Sicherheit steht an erster Stelle bei der Einführung neuer Systeme

Security by Design ist die grundlegende Voraussetzung für die Industrie 4.0

Keyfacts

  • Schwachstelle in allen sicherheitsrelevanten Systemen ist der Mensch
  • Security by Design soll Angriffsflächen von Anfang an identifizieren
  • Kleinere Mittelständler vernachlässigen nötige Sorgfalt bei der Sicherheit
Uwe Bernd-Striebeck
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

Gerade da, wo täglich Millionen von Dollar bewegt werden, darf an der Sicherheit nicht gespart werden. In seinem Casino in Las Vegas vertraut der Glücksspielmagnat Willy Bank deshalb einem ausgeklügelten Überwachungssystem. Gibt es eine statistisch ungewöhnliche Häufung von Gewinnen oder verraten die Körperreaktionen eines Spielers, dass er von seinem Glück schon im Vorfeld wusste, schlägt es Alarm, und der Betrüger wird aus dem Verkehr gezogen.

Es ist ein perfektes System – bis Willy Bank selbst es ungewollt sabotiert. Er lässt sich eine als Handy getarnte Magnetfeldröhre unterjubeln, die einen minutenlangen Softwareabsturz auslöst; ungehindert räumen Ganoven in der Zwischenzeit Millionengewinne ab. Bank wurde überlistet – von George Clooneys smarter Gangstertruppe in „Ocean’s Thirteen“ aus dem Jahr 2007.

Alles nur Hollywood-Klamauk? Was den Teil mit der Magnetfeldröhre betrifft, ganz sicher. Aber ungeachtet solcher Ausschmückungen und Übertreibungen, ohne die es im Kino nicht geht, beschreibt der Film auf anschauliche Weise, was eine der größten Schwachstellen in allen sicherheitsrelevanten Systemen ist: Der Mensch.
Auch die raffiniertesten Systeme sind wertlos, wenn sie von Menschen nicht richtig bedient oder angewendet werden. Was etwa bringen eine Sicherheitssoftware für die Zugangskontrolle oder eine Protokollierung, wenn sie in der Praxis ungenutzt bleiben, sei es aus Bequemlichkeit, Zeitdruck, Kosten oder anderen Gründen?

Industrie 4.0 und die Folgen

Mochten die Folgen solcher Schlamperei und Fahrlässigkeit vor einigen Jahren noch begrenzt gewesen sein, sind sie heute, im Zeitalter von Industrie 4.0 und dem Internet der Dinge, immer gravierender. Denn in der vernetzten Welt kommunizieren zunehmend Systeme miteinander, die bisher getrennt voneinander betrieben wurden. Längst kommunizieren nicht mehr nur Menschen mit anderen Menschen, sondern auch Menschen mit Maschinen, Maschinen mit Menschen und vor allem Maschinen untereinander.

Die potenziellen Gefahren haben sich damit dramatisch vervielfacht – folglich muss sich auch der Umgang mit ihnen ändern. Und genau hier setzt das Prinzip des sogenannten Security by Design an.

Anwendung von Security by Design

Hinter dieser Vorgehensweise verbirgt sich der Gedanke, bei jeder Software mögliche Angriffsflächen von Anfang an zu identifizieren und daraus entsprechende Sicherheitsanforderungen an die Software abzuleiten.

Schon während der Einführung neuer Systeme oder Software sollten beispielsweise Penetrationstests durchgeführt werden. Fehler und Schwachstellen, die an diesem Punkt entdeckt werden, können sehr viel leichter und günstiger behoben werden, als wenn das System produktiv ist und ein womöglich erforderliches Abschalten teure Produktionsausfälle nach sich ziehen kann.

Geht es anschließend in den laufenden Betrieb über, ist eine automatisierte oder semiautomatisierte Überwachung nötig: Wenn an einer Stelle Sicherheitsstandards ausgeschaltet, umgangen oder verletzt werden, muss beim Systemadministrator ein Lämpchen aufleuchten, damit er sich um den Fall kümmern kann.

Vieles davon mag sich nach einer Selbstverständlichkeit anhören. Die Praxis zeigt allerdings, dass noch immer sehr viele Unternehmen blauäugig mit dem Thema umgehen. Angesichts der ständig wachsenden globalen Datenflut erscheint offenbar gerade kleineren Mittelständlern ein Angriff auf ihre Systeme von außen so unwahrscheinlich, dass sie die nötige Sorgfalt vermissen lassen. Dabei sind sie fast genauso oft betroffen wie große Konzerne.

Die wirtschaftlichen Schäden solcher Attacken gehen meist weit hinaus über die direkten Folgekosten, die etwa für die Behebung von Softwarelücken anfallen. Denn auf dem Spiel steht immer auch das höchste Gut, das Unternehmen überhaupt haben: Das Vertrauen ihrer Kunden.

Security by Design spielt aber nicht nur bei der klassischen Unternehmenssoftware eine Rolle, sondern sollte bei sämtlichen Systemen und Maschinen angewandt werden. So hängt der Erfolg der Industrie 4.0-Initiative in hohem Maße von der Sicherheit der Industrieanlagen ab. Deshalb ist es enorm wichtig, die Sicherheit von Anlagen bereits in der Konzeptionsphase angemessen zu berücksichtigen.

Security by Design wird damit immer mehr zu einer grundlegenden Voraussetzung. Für Unternehmen und ihre Geschäftsbeziehungen, aber auch für unser Zusammenleben in einer digital vernetzten Gesellschaft. Die Sicherheit nicht angemessen zu berücksichtigen, ist ein Glücksspiel, auf das wir uns besser nicht einlassen sollten.

Uwe Bernd-Striebeck
  • Partner, Security Consulting
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.