6 Minuten Lesezeit Mit Insights von Derek Yu Principal Consultant derek.yu@zuehlke.com Was müssen Sie im Security-Bereich überdenken, um ihr nächstes IoT-Projekt zum Erfolg zu führen? Unternehmen sollten Cybersecurity als einen fortlaufenden Prozess begreifen, der über die traditionelle Produktentwicklung hinausgeht. Frühzeitige Investitionen in Cybersecurity zahlen sich langfristig aus. Zunehmende Cyber-Vorfälle bedeuten ein großes Marktpotenzial für Ihre Cybersecurity-Investitionen. Im Zuge der fortschreitenden industriellen Digitalisierung spielen IoT-Lösungen eine entscheidende Rolle, wenn es darum geht, in neue Märkte zu expandieren, neue Geschäftsmodelle zu testen und das innovative Image von Unternehmen zu festigen. Mit der zunehmenden Einbindung von Software in bestehende Infrastrukturen erhöht sich jedoch auch die Gefahr, dass Unternehmen zum Ziel von Cyberangriffen werden. Erfolgreiche Cyberangriffe verursachen materiellen Schaden, der die Vorteile der Vernetzung schnell relativiert. Eine 2019 von Irdeto durchgeführte Studie kommt zu dem überraschenden Ergebnis, dass 82 % der führenden Unternehmen im Gesundheitswesen, die für die Studie befragt wurden, im vergangenen Jahr Ziel von Cyberangriffen geworden waren. Größere Cybervorfälle wie der Hackerangriff auf das Unternehmen SolarWinds oder Cyberangriffe auf COVID-19-Impfstofftransporte sorgten 2020 für Schlagzeilen und haben dazu geführt, dass Behörden und Unternehmen spätestens jetzt erkannt haben, wie wichtig das Thema Cybersecurity ist. In diesem Artikel erörtern wir ein dringendes Sicherheitsproblem, von dem zahlreiche Branchen betroffen sind, und schlagen drei wichtige Umdenkprozesse vor, die für die Entwicklung Ihrer nächsten IoT-Lösung erforderlich sind. Cybersecurity ist zu kostspielig, um außer Acht gelassen zu werden Ein nicht zu unterschätzender Aspekt, der den Bemühungen von Unternehmen, für größtmögliche Sicherheit ihrer Produkte und Dienstleistungen zu sorgen, häufig im Wege steht, ist – wie in so vielen anderen Bereichen auch – der Kostenaspekt. Während wir von den Vorteilen des IoT profitieren, das unter anderem die Arbeitsgemeinkosten beträchtlich reduzieren kann, macht unser Streben nach Effizienz auch vor der Entwicklung von IoT-Produkten nicht Halt. Diese werden häufig als kostengünstige, wartungsarme Lösungen angepriesen. Auf der Suche nach kostengünstigen Produkten, die dennoch möglichst viele Funktionen bieten, tritt die Cybersecurity häufig in den Hintergrund, da sich deren Wert für den Kunden nicht unmittelbar erschließt. Tatsache ist jedoch, dass Cybervorfälle in allen Branchen hohe Kosten verursachen. Einer von IBM veröffentlichten Studie zufolge beliefen sich die durchschnittlichen Kosten, die ein Unternehmen infolge einer Datenschutzverletzung zu tra-gen hatte, 2020 auf 3,9 Millionen USD. Systemrelevante Branchen haben mit noch höheren Verlusten zu kämpfen. Das Gesundheitswesen steht dabei mit Kosten von durchschnittlich 7,1 Millionen USD an erster Stelle, während der Energiesektor mit 6,39 Millionen USD dicht dahinter folgt. Angesichts der weit verbreiteten Auffassung, es sei lediglich eine Frage der Zeit, bis ein Unternehmen Ziel eines Cyberangriffs werde, müssen wir uns die beunruhigende Frage stellen, ob Unternehmen, die keine entsprechenden Vorkehrungen treffen, den Preis zu zahlen bereit sind, wenn es soweit ist. Allen beängstigenden Statistiken zum Trotz vertreten wir die Ansicht, dass Angst, Unsicherheit und Zweifel schlechte Ratgeber sind, wenn es um die Erhöhung der Cybersecurity geht. Vielmehr sollten Unternehmen das Kostenproblem ähnlich wie die Digitalisierung selbst mit