IoT-Security Gefahren und Chancen

Interview mit Matthias Bossardt (KPMG) über IoT-Security

«Für die Sicherheit muss mehr getan werden»


Matthias Bossardt betont als Security Experte von KPMG die Chancen, die sich dank IoT bieten – trotz Sicherheitsbedenken. Von den Anwenderunternehmen fordert er das Ende des Silodenkens von Büro-IT und Operational Technology (OT).


Text: Hansjörg Honegger, Bilder: Daniel Brühlmann, 06. November 2017




Sie beschäftigen sich mit IoT-Security. Schlafen Sie noch gut?


Ich schlafe immer gut, ich bin ein Optimist. Das sollte man sein, wenn man Risikomanagement betreibt. Wo Risiken sind, gibt es auch Chancen. Aber es ist klar: Cyberrisiken und Datenschutzthemen sind sehr wichtig und wir hinken der technologischen Entwicklung hinterher.


Warum?


Unter dem Internet der Dinge verstehen wir die Vernetzung von Alltagsgegenständen mit eingebetteten Computern, wie Autos, Temperatursensoren, Kameras, Medizingeräten, aber auch industrielle Fertigungs- und Steuerungsanlagen. Die Angriffsfläche wächst mit dem Internet der Dinge massiv. Und das mit horrender Geschwindigkeit.


«Spitäler konnten nicht operieren, Autohersteller nicht produzieren und Logistiker nicht liefern.»


Es gab in den vergangenen Monaten einige Vorfälle, die auch in der Öffentlichkeit wahrgenommen wurden. Was waren für Sie die wichtigsten Ereignisse?


Ich stelle generell fest, dass die Aufmerksamkeit für Cyberangriffe zunimmt. Nehmen Sie Wannacry, das war nichts grundsätzlich Neues, erregte aber sehr viel Aufmerksamkeit, da uns sehr plastisch vor Augen geführt wurde, welche Auswirkungen Cyberangriffe auf uns alle haben können: Spitäler konnten nicht operieren, Autohersteller nicht produzieren und Logistiker nicht liefern.


Diese Aufmerksamkeit ist ja grundsätzlich eher positiv.


Einerseits schon. Andererseits ermüden die Menschen sehr schnell, wenn sie immer wieder dasselbe hören. In den USA besteht die Meldepflicht, wenn gewisse Personendaten abhandenkommen. Da stellt man eine Ermüdung fest. Niemanden interessiert das noch.


Die EU führt das mit GDPR ebenfalls ein. Ein Fehler?


Verstehen Sie mich richtig: Ich bin überzeugt, dass es eine Meldepflicht braucht. Die Transparenz darüber, wie viele Fälle es überhaupt gibt und was deren Auswirkungen sind, fehlt im Moment noch. Um die Ursachen zu verstehen und die richtigen Massnahmen zu treffen, bräuchte es mehr Transparenz. Diese Erkenntnis wächst aber, gerade in der Privatwirtschaft. Eine bessere Transparenz führt schliesslich dazu, dass Risiken gezielter bekämpft und somit finanzielle und personelle Mittel effizienter eingesetzt werden können.


Wannacry schädigte vor allem Systeme, auf denen nicht die neueste Software-Version lief. Fehlt das Verständnis, dass auch eine IT-Infrastruktur modernisiert werden muss? Eine Brücke wird saniert, bevor sie zusammenbricht.


Das ist ein gutes Beispiel. Im Umfeld der Cyberrisiken haben wir nicht dieselbe Reife wie im Bauwesen oder in anderen Ingenieur-Disziplinen. Andererseits haben beispielsweise Kontrollsysteme in der Industrie einen Lebenszyklus von 20 und mehr Jahren. Wenn solche Systeme überhaupt gewartet werden können, muss das operative Risiko eines Updates dem Sicherheitsrisiko gegenübergestellt werden. Das sind keine einfachen Entscheidungen. Zudem sind viele Sensoren und andere Geräte des IoT schlicht nicht darauf ausgelegt, mit Softwareupdates versehen zu werden. Das heisst, gewisse etablierte Sicherheitsstrategien greifen im IoT nicht.


