Advertorial aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ vom 21.11.2022
Cyberrisiken betreffen zunehmend auch digitalisierte Produkte und damit unmittelbar das Geschäftsmodell von Unternehmen. Entsprechende erfolgreiche Angriffe führen zu einem immensen Vertrauensverlust seitens der Kunden. Unternehmen sind gefordert und müssen diese Risiken entlang des gesamten Produktlebenszyklus managen, sagt Jan Stölting, Partner, Consulting – Cybersecurity, KPMG Stuttgart.
Cyberangriffe gewinnen an Häufigkeit und Intensität. Woran liegt das?
Das stimmt. Cyberangriffe betreffen nicht mehr nur die „klassische IT“, sondern vermehrt auch „smarte“ Produkte und Produktionsanlagen. Ein Grund dafür: Die Produktion wird zunehmend automatisiert und „smart“. Hierfür muss die OT der Produktion und deren Netzwerke geöffnet werden. Es findet eine Vernetzung mit den IT-Systemen des Unternehmensnetzwerks statt. Gleiches gilt für Produkte unseres täglichen Lebens. Sei es das Medizintechnikprodukt, welches über Sprache gesteuert wird, oder das Auto, bei dem man Funktionen über Apps bei Bedarf freischaltet, Software-Updates over-the-air einspielt oder zunehmend automatisiert fährt und dabei stetig mit seinem Umfeld kommuniziert.
Welche Herausforderungen kommen somit auf Unternehmen zu?
Die Cybersecurity eines Produktes muss von Anfang an und über alle Phasen des Produktlebenszyklus gedacht werden. In Analogie zur IT-System-Entwicklung betrachtet man die Risiken für ein Produkt bereits in der Konzeptions- und Entwicklungsphase, d. h., man designt, entwickelt, implementiert und testet Sicherheitsmaßnahmen auf Basis der identifizierten Risiken. Die Sicherheit eines Produkts endet jedoch nicht mit dessen Entwicklung, sondern muss gleichermaßen in der Produktion als auch im Betrieb des Produktes bis zu dessen Entsorgung unterstützt werden. Die Lebensdauer eines Produktes übersteigt dabei i. d. R. die Lebensdauer eines IT-Systems um ein Vielfaches. Letztlich erfordert Product Cybersecurity daher ein Managementsystem, das die dynamischen Risken steuert und die gesamte Zulieferkette für das smarte Produkt einschließt.
Was bedeutet das für ein Unternehmen?
Kulturwandel! Sicherheit betrifft nunmehr die gesamte Wertschöpfung und i. d. R. alle Unternehmenseinheiten von R & D bis hin zu Sales und After Sales. Ein Beispiel: Der Kundenservice muss sich verstärkt mit Fragen der Cybersecurity von Kunden beschäftigen und im Zweifel die Gegenmaßnahmen zu Angriffen einleiten. Dies bedeutet auch, dass Unternehmen die aktuellen Software- Stände einer jeden Software-Komponente eines Produktes über alle Kunden und zu jedem erfassen muss, um die mögliche Verwundbarkeit gegenüber Angriffen nachzuvollziehen und im Zweifel reagieren zu können. Nicht unerwähnt lassen sollte man, dass auch die IT, deren Systeme ggf. über das Backend mit dem Produkt kommunizieren, nunmehr noch unmittelbarer am Produkt und deren Sicherheit beteiligt ist.
Wie reagieren die Regulatoren?
Mit einer Vielzahl an Initiativen. Ein Beispiel dafür ist ein geplanter Cyber Resilience Act der EU-Kommission, der sich u. a. auf die Sicherheitsanforderungen von Produkten mit „smart components“ konzentriert. Weitere Herausforderungen, die in der öffentlichen Wahrnehmung zunehmend eine Rolle spielen, liegen im ESGKontext. Vertrauen in die Cybersecurity ist dabei ebenso relevant wie die ethische Verarbeitung personenbezogener Daten. Abgesehen von den klassischen rechtlichen Anforderungen legen Kunden immer mehr Wert auf den nachhaltigen Umgang mit ihren Daten. Dies impliziert, dass eine klassische Compliance für die zukünftigen Herausforderungen nicht mehr ausreichend sein wird.
Welche Konsequenzen drohen den Unternehmen, deren Produkte unzureichende Sicherheit haben?
Die möglichen negativen Konsequenzen sind enorm und aus unterschiedlichen Dimensionen zu betrachten: Es existieren zum Teil drakonische Sanktionen, die in einigen Ländern bis zum Verbot der Geschäftstätigkeit führen können. Unabhängig davon können Cyberangriffe auch zu einem sonstigen immensen Schaden führen, wie z. B. einem massiven Vertrauensverlust der Kunden in einer Zeit, in der Vertrauen von Kunden den Unternehmenserfolg bestimmt.
Was raten Sie Unternehmen daher?
Betrachten Sie die Product Cybersecurity von Anfang an und über den gesamten Lebenszyklus. Implementieren Sie hierfür ein Managementsystem, das das Cyber-Risikomanagement der smarten Produkte in den Mittelpunkt stellt. Auch wenn sich Ziel, Scope und Inhalte von anderen Managementsystemen unterscheiden, lassen sich dennoch Synergien nutzen. Starten Sie also mit einer Bestandaufnahme: Ermitteln Sie, was bereits vorhanden ist, wiederverwendet werden kann und was noch fehlt, um ein Product Cybersecurity Managementsystem zu etablieren und damit ihre zukünftigen Geschäftsmodelle gegen Cyberbedrohungen abzusichern. ■
Cybercsecurity KPMG Deutschland