drei neuen inneren Einstellungen betrachten, um die Cybersecurity langfristig zu optimieren. Einstellung Nr. 1: Die frühzeitige Investition in Cybersecurity spart langfristig erhebliche Kosten Cybersecurity ist teuer und komplex, wenn wir sie erst nachträglich berücksichtigen. Teams, die sich nicht von Anfang an mit dem Thema Cybersecurity auseinandersetzen, entwickeln zwangsläufig Produkte mit Sicherheitsschwachstellen. Wenn dann zu einem späteren Zeitpunkt Sicherheitsprobleme auftreten, verfügen wir häufig nicht über die erforderlichen Ressourcen, um die Probleme angemessen zu beheben, und die Last der technischen Schulden ist hoch. Dies führt in vielen Fällen zu improvisiertem Flickwerk, das kritische Funktionen nur unzureichend schützt, nicht alle Sicherheitsprobleme behebt oder für die großflächige Einführung in IoT-Umgebungen ungeeignet ist. Doch Unternehmen können die Kosten für Cybersecurity Lösungen erheblich reduzieren, indem sie frühzeitig investieren. Mithilfe eines „Shift Left“-Ansatzes können Entwicklerteams potenzielle Gefahren umfassend analysieren und bewährte Sicherheitslösungen in der Frühphase des Requirements Engineering integrieren. Dieselbe Einstellung erweist sich auch für die Automatisierung von Sicherheitsprozessen als vorteilhaft, um die Sicherheit bei der Softwareentwicklung und Betriebsüberwachung zu erhöhen. Der oben genannte Bericht zum Thema Datenschutzverletzungen kommt außerdem zu dem Schluss, dass Unternehmen bis zu 3,58 Millionen USD (was mehr als 90 % der durchschnittlichen Kosten entspricht) einsparen können, wenn sie ihre Sicherheitsprozesse vollständig automatisieren. Einstellung Nr. 2: Begegnen Sie Sicherheitsproblemen mit einer Kultur der Unterstützung Sicherheitsvorfälle werden unabhängig von ihrem Schweregrad häufig als Blamage empfunden, weshalb Entwickler oftmals scharfer Kritik ausgesetzt sind, wenn ihr Code Sicherheitslücken aufweist. Umso wichtiger ist es, sich bewusst zu machen, dass es kein vollständig sicheres System gibt und dass jedem einmal Fehler unterlaufen können. Wird eine Sicherheitslücke festgestellt, sind Schuldzuweisungen alles andere als hilfreich. Vielmehr sollte alles daran gesetzt werden, das Problem gemeinsam als Team zu lösen. Hinzu kommt, dass entdeckte Sicherheitsprobleme häufig heruntergespielt oder unterschätzt werden, obwohl sich die Öffentlichkeit vielmehr erhöhte Transparenz und Eigeninitiative von den Unternehmen wünschen würde. Eine Studie des Marktforschungsinstituts Ponemon aus dem Jahr 2019 kommt zu dem Ergebnis, dass 60 % der Datenschutzverletzungen in Unternehmen auf durchaus bekannte, jedoch nicht behobene Schwachstellen zurückzuführen sind. Unternehmen sollten die Cybersecurity als einen kontinuierlichen Prozess begreifen, der weit über die traditionelle Produktentwicklung hinausgeht. Befolgen wir künftig die Best Practice, die fortlaufende Sicherheitsüberwachung und Problembehebung mit entsprechenden Ressourcen und einem angemessenen Budget zu unterstützen. Einstellung Nr. 3: Sie haben die Unterstützung Ihrer Kunden Obwohl wir uns in der kostenbewussten Welt von IoT und Digitalisierung befinden, führen die beiden vorangegangenen Umdenkprozesse zunächst zu einer Erhöhung des Kosten- und Zeitaufwands. Jedoch können Unternehmen heute mehr denn je auf die Unterstützung ihrer Kunden zählen, wenn es um Investitionen in die Cybersecurity und den transparenten Umgang mit Kundendaten geht. In einer 2020 von Cisco durchgeführten Studie gab fast ein Drittel der befragten Verbraucher an, aufgrund von Datenschutzbedenken auf Geschäfte mit Unternehmen verzichtet zu haben. In systemrelevanten Branchen