Mit Sicherheit auf dem Weg in die Plattformökonomie

Bildquelle: Fotolia_146248266_M

Bildquelle: Fotolia_146248266_M

Wenngleich in den Diskussionen rund um das Thema Plattformökonomie der Fokus zumeist auf die Geschäftsmodelle gelegt wird, gibt es mittlerweile vermehrt Jene, die eine Technologiebetrachtung als bedeutender erachten.

Auch bei der Beurteilung von Chancen und Risiken herrscht keine Einigkeit – während von einigen Experten die Plattformökonomie als das probate Mittel im globalen Wettbewerb ausgewiesen wird, sehen andere wie etwa Prof. Lutz Becker, Leiter der Business School und Studiendekan Sustainable Marketing & Leadership an der Hochschule Fresenius, Köln hier gleichwohl Probleme.

So vertritt er unter anderem die Auffassung, dass „Plattformen aufgrund ihrer Marktmacht die Wirtschaftsverfassung unterhöhlen“. Ebenso müsse hinterfragt werden, wie die zunehmende Komplexität noch kontrollierbar sei. Eine Frage, die – im Sinne der Resilienz – definitiv auch im Kontext der notwendigen Sicherheit zu stellen ist. „Denn festzuhalten ist, dass die Plattformökonomie Angebot und Nachfrage datenbasiert zusammenbringt“, so Bernd Fuhlert, Experte für Datenschutz und Online Reputation Management sowie Geschäftsführer der @-yet GmbH

Bezüglich des digitalen Durchdringungsgrads und einer daraus resultierenden Effizienzsteigerung gibt es momentan bei deutschen Unternehmen kaum ein einheitliches Bild. Die eher zögerliche Haltung liegt teilweise darin begründet, dass sich vielfach – basierend auf dem bestehenden Geschäftsmodell – noch kein strategischer Ansatz für ein neues, disruptives entwickeln ließ; sowie damit einhergehend auch, dass sich aus den bisherigen Aktivitäten in Richtung digitale Transformation, gemäß den Ergebnissen einer aktuellen Lünendonk-Studie, momentan nur wenig Wettbewerbsvorteile ergeben.

Gleichwohl werden jedoch bereits weitere programmatische Schritte unternommen: die Etablierung digitaler Plattformen im industriellen Umfeld. Diese Entwicklung ist erklärbar, denn zum einen ist eine gewisse Dringlichkeit nicht zuletzt aus dem Grund geboten, weil sich hier, anders als im Konsumentenbereich, noch keine Vormachtstellung internationaler Unternehmen herausgebildet hat.

Zum anderen sind Grundprinzip und Erfolgsrezept der bekannten Unternehmen wie Amazon oder Airbnb relativ gut reproduzierbar – mehrseitige Plattformen erleichtern im erheblichen Maße Interaktion und Transaktion zwischen unterschiedlichen Parteien.

Doch über den Erfolg wird bei den industriellen Plattformen auch, weitaus mehr als im Konsumentenbereich, die Gewährleistung der Sicherheit entscheiden. Nicht zuletzt unter dem Aspekt, dass „Wirtschaftsspionage seit jeher einer der Schwerpunkte der Ausspähungsaktivitäten fremder Nachrichtendienste ist“ wie Michael George, Leiter Cyber-Allianz-Zentrum, Bayerisches Landesamt für Verfassungsschutz erklärt.

 Mögliche Angriffsziele

Die grundsätzliche Betrachtung von Plattformen erfasst zwei Dimensionen: die wirtschaftliche sowie die technologische. Gemäß letzterer basiert die Plattformökonomie unter anderem im ersten Schritt auf dem Zusammenwachsen von Informationstechnologie (IT) mit der Operational Technologie (OT) auf dem Shop Floor. Denn dies ermöglicht, im Rahmen von Industrie 4.0 die Vernetzung einzelner Unternehmensebenen sowie eine unternehmensübergreifende Vernetzung mit Kunden und Lieferanten.

