Zur Übersicht
24. Juli 2017

Die Euphorie-Falle

Aufmacherbild_02

Warum im Rausch der Digitalisierung die Sicherheit nicht zu kurz kommen darf

Das gepriesene Internet of Things (IoT) verbindet alles mit allem. Produktionsanlagen mit Smartphones, die Fabrik mit dem Rest der Welt. Wo alles nützlicher und smarter wird, steigt aber auch das Risiko, von Hackern oder Datendieben angegriffen zu werden. In der Euphorie um die Industrie 4.0 scheint der Gedanke an Sicherheit unterzugehen. Das muss sich ändern.

Produktionsroboter, die ihre Updates selbst herunterladen, oder Aufzüge, die sich melden, bevor sie hängenbleiben – die neue Welt des Internet of Things scheint die Sorgen von Unternehmern sekundenschnell zu lösen. Trotz aller Euphorie: Industrie und Mittelstand sollten sich Schwachstellen frühzeitig anschauen und sie beseitigen. IT-Sicherheit ist Chefsache, von Anfang an. Denn mit jedem vernetzten Gerät vergrößert sich zugleich die Angriffsfläche.

Ganz ehrlich: Eine stabile Firewall und die neuesten Virenscanner reichen schon lange nicht mehr aus. Wer seine Anlagen vernetzt und Prozesse digital optimiert, möchte Datendiebstahl und Missbrauch natürlich so gut es geht verhindern, um große Schadensfälle zu vermeiden. Oben auf der Prioritätenliste steht Sicherheit aber bei Leibe nicht.

Der Preisdruck steigt

Die Hersteller von Soft- und Hardware bieten zwar ein reichhaltiges Set an Features an, um sich von den Wettbewerbern abzuheben: Jedoch geht es ihnen zuvorderst um Usability und Produktivität, nicht um Sicherheit und Datenschutz. Fehler werden erst mit Updates behoben. Warum das so ist? Die Produktlebenszyklen schrumpfen, ebenso wie die Entwicklungszeiten – immer schneller kommen die digitalen Helfer auf den Markt. Und zugleich steigt der Preisdruck.

Dieses fehlende Sicherheitsbewusstsein geben die Hersteller dann an ihre Kunden und Anwender weiter. Sie interessiert vorrangig, welche neuen Funktionalitäten ihnen nützen. Und denken dabei nicht: Was könnte mir schaden oder wie hoch ist der Preis für meine Daten? Hinterfragt wird selten, wo die Daten hingehen, wenn Hersteller und Zulieferer im Ausland sitzen – wo andere Sicherheitsregeln gelten. Eine neue Software ist schnell installiert. Und wenn dann erst einmal alles läuft, sind Sicherheitslücken zweitrangig.

Was im Hype der Digitalisierung oft vergessen wird

Die gute Nachricht: Die Strategien zum Schutz des Internet of Things werden vielfältiger, denn das Thema wird uns noch lange beschäftigen. Es ist schon lange keine Spezialdisziplin mehr. Mittlerweile sind viele Cybersecurity-Lösungen auf dem Markt, die den hohen Ansprüchen der Realität tatsächlich genügen.

Wer aber vollkommene Sicherheit verspricht, der lehnt sich – mit Verlaub – etwas weit aus dem Fenster. Er vergisst vielleicht auch viel wichtigere Grundfragen: Muss wirklich alles mit allem vernetzt sein? Wo setzen wir uns unnötigen Risiken aus, denen nur ein kleiner Mehrwert gegenüber steht?
IT-Forensiker, wie wir, werden gerufen, um einen Angriff zu erkennen und zurückzuverfolgen, Lücken zu schließen und die Systemintegrität wieder herzustellen. Heute suchen wir Beweise nicht mehr nur auf typischen EDV-Systemen, sondern fragen zugleich, ob Angreifer mögliche Hintertüren in anderen vernetzten Geräten verstecken, etwa im neuen Smart-TV im Konferenzraum.Die Praxis ist extrem vielfältig. Nahezu jedes Unternehmen hat andere Systeme in anderen Varianten – selbstredend, dass es keine one-fits-all-Lösung gibt. Aus unserer Erfahrung können wir sagen: Es ist da besonders gefährlich, wo
– neue IoT-Systeme mit der heißen Nadel gestrickt werden,
– nicht personalisierte Zugriffsrechte eingerichtet sind,
– unvollständige Sicherheitsstandards gelten, die zudem nicht in allen Bereichen des Unternehmens angewendet werden,
– qualifiziertes Personal fehlt und
– Investitionen in Sicherheit unverhältnismäßig gering sind.

Mehr als „nice-to-have“

Wenn der Ernstfall eingetreten ist, kann es dauern, bis alle Systeme wieder laufen und das Unternehmen zur Normalität zurückkehrt. Auch wenn wir bei der Aufklärung von Angriffen schon sehr weit sind und Boden gutgemacht haben: Die Täter werden relativ selten gefasst. Die Angreifer sind heute extrem flexibel und international gut vernetzt. Sie arbeiten – im Gegensatz zu den meisten Ermittlungsbehörden – mit dem neuesten Stand der Technik. Doch einige Ermittlungsbehörden und private Dienstleister wie EY stocken seit Jahren ihr Personal auf und bauen länderübergreifende Expertennetzwerke. Wie dringlich und relevant das Thema ist, zeigt der Fakt, dass auch die Bundeswehr ein neues Cyber-Kommando gegründet hat.

Der Trend ist klar: Krisensicherere digitale Infrastruktur wird inmitten der vielen Potenziale, die das Internet of Things verspricht, mehr als „nice-to-have“ sein – nämlich elementarer Baustein zeitgemäßer Governance, verlängert um Elemente von Sensibilisierung und Schulung in die Betriebs- und Mitarbeiterkultur hinein. Je nach Sensibilität des Managements für das Thema ist es mal leichter, mal schwerer, diesen Paradigmenwechsel zu vollziehen.

Ansprechpartner: Dr. Stefan Heissner

Dr. Stefan Heißner leitet bei der Wirtschaftsprüfungsgesellschaft EY den Bereich Business Integrity & Corporate Compliance in Zentraleuropa und der GUS. Die oben angesprochenen Zusammenhänge hat er detailliert in seinem Fachbuch „Erfolgsfaktor Integrität“ ausgeführt.

     

Ansprechpartner: Bodo Meseke

Bodo Meseke ist Partner bei Fraud Investigation & Dispute Services (FIDS) in Frankfurt. Nach Tätigkeit als Kriminalbeamter im Bereich CyberCrime beim Bundeskriminalamt und verschiedenen weiteren beruflichen Stationen betreut er im Schwerpunkt Kunden aus dem Industriesegment Technology und verantwortet das Team zur IT-Forensik der FIDS.

     

Zur Übersicht

Diese Fachartikel könnten Sie auch interessieren: