Dieses Special Manager WISSEN beschäftigt sich mit der besonderen Bedeutung des Vertrauens, das für eine erfolgreiche Digitalisierung erforderlich ist: Welche Bedeutung hat Cyber Security für das Vertrauen, wie kann Vertrauen erreicht werden und welche Herausforderungen begegnen uns dabei?
Unter dem Begriff Digitalisierung werden viele Entwicklungen zusammengefasst, die unseren Alltag und unser Berufsleben teilweise grundlegend verändern. Miniaturisierung macht einfache Gegenstände des Alltags zu kleinen Computern, die extrem große Mengen an Daten erzeugen; und die gestiegene Rechnerleistung ermöglicht es auch, diese systematisch auszuwerten. Robotics und KI ermöglichen es, immer mehr und komplexere Aufgaben zu automatisieren.
Viele Abläufe in der analogen Welt waren einfach, sichtbar und fanden in der physischen Gegenwart der beteiligten Personen statt, wie z. B. der Kauf von Büchern in der Buchhandlung im Tausch gegen Bargeld. Nun werden bei der Digitalisierung einzelne Schritte durch komplexe digitale Prozesse ersetzt, wie z. B. Online-Bestellungen oder kontaktloses Bezahlen. Beim Online-Kauf von Büchern sind Waren- und Geldströme nun nicht mehr sichtbar, einzelne Teile davon finden an mehreren und weit voneinander entfernten Orten statt (im Cyber Space) und sind für den Anwender im Detail nicht nachvollziehbar. Diese Problematik der geringeren Sichtbarkeit und Nachvollziehbarkeit bei höherer Kleinteiligkeit gilt umso mehr für Unternehmen, deren Datenströme und Schnittstellen, durch umfassende Integration von Kunden und Dienstleistern in die internen Abläufe, neue Komplexitäten und Abhängigkeiten schaffen, die für den Beteiligten nicht vollständig sichtbar und nachvollziehbar sind.
Bei diesen Abläufen entstehen neue Arten von Datenströmen und bisher unbekannte Mengen an Daten. Aber wenn selbst vermeintlich einfache Vorgänge, wie der Datenfluss beim Online-Bücherkauf, von den Anwendern nicht mehr nachvollzogen werden können – wie soll da eine gesellschaftsweite Akzeptanz der Digitalisierung geschaffen werden? Sollen alle diese neuen digitalen Prozesse erfolgreich in die verschiedenen Lebensbereiche integriert werden, so müssen die Nutzer trotz fehlender Nachvollziehbarkeit Vertrauen aufbauen. Doch was bedeutet Vertrauen, in welchem Zusammenhang steht Transparenz dazu – und wie erreicht man Vertrauen in der digitalen Welt?
Dies betrifft die meisten Lebensbereiche, und diese Entwicklung wird sich in den nächsten Jahren wahrscheinlich fortsetzen. Automatisierung am Arbeitsplatz, in der Produktion und in der Dienstleistung führt zu Arbeitserleichterungen und Beschleunigungen von Prozessen und gleichem Output bei weniger Ressourceneinsatz, was besonders in Zeiten des Fachkräftemangels ein entscheidendes Kriterium darstellt. Im Lebensbereich einer Privatperson werden z. B. die Finanzen online erledigt. In anderen Lebensbereichen wird die Mobilität digitalisiert wie z. B. beim autonomen Fahren.
Digitalisierung weckt Erwartungen an Funktionalität und Sicherheit
Digitalisierung ermöglicht und verspricht dem Benutzer neue Möglichkeiten, Verbesserungen und Vereinfachung. Sie wird dadurch von impliziten menschlichen Erwartungen begleitet. Diese betreffen
- die Funktionalität und Verfügbarkeit des Produktes an sich,
- den Schutz vor Nutzung und Beeinflussung durch Unbefugte,
- die Vertraulichkeit und Nutzung der neu entstehenden Daten.
Nimmt man das Beispiel eines autonomen Gabelstaplers in einem Logistiklager, wird natürlich die Funktionalität erwartet, dass dieser sich genauso gut wie ein analoger Gabelstapler im Lager bewegt, Paletten aus Lieferantenfahrzeugen holt und in Regale bringt. Darüber hinaus wird erwartet, dass Unbefugte den Gabelstapler nicht nutzen und beeinflussen können. Und es wird erwartet, dass die Daten, die hier neu entstehen, angemessen genutzt und vertraulich behandelt werden. Der Gabelstapler agiert eigenständig, erzeugt Daten und sendet diese an die Steuerzentrale des Lagers.
Digitalisierung kann nur dann erfolgreich sein, wenn sie ihr Versprechen einlöst und die drei oben genannten impliziten Erwartungen erfüllt, und zwar sowohl für die Anteile im analogen Raum als auch für die Anteile im Cyber Space. Daher müssen bei jedem Digitalisierungsvorhaben und bei jedem digitalen Produkt alle drei Erwartungshaltungen analog und im Cyber Space bedacht und bearbeitet werden.
Sicherheit wird eingebaut – Security by Design
In der analogen Welt werden bei Bedarf geeignete Sicherheitsmaßnahmen verwendet, wie z. B. Mauern, Stacheldrahtzäune, Videoüberwachung und Vorhängeschlösser. In der digitalen Welt hingegen vollziehen sich zahlreiche wesentliche Schritte im Cyber Space – also anderswo, unsichtbar und automatisch. Es ist immer weniger erkennbar, ob Unbefugte dort zugreifen. Daher werden geeignete Sicherheitsmaßnahmen eingebaut, die unbefugte Zugriffe verhindern, z. B. eine Verschlüsselung der Daten und eine kryptographische Authentisierung einzelner Benutzer.
Der Nutzer muss vertrauen – Trust
Gleichzeitig können Unternehmen und Endbenutzer bei Produkten und Prozessschritten mit der Digitalisierung immer weniger sehen und überprüfen, ob ihre Erwartungen erfüllt werden, weil sie wesentliche Teile nicht nachvollziehen können. Sie haben dann nur die eine Möglichkeit: auf die Erfüllung der Erwartungen vertrauen, also der Sicherheit vertrauen.
Vertrauensaufbau
Es gibt verschiedene vertrauensbildende Maßnahmen. Dazu gehören vor allem:
Direktes Nachvollziehen
- Der Nutzer ist unmittelbarer Teil einer Transaktion und sieht und kontrolliert alle Schritte selbst, zum Beispiel beim Tausch von Lebensmitteln gegen Bargeld im Supermarkt.
- Die Nutzer machen die praktische Erfahrung, dass nichts Kritisches passiert.
Sicherheitsmaßnahmen einsetzen wie z.B. Türschlösser
Indirektes oder transitives Nachvollziehen
- Prüfung der Sicherheit durch unabhängige Experten
- Information der Nutzer zur Sicherheit und zu Sicherheitsmaßnahmen durch Kommunikationsmaßnahmen.
- Nutzer verlassen sich auf Testberichte und Erfahrungen von anderen.
- Nutzer verlassen sich auf Freunde von Freunden oder noch weiter entfernten Personen, d. h. Aufbau eines Vertrauensnetzwerks.
Risikoabwälzung auf Dritte
- Versicherungen für den Schadenfall.
In der analogen und in der digitalen Welt hängen Sicherheit und Vertrauen zusammen: Wenn die beteiligten Menschen zu wenig Vertrauen in die Sicherheit haben, steigt der Sicherheitsbedarf und zusätzliche Maßnahmen werden eingesetzt.
Cyber Security bedeutet Sicherheit im Cyber Space
Viele Teile der Produkte und der Prozessschritte in der digitalen Welt sind im Cyber Space, z. B. in kleinen und großen Computern, auf elektronischen Speichermedien, in Netzwerken und dem Internet. Dies sind solche Komponenten, deren Funktionsweise der Nutzer nicht nachvollziehen kann.
Ist die digitale Welt sicher, kann der Nutzer darauf vertrauen, dass die relevanten Erwartungen erfüllt werden. Die Cyber Security kümmert sich um die Sicherheit im Cyber Space und ist daher ein wesentlicher Erfolgsfaktor der digitalen Welt. Es ist eine logische Konsequenz zunehmender Digitalisierung, dass die Bedeutung und Sichtbarkeit von Cyber Security zunimmt.
