Digitalisierung durchdringt inzwischen alle unsere Lebensbereiche: Die Wirschaft ebenso wie das private Leben. Früher isolierte Systeme werden dabei allumfassend vernetzt und die Abhängigkeit von funktionierender IT wächst. Gleichzeitig werden Angriffe auf IT-Systeme zu einer immer realeren und schwerwiegenderen Bedrohung. Besonders im Internet der Dinge (IoT) sind viele Systeme bedroht – von privaten Smartphones über vernetzte Fahrzeuge und vernetzte Sensoren und Aktoren bis hin zu industriellen Produktionssystemen und kritischen Infrastrukturen wie der Energie- oder Krankenversorgung.
In den vergangenen Jahren sind die durch gezielte Angriffe oder Schadsoftware-Wellen (z.B. Befall von Büro-PCs mit Verschlüsselungs-Trojanern) immense Schäden entstanden. Auch NRW und die Aachener Region waren davon betroffen. So hat beispielsweise der Stillstand einer Produktionsanlage über einen Zeitraum von einer Woche mit Kosten von 100.000,- Euro stündlich gezeigt, wie schnell aus einer einzigen Email auf einem PC ein unternehmensbedrohender Schaden werden kann. Neben finanziellen Schäden können durch IT-Sicherheitsmängel aber auch Mensch und Umwelt geschädigt werden. Selbstfahrende Autos, Operationsroboter oder computergesteuerte Chemiewerke sind nur einige der Beispiele, in denen Digitalisierung zunehmend propagiert wird. IT-Sicherheits-Probleme können hier zu ernsten Konsequenzen führen. Denn ging es Angreifern in der Vergangenheit meist um das Stehlen von Geld und Daten, so bergen Angriffe auf IT-Strukturen im IoT zusätzlich Gefahren für Leib und Leben.
Probleme der IT und IT-Sicherheit werden durch Schwachstellen verursacht, deren Ursache fast immer mit menschlichen Fehlern zusammenhängt. Je mehr Fehler Menschen bei der Entwicklung, Integration, Administration oder Nutzung von IT machen, desto mehr Schwachstellen gibt es und umso größer ist das Risiko von Fehlfunktionen oder erfolgreicher Angriffe. Im Zeitalter der Digitalisierung kann dem nur gegengesteuert werden, wenn die Gründe für Schwachstellen – die Fehler der beteiligten Menschen – reduziert werden.
IT-Sicherheit und Datenschutz werden von Entwicklern und Treibern der Digitalisierung oft als Hemmnisse und Stolpersteine auf dem Weg zu einer schnellen Lösung gesehen. Der Versuch, diese Punkte in fast fertige Produkte nachträglich zu integrieren oder gar „hinein zu testen“ ist zum Scheitern verurteilt bzw. erhöht die Entwicklungskosten erheblich (bei gleichzeitig geringerer Produktqualität). Tatsächlich sind sogenannte Penetration-Tests nur ein Baustein, um am Ende (regelmäßig) zu prüfen, ob das geforderte Schutzniveau auch erreicht wird.
Viele Schäden könnten von Beginn an verhindert werden, wenn den beteiligten Entwicklern und Entscheidern ein Basiswissen an IT-Sicherheit vermittelt würde. Andere können durch den Einsatz von IT-Sicherheitsexperten in wichtigen Phasen von IT-Projekten erkannt und beseitigt werden. Tatsächlich sind IT-Sicherheit und Datenschutz als integrale Bestandteile einer jeden IT-Entwicklung bereits in der Konzeptionsphase der Idee zu berücksichtigen. Das senkt nicht nur die Entwicklungskosten für diese Punkte, sondern zeigt bereits in einem frühen Stadium, ob und wo die Geschäftsidee aus Security- oder Datenschutz-Sicht angreifbar ist.
Betrachtet man, wie unbedarft und fahrlässig aktuelle Systeme und Netzwerke im Bereich von Automobilen, Industriesteuerungen, Web-Anwendungen, Smart-Home und Stromversorgungsnetzen aktuell bzw. in der jüngeren Vergangenheit entwickelt wurden, ist das Vertrauen in die Betriebs- und IT-Sicherheit unbegründet. Ein Ausfall bzw. Angriff auf solch ein System produziert nicht nur erhebliche Kosten und Schäden, sondern senkt die Reputation des Anbieters auf ein ggf. existenzbedrohendes Niveau.
Anhand von zahlreichen aktuellen Beispielen lassen sich konzeptionelle und individuelle Fehler sehr plastisch demonstrieren. Nach dem Motto „Niemand ist unnütz – er kann immer noch als schlechtes Beispiel dienen“ kann man daran nicht nur die Risiken demonstrieren, sondern auch geeignete Abhilfemaßnahmen diskutieren, um die Eintrittswahrscheinlichkeit derartiger Vorfälle deutlich zu senken. Am Ende bleibt ein Rest-Risiko, das es zu bewerten und zu minimieren gilt. Hier sind vor allem die Risiken, die eine hohe Eintrittswahrscheinlichkeit gepaart mit einer hohen Schadensauswirkung haben, bevorzugt zu betrachten.
Security by Design und Privacy by Design sollten daher nicht nur leere Marketing-Schlagworte oder Normen wie beispielsweise der DS-GVO geschuldet sein, sondern tatsächlich belastbare Qualitätskriterien jeder modernen Digitalisierungsstrategie und IT-Entwicklung.
Die Fokusgruppe Cybersecurity des digitalHUB Aachen besteht aus Experten aus verschiedenen Bereichen der IT-Sicherheit, die andere Unternehmen dabei unterstützen, ihr jeweiliges IT-Sicherheitsniveau auf ein angemessenes Niveau zu bringen.
Autoren für die Fokusgruppe Cybersecurity: Prof. Dr. Marko Schuba und Dipl.-Ing. Thomas Käfer, M.Sc.