:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/74/8d744322f5404e58e35ede9a656bd8f6/0111572445.jpeg "Der API Protection Report befasst sich mit den größten Bedrohungen für Programmierschnittstellen. (Bild: Cequence Security)")
:quality(80)/p7i.vogel.de/wcms/16/70/1670e0b2f524899b0af813ce4105f882/0111866524.jpeg "Die Forscher des 32Guards-Research-Teams registrierten besonders im Juli 2022 und Ende Oktober 2022 ein erhöhtes Spam-Aufkommen. Besonders ruhig war es dagegen – wie auch in den Vorjahren – in den ersten beiden Januarwochen. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/66/5966e482c8ce497f3ce78aac4e0f9200/0112150345.jpeg "Abwägungssache – unsere OSINT-Tipps bleiben online. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c1/87/c187643f818e4cb0ac1204bd3695e8c0/0111925819.jpeg "Die praktische Umsetzung der Orientierungshilfe für die Implementierung von Systemen zu Angriffserkennung des BSI offenbart an vielen Stellen schnell große Herausforderungen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/cd/23cd04136e527ec8ac226206f27f54f1/0112178275.jpeg "Der 365 Permission Manager ermöglicht Unternehmen die einfache Überwachung interner und externer Richtlinien für die Freigabe von Sites, Dateien und Ordnern. (Bild: Terablete - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/44/3044359115a16f7460b28117e9a3604a/0112178091.jpeg "GitLab 16 bringt eine breite Palette neuer Funktionen in den Bereichen Sicherheit, Compliance, KI/ML und Wertstromanalyse, um Software schneller bereitzustellen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/f9/f4f9e3c1460bf363f97d92be0d5a4b7a/0111847742.jpeg "Kriminelle suchen generell nach den schwächsten Zielen. Es nützt also wenig, wenn das TK-Unternehmen bestens aufgestellt ist, Cyberkriminelle aber über junge Zielgruppen, Endgeräte hacken. (Bild: sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/0b/eb0bb7ab7ff77490e91062e1b52f86f9/0111572670.jpeg "Apps können anomales Verhalten annehmen, auch wenn sie vertrauenswürdig scheinen. Bitdefender bietet nun einen Zusatzschutz, der helfen soll, bösartige Verhaltensmerkmle schnell zu erfassen. (Bild: SergeyBitos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6b/0b6bf208569e3cc4cc80ea59da56d22a/0111697439.jpeg "Mit Passage von 1Password können Unternehmen Passkey-Funktionen mit wenigen Zeilen Code in ihre Apps implementieren (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/4a/a94a6bb011745090ce53140a6ed498eb/0111343516.jpeg "Die EU will im Kampf gegen Kindesmissbrauch digitale Datenaustauschdienste lückenlos überwachen – und verstößt damit nach Expertenmeinung gegen das deutsche Recht auf informationelle Selbstbestimmung. (Bild: rolffimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/d0/e8d089e2fef18a46c1dba398f3895447/0111885922.jpeg "Warum die Kombination von Cyber-Sicherheit und Cyber-Versicherung unerlässlich ist, erklären Vincent Weafer, CTO und Oliver Delvos, Head of International, bei Corvus Insurance. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/3f/623fb0e26fafb675966311f8f170b3fd/0111189652.jpeg "Unter Security-as-a-Service (SECaaS) versteht man die Verlagerung von Sicherheitsprozessen in die Cloud mit Sicherheitslösungen als Service einer Cloud-Plattform. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/bc/27/bc276af26a560cace6721af0a0e60fab/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/2b/2b2b99a6d3d8e6ea3cc8f88382fb19fb/0111189707.jpeg "Ransomware-as-a-Service (RaaS) ist eine Form von Cybercrime-as-a-Service bei der Teile von Ransomware-Kampagnen als Dienstleistung eingekauft werden können. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Produkthaftung Compliance-Fragen in der Industrie 4.0
Industrie 4.0 und das Internet der Dinge (Internet of Things, IoT) haben die Diskussion um IT-Sicherheit befeuert. Gleichzeitig sind Fragen der Produkthaftung in vielen Unternehmen in den Fokus gerückt. Wer ist eigentlich für was verantwortlich, wenn eine Firma vernetzte Dinge vertreibt beziehungsweise selbst einsetzt?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
In der Welt des Smart Manufacturing kommunizieren Dinge, Geräte und Maschinen autonom miteinander. In Echtzeit tauschen sie riesige Datenmengen untereinander aus, um Produkte unter anderem flexibel auf individuelle Wünsche maßzuschneidern.
Vernetzte Güter sind aber logischerweise stärker Gefahren ausgesetzt als andere, indem sie eine zusätzliche Angriffsfläche über das Internet bieten. Im Extremfall können sich Angriffe auf solche cyberphysikalischen Systeme und Services in jeder Hinsicht verheerend auswirken.
Produktsicherheit wird damit zum Thema Nummer 1 für jede Organisation, die vernetzte Dinge verkauft. Diese Dinge enthalten Software, die man „Dinglein“ nennen könnte. Dabei handelt es sich nicht um eine App mit Benutzerschnittstelle, sondern um einen kleinen Code, der sich selbstständig mit Apps und Backend-Services verbindet – genau wie umgekehrt.
