Die zunehmende Vernetzung aller Lebensbereiche durch das Internet of Things (IoT) prägt bereits heute unseren Alltag und bildet das Grundgerüst unserer modernen Gesellschaft. Tatsächlich zeigen immer vielfältigere Einsatzszenarien, dass das IoT ein schier unerschöpfliches Potential bietet: In einer gemeinsamen Studie der Tüv Süd Sec-IT GmbH mit IDG und weiteren Partnern (Download der Studie unter https://bit.ly/2ubsjEK oder über den QR-Code) stuft jedes zweite befragte Unternehmen die Relevanz von IoT-Projekten als hoch oder sogar sehr hoch (56%) ein. Dafür sprechen eine steigende Projektzahl, höhere Erfolgsquoten sowie ein schnellerer Mehrwert. Im Rahmen der Studie wurden über 400 leitende (IT-) Verantwortliche von Unternehmen unterschiedlicher Branchen in der DACH-Region befragt.
Der Studie zufolge steht für die Entscheider vor allem die Optimierung bestehender Geschäftsprozesse (42%) im Vordergrund, gefolgt von der Verbesserung bestehender Services und Produkte (39%) sowie der Entwicklung neuer Lösungen (35%). Weitere Ziele sind Umsatzsteigerung und Kostensenkung, der Aufbau einer smarten Infrastruktur, die Personalisierung von Produkten sowie eine höhere Kundenzufriedenheit. Und dennoch: Allem Potential, Chancen und Nutzen zum Trotz investieren Unternehmen aktuell nicht mehr so stark in IoT-Projekte wie in den Jahren zuvor. Zurückzuführen ist das vor allem auf Unsicherheit in Sachen Sicherheit und Datenschutz: Noch vor einem knappen Budget wurden Datenschutz- (37%) und Sicherheitsbedenken (33%) in der Studie als größte Bremsfaktoren für umfassende IoT-Investitionen genannt. Zu den Ergebnissen der Studie und den Schlüssen daraus befragen wir Stefan Vollmer, CTO bei Tüv Süd Sec-IT.
GIT SICHERHEIT: Herr Vollmer, die Relevanz und die Anzahl von Internet-of-Things-Projekten ist in den meisten der befragten Unternehmen weiter gestiegen. Trotzdem sieht es so aus, als ob die Möglichkeiten von IoT oft nicht so richtig ausgeschöpft werden. Warum ist das Ihrer Ansicht nach so?
Stefan Vollmer: Sicherheitsbedenken sind meiner Ansicht nach eines der größten Hindernisse bei der Umsetzung von IoT-Projekten, wie auch die Studie bestätigt hat. Hackerangriffe und Industriespionage gehören demnach zu den Faktoren, die die befragten Unternehmen – vor allem kleinere Firmen – am meisten fürchten. Hinzu kommt die Komplexität, die IoT-Implementierungen mit sich bringen: Die wachsenden IT-Landschaften werden schnell unübersichtlich, lassen sich schwieriger managen und absichern. Unternehmen sind daher oftmals zurückhaltend bei der Umsetzung. Interessant in diesem Zusammenhang ist, dass laut Studie vergleichsweise wenige Unternehmen in Cyber Security investieren –obgleich sich die Bedrohungslage in den letzten Jahren weiter verschärft hat.
Datenschutz- und Sicherheitsbedenken sind für viele Entscheider noch gewichtigere Hauptargumente gegen IoT-Projekte als ein zur Verfügung stehendes Budget. Was wären Ihre drei Top-Tipps in Sachen Sicherheit?
Vollmer: Unabhängig von Branchen und Anwendungsbereichen erfordert IoT-Sicherheit ein ganzheitliches Konzept, das neben der technischen und prozessorientierten Dimension auch die Menschen innerhalb einer Organisation miteinbezieht. Um einen aus technischer Sicht ausgereiften Schutz aufzubauen, müssen die einzelnen IoT-Komponenten frühzeitig und regelmäßig überwacht werden. Hier sind vor allem automatisierte, intelligente Sicherheitslösungen gefragt, die in der Lage sind, Angriffe zu antizipieren und individualisierte Handlungsempfehlungen zu geben.
Unternehmen müssen sich jedoch klarmachen, dass ausgereifte Technik und durchdachte Prozesse allein nicht automatisch für mehr Sicherheit sorgen: Die Mehrheit aller Cyber-Attacken nutzt gezielt die Schwachstelle Mensch, um Zugang zum Unternehmensnetzwerk zu erlangen. Regelmäßige Schulungen der eigenen Mitarbeiter gehören daher zu den wichtigsten ergänzenden Investitionen für mehr Sicherheit. Es gilt, eine durchgängige Sensibilität für das Thema zu schaffen und so das Risiko durch Fehlverhalten zu minimieren.
IT-Sicherheit, der Schutz personenbezogener Daten und der von Daten in der Cloud sind den befragten Firmen zufolge durch das IoT gefährdet. Dennoch wird weniger in IT-Security investiert als zu erwarten wäre. Welche Argumente würden Sie den Entscheidern an die Hand geben, um hier aktiver zu sein?
