Vernetzte Dinge

Fünf Eckpunkte für eine sichere Digitale Transformation

| Autor / Redakteur: Martin Kuppinger* / Stephan Augsten

Die digitale Transformation verlangt, dass man Sicherheit und Privatsphäre schon beim Design neuer Lösungen umsetzt.
Die digitale Transformation verlangt, dass man Sicherheit und Privatsphäre schon beim Design neuer Lösungen umsetzt. ( © fotohansel - Fotolia)

Die Schlagworte Digitale Transformation, Industrie 4.0 und Internet der Dinge prägen derzeit die IT-Entwicklung. Welche Gefahren die zunehmende Vernetzung birgt, hat der „Car Hack“ gezeigt, also die Demonstration der Angreifbarkeit der Jeep-Modelle von Fiat Chrysler.

Zu den jüngsten Bestrebungen in der Industrie und im Internet gehört die zunehmende Vernetzung von Dingen und der Produktion, um neue Geschäftsmodelle entwickeln zu können. Im Gegenzug erhöht sich aber auch die Angreifbarkeit eben dieser Dinge wie beispielsweise vernetzter Fahrzeuge – mit potenziell schwerwiegenden Folgen.

Konzepte wie „Security by Design“ und „Privacy by Design“ reduzieren diese Risiken – völlig gleich, ob wir von Industrie 4.0, Digitaler Transformation oder vom Internet of Things sprechen. Gleichzeitig erlauben sie eine flexible Umsetzung von Geschäftsmodellen mit wechselnden Geschäftspartnern.

Hält man sich an diesen Grundsatz, kann man beispielsweise flexibel auf geänderte Geschäftsanforderungen oder Regulierungen bezüglich des Teilens von Daten reagieren. Die fünf essentiellen Prinzipien aus Sicht der Informationssicherheit für einen erfolgreichen Schritt hin zu neuen Produkten, Fertigungsformen und Geschäftsmodellen sind dabei folgende:

  • Wie schon erwähnt, müssen Security by Design und Privacy by Design konsequent umgesetzt werden. Es ist einfach, eine sichere Lösung zu öffnen, wenn weniger Sicherheit gebraucht wird – es ist teuer bis unmöglich, eine unsichere Lösung sicherer zu machen.
  • Sicherheitskonzepte müssen modern, Systeme (und Dinge) „gehärtet“ sein. Das „Hardening“ betrifft die sichere Konfiguration. Eine Grundvoraussetzung dafür sind adäquate, moderne Sicherheitskonzepte. So stößt eine rein zertifikatsbasierende Sicherheit heute schnell an ihre Grenzen, schon bezüglich des Managements und der Aktualisierung solcher Zertifikate.
  • Benutzer- und Berechtigungsmanagement (Identity and Access Management, IAM) muss zum Schlüsselelement in Sicherheitskonzepten werden. In komplexen Systemen wie Autos gibt es viele Dinge, die mit vielen anderen Dingen, Systemen und Menschen kommunizieren, wobei je nach Kontext unterschiedliche Informationen ausgetauscht werden dürfen. Auch hier gilt wieder: Einfache Zertifikate oder Schlüssel für die Absicherung reichen nicht aus – es braucht ein ausgefeiltes Verständnis der Identitäten und Zugriffsberechtigungen der verschiedenen Dinge.
  • Standards müssen entwickelt und (wo schon vorhanden) genutzt werden. Dafür braucht es globale Standards für die global vernetzte Infrastruktur. Es hilft nichts, wenn einzelne Hersteller oder Staaten versuchen, hier proprietäre Konzepte oder lokale Standards durchzusetzen.
  • Das Thema des Patch-Managements und von regulären Updates muss gelöst werden. Firmware-Aktualisierungen, Updates der Software von Autos per USB-Stick oder gar Rückrufaktionen können nicht die Lösung sein. Auch hier braucht es Standard, weil beispielsweise in einem Auto Software in unzähligen Komponenten verschiedener Hersteller läuft.

Wie weit man von diesen Prinzipien entfernt ist, hat auch der unlängst veröffentlichte Bericht des BSI zu den Erfahrungen aus der industriellen Sicherheitsberatung eindrücklich aufgezeigt. Es ist höchste Zeit, hier zu handeln.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43547597 / Authentifizierung)