Zühlke – Empowering Ideas

Group discussion
Insights

Drei Umdenkprozesse für mehr Cyber Security im industriellen IoT

Derek Yu

Im Zuge der fortschreitenden industriellen Digitalisierung spielen IoT-Lösungen eine entscheidende Rolle, wenn es darum geht, in neue Märkte zu expandieren, neue Geschäftsmodelle zu testen und das innovative Image von Unternehmen zu festigen.

Mit der zunehmenden Einbindung von Software in bestehende Infrastrukturen erhöht sich jedoch auch die Gefahr, dass Unternehmen zum Ziel von Cyberangriffen werden. Erfolgreiche Cyberangriffe verursachen materiellen Schaden, der die Vorteile der Vernetzung schnell relativiert.

Insight in brief

  • Was müssen Sie im Security-Bereich überdenken, um ihr nächstes IoT-Projekt zum Erfolg zu führen?
  • Unternehmen sollten Cyber Security als einen fortlaufenden Prozess begreifen, der über die traditionelle Produktentwicklung hinausgeht.
  • Frühzeitige Investitionen in Cyber Security zahlen sich langfristig aus.
  • Zunehmende Cyber-Vorfälle bedeuten ein großes Marktpotenzial für Ihre Cyber Security-Investitionen.

Eine 2019 von Irdeto durchgeführte Studie kommt zu dem überraschenden Ergebnis, dass 82 % der führenden Unternehmen im Gesundheitswesen, die für die Studie befragt wurden, im vergangenen Jahr Ziel von Cyberangriffen geworden waren.

Größere Cybervorfälle wie der Hackerangriff auf das Unternehmen SolarWinds oder Cyberangriffe auf COVID-19-Impfstofftransporte sorgten 2020 für Schlagzeilen und haben dazu geführt, dass Behörden und Unternehmen spätestens jetzt erkannt haben, wie wichtig das Thema Cyber Security ist. In diesem Artikel erörtern wir ein dringendes Sicherheitsproblem, von dem zahlreiche Branchen betroffen sind, und schlagen drei wichtige Umdenkprozesse vor, die für die Entwicklung Ihrer nächsten IoT-Lösung erforderlich sind.

Cyber Security ist zu kostspielig, um außer Acht gelassen zu werden

Ein nicht zu unterschätzender Aspekt, der den Bemühungen von Unternehmen, für größtmögliche Sicherheit ihrer Produkte und Dienstleistungen zu sorgen, häufig im Wege steht, ist – wie in so vielen anderen Bereichen auch – der Kostenaspekt. Während wir von den Vorteilen des IoT profitieren, das unter anderem die Arbeitsgemeinkosten beträchtlich reduzieren kann, macht unser Streben nach Effizienz auch vor der Entwicklung von IoT-Produkten nicht Halt. Diese werden häufig als kostengünstige, wartungsarme Lösungen angepriesen. Auf der Suche nach kostengünstigen Produkten, die dennoch möglichst viele Funktionen bieten, tritt die Cyber Security häufig in den Hintergrund, da sich deren Wert für den Kunden nicht unmittelbar erschließt.

Tatsache ist jedoch, dass Cybervorfälle in allen Branchen hohe Kosten verursachen. Einer von IBM veröffentlichten Studie zufolge beliefen sich die durchschnittlichen Kosten, die ein Unternehmen infolge einer Datenschutzverletzung zu tra-gen hatte, 2020 auf 3,9 Millionen USD. Systemrelevante Branchen haben mit noch höheren Verlusten zu kämpfen. Das Gesundheitswesen steht dabei mit Kosten von durchschnittlich 7,1 Millionen USD an erster Stelle, während der Energiesektor mit 6,39 Millionen USD dicht dahinter folgt. Angesichts der weit verbreiteten Auffassung, es sei lediglich eine Frage der Zeit, bis ein Unternehmen Ziel eines Cyberangriffs werde, müssen wir uns die beunruhigende Frage stellen, ob Unternehmen, die keine entsprechenden Vorkehrungen treffen, den Preis zu zahlen bereit sind, wenn es soweit ist.

