IT-Sicherheit von Anfang an mitdenken
Dr. rer. nat. Matthias Becker ist Gruppenleiter am Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM im Forschungsbereich Softwaretechnik und IT-Sicherheit. Foto: Fraunhofer IEM
Im Zuge der Digitalisierung entstehen neue digitale Dienstleistungen, sogenannte Smart Services, welche sich Daten intelligent zu Nutze machen. Diese beim Betrieb technischer Systeme anfallenden Daten werden mit weiteren Daten aus unterschiedlichen Quellen kombiniert. Damit werden neue Geschäftsmodelle für Unternehmen und Mehrwerte für die Endkunden möglich.
Grundvoraussetzung für Sammlung und Nutzung der Daten sind sowohl eine entsprechende technische Infrastruktur, wie z.B. eine Vernetzung über 5G oder WLAN, als auch Produkte, die über entsprechende Sensorik Daten erfassen und diese über die technische Infrastruktur austauschen. Der Mehrwert für den Kunden entsteht dann aus der Verarbeitung der Daten aus unterschiedlichen Quellen, also der vernetzten Produkte. So könnte im Falle vernetzter Autos die Summe der Positionsdaten und Daten aus der Fahrdynamikregelung Aufschluss über schlechte Straßenverhältnisse geben, welche wiederum allen Autofahrern als Smart Service zur Verfügung gestellt werden. Smart Services halten jedoch nicht nur Einzug in die Automobilbranche. Der Arbeitskreis „Smart Service Welt“ der Deutschen Akademie der Technikwissenschaften acatech geht davon aus, dass sich auch in den anderen deutschen Leitbranchen, wie dem Maschinenbau, der Medizintechnik oder der Chemiebranche, Geschäftsmodelle mit Smart Services zunehmend etablieren werden.
Die Bereitstellung von Smart Services birgt neben allen Chancen leider auch einige, für die meisten Unternehmen ungelöste, Herausforderungen.
Weil die Wertschöpfung bei allen Smart Services im Wesentlichen durch die Verarbeitung von Daten in Software realisiert wird, kommt der sicheren Softwareentwicklung und der vertrauenswürdigen und sicheren Verarbeitung der Daten ein besonders hoher Stellenwert zu. Die Praxis und die fast tägliche Berichterstattung über IT-Sicherheitsvorfälle zeigen, dass das Thema IT-Sicherheit oft zu spät oder gar nicht in der Produktentwicklung angegangen wird. Ist aber eine Software einmal unsicher konzipiert, lässt sich das später nur sehr aufwändig reparieren. Damit sind IT-Sicherheitsvorfälle, negative Berichterstattung und Vertrauensverlust der Kunden für die Etablierung von Smart Services eine sehr reale Gefahr.
Eine Antwort auf diese Herausforderung ist in Fachkreisen schon länger bekannt, aber findet in den Unternehmen nur langsam Verbreitung. Unter dem Stichwort „Security-by-Design“ werden Maßnahmen zusammengefasst, die jedes Unternehmen bei der Entwicklung ergreifen kann, um die IT-Sicherheit der eigenen Produkte und Smart Services wesentlich zu erhöhen. Zu diesen Maßnahmen gehören z.B. systematische Bedrohungsanalysen, automatische und manuelle Code-Reviews und die Etablierung von Incident-Response-Teams.
Ohne Security-by-Design wird mittelfristig kein Smart Service und digitales Geschäftsmodell das Kundenvertrauen aufrechterhalten und damit am Markt bestehen können. Nur wenn IT-Sicherheit von Anfang an in der Produktentwicklung mitgedacht wird, können Smart Services einen echten Mehrwert für den Kunden schaffen. Es wird sich zeigen, ob sich diese Erkenntnis schnell genug bei den Unternehmen durchsetzen wird.
