Sicherheit und Recht

Absolute Sicherheit gibt es nicht

Bild: Matthias Jurt
Auf Facebook teilen Auf Twitter teilen ch.axa.i18.share.google Auf LinkedIn teilen Auf Xing teilen Auf Pinterest teilen Per Email teilen

Wollen Hacker auf einen Schlag möglichst grosse Wirkung erzielen, so sind miteinander vernetzte Geräte in einer Cloud ein attraktives Angriffsziel. Wie sich der Kaffeemaschinenproduzent dagegen wappnet.

Schaumig fliesst die Milch aus der Kaffeemaschine. Die Kundin im Londoner Kaffeehaus möchte noch etwas Caramel obendrauf. Die Kaffeemaschine stellt die Daten der Bestellung auf die Plattform in der Cloud. Dort sieht sie der Hersteller der Kaffeemaschine, Thermoplan im luzernischen Weggis. Zugriff auf diese Daten hat auch der Serviceanbieter in London. Er weiss, dass diese Maschine nach 30'000 bis 50’000 Kaffees eine Wartung benötigt. Die Erinnerung daran schickt ihm das System automatisch. Auch der Betreiber des Coffeeshops hat Zugriff auf die Daten. Er weiss nun genau, wie viel Milch und Kaffeebohnen er wann benötigt. Dank Schnittstellen hätte er auch die Möglichkeit, die Bestellung seiner Kaffeebohnen automatisch auszulösen.

Seit rund eineinhalb Jahren ist die digitale Plattform ThermoplanConnect in Betrieb. Noch sind nicht weltweit alle Maschinen der Kunden angeschlossen. Jedoch ist jede Maschine, die das Werk in Weggis verlässt, vorregistriert und bereit, ihre Daten in die Cloud zu senden. Natürlich nur, wenn der Kunde sein Einverständnis gibt. Mit der Entwicklung der digitalen Plattform ThermoplanConnect ist der Kaffeemaschinenbauer zugleich zu einem Softwareanbieter geworden. Dabei stellten sich einige Herausforderungen. «Wir haben uns mit einem Softwareunternehmen zusammengetan, alleine hätten wir dies nie gekonnt», erzählt Ueli Schweizer, Mitarbeiter im Digitalisierungsteam der Entwicklungsabteilung von Thermoplan. «Die grösste Herausforderung auf der Device-Seite ist die Konnektivität selbst. Wie können Devices rund um den Globus einfach, stabil und sicher ans Internet angebunden werden? Das grösste Risiko besteht darin, dass eine Kaffeemaschine in erster Linie Kaffee produzieren muss. Das heisst, die gesamte Cloud-/Internet-der-Dinge-Anbindung (IoT) darf den Betrieb der Kaffeemaschine unter keinen Umständen stören.» Beispielsweise war dies in China ein Problem, weil der Maschinenstandort anfänglich mit einer Google-Karte angezeigt wurde – was die chinesische Firewall nicht toleriert.

Und was ist der Vorteil der vernetzten Kaffeemaschinen für die Endkunden? «Vorerst noch nichts», meint Schweizer. Würde jedoch die Entwicklung einen Schritt weiter Richtung personalisierten Kaffees getrieben, dann sei die Plattform in der Cloud die Grundlage für die Bestellung des Endkunden per Smartphone. Die Vernetzung der Geräte bildet zudem die Voraussetzung für die Umsetzung kundenspezifischer Digitalisierungsprojekte. Die Plattform erforderte einiges Kopfzerbrechen in der Entwicklung. Zwar schicken alle Kaffeemaschinen ihre Daten dahin. Die Shop-Betreiber und die Serviceanbieter dürfen aber bloss zu dem sie betreffenden Bereich der Plattform Zugriff haben. Mit einer einzigen Plattform alle – Shop-Betreiber und Serviceanbieter – zu bedienen, ist schwierig.

Die Vernetzung birgt eine weitere Herausforderung: Die Wahrscheinlichkeit von Cyberangriffen wird grösser, wenn viele Maschinen angeschlossen sind. Gleichzeitig wird auch die Auswirkung eines Angriffs durch die Vernetzung grösser. So könnte etwa ein Hacker auf den Displays der Kaffeemaschinen rassistische Botschaften verbreiten. Der Imageschaden für Thermoplan wie auch für die Coffeeshop-Betreiber wäre da. Oder der Hacker legt gleich alle Kaffeemaschinen lahm.

