Immer mehr Hersteller wollen ihre Produkte vernetzen, doch das Internet of Things bringt erhebliche Cyber-Risiken mit sich. Lohnt es sich, die IoT Security-Kompetenz für die Entwicklung und Produktion von IoT-Anwendungen selbst aufzubauen oder ist es effizienter, das Fachwissen in Product Cyber Security von einem Experten einzukaufen? Dieser Blogbeitrag sowie die Entscheidungs-Checklisten beinhalten die Antworten.
Von der Produktionsanlage über Anwendungen in der vernetzten Medizin- und Labortechnik bis hin zur städtischen Infrastruktur – immer mehr Dinge sind vernetzt. Das Internet of Things (IoT) erobert Gebäude, Produktionshallen und Spitäler, ja ganze Städte. Kein Wunder: Für Hersteller ist es relativ einfach, Kunden mithilfe der Vernetzung einen Mehrwert zu bieten, denn entsprechende Sensoren wurden in den letzten Jahren immer kleiner und preiswerter.
IoT liegt im Trend – und wer nicht mitmacht, hat auf dem Markt das Nachsehen. Doch nicht alle Hersteller sind sich bewusst, welche Risiken ihre innovativen, vernetzten Produkte mit sich bringen:
Wer sich dieser Risiken bewusst ist und sie in die Produktentwicklung miteinbezieht, hat den ersten Schritt in Richtung IoT Security getan. Doch dann stellt sich schnell die Frage «Make or Buy?»: Sollen wir die Sicherheitskompetenz selber aufbauen oder sie Experten überlassen?
Die Entscheidung für oder gegen das Outsourcing der IoT Security ist in erster Linie eine Kostenfrage. Wer noch kaum Erfahrung mit IoT Security und Product Cyber Security hat, wird sehr viel investieren müssen, um das nötige Know-how aufzubauen – einerseits, um eigene Sicherheitsarchitekturen und -designs zu entwickeln, andererseits aber auch, um sie vor Cyber-Risiken zu schützen.
Oftmals konzentrieren sich Hersteller bei der Entwicklung von IoT-Anwendungen auf Features, die Kunden einen Mehrwert bieten. Bei der Sicherheit greifen viele aber auf Standardlösungen zurück – manche wegen Kosten- und Zeitdruck, andere aus Unwissenheit. Doch das kann sich rächen: Geräte werden vermehrt in ein IoT-Ökosystem eingebunden – sei es in der Smart City, der vernetzten Fabrik oder im Spital. Und dieses ist hochsensibel. Die Kunden stellen deshalb immer höhere Ansprüche an die Sicherheit. Auch dürfte die Regulierung im Bereich IoT künftig strikter werden. Standardlösungen, ohne spezifisch deren Sicherheitskonzeption und das Einsatzszenario zu kennen, werden diesen wachsenden Anforderungen nicht gerecht. Es braucht einen vollumfänglichen 360°-Schutz bei Hard- und Software.
Bei komplexeren IoT-Lösungen erbringt der Hersteller innovative Leistungen in der Produktentwicklung, um sich von anderen Anbietern abzugrenzen. Hier ist es entscheidend, die IoT Security von Anfang an mitzudenken. «Security by Design» lautet das Motto, vor allem dann, wenn durch die Vernetzung für die Bevölkerung Gefahren für Leib und Leben entstehen oder sensible Daten auf dem Spiel stehen.
Wer eigene IoT-Lösungen entwickelt, muss Sicherheitsfragen nicht zwingend im Alleingang lösen. In den meisten Fällen lohnt es sich, dies den IoT Security-Experten zu überlassen. So können Entwickler, Designer und Ingenieure sich auf ihre Kernaufgaben konzentrieren. Der grosse Vorteil: Die Produkte kommen deutlich schneller auf den Markt. Darüber hinaus verschaffen sich Hersteller, die bei der Produktentwicklung die Sicherheitsfragen von Anfang an berücksichtigen, einen nachhaltigen Wettbewerbsvorteil: Sie können ihre Marktstellung halten und weiter ausbauen. Weder brauchen sie Reputationsschäden zu befürchten, noch müssen sie ihre Produkte im Nachhinein mit teuren und weniger sicheren Add-on-Sicherheitslösungen versehen.
Neben den Kosten spielt bei der Entscheidung «Make or Buy?» also auch der Faktor Zeit eine tragende Rolle. Time-to-Market ist bei innovativen Produkten entscheidend. Für spezifische IoT Security-Fragen fehlt Unternehmen oft versiertes Fachpersonal. In Zeiten des «War of Talents» sind IoT Security-Fachkräfte rar. Bestehende Mitarbeitende zu schulen ist eine Option, doch werden diese dann aus anderen Projekten abgezogen. Und nicht zuletzt ist es auch eine Frage der Qualität: Wer Risiken nachhaltig und umfassend minimieren will, setzt am besten auf die Expertise von ausgewiesenen Fachleuten.
«Make or Buy?»: Was lohnt sich für Ihr Unternehmen, wenn es um das Design und die Implementierung der Security Ihrer IoT-Anwendung geht? Die Entscheidungs-Checklisten «IoT Security – Make or Buy?» helfen Ihnen, die richtige Entscheidung zu treffen.