wie dem Gesundheits- und Finanzwesen können wir getrost davon ausgehen, dass die höheren Erwartungen, die Geschäftskunden und Endnutzer an Produkte haben, Investitionen in die Cybersecurity rechtfertigen. Letztendlich geht es Kunden beim Treffen von Kaufentscheidungen vor allem darum, nachts ruhig schlafen zu können. Unternehmen, die dazu bereit sind, Sicherheitsinvestitionen – beispielsweise in Form von Datenschutzfunktionen, Sicherheits-Compliance oder Cyberversicherungen – zur Priorität zu machen, haben beste Chancen am Markt. Erste Schritte Damit Ihr nächstes IoT-Projekt in Sicherheitsfragen von Anfang an überzeugt, empfehlen wir folgende praktische Schritte: Führen Sie so früh wie möglich umfassende Sicherheitsanalysen mit vorgeschriebenen Maßnahmen durch. Unterstützen Sie Ihre Entwickler beim Thema Sicherheit, z. B. indem Sie automatische Sicherheitstests und -prüfungen integrieren. Richten Sie zu Beginn Protokollierungs- und Überwachungssysteme für den Systembetrieb ein. Entscheidend ist vor allem, rechtzeitig angemessene Vorkehrungen zu treffen, damit die kontinuierliche Überwachung und Verbesserung der Sicherheit so reibungslos wie möglich verläuft und gar nicht erst zu einem Problem wird. Lassen Sie sich von uns beraten Einhergehend mit der zunehmenden Digitalisierung von Branchen, die ihren Kunden einen Mehrwert bieten wollen, nimmt auch die Zahl der Cyberangriffe beständig zu. Immer mehr systemrelevante Funktionen sind davon betroffen. Die durch diese Angriffe entstehenden Kosten und die steigende Marktnachfrage machen effektive Cybersecurity Vorkehrungen unerlässlich. Mit der richtigen Einstellung können sich Branchen und Unternehmen optimal für eine nachhaltige und verantwortungsvolle Geschäftstätigkeit positionieren. Welche Erfahrungen haben Sie bezüglich der Sicherung Ihrer digitalen Unternehmen und Assets gemacht? Zühlke verfügt über umfassende Kompetenzen und Erfahrungen, wenn es darum geht, Unternehmen aus den unterschiedlichsten Branchen bezüglich ihrer Cybersecurity Anforderungen zu unterstützen. Setzen Sie sich mit uns in Verbindung und wir werden gemeinsam dafür sorgen, dass das Thema Cybersecurity zu einem unschlagbaren Verkaufsargument für Ihre nächsten Projekte wird. Der Schlüssel, um Unternehmen in der vernetzten und digitalen Welt vor Datenmissbräuchen und Sicherheitsrisiken zu schützen, ist Cybersecurity. Doch wie sieht die Gestaltung einer zuverlässigen Security-Strategie aus? Häufig gestellte Fragen zu Cybersecurity finden Sie auf unseren FAQ Seiten. Mehr zum Thema Cybersecurity Derek Yu Principal Consultant Derek Yu ist ein Principal Consultant bei Zühlke in Zürich. Er promovierte an der ETH Zürich in Informatik und verfügt über Forschungserfahrung in vielen Cyber Security Themen, wie z. B. Systemsicherheit und Netzwerksicherheit. Außerdem konnte er viele Erfahrungen in der Entwicklung sicherer IIoT-Lösungen sammeln. Zu Dereks täglichen Aufgaben und Interessen gehören die Überprüfung von Sicherheitsdesigns, die Entwicklung von Best Practices für die Sicherheitsentwicklung, IIoT und DevSecOps. Kontakt derek.yu@zuehlke.com +41432166010 Schreiben Sie uns eine Nachricht You must have JavaScript enabled to use this form. Vorname Nachname E-Mail Telefonnummer Message Absenden Bitte dieses Feld leer lassen Schreiben Sie uns eine Nachricht Vielen Dank für Ihre Nachricht.
Öffentlicher Sektor und Verwaltungen – Hochkarätige Build-Automatisierung zur Unterstützung datengesteuerter Entscheidungen beim Britischen Roten Kreuz Mehr erfahren
Banken & Finanzdienstleister – So gelingt die Integration in ein modernes Finanzdienstleistungs-Ökosystem Mehr erfahren