Um die grösstmögliche Sicherheit zu erreichen, hat Thermoplan mit Oneconsult zusammengespannt. Ganz legal versuchte Oneconsult, die Kaffeemaschinen und die Plattform ThermoplanConnect zu hacken. In diesem Fall mit geringem Erfolg, wie Tobias Ellenberger, COO von Oneconsult, anmerkt. «Im Bereich IoT nach Schwachstellen und Lücken zu suchen, ist gleichermassen spannend wie herausfordernd», meint er. «Es geht dabei oft um Geräte, die viele von uns kennen und täglich nutzen. Sicherheitslücken bei IoT-Geräten sind oft vorhanden, weil das Gerät nicht von Grund auf fürs Internet und dessen Herausforderungen konzipiert wurde und aktuell Sicherheitsstandards fehlen. Als legaler Hacker stellt sich zuerst die Frage, wie ein Hacker an das Gerät herankommt. Danach versucht man, Funktionen oder Befehle zu verwenden oder zu verändern, dass sie für einen potenziellen Angreifer zielführend sind.» Wichtig ist laut Ellenberger nebst einem guten Update- und Rechte-Management, sicheren Passwörtern und dem Einsatz von bewährter Verschlüsselung, dass Netzwerke getrennt werden. Dies bedeutet für Thermoplan etwa, dass die Produktion der Kaffeemaschinen ohne Verknüpfung mit der Cloud abläuft. Erst vor dem Verpacken wird die Maschine mit der Cloud vernetzt. Wichtig sei auch das Trennen von Produktionsnetzwerken und Büronetzwerken. «Es gerät sonst zu einfach ein verseuchtes Mail über das Büronetzwerk in die Produktion und richtet Schaden an», erklärt Ellenberger. Das Schwierigste an der Cybersecurity sei, dass man nie wisse, woher und weshalb ein Angriff erfolge. Ausserdem seien der Kreativität der Hacker keine Grenzen gesetzt. Oft ist für die Betroffenen ein Angriff auch aus diesem Grund unerwartet. Die einzige Hilfe: sich auf solche Angriffe vorzubereiten.

«Absolute Sicherheit gibt es nicht», kommentiert dies Schweizer trocken. Dennoch sei es wichtig, Lücken immer wieder zu schliessen. Dies bedingt auch regelmässige Updates der Kaffeemaschinen, was dank der Vernetzung möglich ist. Denn bei einer Lebensdauer der Kaffeemaschinen-Hardware von sieben bis zehn Jahren ergeben sich Sicherheitslücken von selbst.

Das schlimmste Szenario für Thermoplan wäre, wenn ein Serviceanbieter die Passwörter nicht geheim hielte. Der Mensch also als grösstes Risiko? «Einerseits ja», meint Ellenberger, aber der Mensch sei gleichzeitig auch die grösste Chance, um Angriffe abzuwehren. Deshalb wird bei Thermoplan das Sicherheitsdenken hochgehalten: Jeder Servicetechniker weltweit muss eine Schulung durchlaufen, bevor er den Zugriff auf das Cloudsystem erhält.

Cyber-Versicherung der AXA

Cyberkriminalität bedroht Unternehmen zunehmend: Vollautomatisierte Angriffe mit Viren oder Trojanern kommen immer häufiger vor. Firewalls und Schutzsoftware hinken der Entwicklung oft hinterher. Versagen alle Schutzsysteme, schützt die Cyber-Versicherung vor den finanziellen Folgen.

Werden Ihre Daten durch Manipulation unbrauchbar gemacht, übernimmt die AXA die Wiederherstellungskosten, entschädigt einen Betriebsunterbruch und die Mehrkosten für die Aufrechterhaltung des Betriebs.

Die AXA deckt auch allfällige Haftpflichtschäden, zum Beispiel, wenn aufgrund eines Angriffs Onlinebestellungen verloren gehen und Ihren Kunden dadurch ein Schaden entsteht. Optional versicherbar ist zudem die Manipulation des Online-Bankings oder des Online-Zahlungssystems.

Haben alle Schutzmassnahmen versagt und entsteht ein versicherter Schaden, übernimmt die AXA die Kosten für

  • die Soforthilfe durch einen ausgewiesenen Cyberexperten der Oneconsult AG;
  • einen Experten zur Ermittlung von Sicherheitslücken;
  • die Beratung zur Abwendung zukünftiger ähnlicher Falle;
  • die Identifizierung betroffener Personen und deren Benachrichtigung bei Datenschutzverletzungen;
  • eine PR-Agentur, die einen drohenden Reputationsschaden bekämpft.

Selbst bei Bestehen eines Verdachts eines Cyberereignisses übernimmt die AXA Kosten der Oneconsult AG für eine erste telefonische Notfall- und Krisenunterstützung.

JETZT MEHR ERFAHREN >

Verwandte Artikel

AXA & Sie

Kontakt Schaden melden Stellenangebote Medien Broker myAXA Garagen-Portal Kundenbewertungen Newsletter abonnieren

AXA weltweit

AXA weltweit

In Kontakt bleiben

DE FR IT EN Nutzungshinweise Datenschutz © {YEAR} AXA Versicherungen AG

Wir verwenden Cookies und Analyse Tools, um die Nutzerfreundlichkeit der Internet-Seite zu verbessern und die Werbung von AXA und Werbepartnern zu personalisieren. Weitere Infos: Datenschutz