Sicherheit vs. Innovation?

Mithilfe der Smartphone-App lässt sich per Fernbedienung der Deckel öffnen und schließen, die Spülung betätigen, das Bidet aktivieren oder der Duftsprüher einschalten.

Sicherheit war ganz offensichtlich nicht das entscheidende Designkriterium, die nicht veränderliche Bluetooth-PIN („0000“) kann man auch als direkte Einladung an Hacker verstehen.

Auch wenn sich der mögliche finanzielle Schaden zugegebenermaßen in Grenzen hält – selbst wenn jemand rund um die Uhr die Spülung betätigt – und auch die akute Gefährdung von Menschenleben hier sicher nicht gegeben ist.

Vom Stillen Örtchen 2.0 zum Auto der Zukunft…

Doch spätestens bei medizinischen Geräten wie der Insulinpumpe hört der Spaß auf. Es gibt viele solcher Beispiele – auch in Bereichen, in denen Angreifer durchaus erheblichen Schaden verursachen könnten.

Denken wir nur an die Automobilindustrie, bei der die IT immer stärker Einzug hält. Im Fokus stehen die Innovationen sowie ein möglichst schneller Markteintritt.

Sicherheitsexperten sind oft nicht Bestandteil der Produktteams, die für solche neuen Lösungen verantwortlich sind. Daher wird zu Beginn nicht sehr viel Augenmerk auf das Thema Sicherheit gelegt. Leider können solche Entscheidungen dann auch erhebliche negative Konsequenzen mit sich bringen.

Das ist beispielsweise der Fall, wenn die Produktneuheiten das Interesse von Hackern wecken – und wenn diese Hacker dann auf nicht existierende oder sehr einfach zu überwindende Sicherheitshürden stoßen.

…die Sicherheit droht auf der Strecke zu bleiben

Auch in IT-Projekten kann man eine solche Tendenz beobachten, wenn Innovationen eingeführt werden: Im Fokus stehen Performanceverbesserung, Kosteneinsparungen oder Prozessoptimierungen – aber seltener wird darüber gesprochen, was seitens der Sicherheit unternommen und angepasst werden muss.

Während des Proof-of-Concept konzentriert man sich dann hauptsächlich darauf, ob die Erwartungen an die Innovation erfüllt werden. Ist die POC-Phase dann erfolgreich durchlaufen und geht es an die Planung, die Produktionsserver einzuführen, stellt man fest, dass die Unternehmensrichtlinien noch nicht ganz erfüllt werden, weil die Innovation noch zu neu ist und die fehlenden Security-Features erst noch in zukünftigen Releases nachgezogen werden müssen.

Oder, wie in manchen Installationsanleitungen beschrieben, man Security-Komponenten erst gar nicht auf der neuen Innovation aufgrund von Performance-Einbußen einsetzen sollte.

Im Spannungsfeld von IT und Fachbereich

Und nun? Warten oder einführen? Hier entsteht nachträglich ein Spannungsfeld zwischen IT-Security, die richtigerweise darauf besteht, dass interne Richtlinien einzuhalten sind, weil Kompromisse in diesem Bereich meist sehr schnell zu Schäden führen, und dem Fachbereich, der möglichst schnell Innovationen einführen möchte.

Aus Security-Sicht bleibt nur zu sagen: Je geschäftskritischer die neue Innovation ist, desto interessanter ist sie auch für den Angreifer. Hier auf Kompromisse bei der Sicherheit zu setzen, kann fatale Folgen haben.

Übrigens: Anders als die Toilette 2.0, die es in Japan wirklich gibt, ist die oben genannte „revolutionäre Bezahl-App“ Teil eines Online-Spiels. Hier steht ein – natürlich fiktives – Unternehmen kurz vor der Markteinführung einer App, die Werbemaßnahmen sind erfolgreich angelaufen, doch Sicherheitslücken oder gezielte Angriffe könnten das Vorhaben gefährden.

Als CIO müssen die Spieler während der letzten Vorbereitungen zur geplanten Markteinführung zahlreiche Entscheidungen treffen und Probleme lösen.

Probieren Sie es aus – unter http://targetedattacks.trendmicro.com/ger kann das Spiel „Gezielter Angriff – Das Spiel“ kostenlos gestartet werden. Sie müssen keine persönlichen Informationen preisgeben, um es starten zu können.