Allen beängstigenden Statistiken zum Trotz vertreten wir die Ansicht, dass Angst, Unsicherheit und Zweifel schlechte Ratgeber sind, wenn es um die Erhöhung der Cyber Security geht. Vielmehr sollten Unternehmen das Kostenproblem ähnlich wie die Digitalisierung selbst mit drei neuen inneren Einstellungen betrachten, um die Cyber Security langfristig zu optimieren. 
 

Einstellung Nr. 1: Die frühzeitige Investition in Cyber Security spart langfristig erhebliche Kosten

Cyber Security ist teuer und komplex, wenn wir sie erst nachträglich berücksichtigen. Teams, die sich nicht von Anfang an mit dem Thema Cyber Security auseinandersetzen, entwickeln zwangsläufig Produkte mit Sicherheitsschwachstellen. Wenn dann zu einem späteren Zeitpunkt Sicherheitsprobleme auftreten, verfügen wir häufig nicht über die erforderlichen Ressourcen, um die Probleme angemessen zu beheben, und die Last der technischen Schulden ist hoch. Dies führt in vielen Fällen zu improvisiertem Flickwerk, das kritische Funktionen nur unzureichend schützt, nicht alle Sicherheitsprobleme behebt oder für die großflächige Einführung in IoT-Umgebungen ungeeignet ist.

Doch Unternehmen können die Kosten für Cyber Security Lösungen erheblich reduzieren, indem sie frühzeitig investieren. Mithilfe eines „Shift Left“-Ansatzes können Entwicklerteams potenzielle Gefahren umfassend analysieren und bewährte Sicherheitslösungen in der Frühphase des Requirements Engineering integrieren. Dieselbe Einstellung erweist sich auch für die Automatisierung von Sicherheitsprozessen als vorteilhaft, um die Sicherheit bei der Softwareentwicklung und Betriebsüberwachung zu erhöhen. Der oben genannte Bericht zum Thema Datenschutzverletzungen kommt außerdem zu dem Schluss, dass Unternehmen bis zu 3,58 Millionen USD (was mehr als 90 % der durchschnittlichen Kosten entspricht) einsparen können, wenn sie ihre Sicherheitsprozesse vollständig automatisieren. 
 

Einstellung Nr. 2: Begegnen Sie Sicherheitsproblemen mit einer Kultur der Unterstützung

Sicherheitsvorfälle werden unabhängig von ihrem Schweregrad häufig als Blamage empfunden, weshalb Entwickler oftmals scharfer Kritik ausgesetzt sind, wenn ihr Code Sicherheitslücken aufweist. Umso wichtiger ist es, sich bewusst zu machen, dass es kein vollständig sicheres System gibt und dass jedem einmal Fehler unterlaufen können. Wird eine Sicherheitslücke festgestellt, sind Schuldzuweisungen alles andere als hilfreich. Vielmehr sollte alles daran gesetzt werden, das Problem gemeinsam als Team zu lösen.

Hinzu kommt, dass entdeckte Sicherheitsprobleme häufig heruntergespielt oder unterschätzt werden, obwohl sich die Öffentlichkeit vielmehr erhöhte Transparenz und Eigeninitiative von den Unternehmen wünschen würde. Eine Studie des Marktforschungsinstituts Ponemon aus dem Jahr 2019 kommt zu dem Ergebnis, dass 60 % der Datenschutzverletzungen in Unternehmen auf durchaus bekannte, jedoch nicht behobene Schwachstellen zurückzuführen sind. Unternehmen sollten die Cyber Security als einen kontinuierlichen Prozess begreifen, der weit über die traditionelle Produktentwicklung hinausgeht. Befolgen wir künftig die Best Practice, die fortlaufende Sicherheitsüberwachung und Problembehebung mit entsprechenden Ressourcen und einem angemessenen Budget zu unterstützen.
 

