Im Interview mit der COMPUTERWELT erklärt Barracudas EMEA-Geschäftsführer Wieland Alge, was sich durch IoT-Projekte im Unternehmen verändert, wie Mitarbeiter auf die zunehmende Vernetzung reagieren müssen, und was IoT für die Security bedeutet. [...]
Internet of Things und Industrie 4.0 sind in aller Munde. – Wie stehen Sie dazu?
IoT ist ein sehr breites Thema. Ich bekomme derzeit mindestens drei Einladungen pro Woche zu Veranstaltungen dazu. Aber die provokante Aussage „Where ist the Firewall?“ vom Barracuda-Forum im Mai hat schon Resonanz gefunden. Die ersten Welle von IoT haben wir ja schon hinter uns, etwa wenn einfache Dinge an einen Steuerungscomputer angeschlossen oder Dinge an Kameras angeschlossen werden. Aus Security-Sicht zeigt sich folgendes: Die Kontrolle über eine Kamera zu verlieren, ist für die meisten Leute eine abstrakte Bedrohung – eher so wie Krimi schauen. Man gruselt sich vielleicht ein bisschen, aber ist nicht selbst betroffen. Gefährlicher wird es schon im Bereich der industriellen Vernetzung, denn die via Internet vernetzten Maschinen bergen doch ein gehöriges Sicherheitsrisiko. Vielerorts ist es zum Beispiel noch üblich, dass das gleiche Passwort für alle Maschinen verwendet wird. Da stellt sich dann die Frage, ob man tatsächlich die richtige Maschine bedient oder remote wartet.
Wie geht denn die Entwicklung aus Ihrer Sicht voran? Wie geht es weiter?
In den letzten ein, zwei Jahren hat IoT sehr an Fahrt gewonnen. Viele Branchen haben auch gesehen, was passieren kann, wenn man digitale Transformation ignoriert, zum Beispiel Buchhändler oder die Musikindustrie. Früher war die Denke, IT ist irgendetwas für die Buchhaltung oder für den CFO. Für die Supermarktkette
BILLA war es ein Riesenschritt, Bankomatkassen einzuführen – aber es gibt weiterhin die gedruckten Prospekte. Trotzdem: Zahlreiche Branchen und Fachkräfte sind dabei, umzudenken. Viele kommen jetzt auf die Idee, statt Dingen den Nutzen dieser Dinge zu verkaufen, zum Beispiel keine Klimaanlagen, sondern kalte Luft oder keine Waschautomaten, sondern saubere Wäsche. Aber die Idee in ein Service-Modell umzuwandeln, birgt einen hohen Effizienzdruck. Nehmen Sie einen Suppenautomaten her: Da geht es um die Frage: Wie verkaufe ich effizient Suppen? Wie könnte ich das am besten steuern und auch werbemäßig begleiten? Wenn jeder Suppenautomat drei Steuerungscomputer hat und die Automaten miteinander vernetzt sind, gibt es enorme Möglichkeiten, aber es kann auch viel passieren. Wo wird der Angreifer ansetzen, wo wird die potentielle Bedrohung sein? – Wenn ich erst reagiere, wenn meine 10.000 Automaten angegriffen werden, bräuchte ich ganz plötzlich 10.000 Firewalls, dann bin ich entweder über Monate beschäftigt oder ganz schnell tot.
Wie kann ich heute gezielt vorbeugen?
Heute kann ich nur Security by design machen. Das heißt, ich muss bereits vor der Vernetzung der Dinge, Maschinen, Autos oder Gefriertruhen über Security nachdenken und sie mit einbauen. In den nächsten fünf bis zehn Jahren wird es aus meiner Sicht zwei Verlierergruppen geben: Die Angsthasen und die Blinden. Die einen werden nichts tun, auf ihrer Cash-Cow sitzen und die digitale Transformation verschlafen. Sie werden nicht mehr konkurrenzfähig sein. Die zweite Gruppe sind jene Unternehmen, die organisatorisch zu wenig vollständig denken. Zu agieren wie in der Vergangenheit – zuerst Dinge einfach tun, und dann erst darüber nachdenken, wie IT es absichern kann –, das geht heute definitiv nicht mehr. Diese Gruppe wird noch früher sterben als die Angsthasen.
Wie ist Ihre Einschätzung bei den Unternehmen: Wie viele Blinde und wie viele Angsthasen gibt es?
Umfragen zeigen ein diffuses Bild. Es kommt auch stark darauf an, wen man im Unternehmen befragt. Wichtig ist, dass auch die Unternehmen selbst ihre Organisationsform ändern. Wenn die IT ein isolierter Haufen bleibt, werde ich keine digitale Transformation meines Geschäftsmodells machen können. In erfolgreichen Unternehmen wird IT keine eigene Abteilung mehr sein, sondern quasi das gesamte Unternehmen besteht dann künftig aus IT-Mitarbeitern. Die Realität sieht aber noch so aus, dass Mechatroniker sich nur ganz schwer vorstellen können, wie einfach es ist, in ein System einzubrechen. Systeme werden nicht auf Security hin entwickelt und erprobt. Das erinnert an die erste Generation des Online-Bankings, wo es ganz leicht war, Kontostände von anderen einzusehen. Ein anderes Beispiel: Auch bei Mobilfunkanbietern konnte man sich Rechnungen und Gesprächsnachweise des Nachbarn ganz leicht online ansehen, wenn man die Telefonnummer wusste.
