Die Digitalisierung der Welt schreitet unaufhaltsam voran. Im gleichen Maße steigt die Notwendigkeit, die Systeme immer sicherer zu machen. Udo Schneider, Security Evangelist bei Trend Micro, spricht im COMPUTERWELT-Interview über neue Security-Ansätze. [...]
IoT, Smart Home, vernetzte Autos. Nahezu jeder Bereich unseres Lebens wird digitalisiert und dadurch angreifbar. Wie groß sind die Gefahren wirklich?
Ich trenne im IT-Bereich massiv zwischen Hype und Wirklichkeit. Viele Probleme, die heutzutage hochgepusht werden, sind eigentlich keine. Andererseits werden viele Dinge auch komplett übersehen oder falsch angegangen. Jeder macht heute IT und ja, Security ist da auch immer dabei. Ich bin mal so böse und sage: Selbst der letzte asiatische Hersteller, der smarte Kühlschränke baut, hat verstanden, dass die Europäer so paranoid sind und Security haben wollen. Da steht dann drauf: »Ja, wir machen Security, wir machen Verschlüsselung etc.« Es stellt aber keiner die Frage, wie das Ganze entwickelt oder implementiert wurde.
Da bin ich ein bisschen vorsichtig, denn wenn ich Sicherheit falsch implementiere, kann ich sie mir auch gleich sparen. Ich bin sehr zurückhaltend was das Thema Sicherheit bei IoT angeht, denn ja, wir müssen es machen, aber wenn, dann muss man auch verstehen, dass Security mindestens genauso viel Prozessentwicklung und Erfahrung ist, wie Technologie. Da klaffen zur Zeit die Lücken massiv auseinander.
Das heißt, Security muss nicht nur ein Feature sein, sondern eine Strategie.
Genau, und zwar vom Entwickler oder dem Integrator der Lösung. Ich als Endkunde habe relativ wenige Einflussmöglichkeiten. Wir können einem Hersteller nicht vorschreiben, wie er seine Sachen zu implementieren hat. Was wir als Endkunde tun können, ist zu entscheiden: Kaufe ich die smarte Kaffeemaschine für 50 Euro von einer chinesischen Handelsplattform oder kaufe ich eine, die dasselbe Feature-Set hat, um den doppelten Preis hier lokal. Leider muss man sagen, dass sich viele Consumer für die günstige Kaffeemaschine entscheiden. Ich kann das nachvollziehen, denn auf beiden Geräten steht Security, Safety und Verschlüsselung drauf. Nur auf der einen Seite ist es einmal wie Feenstaub drübergestreut und auf der anderen Seite hat man es vernünftig implementiert.
Deswegen bin ich sehr vorsichtig, wenn es um Sicherheit und IoT geht. Ja, wir brauchen es, aber Sicherheit ist kein Checkbox-Thema. Es gehört dazu, dass man es richtig und vernünftig macht. Wir haben in der Office-IT auf die harte Art und Weise gelernt, dass das nachträgliche Hinzufügen von Sicherheit nicht funktioniert. Deswegen haben wir heute diese Probleme. Einfaches Beispiel: Wenn bereits Anfang der 80er-Jahre bei E-Mails Dinge wie Verschlüsselung, Authentifizierung, Autorisierung dabei gewesen wären, dann hätten wir heute viele Probleme gar nicht.
Wenn ich früher Windows hatte, dann war das mein System und ich konnte damit machen, was ich wollte. Ich hatte keinen Benutzernamen, kein Passwort aber vollständigen Zugriff auf die Maschine. Irgendwann hat man gemerkt, dass das zwar aus Konsumentensicht komfortabel, allerdings aus Sicherheitssicht nicht effizient ist. Danach hat man mit eingeschränkter Benutzererkennung und Passwörtern angefangen. Man muss sich die Frage stellen: Wir sind tagtäglich mit der IT unterwegs und es läuft meistens mit einem Auto-Login. Ich hatte gehofft, dass wir genau den gleichen Fehler in der IoT nicht wiederholen, doch genau das sehe ich gerade.
Ist es schon zu spät?
Es ist zu spät. Es gibt es durchaus Hersteller, die IoT-Geräte bereitstellen, die auf Sicherheit und Security achten. Nur sieht man beim Konsumverhalten, dass dann doch die Geräte gekauft werden, die 40 bis 60 Euro günstiger sind. Jeder verlangt, dass Sicherheit überall drinnen ist. Wenn auf der Verpackung draufsteht „Wir haben Verschlüsselung“, dann reicht das. Ob ich es nun mit der entsprechenden Aufwendung richtig mache oder mit etwas Feenstaub drüberzaubere und sage: „Ich habe Security“, dann reicht das anscheinend. Das führt dazu, dass das günstigere Gerät gekauft wird, wo die Sicherheitstür sperrangelweit offen ist.