Einstellung Nr. 3: Sie haben die Unterstützung Ihrer Kunden

Obwohl wir uns in der kostenbewussten Welt von IoT und Digitalisierung befinden, führen die beiden vorangegangenen Umdenkprozesse zunächst zu einer Erhöhung des Kosten- und Zeitaufwands. Jedoch können Unternehmen heute mehr denn je auf die Unterstützung ihrer Kunden zählen, wenn es um Investitionen in die Cyber Security und den transparenten Umgang mit Kundendaten geht. In einer 2020 von Cisco durchgeführten Studie gab fast ein Drittel der befragten Verbraucher an, aufgrund von Datenschutzbedenken auf Geschäfte mit Unternehmen verzichtet zu haben. In systemrelevanten Branchen wie dem Gesundheits- und Finanzwesen können wir getrost davon ausgehen, dass die höheren Erwartungen, die Geschäftskunden und Endnutzer an Produkte haben, Investitionen in die Cyber Security rechtfertigen.

Letztendlich geht es Kunden beim Treffen von Kaufentscheidungen vor allem darum, nachts ruhig schlafen zu können. Unternehmen, die dazu bereit sind, Sicherheitsinvestitionen – beispielsweise in Form von Datenschutzfunktionen, Sicherheits-Compliance oder Cyberversicherungen – zur Priorität zu machen, haben beste Chancen am Markt.
 

Erste Schritte

Damit Ihr nächstes IoT-Projekt in Sicherheitsfragen von Anfang an überzeugt, empfehlen wir folgende praktische Schritte:

  • Führen Sie so früh wie möglich umfassende Sicherheitsanalysen mit vorgeschriebenen Maßnahmen durch.
  • Unterstützen Sie Ihre Entwickler beim Thema Sicherheit, z. B. indem Sie automatische Sicherheitstests und -prüfungen integrieren.
  • Richten Sie zu Beginn Protokollierungs- und Überwachungssysteme für den Systembetrieb ein.

Entscheidend ist vor allem, rechtzeitig angemessene Vorkehrungen zu treffen, damit die kontinuierliche Überwachung und Verbesserung der Sicherheit so reibungslos wie möglich verläuft und gar nicht erst zu einem Problem wird.
 

Lassen Sie sich von uns beraten

Einhergehend mit der zunehmenden Digitalisierung von Branchen, die ihren Kunden einen Mehrwert bieten wollen, nimmt auch die Zahl der Cyberangriffe beständig zu. Immer mehr systemrelevante Funktionen sind davon betroffen. Die durch diese Angriffe entstehenden Kosten und die steigende Marktnachfrage machen effektive Cyber Security Vorkehrungen unerlässlich. Mit der richtigen Einstellung können sich Branchen und Unternehmen optimal für eine nachhaltige und verantwortungsvolle Geschäftstätigkeit positionieren.

Welche Erfahrungen haben Sie bezüglich der Sicherung Ihrer digitalen Unternehmen und Assets gemacht? Zühlke verfügt über umfassende Kompetenzen und Erfahrungen, wenn es darum geht, Unternehmen aus den unterschiedlichsten Branchen bezüglich ihrer Cyber Security Anforderungen zu unterstützen. Setzen Sie sich mit uns in Verbindung und wir werden gemeinsam dafür sorgen, dass das Thema Cyber Security zu einem unschlagbaren Verkaufsargument für Ihre nächsten Projekte wird.

Der Schlüssel, um Unternehmen in der vernetzten und digitalen Welt vor Datenmissbräuchen und Sicherheitsrisiken zu schützen, ist Cyber Security. Doch wie sieht die Gestaltung einer zuverlässigen Security-Strategie aus? Häufig gestellte Fragen zu Cyber Security finden Sie auf unseren FAQ Seiten.

Cyber Security - Woman checks source code
Derek Yu

Derek Yu

Principal Consultant

Derek Yu ist ein Principal Consultant bei Zühlke in Zürich. Er promovierte an der ETH Zürich in Informatik und verfügt über Forschungserfahrung in vielen Cyber Security Themen, wie z. B. Systemsicherheit und Netzwerksicherheit. Außerdem konnte er viele Erfahrungen in der Entwicklung sicherer IIoT-Lösungen sammeln. Zu Dereks täglichen Aufgaben und Interessen gehören die Überprüfung von Sicherheitsdesigns, die Entwicklung von Best Practices für die Sicherheitsentwicklung, IIoT und DevSecOps.