Offene Systeme erhöhen die IT-Sicherheit

Industrie benötigt nachhaltige und standardisierte IT-Umgebungen

Keyfacts

  • Industrie stärker sensibilisiert für IT-Sicherheitsrisiken
  • Einheitliche, überprüfbare Standards können die Sicherheit erhöhen
  • Sicherheit ist kein Produkt, sondern ein Prozess
Wilhelm Dolle
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

Bringen geschlossene IT-Umgebungen in der Industrie mehr Sicherheit, etwa um Hackerangriffe zu verhindern? Ist es an der Zeit, die Zügel in der IT anzuziehen und auf stark reglementierte Systeme wie die App-Stores von Apple, Google und Microsoft zu setzen? Um diese Fragen drehte sich eine Panel-Diskussion bei der Hannover Messe im Rahmen des Schwerpunkts Industrial Automation. Mein Fazit als Referent: Einheitliche, überprüfbare Standards können die Sicherheit erhöhen – extreme Geschlossenheit dagegen ist keine Lösung.

Dabei dreht es sich nicht um die beliebte Systemfrage Apple (iOS) vs. Google (Android) vs. Microsoft (Windows) oder analoge Systeme anderer Hersteller. Den jeweiligen Anbietern geht es ja weniger um IT-Sicherheit als um ihre Geschäftsmodelle. Alle Systeme sind natürlich nur bedingt sicher. Denken Sie an den Apple Store: Ein Argument lautet, dass alle Apps im Vorfeld geprüft werden. Aber wie viel Sicherheit bietet ein solcher Check wirklich angesichts Hunderttausender erhältlicher Anwendungen?
Tatsächlich kann man zwar von einem etwas höheren Sicherheitsniveau ausgehen, da die Betreiber automatische beziehungsweise manuelle App-Tests durchführen. So konnte zum Beispiel das Testverfahren Google Bouncer die Zahl der bösartigen Apps im Android Store Google Play reduzieren. Umfassend und tiefgehend kann die Prüfung aber nicht sein – das muss sich der Anwender vor Augen halten und sollte daher auf eigene Prüfungen und entsprechende Managementprozesse nicht verzichten.

Klicken auf alles, was sich bewegt

Niemand kann garantieren – und kein Hersteller von Software oder Hardware wird es tun – dass alles hundertprozentig sicher ist. Wichtiger als die Frage, ob Reglementierung uns den großen Sicherheitsgewinn bringt, ist: Was kann ich messen – und welche Information fehlt mir?
Mit unseren Teams bei KPMG führen wir bei Unternehmen regelmäßig sogenannte Penetration-Tests durch. Wir haben zum Beispiel festgestellt, dass Firewalls nicht unbedingt die Sicherheit erhöhen. Ja, Sie haben richtig gehört. Das liegt daran, dass Firewalls dazu führen können, dass Mitarbeiter einfach annehmen, dass im Keller die Sicherheitskomponente schlechthin steht – und nun meinen, sie dürfen ab sofort auf alles klicken, was sich bewegt.

Kein Rundumschutz möglich

Der technische Sicherheitsgewinn der Firewall kann so durch mangelndes Benutzerbewusstsein ausgehebelt werden. Die Erfahrung zeigt: Es gibt keinen Königsweg zur Sicherheit in der IT, jedenfalls nicht indem man einfach auf technische Lösungen setzt. Der Sicherheitsexperte Bruce Schneier hat den Satz geprägt: “If you think technology can solve your problems you don’t understand technology and you don’t understand your problems.” So können eben auch vermeintlich sichere Quellen wie die App-Stores keinen Rundumschutz bieten.
Wenn in der Industrie 4.0 die Vernetzung immer mehr zunimmt, sind geschlossene und reglementierte Systeme nicht die einzige Antwort. Sie sind zu unflexibel und auf eine andere Art unsicher: Die Industrie benötigt nachhaltige IT-Umgebungen, die – im Gegensatz zur Office-IT – fünf oder auch zehn Jahre im Einsatz sind. Wer will da auf einen Hersteller setzen, dessen System niemand sonst durchschauen kann? In eine solche Abhängigkeit sollte sich kein Unternehmen begeben.
Wir brauchen also Systeme mit einer gewissen Freiheit und Flexibilität. In offenen Systemen gibt es zudem mehr Wettbewerb – und damit auch mehr Innovationen.

Sicherheit – ein Prozess, kein Produkt

Wichtig ist, dass die Industrie inzwischen bereit ist, viel stärker über IT-Sicherheitsrisiken nachzudenken und auch dagegen vorzugehen. Dafür hat vor allem das Schadprogramm Stuxnet gesorgt.
Ich gehe davon aus, dass wir künftig Sicherheitskomponenten sehen werden, die sich deutlich besser als die heutigen Systeme pflegen und updaten lassen. Dafür braucht es eine stärkere Standardisierung, damit Maschinen wirklich sicher mit Maschinen reden können. Also: Standards ja, Geschlossenheit nein. Für bestimmte Produktkategorien sollte dann idealerweise eine Zertifizierung erfolgen, als unabhängiger Nachweis, dass man den Standard vollumfänglich umsetzt.
Vor allem aber sollte sich jedes Unternehmen klar machen: Sicherheit ist kein Produkt, sondern ein Prozess. Wer an die IT-Umgebung denkt, sollte auch schon direkt in der Planungsphase die Managementprozesse mitdenken. Wie lassen sich diese integrieren? Es geht nicht nur um Funktionalitäten von Software und Hardware, sondern um Menschen und Abläufe.

Wilhelm Dolle
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.