Security by Design ist alternativlos
Autor: Kai Grunwitz*
Im Zuge der Digitalen Transformation kommt der Aspekt Sicherheit in der Regel leider noch immer zu kurz. Unternehmen lassen damit vermeidbare Sicherheitsrisiken zu und verpassen zudem die Chance, Sicherheit als einen Business Enabler zu nutzen. Schließlich ist Sicherheit einer der entscheidenden Differenzierungsfaktoren im Wettbewerb.
Bei der Konzeption neuer Produkte, Lösungen und Services hat die IT das Thema Sicherheit bislang stark vernachlässigt – meist nicht einmal selbstverschuldet: Projektverantwortliche beziehen Security-Experten meist erst spät in Entscheidungsprozesse ein. Eine ähnliche Entwicklung zeichnet sich bei aktuellen Projekten im Rahmen der Digitalen Transformation ab. Auch hier stehen vielfach primär rein funktionale Gesichtspunkte im Vordergrund, obwohl auf der anderen Seite das Thema IT-Security als kritischer Faktor für einen erfolgreichen digitalen Wandel gesehen wird.
Erst nachgelagert kommen Sicherheitsaspekte ins Blickfeld, das heißt, notwendige Security-Maßnahmen werden oft erst dann ergriffen, wenn wichtige Entscheidungen schon gefallen sind. Die nachträgliche Einbindung von Sicherheitskonzepten verursacht allerdings Schwierigkeiten. Es steht außer Frage, dass eine verspätete Identifizierung von Schwachstellen und Sicherheitslücken mit anschließenden Softwarekorrekturen und Fehlerbehebungen zu einem unverhältnismäßig hohen Zeit- und Kostenaufwand führt. Außerdem bedeuten zeitlich verzögerte Sicherheitsmaßnahmen für ein Unternehmen immense und unnötige Risiken.
Security by Design ist ein Muss
Die Alternative lautet: Frühzeitige Integration von Sicherheitsfunktionen nach dem Konzept „Security by Design“, das heißt, bei allen Entwicklungen – seien es Geräte, Anwendungen und Infrastrukturen – muss die Sicherheit von Anfang an ein zentrales Kriterium sein.
Gerade im Bereich der Digitalen Transformation ist eine solche Strategie unverzichtbar, denn je weiter die umfassende Digitalisierung und durchgängige Vernetzung fortschreitet, desto mehr wachsen auch die Risiken für die IT-Sicherheit. Warum? Weil immer mehr unterschiedliche Systeme und Anwendungen miteinander verknüpft sind und dadurch eine größere Anzahl an Angriffspunkten existiert. Vor allem das boomende Internet der Dinge (Internet of Things – IoT) belegt die Gefahr. Bei der Distributed-Denial-of-Service-(DDoS)-Attacke auf den Webdienstleister Dyn etwa, die ein auf ungeschützten IoT-Geräten basierendes Botnetz nutzte, waren Webseiten wie Netflix, Twitter und Amazon zeitweilig nicht erreichbar.
Nicht ausreichend gesicherte IoT-Geräte und -Umgebungen dominieren noch immer. Die zunehmende Vernetzung von Industrieanlagen, Fahrzeugen und Smart-Homes via Internet bedeutet zugleich ein Mehr an Angriffsvektoren; jede Komponente in der digitalen Kette ist ein potenzielles Angriffsziel, das entsprechend geschützt werden muss.
Das Internet der Dinge und weiter gefasst die Digitale Transformation benötigen also eine agile Sicherheitskultur, die sich den Gegebenheiten einer weitegehend digitalen und mobilen Gesellschaft anpasst. Schließlich ist die IT-Sicherheit mittlerweile ein unternehmenskritischer Aspekt und von erheblicher strategischer Bedeutung. Security by Design, also Sicherheit „von Anfang an“, gewinnt an Relevanz.
Auch in der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO), die ab Mai 2018 in allen EU-Mitgliedsstaaten gilt, finden sich Vorgaben, die dem „Security by Design“-Prinzip folgen. Der Artikel 25 etwa trägt den Titel „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“. In ihm wird gefordert, dass Unternehmen „geeignete technische und organisatorische Maßnahmen“ treffen, „die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.“
Security treibt das Business
Abgesehen von der Gefahrenabwehr ist die stärkere Gewichtung des Themas Sicherheit in der Digitalen Transformation deshalb wichtig, weil sie zunehmend zu einem entscheidenden Wettbewerbsfaktor wird. Sie darf daher nicht als Verhinderer der Digitalen Transformation, sondern muss vielmehr als kritischer Erfolgsfaktor gesehen werden.
Mittelfristig wird kein Unternehmen innovative Lösungen ohne integrierte Sicherheit am Markt etablieren können. Kunden setzen sichere Lösungen voraus – es geht ihnen nicht einzig um die Funktionalität, auch wenn diese noch immer das Hauptkriterium ist. Die Sicherheit von Produkten bezieht sich heutzutage nicht mehr nur auf den Schutz vor unmittelbaren physischen Gefahrenquellen, sondern gerade auch auf den Schutz vor Hackern, Manipulationen und dem Zugriff auf persönlichen Daten. Sicherheit ist somit auch unter wirtschaftlichen Aspekten alternativlos.
Dass Sicherheit künftig ein ausschlaggebendes Differenzierungsmerkmal sein wird, verdeutlicht ein weiteres Beispiel: das Auto der Zukunft. Schon heute verbauen die Hersteller im Auto eine Vielzahl von Schnittstellen zur Außenwelt, die unterschiedliche Informationen austauschen und die über das Netz kommunizieren. Das Connected Eco System mit dem Austausch von Fahrer-, Vehicle- und Environment-Daten, das Versenden und der Empfang großer Informationspakete, Autonomes Fahren, Remote Software Updates sind nur einige Teilaspekte unseres zukünftigen mobilen Fahrerlebnisses. Die Nichtberücksichtigung von Sicherheitsaspekten vom ersten Tag an in der Entwicklung resultiert hier unweigerlich in potenziellen Schwachstellen. Ein Auto, das neben zeitgemäßer Ausstattung und Safety keine Sicherheitsfunktionen bietet, wird definitiv geringere Marktchancen haben. Und es ist auch nur eine Frage der Zeit, bis bei Autotests neben den Fahreigenschaften auch die IT-Security-Funktionen in die Gesamtbewertung einfließen. Die Hersteller haben dies auf ihrer Agenda und gleiches Denken wird sich auch in anderen Industrien und Märkten zunehmend durchsetzen.
Folglich besteht für Unternehmen die Notwendigkeit, für Sicherheit ein entsprechendes Budget einzukalkulieren. Sicherheitsaspekte müssen von Anfang an zentraler Bestandteil jedes Projektes sein, um die Digitale Transformation zuverlässig abzusichern, zu unterstützen und Wettbewerbsvorteile zu nutzen. Dies ist in der Tat alternativlos, um voraus- und nicht hinterherzufahren.
* Kai Grunwitz ist Senior Vice President EMEA bei NTT Security