Information und Bildungsarbeit von und für die SAP-Community
Die Meinung der SAP-Community, IT-Security Kolumne, MAG 15-06

Sicherheit vs. Innovation?

Was wäre die Welt ohne Erfindungen? Innovationen, wie eine revolutionäre Bezahl-App oder eine Toilette mit Smartphone-Steuerung, sollen unser Leben erleichtern. Im digitalen stillen Örtchen erfolgte die Steuerung allerdings per Bluetooth-Protokoll mit einem hinterlegten festen PIN – ein leichtes Spiel für Hacker! Was wäre, wenn es sich um eine am Körper getragene Insulinpumpe handelt?
Raimund Genes, Trend Micro
21. Juni 2015
Inhalt:
It-Security
avatar

Mithilfe der Smartphone-App lässt sich per Fernbedienung der Deckel öffnen und schließen, die Spülung betätigen, das Bidet aktivieren oder der Duftsprüher einschalten.

Sicherheit war ganz offensichtlich nicht das entscheidende Designkriterium, die nicht veränderliche Bluetooth-PIN („0000“) kann man auch als direkte Einladung an Hacker verstehen.

Auch wenn sich der mögliche finanzielle Schaden zugegebenermaßen in Grenzen hält – selbst wenn jemand rund um die Uhr die Spülung betätigt – und auch die akute Gefährdung von Menschenleben hier sicher nicht gegeben ist.

Vom Stillen Örtchen 2.0 zum Auto der Zukunft…

Doch spätestens bei medizinischen Geräten wie der Insulinpumpe hört der Spaß auf. Es gibt viele solcher Beispiele – auch in Bereichen, in denen Angreifer durchaus erheblichen Schaden verursachen könnten.

Denken wir nur an die Automobilindustrie, bei der die IT immer stärker Einzug hält. Im Fokus stehen die Innovationen sowie ein möglichst schneller Markteintritt.

Sicherheitsexperten sind oft nicht Bestandteil der Produktteams, die für solche neuen Lösungen verantwortlich sind. Daher wird zu Beginn nicht sehr viel Augenmerk auf das Thema Sicherheit gelegt. Leider können solche Entscheidungen dann auch erhebliche negative Konsequenzen mit sich bringen.

Das ist beispielsweise der Fall, wenn die Produktneuheiten das Interesse von Hackern wecken – und wenn diese Hacker dann auf nicht existierende oder sehr einfach zu überwindende Sicherheitshürden stoßen.

…die Sicherheit droht auf der Strecke zu bleiben

Auch in IT-Projekten kann man eine solche Tendenz beobachten, wenn Innovationen eingeführt werden: Im Fokus stehen Performanceverbesserung, Kosteneinsparungen oder Prozessoptimierungen – aber seltener wird darüber gesprochen, was seitens der Sicherheit unternommen und angepasst werden muss.

Während des Proof-of-Concept konzentriert man sich dann hauptsächlich darauf, ob die Erwartungen an die Innovation erfüllt werden. Ist die POC-Phase dann erfolgreich durchlaufen und geht es an die Planung, die Produktionsserver einzuführen, stellt man fest, dass die Unternehmensrichtlinien noch nicht ganz erfüllt werden, weil die Innovation noch zu neu ist und die fehlenden Security-Features erst noch in zukünftigen Releases nachgezogen werden müssen.

Oder, wie in manchen Installationsanleitungen beschrieben, man Security-Komponenten erst gar nicht auf der neuen Innovation aufgrund von Performance-Einbußen einsetzen sollte.

Im Spannungsfeld von IT und Fachbereich

Und nun? Warten oder einführen? Hier entsteht nachträglich ein Spannungsfeld zwischen IT-Security, die richtigerweise darauf besteht, dass interne Richtlinien einzuhalten sind, weil Kompromisse in diesem Bereich meist sehr schnell zu Schäden führen, und dem Fachbereich, der möglichst schnell Innovationen einführen möchte.

Aus Security-Sicht bleibt nur zu sagen: Je geschäftskritischer die neue Innovation ist, desto interessanter ist sie auch für den Angreifer. Hier auf Kompromisse bei der Sicherheit zu setzen, kann fatale Folgen haben.

Übrigens: Anders als die Toilette 2.0, die es in Japan wirklich gibt, ist die oben genannte „revolutionäre Bezahl-App“ Teil eines Online-Spiels. Hier steht ein – natürlich fiktives – Unternehmen kurz vor der Markteinführung einer App, die Werbemaßnahmen sind erfolgreich angelaufen, doch Sicherheitslücken oder gezielte Angriffe könnten das Vorhaben gefährden.

Als CIO müssen die Spieler während der letzten Vorbereitungen zur geplanten Markteinführung zahlreiche Entscheidungen treffen und Probleme lösen.

Probieren Sie es aus – unter http://targetedattacks.trendmicro.com/ger kann das Spiel „Gezielter Angriff – Das Spiel“ kostenlos gestartet werden. Sie müssen keine persönlichen Informationen preisgeben, um es starten zu können.

avatar
Raimund Genes, Trend Micro

Raimund Genes war CTO bei Trend Micro.


Alle Artikel des Autors

Schreibe einen Kommentar

SAP-Kuckucksei

Datasphere und Joule: SAP im KI-Zeitalter

Power of Three

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren. Alle Informationen zum Event finden Sie hier:

SAP Competence Center Summit 2024

Veranstaltungsort

Eventraum, FourSide Hotel Salzburg,
Am Messezentrum 2,
A-5020 Salzburg

Veranstaltungsdatum

5. und 6. Juni 2024

Reguläres Ticket:

€ 590 exkl. USt.

Veranstaltungsort

Eventraum, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Veranstaltungsdatum

28. und 29. Februar 2024

Tickets

Regular Ticket
EUR 590 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2024, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.