Security by Design: Vorsorge statt Nachsorge

08. Februar 2018

Wie halten es deutsche Unternehmen mit der IT-Sicherheit? Dieser Frage ist eine Studie von TÜViT auf den Grund gegangen. Hier heißt es: Vorsorge statt Nach­sorge. Mögliche Sicherheits­lücken bei Soft­ware, IT-Architektur oder vernetzten Geräten sollen bereits im Entwicklungs­prozess gefunden und geschlossen werden.

Smarte Häuser, intelligente Heizungen, vernetzte Maschinen in der Fabrik und die Daten in der Cloud: Die Digitalisierung bietet Nutzern und Unternehmen ungeahnte Möglich­keiten. Aber auch Hackern öffnet die fortschreitende Vernetzung täglich neue Schlupf­löcher und Angriffs­punkte – wie nicht nur ein groß angelegter Cyber­angriff auf Tausende Router der Telekom im Jahr 2016 beweist. Zwar reagieren Politik und Firmen zu­nehmend auf diese Heraus­forderung. „Doch viele Nutzer und Unter­nehmen betrachten IT-Sicherheit immer noch als notwendiges Übel“, konstatiert Dirk Kretzschmar, Geschäfts­führer von TÜViT. Diese Einschätzung unter­mauert auch eine Studie, die von TÜViT in Auftrag gegeben wurde und an der über 100 Entscheidungs­träger in verschiedenen Branchen teil­genommen haben. Für zwei Drittel der befragten Unternehmen sind die Produkt-Performance und eine schnelle Entwicklungs­zeit im Zweifels­fall wichtiger als die IT-Sicherheit.

Das Bewusstsein für die Heraus­forderungen des digitalen Zeit­alters ist zwar durchaus vorhanden. So betrachtet ein Drittel der Befragten den steigenden Digitalisierungs­grad als größtes Risiko für die Sicher­heit der eigenen IT. Doch oft fehlt es noch an Strategien, um dieses Risiko einzudämmen: Nur rund ein Drittel der Unternehmen hat beispiels­weise ein ganz­heitliches Sicherheits­konzept festgelegt. Nach­besserungs­bedarf besteht häufig auch beim Budget, das die Firmen in die Sicherheit der eigenen IT-Systeme oder Produktions­prozesse investieren. Über die Hälfte steckt gerade mal bis zu sechs Prozent ihres Gesamt­budgets in die Sicherheit. Um gegen Hacker und Sicherheits­lücken besser gefeit zu sein, sollten jedoch mindestens zehn Prozent in die Sicherheit fließen, empfehlen die Autoren der Studie.

Hartnäckig halten sich auch immer noch die Bedenken, IT-Sicherheit stehe der Innovation im Weg oder bremse sie aus. Einen möglichen Lösungs­ansatz stellt hier Security by Design dar. Die Idee hinter diesem Konzept: Vorsorge statt Nach­sorge. Mögliche Sicherheits­lücken bei Software, IT-Architektur oder vernetzten Geräten sollen bereits im Entwicklungs­prozess gefunden und geschlossen werden. So waren die IT-Sicherheits­experten von TÜViT beim Entwicklungsprozess für sogenannte Smart-Meter-Gateways von Anfang an dabei. Diese Kommunikations­zentralen für den Heizungs­keller übermitteln die Daten von Stromzählern an Energieversorger, damit diese die Strom­produktion an den aktuellen Bedarf anpassen können. Dabei sind die Experten in den gesamten Prozess – von der Erstellung des Schutz­profils über die Entwicklungs­umgebung und die Fertig­stellung bis hin zur Auslieferung der Geräte – eingebunden. Während die eine Abteilung das Schutz­profil erstellt, prüft also eine andere Abteilung, ob die Schutz­maßnahmen Cyber­angriffen standhalten, indem sie sogenannte Penetrations­tests durchführt.

Security by Design spart Geld und Zeit, die nach der Markt­einführung in die Behebung von Sicher­heits­lücken gesteckt werden muss. „Somit werden Produkte und Software sicherer, und die Herstellungs- sowie Wartungs­kosten reduzieren sich“, betont Dirk Kretzschmar. Dieses Bewusst­sein beginnt sich in einigen Branchen durchzusetzen. Bei 43 Prozent der Unter­nehmen im Finanz­wesen ist Security by Design bereits bekannt und im Einsatz. Bei den Energie­versorgern sind es sogar 67 Prozent – was nicht zuletzt mit den hohen gesetzlichen Auflagen in diesen kritischen Bereichen zusammenhängt.

Dabei ist Security by Design natürlich kein Allheil­mittel gegen sämtliche Gefahren der Digitalisierung. „Die Transformation bestehender Unternehmens­prozesse und IT-Architekturen ist ebenso wichtig“, erklärt Kretzschmar. Neben der Weiter­entwicklung des gesamten Unternehmens zu mehr technologiegestützten Prozessen und einem digitalen Kunden­kontakt sind auch in Sachen IT-Sicherheit und Daten­schutz vielfältige Aufgaben zu erledigen. Damit IT-Sicherheits­konzepte greifen, müssen neueste Technologien und Software­lösungen eingeführt, ein grund­legendes Bewusstsein für IT-Sicherheit und Daten­schutz in Schulungen und Trainings gefördert und weitere organisatorische Rahmen­bedingungen wie beispiels­weise ein Informations­sicherheits­management­system (ISMS) etabliert werden. Auch müssten einige Firmen die Trennung von Office-IT und Produktions-IT stärker vorantreiben. Dies gilt insbesondere dann, wenn das Unternehmen sich im Zuge einer vernetzten Produktion neu ausrichtet. Denn der einfachste Weg für Hacker, um in ein Netzw­erk einzudringen, ist immer noch der Internet­zugang oder der Mail-Account der Mitarbeiter. Bislang hat nur rund ein Drittel der Firmen diese Trennung konsequent umgesetzt.

In Zukunft könnten auch Big-Data-Verfahren und künstliche Intelligenz dabei helfen, Schwach­stellen im System früh­zeitig zu erkennen und exakte Gegen­maßnahmen zu finden. 36 Prozent aller befragten Unternehmen rechnen damit, zukünftig über eine voll­automatische IT-Sicherheits­architektur zu verfügen. Menschliche IT-Sicherheits­experten werden solche Verfahren jedoch auf lange Sicht nicht über­flüssig machen, gibt Dirk Kretzschmar zu bedenken. „Zur Analyse haben solche Tools ihre Da­seins­berechtigung, aber es braucht immer den Menschen, um die Daten zu interpretieren und über geeignete Gegen­maß­nahmen zu entscheiden.“ Mit der Vernetzung vervielfältigen sich also nicht nur die Einfall­store für Hacker. Auch der Bedarf für IT-Sicherheits­experten wächst, wie Kretzschmar ergänzt: „Wir werden zukünftig noch mehr Menschen benötigen, die genau diese Kompetenzen mitbringen.“