Konkrete praktische Problemstellungen und Lösungsansätze
KPMG ist Wirtschaftsprüfer und damit ein wesentlicher Teil der vertrauensbildenden Maßnahmen in unserer Marktwirtschaft. KPMG unterliegt strengen Auflagen in Bezug auf Unabhängigkeit und Vertraulichkeit. Vertrauenswürdigkeit und Zuverlässigkeit sind zentrale Elemente unseres Handelns. Verbunden mit unserer fachlichen Expertise mit über 170 Cyber-Security-Experten in Deutschland und 3.000 Cyber-Security-Experten weltweit können wir die Sicherheit von digitalen Lösungen und die Wirksamkeit von digitalen Sicherheitsmaßnahmen bewerten. Damit können wir als „Trusted Advisor“ unseren Kunden die Zuversicht geben, sicher in die digitale Welt aufzubrechen und so unseren Beitrag zum Vertrauensnetzwerk beisteuern.
In den vier folgenden Artikeln wollen wir einige konkrete praktische Problemstellungen und Lösungsansätze zur Schaffung von Vertrauen durch Sicherheit näher betrachten. Dabei geht es um:
- Identitäts- und Zugriffsmanagement,
- einfache Benutzbarkeit,
- Nervensysteme im Cyber Space
- und sichere Fahrzeuge.
Identitäts- und Zugriffsmanagement
Der erste Artikel beschäftigt sich mit Identitäts- und Zugriffsmanagement. Cyber Security beginnt mit dem Zugangsschutz zu Daten und IT-Systemen. Es ist dabei von grundlegender Bedeutung, dass Zugriffsrechte auf den Personenkreis eingeschränkt sind, der diese Rechte für seine legitimen Tätigkeiten benötigt. Gleichzeitig müssen diese Benutzer bei veränderten Bedürfnissen schnell mit den entsprechenden neuen Zugriffsrechten ausgestattet werden, und die alten Zugriffsrechte müssen entzogen werden. Identity & Access-Management-Systeme (IAM) steuern hierfür zentral die Zugangsrechte in der gesamten Unternehmens-IT.
Sichere Fahrzeuge
Der zweite Artikel befasst sich mit den Herausforderungen von sicheren Fahrzeugen. Diese sind heutzutage „rollende IT-Systeme“. Im Fahrzeug gibt es dutzende Geräte mit einer IT-Funktionalität, die miteinander vernetzt sind. Das Fahrzeug ist mit dem Hersteller und mit der Außenwelt vernetzt, z. B. für Notrufe, Servicerufe und Updates der Fahrzeugsoftware. Sichere Fahrzeuge sorgen dafür, dass unbefugte Zugriffe in die Fahrzeug-IT nicht möglich sind und dass die im Fahrzeug entstehenden Daten vertraulich behandelt werden. Da es auch Safety-Anforderungen an die Sicherheit der Fahrzeuge im Cyber Space und des Cyber Space in den Fahrzeugen gibt, wird das nötige Vertrauen hier durch Standards und Zertifizierungen unterstützt.
Cyberabwehr als Nervensystem im Cyber Space
Das frühzeitige Erkennen von Angriffen auf die Systeme ist essenziell für Unternehmen, um Schaden abzuwenden. Dazu dienen Security Operations Center (SOC) oder auch Cyber Defence Center (CDC), welche als „Digitales Nervensystem“ Anomalien aufdecken und Angriffe schon frühzeitig verhindern können.
Einfache Benutzbarkeit von Sicherheitslösungen
Im abschließenden Artikel geht es um die Bedeutung der einfachen Benutzbarkeit (Usability) von Cyber Security u. a. am Beispiel der AusweisApp2 des Personalausweises.
Die Autoren:
Hans-Peter Fischer ist Partner im Bereich Cyber Security der KPMG AG Wirtschaftsprüfungsgesellschaft. Schwerpunkte seiner Tätigkeit sind Cyber Security in der Digitalisierung, Advanced Cyber Defense und die Entwicklung neuer Cyber-Security-Beratungsdienstleistungen für KPMG.
Dr. Frank Damm ist Senior Manager im Bereich Cyber Security bei KPMG mit langjähriger Erfahrung in Cyber Security in den Bereichen Finanzdienstleistungen, Automotive, Telekommunikation und Informationstechnologie. Internet: www.kpmg.de/ Telefon: 069 95870