Schon beim Programmieren solcher „Dinglein“ gilt es die Prinzipien von Security und Privacy by Design bedingungslos anzuwenden. Sie müssen auch sicher betrieben werden, inklusive einem ausgereiften Konzept für das Patch-Management.
Werden Sicherheitsexperten in Unternehmen damit wieder zu notorischen Neinsagern und Innovationsverhinderern? Höchstens auf den ersten Blick. Sicherheit und Datenschutz sind, richtig angefasst, Chance und Treiber für deutlich höhere Agilität. Das ist ein kritischer Erfolgsfaktor.
Wer den Prinzipien folgt, bringt neue Produkte viel schneller – und sicherer! – auf den Markt. Zwischen Sicherheitsrisiken und einer zu späten Markteinführung muss sich letztlich nur entscheiden, wer sich nicht an ihnen ausrichtet. Das zeigt deutlich, welche Vorgehensweise empfehlenswerter ist.
Komplexes Geflecht von Aktoren
Was soll geschehen, wenn etwas in der durch und durch vernetzten Wertschöpfungskette schiefläuft und physischen Schaden verursacht? Wer ist für die Konsequenzen oder Fehler im Endprodukt verantwortlich? Und wer haftet im Schadensfall für von (semi-)autonomen Maschinen ausgeführte Handlungen?
Mit diesen Fragen befasste sich die Rechtsexpertin Dimitra Kamarinou von der Londoner Queen Mary Universität in einem Vortrag auf der European Identity & Cloud Conference 2016 in München. Schließlich geht es nicht nur um die Verantwortung der eigenen Mitarbeiter
Heutzutage sind viele externe Partner am Produktionsprozess beteiligt, etwa von anderen Unternehmen, staatlichen Organisationen, Zulieferern und Cloud-Service-Providern. In vielen Fällen sind auch die Konsumenten selbst in die Herstellung eines Produkts eingebunden, etwa indem sie dieses online konfigurieren. Ein komplexes und engmaschiges Geflecht von Handelnden also, in dem die Verantwortlichkeiten nicht immer klar zuzuweisen sind.
In jedem Fall gehen sie künftig klar über das reine Produzieren eines Produkts hinaus. Es ist daher zu empfehlen, vorab vertraglich festzulegen, wer gegebenenfalls für welchen Schaden zuständig ist und entsprechend dafür haftet. Das dient auch dazu, die Ursachen herauszufinden, d. h. ob etwa eine bestimmte Handlung den Schaden verursacht hat. Das hilft zudem Versicherern, das Risiko im Voraus zu bewerten und zu kalkulieren.
Es kann zudem entscheidend sein, in welchem Land die Verträge geschlossen werden, da die Gesetze bezüglich Produkthaftung sich teilweise stark unterscheiden. Aufgrund des starken Globalisierungsgrads der Lieferkette in der Industrie 4.0 werden häufig mehrere Länder und Gesetzgeber involvier sein. Erschwert werden diese Umstände auch noch durch die Fragen, ob es sich um ein B2B- oder B2C-Geschäft handelt.
Kundeninformationen müssen künftig wohl auch Hinweise enthalten, wie lange ein Produkt bei normalem Gebrauch hält und wann bzw. wie oft ein Update notwendig ist. Hinzukommen sollte eine Information darüber, wie lange Updates überhaupt erhältlich sind, was also passiert, wenn der Lebenszyklus der Hardware den der Software weit übersteigt.
Verantwortlichkeiten sind nicht eindeutig
Wenn Maschinen oder Roboter, die ohne zusätzliche Befehle und Kontrolle menschlicher Bediener durch einen Algorithmus selbstständig tätig werden können, außer Kontrolle geraten, stellt sich die Frage der Verantwortlichkeit. Liegt sie beim Entwickler, beim Besitzer, beim Nutzer des Algorithmus, der Maschine selbst oder einer Kombination aus allem?
Die Antwort hierauf ist nicht einfach. Manchmal ist der Prozess, dem der Algorithmus folgt, um eine bestimmte Entscheidung zu treffen, nicht transparent und auch nicht rückverfolgbar. Dann ist auch nicht klar, wer für was wann haftbar zu machen ist.
Der Nutzen autonomer Maschinen ist für Staaten, Hersteller und Technologiefirmen in jedem Fall zu groß, um ganz darauf zu verzichten. Eine Antwort auf die Frage, ob die Profiteure Kompensationsprogramme für IoT-Opfer finanzieren werden, liegt wohl noch in ganz weiter Ferne.
* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
(ID:44117332)
:quality(80)/images.vogel.de/vogelonline/bdb/1944800/1944848/original.jpg "Oliver Hanka ist Director EMEA Industrial & IoT Security bei PwC Deutschland. (PwC Deutschland)")
:quality(80)/images.vogel.de/vogelonline/bdb/1933900/1933901/original.jpg "Die Konvergenz von OT und IT wird in eine Konvergenz der verschiedenen Security-Projekte und der Security-Teams münden. Nur dann kann Industrie 4.0 mit Sicherheit zum Erfolg werden. (wladimir1804 - stock.adobe.com, Vogel IT-Medien)")