Wie wäre der richtige Ansatz?
Mir muss als Hersteller klar sein, dass Security ein Muss ist. Security muss von Anfang an Bestandteil des Designs sein – und das ist eine bewusste Gewissensentscheidung. Bin ich bereit mir eizugestehen, dass Security notwendig ist oder nehme ich die Abkürzung und werfe das Ding drei Monate früher für den halben Preis auf den Markt? Aus wirtschaftlicher Sicht muss man sagen, dass sich Security für die meisten Hersteller nicht lohnen wird. Weil Security kostet und keinen direkten Mehrwert bringt. Bei vielen IoT-Hacks der letzten zwei Jahre wurde fahrlässig implementiert und es kam zu Sicherheitslücken bei den genutzten Komponenten und bei der geistigen Leistung des Herstellers.
Das heißt, der User kann hier gar nichts tun?
Er sollte es auch gar nicht als Kunde. Ich kaufe ja nicht nur das Gerät, sondern auch eine Dienstleistung. Für mich als Consumer ist das Teil der Dienstleistung, die ich einkaufe. Ich will zumindest informiert werden. Das ist der Schritt, der nicht gemacht wird. Man baut ein Gerät zusammen, wirft es möglichst schnell auf den Markt und damit endet die Geschichte. Die Firmware wird nie wieder angefasst oder upgedatet.
Das bedeutet, man müsste das Bewusstsein der Hersteller schärfen.
Ein Hersteller mit einem Produkt »IoT-Security 1.0« würde reich werden. Das wäre das beste Business-Modell überhaupt. Aber das gibt es noch nicht. Wir haben keine homogene Plattform – weder für Hard- noch für Software. Man kann im Nachhinein versuchen, das zu reparieren indem man das Problem adressiert zum Beispiel mit Stand-Alone-Lösungen, die untersuchen welche Geräte im Netzwerk sind und welche Firmware darauf läuft. Dann habe ich zumindest einmal eine Information. Die andere Möglichkeit ist, dass wir schon beim Entwicklungsprozess anfangen.
Wir als Trend Micro versuchen so früh wie möglich in die Entwicklung reinzukommen, so dass man eine größere Chance hat, Security durchzusetzen. Wir gehen dazu zu den Architekten und Entwicklern wenn sie anfangen, das Projekt anzulegen. Ich muss wissen, wie der Security-Layer aussieht. Das ist natürlich ein völlig anderes Modell, als wenn ich der klassischen IT-Abteilung Produkte verkaufe und dann eine Security–Lösung darüberbaue. Die Lektion die wir aber hier gelernt haben: Es kommt der Kostenaspekt zu tragen. Wenn man das also genau betrachtet, ist das keine technische Diskussion, sondern es hat damit zu tun, ob ich Security als Teil meines Geschäftsprozesses sehe, oder nicht. Hier scheiden sich die Geister. Das war für uns das Learning: Es hat sehr viel mit dem Betriebs- und Geschäftsmodell zu tun.
Wie wird diese Strategie von den Unternehmen angenommen?
Sehr verschieden. Spricht man mit den klassischen Massenherstellern aus Asien heißt es: kein Interesse. Wir haben aber sehr viele positive Rückmeldungen aus Europa und hier aus dem automotiven Bereich, bei Herstellern und Zulieferern. Auch aus dem Bereich Gebäudesteuerung gibt es positives Feedback. Wir als Europäer sind uns der Wichtigkeit von Safety und Security bewusst, es ist sozusagen im Ingenieurs-Ethos drinnen. Wir haben also großen Zuspruch aus dem Industriebereich. Der Wettbewerbsvorteil ist nun: Die Maschine kann ich kopieren – das Know-how, die Firmware, das Betriebs- und Wartungskonzept aber nicht.
Das heißt, die europäischen Hersteller sollen bei IoT auf Qualität setzen?
Wenn man sich das Thema IoT ansieht, wird das in Europa sehr stark am Gerät festgemacht. Wenn Asien eines gut kann, dann ist es Dinge günstig zu produzieren. Viele europäische Hersteller lassen sich davon abschrecken, dass sie »das Ding« hier in Europa nicht kosteninteressant herstellen können. Das ist aber völlig egal. Die Wertschöpfung bei vielen IoT-Diensten und -Angeboten ist nicht das Gerät. Meine geistige Leistung liegt in der Software und Dienstleistung und da können wir in Europa sehr gut konkurrieren. Bitte nicht von den Hardwarepreisen abschrecken lassen. Ein Großteil des Mehrwerts liegt in der geistigen Schöpfung der Software und des Dienstes. Wenn wir es in Europa nicht schaffen, hier im Gegensatz zu Asien einen Mehrwert zu bieten, dann machen wir grundlegend etwas falsch.
Be the first to comment