Im Weiteren ergeben sich dann, aus der vertikalen und horizontalen Integration auf der einen Seite, in Verbindung mit Plattformtechnologien wie Infrastructure as a Service (IaaS) auf der anderen Seite die Voraussetzungen für neue Geschäftsmodelle, da dadurch die Einsetzbarkeit zur Interaktionen sowie Transaktionen mit vielen unterschiedlichen Marktteilnehmern besteht. Hierin liegen jedoch nicht nur Chancen sondern auch Risiken. Denn, so die Erfahrung von Michael George, „Angriffe sind umso erfolgreicher, je zielgerichteter sie ausgeübt werden können“. Aus diesem Grund optimieren Angreifer ihre Methoden beständig.

So beobachtet der Experte momentan, dass die so genannte Watering-Hole-Attacke vermehrt zum Einsatz kommt. Diese basiert – entlehnt aus dem Tierreich in der Wüste – auf der Annahme, dass es bestimmte Portale, Plattformen oder Systeme gibt, die viele Anwender mit hoher Wahrscheinlichkeit oft aufsuchen müssen.

Dem Gedanken aus der Tierwelt folgend, werden Anwender also nicht direkt angegriffen, sondern das von ihnen zwangsläufig genutzte ‚Wasserloch’ infiziert, da dies weitaus effizienter und wirkungsvoller ist. In der Praxis wurden entsprechende Angriffe zum Beispiel auf Unternehmen aus dem Energiesektor durchgeführt – unter anderem indem die Webseiten eines Anbieters unter Ausnutzung einer Sicherheitslücke dergestalt manipuliert wurden, dass Rechner von Besuchern hinterher mit Schadsoftware in Form eines Fernsteuerungs-Trojaners (RAT) infiziert waren.

Zudem werden permanent gravierende Schwachstellen publik gemacht: Beispielsweise aktuell die Sicherheitslücken Spectre und Meltdown – letzterer in erster Linie detektiert bei Prozessoren von Intel – aus denen sich verschiedene Zugriffsmöglichkeiten, wie etwa das Auslesen von Speichern, ergeben. Auch wenn sich nach Ansicht von Prof. Becker ein Angriff über Spectre keinesfalls leicht realisieren lässt, so geht er doch davon aus, dass diese Lücke ausgenutzt wird „weil sich ein erhöhter Aufwand immer lohnt, wenn mit einer einzigen Attacke viel erreicht werden kann“. Zusätzlich gefährdet seien Unternehmen auch, da oftmals noch – gerade im Produktionsumfeld – veraltete Hard- und Software vorzufinden ist, die per se nicht mehr den erforderlichen Sicherheitsstandards entsprechen kann. „Insgesamt gesehen stellt“, so Bernd Fuhlert, „also Digitalisierung ohne IT-Sicherheit im Fokus klar erkennbar ein unkalkulierbares Risiko für Verbraucher und Unternehmen dar.“

Der richtige Schutz

Im Zuge von Industrie 4.0 ist es nicht mehr möglich, ein Unternehmen nach außen komplett abzuschotten, da dies dem Prinzip der notwendigen durchgängigen Kommunikation und Interaktion widerspricht. Von daher nutzt es nach Ansicht von Michael George nur wenig, sich darauf zu fokussieren alle internen Schnittstellen wie USB-Ports und DVD-Laufwerke abzusichern, während zwangsläufig durchlässige Übergänge zum Internet bestehen. Aber da auch die herkömmliche Perimeter-Sicherheit, mittels derer die Übergänge zwischen Unternehmensnetzwerk und Internet geschützt werden sollen, nicht mehr ausreichen, müssen Unternehmen generell umdenken.

Seit 2016 ist Bernd Fuhlert Geschäftsführer der @yet GmbH.

Seit 2016 ist Bernd Fuhlert Geschäftsführer der @yet GmbH.

Folglich sollte, nach Meinung von Fuhlert und George, die Grundlage der Abwehrstrategie die Annahme bildet, dass „es ein Angreifer erfolgreich schafft, bis ins interne Unternehmensnetzwerk vorzudringen“. Dass dieser Gedanke substanziell ist, darin sind sich beide Experten einig. Denn daraus lässt sich ableiten, dass die Durchführung geeigneter Gegenmaßnahmen darauf basieren, den Angreifer möglichst zeitnah zu identifizieren. Wobei dies wiederum nicht so zu verstehen sei, dass Unternehmen dem Aufdecken und Absichern von Schwachstellen keine oder nur wenig Bedeutung mehr beimessen sollten.