Aber wir befinden uns doch im 21. Jahrhundert. Da muss doch etwa Produktionsleuten ebenso klar sein, dass IoT auch ein erhebliches Sicherheitsrisiko nach sich zieht, das entsprechende Maßnahmen erfordert?
Ja schon, aber Security ist für viele einfach zu abstrakt. Das ist so wie die Security Awareness beim Autofahren. Für die meisten Menschen ist das erst dann ein Thema, wenn sie selbst den ersten Unfall gehabt haben. Das heißt, man muss manches erst selbst erlebt haben, um eine Risikoabschätzung auch emotional zu machen.
Es ist mehr als ungünstig, wenn im Unternehmen plötzlich die Maschinen stehen bleiben.
Ja, weil es dann definitiv zu spät ist. Aber die Bedrohungslage sieht meist anders aus. Die meisten Angreifer wollen die Firma ja nicht zum Stehen bringen, sondern sie wollen Geld. Moderne Angreifer verschießen zudem nicht sofort ihre gesamte Firepower, sondern bleiben meist am Ziel dran. Viele kommerzielle Attacken laufen langfristig, aber noch viel stärker ausgeprägt sind die langfristig-strategischen Angriffe von staatlichen Organisationen. Der Geheimdienst ist kein Datenklauer, der will dich auf ewig überwachen.
Was ist in diesem Szenario Ihre Empfehlung?
Ganz wichtig ist es ein Bier zu trinken: Mit Menschen, die man nicht kennt. Wir haben etliche Kunden, die schon bei der ersten Welle der industriellen Vernetzung begonnen haben, Security in ihre Organisation und Systeme hineinzubringen. Da habe ich anfangs die Kunden gefragt: Geht ihr eigentlich gemeinsam auf ein Bier? Das war bei allen, die das gemacht haben, der Fall. Und bei vielen, die Schwierigkeiten mit solchen Projekten haben, eben nicht. Dabei ist das ein ganz einfaches Prinzip, dass die Leute aus der betriebswirtschaftlichen IT und Produktions-IT, aber auch die Produktionsmenschen selbst gemeinsam auf ein Bier gehen. Das hilft.
Rücken die Leute im Unternehmen durch IoT jetzt enger zusammen?
Sie müssen, ob sie wollen oder nicht. Ich kenne Unternehmen, die früher reine Produktionsunternehmen waren – und dann ihre eigene Vorwärtsintegration gemacht haben. Swarovski ist ein gutes Beispiel, etwa mit der Eröffnung eigener Shops. Für die IT war das ein massiver Schritt und bedeutet, dass man viel schneller agieren muss. Einen neuen Produktionsstandort zu integrieren, da gibt es eine lange Planungs- und Vorlaufzeit. Aber im Handel, bei der Anbindung von Shops, ist die IT viel mehr gefordert. Hinzu kommt die individuelle Produktion, Stichwort Losgröße eins, das heißt die Idee, dass ich mir als Kunde künftig mein individuelles Schmuckstück on-demand zusammenstellen kann. Der Kunde agiert damit interaktiv von außen bis in die Maschinen hinein.
Auch das bedeutet ja eine Wahnsinnsanforderung an die Security!
Ja absolut! Der Kunde steuert damit quasi über seinen demand die Maschinen bzw. die Produktion. Aber die Experimente, die die meisten Unternehmen jetzt machen, sind noch immer für die Early Adopters. Gerade im Lebensmittelhandel gibt es derzeit viele Experimente. So wird die Zustellung der Waren wohl künftig über Drohnen oder autonome Autos passieren, je nachdem, was schneller funktioniert. Und es wird Kühlboxen in den Privathaushalten geben, wo die Zusteller die gelieferten Lebensmittel einstellen. Amazon experimentiert da gerade sehr viel herum.
Was sind denn für Sie spannende Kunden?
Eigentlich alle jene, wo die Geschäftsführung dazu bereit ist, ihr Geschäft mit IT umzukrempeln. Beispiel industrielle Waschmaschinen. Jede Waschmaschine besitzt heute schon einen Steuerungscomputer. Wird sie jetzt zusätzlich auch noch vernetzt, braucht sie auch eine Firewall. Jedes intelligente, dynamische Ding wird in Zukunft eine Firewall brauchen.
Die Firewall ist ja nur ein Teil. Wie sieht eine moderne Security-Strategie für Unternehmen im Zeitalter von IoT und Industrie 4.0 aus?
Es ist sehr schwer, generell über ein Security-Konzept oder eine Strategie zu sprechen, weil es tatsächlich auf den jeweiligen individuellen Fall bzw. das Unternehmen ankommt. Da sind auch wir gefordert, den jeweiligen Use Case zu verstehen. Die entscheidende Frage ist: Kann man entsprechende Vorhersagen treffen und die Unberechenbarkeit quantifizieren? Das entscheidet letztlich über die notwendige IT-Infrastruktur und Security-Maßnahmen.
Be the first to comment