«Viele Sensoren und andere Geräte des IoT sind schlicht nicht darauf ausgelegt, mit Softwareupdates versehen zu werden.»


Was müsste passieren, damit sich die Situation verbessert?


Es wird bereits auf verschiedenen Ebenen viel getan, allerdings nicht immer mit der nötigen Entschiedenheit und Geschwindigkeit. Die Politik hat sich des Themas angenommen, Unternehmensleitungen diskutieren Cyberrisiken und erste Produkthersteller fangen an, Cybersicherheit als Differenzierungsmerkmal zu verstehen.


Letztlich sind doch auch die Hersteller in der Pflicht. Es fehlen Standards und das Bewusstsein, dass Sicherheit schon bei der Entwicklung eines Geräts oder einer Lösung integraler Bestandteil sein muss.


Die Sicherheit spielt bei der Entwicklung von IoT-Geräten leider zum Teil keine Rolle, Features werden höher gewichtet. Das können wir uns jedoch nicht leisten. Gerade wenn wir von IoT reden, ist die physische Welt betroffen. Attacken können fatale Auswirkungen haben auf das Leben von Menschen.





Was wäre ein möglicher Hebel?


Es sollten Anreize geschaffen werden, die Hersteller und Anwenderunternehmen motivieren, Konzepte wie «Privacy by Design», «Security by Design» und «Ethical Design» umzusetzen. Es ist äusserst wichtig, die Systeme resilienter und robuster zu designen. Dies kann z.B. über Branchenstandards und entsprechende Gütesiegel oder über geeignete Regulierungsmassnahmen erfolgen. Wichtig ist in jedem Fall, dass alle Unternehmen mit gleich langen Spiessen kämpfen können und Innovation möglichst wenig eingeschränkt wird. Zudem achten heute auch Investoren vermehrt darauf, ob Unternehmen Cybersicherheit im Griff haben. Abwertungen von 7% des Unternehmenswerts aufgrund von Cybervorfällen, wie dies beispielsweise bei der Übernahme von Yahoo! durch Verizon der Fall war, lassen Investoren nicht kalt.


Wie stehen Sie zu staatlichen Regulierungen?


Ich bin kein Freund von Regulierungen, da dies öfters dazu führt, dass das Augenmerk auf Compliance statt auf die Eindämmung der eigentlichen Risiken gelegt wird. Aber mindestens eine gewisse Selbstregulierung mittels Standards braucht es heute im Bereich IoT. Ich beobachte auch, dass Produkthaftungsfälle und teure Rückrufaktionen im IoT genauso wie Cybersicherheits- und Datenschutzregulierungen (GDPR in der EU oder das neue Datenschutzgesetz in der Schweiz) zu einer verstärkten Umsetzung von Cybersicherheitsmassnahmen beitragen.


«Aber mindestens eine gewisse Selbstregulierung mittels Standards braucht es heute im Bereich IoT.»


Für viele Anwender-Firmen bietet IoT lukrative Möglichkeiten, trotz aller Sicherheitsbedenken. Wie finden Verantwortliche die richtige Balance zwischen Risiko und Sicherheit?


Um diese Balance zu finden, muss man das Risiko kennen und managen. Gemäss einer von uns durchgeführten Umfrage haben aber weniger als 50 Prozent der Verantwortlichen die Übersicht, was wie vernetzt ist. Weniger als die Hälfte gab an, dass IoT Teil der Sicherheitsstrategie ist.


Warum ist das so?


Die Komplexität hat zugenommen. IoT-Geräte werden oft losgelöst von der traditionellen IT betrieben. Die Zuständigkeiten für den Betrieb von IoT-Geräten und deren Sicherheit ist daher oft nicht klar geregelt. Auch die Sicherheit von industriellen IoT-Systemen als Teil der Operational Technology (OT) wird oft losgelöst von der Büro-IT umgesetzt, obwohl diese Trennung in der Realität aufgrund der Konvergenz der eingesetzten Technologien je länger desto weniger sinnvoll erscheint.