Ein weiterer wesentlicher Ansatz – gerade im Kontext der Plattformökonomie – ist nach Meinung von George der Austausch von Angriffsmethoden und Erfahrungswerten zwischen den Unternehmen über eine neutrale Plattform. Dies sei von daher sinnvoll, da somit schnellstmöglich und effizient nach Lösungsmöglichkeiten zur Ab- und Gegenwehr gesucht werden könne.

Plattformen – mehr mögliche Risiken

Lutz Becker, selbst viele Jahre in der IT-Industrie tätig, sieht jedoch im Kontext der Plattformökonomie nicht nur Risiken im Bereich der IT-Sicherheit, sondern vorrangig angesichts ökonomischer Aspekte. Plattformen können seines Erachtens nicht nur eine wirtschaftliche Marktmacht entfalten, wie es heute bei Google, Apple, Facebook oder Amazon sichtbar wird, sondern auch Auswirkungen auf ganze Marktsegmenten, etwa dem Tourismus, haben. Denn sie substituieren wichtige Funktionen des Marktes und hebeln damit unter Umständen dessen Freiheit aus. „Ludwig Erhard hat das Wettbewerbsrecht völlig zurecht als Wirtschaftsverfassung bezeichnet“, so Becker, „wir beobachten aber im Moment, dass dieses Recht, nicht den tatsächlichen Gegebenheiten der Digitalen Welt gerecht wird, also so gesehen, ein zahnloser Tiger ist. Was wir also benötigen ist eine neue Wettbewerbsordnung für die digitale Welt.“

Für ihn steht vor allem dabei die Frage der Resilienz im Mittelpunkt. Plattformen legen die Spielregeln der Märkte fest haben und haben damit immer auch eine Gate-Keeper-Funktion. Das macht sie einerseits effizient, aber andererseits anfällig. Märkte hingegen, in denen sich die Spielregeln und Austauschbeziehungen im Zusammenspiel der vielen unabhängigen Marktteilnehmern entwickeln, sind deutlich resilienter, aber eben nicht so effizient. Folglich liegt für ihn die Wahrheit in der Mitte.

Fazit

Allein aufgrund der steigenden Komplexität sowie im Sinne der Resilienz gilt es Maßnahmen und Methoden zum Schutz gegen Angriffe neu zu überdenken.

Damit einhergehen muss unter anderem das Clustern in Sicherheitsbereiche, was – heruntergebrochen auf die Unternehmen – ein ganzheitliches Risikomanagement erfordert. Für den Entwurf der weiteren Strategie zur Absicherung bedarf es hier, so Fuhlert, dann „erst einmal, das wertvolle unternehmensinterne Know-how zu identifizieren und im nächsten Schritt zu definieren, wie sich dieses mit entsprechenden Lösungen schützen lässt“. Dafür sollten die bekannten Maßnahmen wie Patch-Management oder Segmentierung der Netzwerkbereiche – auch wenn sie natürlich kein Allheilmittel sind – zum Einsatz kommen, denn diese bieten die Grundlage für ein gutes Schutzniveau. Aber entscheidend aus Sicht von Bernd Fuhlert ist ferner, dass „die Politik für die Plattformökonomie einen Ordnungsrahmen setzen muss, damit Sicherheit endlich den richtigen Stellenwert bekommt und nicht blind digitalisiert wird“. Zudem sollte hierüber auch ermöglicht werden, global faire Spielregeln für alle – kleine nationale ebenso wie multinationale – Unternehmen zu gewährleisten, um eine Benachteiligung aufgrund individueller Gesetzgebungen auszuschließen.

Coester_Ulla_2016

Ulla Coester, xethix.com/xethix-Diskurs®, Dozentin Hochschule Fresenius und wissenschaftliche Mitarbeiterin skip. Institut für angewandte digitale Visualisierung e.V an der Hochschule Fresenius

Dieser Artikel erschien in verkürzter Form in der IT&Production, Ausgabe März 2018, Teo Verlag GmbH (Seite 74/75)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>