Sicherheitsprinzipien sind im Krisenmodus von entscheidender Bedeutung

„Wenn Sie nicht planen, du planst zu scheitern.“ —Modernes Sprichwort

Bei so viel Fokus auf die kurzfristigen COVID-19-Störungen gab es weniger Diskussionen über die langfristigen Auswirkungen auf die Technologieeinführung.

Ein wahrscheinliches Szenario ist, dass die Pandemie zu einer langfristigen Zunahme der Automatisierung und Fernverwaltung von Anlagen führt, die von Industriemaschinen über Heizungs-, Lüftungs- und Klimaanlagen (HVAC) bis hin zu Lieferketten reichen. Im Gesundheitswesen ist ein langfristiger Anstieg der virtuellen Versorgung und der Telemedizin wahrscheinlich. Während viele Unternehmen mit Budgetdruck den Betrieb eingestellt haben, wird die Pandemie besser aufgestellten Unternehmen den Weg ebnen, Prozesse zu automatisieren.

Anfang März begannen Unternehmen, Geschäftsprozesse und andere Abläufe zu überdenken, nachdem die Weltgesundheitsorganisation COVID-19 als Pandemie eingestuft hatte. Ganz offensichtlich gab es einen „enormen Anstieg der gemeldeten Benutzer von Slack und Microsoft Teams für die Zusammenarbeit“, sagte Chris Kocher, Geschäftsführer von Grey Heron, einer Unternehmensberatungsfirma. Anbieter von Telekonferenzen haben ebenfalls rasche Zuwächse verzeichnet. „Teladoc für Telemedizin hat ebenfalls ein enormes Wachstum verzeichnet“, fügte Kocher hinzu.

[ IoT-Welt ist Nordamerikas größte IoT-Veranstaltung, bei der sich Strategen, Technologen und Implementierer vernetzen und IoT, KI, 5G und Edge in allen Branchen in die Tat umsetzen. Buchen Sie jetzt Ihr Ticket. ]

Auch der Fernzugriff auf industrielle Steuerungssysteme (ICS) hat in letzter Zeit zugenommen, nachdem er in den letzten Jahren nach Shodan-Daten zurückgegangen war. Allein in den USA sind mittlerweile fast 50.000 ICS-Geräte mit dem Internet verbunden. Auch der Einsatz des Remote-Desktop-Protokolls, das es Windows-Benutzern ermöglicht, Workstations oder Server aus der Ferne zu verwalten, hat zugenommen, nachdem das Protokoll Ende 2019 aufgrund von Sicherheitslücken in Ungnade gefallen war.

Viele Industrieunternehmen verfügen bereits über eine „einfache Fernüberwachung“, sagte Yasser Khan, CEO von One Tech. Solche relativ einfachen Fähigkeiten reichten aus, als Arbeiter noch Maschinen persönlich inspizieren konnten. Aber da viele Einrichtungen auf eine Notstandscrew reduziert wurden, haben sich ihre Prioritäten verschoben. Werksleiter suchen zunehmend danach, „wie sie aus der Ferne weitere Einblicke in den Zustand ihrer Maschinen gewinnen können“, sagte Khan.

Laut Nitin Kumar, Chief Executive Officer bei Appnomic, überdenken viele Unternehmen auch die Disaster-Recovery-Planung. „Wenn eine Naturkatastrophe oder ein Computervirus eine Organisation trifft und ihre Systeme ausfallen, passiert oft, dass Sie in eine Art manuellen Modus wechseln“, sagte Kumar. „Das Geschäft läuft weiter, aber langsamer.“ Aber COVID-19 ist keine normale Katastrophe. „Jetzt sind Ihre manuellen und Bedarfskapazitäten erschöpft und Ihre Systemkapazität ist gedrosselt oder unzugänglich. Sie brauchen also mehr Systeme oder Automatisierung – nicht mehr Personal.“ Unternehmen, die es sich leisten können, die Automatisierung zu erweitern, werden dies wahrscheinlich tun, wenn sie ihre Disaster-Recovery-Planung und Business-Continuity-Planung überdenken.

Die Verbreitung von Konnektivität und Automatisierung ist natürlich nichts Neues. 2016 stellte Sicherheitsguru Bruce Schneier fest, dass menschliches Eingreifen zunehmend unnötig ist. „Das Internet spürt, denkt und handelt jetzt“, schrieb er. „Wir bauen einen Roboter von Weltgröße, und wir merken es nicht einmal.“ Schneier kam zu dem Schluss, dass es wichtig ist, über einen „neuen, weltumspannenden Roboter“ nachzudenken.

