmäßig die Möglichkeit gegeben werden, vertrauenswürdige (Security-)Komponenten an IKT-Produkte anschließen zu können, um ihr eigenes Schutzniveau zu erhöhen.

Zusätzlich fordert der ZVEI eine europäische Forschungs- und Technologieförderung, damit Gesellschaft, Politik und Industrie auch in Zukunft souverän agieren können.

Sicherheitslagebild der Elektroindustrie: https://www.zvei.org/themen/cybersicherheit/sicherheitslagebild-der-deutschen-elektroindustrie/