MENÜ
Vielen Dank für Ihre Nachricht.
Wir melden uns sobald wie möglich bei Ihnen zurück.
Leider konnte Ihre Nachricht nicht verschickt werden.
Bitte kontaktieren Sie uns direkt via E-Mail oder Handy.
Schreiben Sie uns eine Nachricht über das Kontaktformular.
Oft ist ausserhalb der normalen IT wenig Sicherheitsbewusstsein vorhanden. Dementsprechend schützt man auch nur den Teil, an den man gerade denkt: Normalerweise die Lizenzen. Aber bei embedded Geräten (oder IoT) ist die Ausgangslage anders. Die Lebensdauer, die Verwendung und vor allem die Risikoanalyse unterscheidet sich stark. So unterschiedlich die Funktionalität der Geräte zu einem herkömmlichen Computer ist, so unterschiedlich muss auch im Bereich der Sicherheit gedacht werden. Als früher das Produkt einfach verkauft wurde und Software nur ein kleiner Bereich darstellte, waren die Sicherheitsanforderungen sehr niedrig. Die Angriffsmöglichkeiten waren nur für richtige Hacker verfügbar. Und gehackt nutzte es nur ihm etwas. Ist das immer noch so?
Die Zeiten haben sich geändert. Viele Geräte sind verknüpft, die Software ist durch das Internet verfügbar, die Benutzer fordern schnellere Update-Zyklen und die Geräte haben mehr offene Protokolle und kommunizieren untereinander oder mit anderen Diensten und der Cloud. Der 'normale' Hacker ist besser ausgebildet und hat durch das Internet mehr Informationen und Möglichkeiten. Der Kunde verlangt ein sicheres Produkt, eine sichere Lösung ohne genauer zu spezifizieren was genau das ist.
Ist das möglich? Und wenn wir ein sicheres Produkt liefern, ist es das investierte Geld wert? Werden die Funktionalitäten und die 'Time-to-market' erreicht oder sogar verbessert werden?
Das folgende Bild hilft uns die Problematik zu verstehen:
Was ist ein sicheres Produkt? Dieses Bild veranschaulicht wie wir viel Geld in Sicherheit investieren um den üblichen Weg zu sichern. Hier kommen auch die normalen Benutzer. Wir möchten es aber gegen Angreifer sichern. Wird er auch auf den normalen Weg kommen? Ein Ingenieur wird viel Zeit und Energie in diese Kontrolle hineinstecken um sie so sicher zu machen wie er für nötig hält. Das wird der erste Kostenpunkt sein. Aber damit ist mit den Kosten noch nicht Schluss: Da wir nun den Weg (zu) stark schützen wird der normale Vorgang sehr viel komplizierter. Der ehrliche Kunde wird sehr stark betroffen sein. Oft führt das sogar dazu, dass die Nutzung des Produktes unfreundlich wird, z.B. durch regelmässige Passworteingabe oder sogar Funktionen, die Sie mit diesem Ablauf gar nicht mehr anbieten können. Aber da der Angreifer einfach auf einem anderen Weg kommt nützt es nicht einmal etwas. So ist Sicherheit nur ein Hindernis und Kostenpunkt für die ehrlichen Nutzer und für Ihre Techniker. Einen Angreifer hält es aber nicht auf. Das macht Ihr Produkt nur teurer, aber nicht sicherer.
Wenn wir die Sicherheitsüberlegungen nicht zu Ende geführt haben, wird Sicherheit nur eine Hürde für Benutzer, Servicetechniker und Entwickler. Es braucht eine saubere Risikoanalyse und Angriffsanalyse. Das benötigte Sicherheitslevel Ihrer Firma ist einzigartig und stark abhängig von Ihrem Geschäftsmodell. Sie müssen entscheiden, was sie benötigen und wie viel es ihnen wert ist.
Darum braucht es Sicherheitsexperten die mit internen Experten Ihrer Domain zusammenkommen um das richtige Sicherheitslevel zu bestimmen und umzusetzen. Mit einem solchen Ansatz wird Sicherheit nicht nur akzeptiert, sondern ist hilfreich.
Deshalb würden wir gerne mit Ihnen zusammen herausfinden, was Ihr benötigtes Sicherheitslevel ist, das für Ihre Firma passt und welches die nächsten Schritte sind.