Obwohl die gesellschaftliche Rolle von Software seit Jahrzehnten zunimmt, könnten die Sicherheitsauswirkungen einer Welt mit weit verbreiteten automatisierten oder halbautomatischen IoT-fähigen Geräten tiefgreifend sein. „Computer haben eine enorme Macht, unser Leben zu unterstützen und es zu verbessern, aber je komplexer das System, desto mehr Dinge können schief gehen“, sagte Kate Stewart, Senior Director of Strategic Programmes bei der Linux Foundation. „Wir müssen versuchen herauszufinden, was schief gehen kann, um den Schaden zu mindern und die Zuverlässigkeit der Software zu erhöhen.“

S sicher durch Design

Herkömmliche Cybersicherheitskonzepte wie Security by Design bleiben manchmal auf der Strecke, wenn sich Unternehmen im Krisenreaktionsmodus befinden. COVID-19 „wird die Einhaltung von Secure-by-Design-Prinzipien zur Herausforderung machen“, sagte John Loveland, globaler Leiter der Cybersicherheitsstrategie bei Verizon. "Alle bewegen sich sehr schnell." Wenn Unternehmen während der Krise dazu übergehen, die Remote-Arbeits- und Automatisierungsfunktionen zu erweitern, ist die Wahrscheinlichkeit höher, dass sie Fehler machen. „Weder die Technologie noch die neuen Geschäftsprozesse dürfen die Sicherheit dahinter übertreffen. Sie müssen sicherstellen, dass Ihr internes Sicherheitsteam an jeder Entscheidung beteiligt ist, die Sie in Bezug auf neue Technologien, Prozesse oder Arbeitsweisen treffen.“

Experten empfehlen, die Sicherheit bei der Planung von Technologiebereitstellungen so früh wie möglich zu berücksichtigen. „Stellen Sie sicher, dass Sie die Interessengruppen, das Unternehmen sowie die Betreiber in die Sicherheitsdiskussionen einbeziehen“, empfahl Bob Martin, Co-Vorsitzender der Software Trustworthiness Task Group beim Industrial Internet Consortium.

„Sie müssen [Sicherheit] als einen der Hauptaspekte jeder Lösung betrachten, und wie das Fundament eines Hauses baut alles andere darauf auf“, sagte Andrew Jamieson, Director, Security and Technology bei UL. Organisationen, die es versäumen, ein korrektes Fundament aufzubauen, riskieren es, es wieder aufzubauen oder „wenigstens viel Zeit und Mühe darauf aufzuwenden, etwas zu reparieren, das früher viel einfacher hätte behoben werden können“, sagte Jamieson.

Dennoch ist es unwahrscheinlich, dass Security-by-Design-Prinzipien ganz oben auf der Prioritätenliste stehen werden, da Unternehmen abrupt auf Remote-Arbeit, die Fernsteuerung von Assets und möglicherweise auf die Erweiterung der Automatisierungsfunktionen übergehen. „Das ist in der Tat ein riesiges Sicherheitsproblem, selbst beim Einsatz sicherer Technologien, weil für deren sichere Anwendung keine Zeit bleibt“, sagt Frank Hißen, unabhängiger Sicherheitsberater.

Security-by-Design-Prinzipien beinhalten oft eine Reihe von Hardware- und Technologieelementen. Sie zusammenzubauen kann ein Rätsel sein. „Manchmal fehlt es Anbietern, die die ‚Puzzleteile‘ verkaufen, aus denen eine Bereitstellung besteht, an angemessenen Sicherheitsmaßnahmen, sagte Chris Catterton, Director of Solutions Engineering bei One Tech. Die Erweiterung des Umfangs der Fernzugriffsfunktionen einer IoT-Bereitstellung erhöht die Notwendigkeit, "Sicherheit sowohl an den Endpunkten als auch auf Systemebene einzubeziehen, sei es über die Cloud oder lokale Systeme, auf die über VPN zugegriffen wird", sagte Catterton.

F Sicherheitssaldo ermitteln und neu ermitteln

Obwohl die Integration von Sicherheitsfunktionen in Produkte und Prozesse von entscheidender Bedeutung ist, ist es nicht möglich, jede mögliche zukünftige Bedrohung vorherzusehen. „Man kann nicht immer früh in einem Projekt Designentscheidungen zur Sicherheit treffen und diese bleiben gültig“, sagte Jamieson.

Es besteht oft eine Spannung zwischen dem Hinzufügen neuer Funktionen zu einer Software und der Gewährleistung, dass sie sicher verwendet und geschützt wird. „Es gibt viele Funktionen, die auf unseren Mobiltelefonen auftauchen, die zufällig abstürzen und die Folgen sind zwar ärgerlich, aber nicht lebensbedrohlich“, sagte Stewart. „Wir sehen zunehmend, dass Open Source in Anwendungen verwendet wird, bei denen die Software, wenn sie nicht zuverlässig ist, jemanden verletzen könnte.“

Letztendlich läuft die Sicherung von Systemen auf Widerstandsfähigkeit und Agilität hinaus. „Wenn Sie nur auf Widerstandsfähigkeit bauen, werden Sie in Schwierigkeiten geraten“, wenn neue Sicherheitslücken auftauchen“, sagte Jamieson. „In der heutigen Welt braucht man also auch Agilität:die Fähigkeit, Systeme schnell zu ändern, zu patchen, zu aktualisieren oder anderweitig umzugestalten, wenn sich die Dinge ändern.“

Agilität in der Sicherheit verbindet sich auch mit Security-by-Design-Prinzipien. „Sie müssen von Anfang an auf Sicherheit achten, und dieser Sicherheitsansatz muss Aspekte der Belastbarkeit und Agilität beinhalten“, sagte Jamieson. „Wenn Sie nicht für Sicherheit entwerfen, entwerfen Sie für das Versagen.“