Vollmer: Kostendruck und Sparmaßnahmen dürfen nie zu Lasten von Sicherheit und Datenschutz gehen, vor allem, wenn man sich die Entwicklung der Bedrohungslandschaft anschaut. Die Zahl der vernetzten Geräte und damit auch die Angriffsfläche wird in den kommenden Jahren noch einmal stark ansteigen. Experten prognostizieren 20 Mrd. Geräte im Internet of Things bis 2020. Angesichts der Schnelligkeit, mit der Cyberkriminelle heute weltweit agieren und mit der sich die Werkzeuge für Cyber-Attacken verändern, ist es umso wichtiger, dass Unternehmen das Thema Sicherheit in Zukunft wieder verstärkt auf ihre Agenda setzen und investieren.
Dabei genügen punktuelle Sicherheits-Updates nicht mehr. Cyber Security muss vielmehr als permanente Aufgabe verstanden werden, die die gesamte Organisation betrifft. Das beginnt bei „Security by Design“, was bedeutet, dass IT-Sicherheit von Anfang an fester Bestandteil der Produkt- und Prozessentwicklung sein muss. Und es geht weiter mit „Security as a Service“, damit relevante Sicherheitsupdates kontinuierlich zur Verfügung stehen. Es ist ähnlich wie beim menschlichen Körper: Wer regelmäßig etwas für seine Gesundheit tut, ist fitter und widerstandfähiger als jemand, der nur einmal jährlich zur Vorsorge geht. Es gilt: Wer kontinuierlich in Sicherheit investiert, hat auf Dauer einen Wettbewerbsvorteil.
In welchen Branchen sehen Sie aktuell die größten Chancen für noch mehr IoT-Projekte – bitte geben Sie uns mal ein Beispiel, wo gibt es welche besonderen Risiken?
Vollmer: Mehr denn je existieren signifikante Unterschiede zwischen den einzelnen Branchen. Im Bereich Handel und Logistik sowie in der Bauwirtschaft, wo im Rahmen von „Connected Building“ und „Smart City“ neue Wohn- und Arbeitswelten entstehen, macht man sich die Möglichkeiten des IoT bereits stark zunutze. Auch in der Versicherungswirtschaft eröffnet sich mit Hilfe des IoT ein gänzlich neues, datengetriebenes Geschäftsmodell. Ein Beispiel dafür ist die Kfz-Assekuranz, Stichwort „Car Telematic“: Der Versicherungsnehmer erklärt sich damit einverstanden, dass Geschwindigkeits- und Beschleunigungsdaten aus seinem Fahrzeug zur Risikobewertung an den Versicherer übermittelt werden.
Großes Potential in Sachen Effizienzsteigerung sehe ich vor allem für das produzierende Gewerbe, wo das IoT noch in den Kinderschuhen steckt. Hier gilt es noch einmal zu unterscheiden zwischen dem eher konservativen Ansatz im Bereich Anlagen- und Maschinenbau und der sehr viel dynamischeren Automobilbranche. Letztere ist einem deutlich höheren Transformationsdruck unterworfen – Stichwort Connected Car oder E-Mobility. Verstärkt fordern Automobilhersteller von ihren Zulieferern und deren Lieferanten Zugriff auf Maschinen- und Produktionsdaten, um die Einhaltung der Qualitätsstandards direkt kontrollieren zu können. Folgerichtig sind es vor allem die großen OEMs, die innerhalb der Branche eine Vorreiterrolle in Sachen IoT einnehmen.
Zugleich steht das produzierende Gewerbe vor einer der größten Herausforderungen: Durch die zunehmende Vernetzung von Maschinen, Komponenten und Prozessen – die nicht immer den erforderlichen Sicherheitsstandards entsprechen –steigen die potentiellen Einfallstore für Angreifer. Die immer engeren Schnittstellen zwischen den ehemals getrennten Bereichen IT und OT (Operational Technology) erfordern auch in Security-Fragen eine verstärkte Zusammenarbeit der verantwortlichen Abteilungen, um einen komplementären Schutz aller Unternehmensbereiche zu gewährleisten. In der Realität jedoch findet mehrheitlich noch eine getrennte Verarbeitung statt, wodurch Übertritte von Angreifern aus IT-Netzen in die OT-Welt nicht detektiert werden können.
Umfassende Lösungen und verbindliche Standards
Der langfristige Erfolg eines Unternehmens hängt stark von seiner Beherrschung des IoT ab – mit all seiner Komplexität und potentiellen Schwachstellen. Umso wichtiger ist es, Infrastrukturen, Systeme, Technologien und vor allem sensible Daten zu schützen.
Mit steigender Wahrscheinlichkeit für kriminelle oder staatlich organisierte Cyber-Angriffe nimmt der Bedarf an umfassenden IT-Security-Lösungen zu, die größtmögliche Sicherheit gewährleisten, aber Unternehmen nicht in ihrer Agilität beschränken. Gleichzeitig müssen global gültige Werte und Sicherheitsstandards entwickelt werden, um Cyber-Bedrohungen nachhaltig einzudämmen, das Vertrauen in den technischen Fortschritt zu stärken und Innovation zu ermöglichen.