Es braucht also neue Organisationsformen. Was sind Ihre Empfehlungen?


Man muss sich heute sehr gut überlegen, ob die Sicherheit von Büro-IT und OT, also Operational Technology, nach wie vor in getrennten Silos betrieben werden soll. Es ist zunehmend wichtig, dass Sicherheit gesamtheitlich betrachtet wird. Eine Verwundbarkeit in der OT kann für Angriffe auf Büro-IT genutzt werden und umgekehrt.


Niemand gibt gerne Einfluss ab.


Das lässt sich lösen. Wichtiger ist der kulturelle Unterschied zwischen IT und OT und der menschliche Faktor an sich. Meiner Meinung nach ist eines der grossen Probleme im Security-Bereich, dass der menschliche Faktor viel zu wenig verstanden und in Sicherheitskonzepte einbezogen wird. Heutigen Sicherheitskonzepten geht die Benutzerfreundlichkeit oft vollkommen ab. Denken sie nur an die mühsame Handhabung von Passwörtern.


Gerade im Bereich IoT nimmt aber der menschliche Faktor eher ab: Die Maschinen kommunizieren zunehmend untereinander, die Daten werden ebenfalls automatisiert ausgewertet. Ist es bereits zu spät, um vernünftig intervenieren zu können?


Auch IoT-Systeme werden schlussendlich von und für Menschen eingesetzt. So oder so, wir können es uns gar nicht leisten, nichts zu machen. Daher ist jetzt die Hauptforderung, die Systeme an sich resilienter und robuster zu designen.


«Die Anstrengungen, diese Risiken in den Griff zu bekommen, reichen im Moment noch nicht, wir müssen einen Zacken zulegen.»


Wer ist jetzt gefordert?


Alle. Das sind einerseits die Anwenderunternehmer, aber auch die IoT-Hersteller, die Staaten und auch die Staatengemeinschaft.


Alle sollten, keiner tut’s…


Ich bin da optimistischer. Die Menschheit ist mit solchen Herausforderungen schon immer pragmatisch umgegangen. Aber ich bin mit Ihnen einverstanden: Die Anstrengungen, diese Risiken in den Griff zu bekommen, reichen im Moment noch nicht, wir müssen einen Zacken zulegen. Das ist nicht zuletzt für den Wirtschaftsstandort Schweiz enorm wichtig.





IoT-Security als Chance und nicht als ein Kostenfaktor?


Klar, in der Schweiz haben wir über eine einzigartige Kombination von Software-Kompetenz und das nötige Ingenieurswissen im industriellen Sektor. Das ist unsere Chance, denn über diese Fähigkeiten verfügt man im Silicon Valley nicht im selben Masse.



Matthias Bossardt


Partner, Leiter Cyber Security und Technology Risk, KPMG Schweiz

Matthias Bossardt bringt über 18 Jahre Erfahrung in den Fachgebieten Cyber-, Informations-, Datenschutz- und Technologierisiken mit. Er ist zudem Mitglied des Global Cyber Security Leadership von KPMG sowie des Digital Board von KPMG Schweiz. Im Oktober 2016 wurde Matthias Bossardt von der Bilanz, einer der führenden Schweizer Wirtschaftszeitschriften, zu einem der einflussreichsten «Digital Shapers» der Schweiz gewählt. Vor seinem Eintritt bei KPMG forschte Matthias Bossardt über Kommunikationssysteme und Cybersicherheit an der Eidgenössischen Technischen Hochschule (ETH Zürich) und am Forschungsinstitut des Beckman Institute of Advanced Studies der University of Illinois, Urbana-Champaign. Er begann seine berufliche Karriere als Mikrochip-Ingenieur im Jahr 1998.





Newsletter

Jetzt Newsletter abonnieren und über Trends, Branchen-News und Benchmarks informiert bleiben.





Mehr zum Thema