Thought Leadership
Überraschend ist es nicht: CEOs und Führungskräfte von Unternehmen könnten zukünftig stärker persönlich haftbar gemacht werden, wenn es ihnen nicht gelingt, IT-Systeme, die mit physischen Netzwerken verbunden sind, umfassend abzusichern. Davor warnen jedenfalls die Analysten von Gartner. Dazu ein Kommentar von Boris Cipot, Synopsys.
Die Analysten prognostizieren, dass bis zum Jahr 2024 bis zu 75 % aller Führungspersonen derart in die Pflicht genommen werden könnten. Grund sind wachsende Regulierungsmaßnahmen für die sogenannten „Cyberphysischen Systeme“ oder kurz CPSs. Dazu zählen IoT-Systeme ebenso wie Geräte im Bereich der industriellen/betrieblichen Technologie (OT).
Gartner definiert CPSs als „entwickelt zur Orchestrierung von Netzwerken und Analytics mittels Sensorik, rechnerischer Steuerung und Kontrolle, um mit der physischen Welt einschließlich von Menschen zu interagieren.“
In dieser Welt haben Cyberangriffe über den Verlust von Daten und Service-Ausfällen hinaus das Potenzial, Menschenleben zu gefährden. So ist es vorstellbar, dass medizintechnische Geräte von einem Angreifer übernommen werden und lebenswichtige Medikamente nicht mehr in der richtigen Dosis verabreicht werden. Vernetzte Fahrzeuge könnten absichtlich einen Zusammenstoß herbeiführen und so weiter. Gartner geht davon aus, dass der finanzielle Schaden, der durch solche möglicherweise lebensgefährlichen Attacken auf CPSs verursacht werden könnte, bereits 2023 eine Höhe von über 50 Milliarden US-Dollar erreicht haben könnte.
“Gerade was cyberphysische Systeme und das IoT anbelangt, ist Technologie mehr und mehr integraler Bestandteil unserer Lebenswelt. Im Umkehrschluss bedeutet das, diese Technologie wird bei Missbrauch potenziell lebensbedrohlich. Ich persönlich erinnere mich an eine Smartwatch-Schwachstelle, über die ein Angreifer falsche Nachrichten zur Medikamenteneinnahme senden und dadurch eine Überdosierung verursachen konnte. Denken Sie an all die Geräte, die Sie jetzt und in Zukunft wahrscheinlich benutzen werden und die über eine Netzwerk-, wenn nicht sogar eine Internetverbindung verfügen. Sind diese Geräte nicht ausreichend sicher entwickelt, sind die möglichen Folgen für Leib und Leben gravierend. Daher ist eine Entwicklung in Richtung Geldbußen oder bei fahrlässigem Handeln sogar bis hin zu Gefängnisstrafen verständlich und nachvollziehbar. Es kann aber kaum die grundlegende Idee sein, fahrlässiges Verhalten zu sanktionieren und das war es dann. Wir brauchen verbindliche Richtlinien, was die sichere Entwicklung solcher Geräte anbelangt und was wir erwarten sollten, wenn wir an angemessene Sicherheitsmaßnahmen denken.
Meines Erachtens nach würden viele Unternehmen diese Entwicklung sogar eher begrüßen als bremsen. Denn die meisten Firmen kämpfen mit der Vielzahl unübersichtlicher Vorschriften, Regelungen und Gesetze. Nicht zuletzt wäre dies auch für die Benutzer eine Erleichterung, denn die können sich darauf verlassen, ein Gerät oder eine Software zu kaufen, die nach den grundlegenden Sicherheitsprinzipien entwickelt, getestet und auf den Markt gebracht worden sind.”
Boris Cipot, www.synopsys.com
