Digital Transformation Blog

Digital Transformation Blog

Opinions expressed on this blog reflect the writer’s views and not the position of the Capgemini Group

Cyber Security als USP: Die Bedeutung von Datensicherheit bei der Kaufentscheidung

Beim Kauf eines digitalen Produktes bleibt dem Anwender häufig nichts anderes übrig, als darauf zu vertrauen, dass der Hersteller bei der Produktentwicklung und der Auswahl von Drittdienstleistern auf Sicherheit achtet – überprüfen kann er es jedoch nicht. Im Zeitalter von Innovations- und Kostendruck sowie kurzen Produktlebenszyklen scheint das jedoch nicht jeder Hersteller mit der notwendigen Sorgfalt umzusetzen.

Vor einigen Monaten wurde beispielsweise eine Sicherheitslücke in der Infrastruktur des Content Delivery Networks (CDN) Cloudflare entdeckt. Was auf den ersten Blick als ein anbieterspezifisches Problem erscheint, betrifft nahezu alle Internet-User, da eine sehr große Anzahl – darunter auch bekannte Webseiten - über das betroffene CDN ausgeliefert werden. Die nicht erkannte Schwachstelle konnte über Monate ausgenutzt werden. Laut Unternehmensangaben wurden jedoch nur bei einem sehr kleinen Teil aller Website-Aufrufe (ca. 1 von 3,3 Mio.) potentiell sicherheitsrelevante Daten ausgegeben. Aufgrund der Größe und Relevanz von Cloudflare bedeutet dies jedoch, dass bei ca. 100.000 Aufrufen täglich sensitive Benutzerdaten abhandengekommen sein könnten.

Auch der DDoS-Angriff (Distributed Denial of Service) gegen den amerikanischen DNS Provider Dyn im Herbst 2016 hat gezeigt, wie nicht ausreichend abgesicherte IoT-Produkte für einen Angriff missbraucht werden können. Das Mirai Bot-Netz hatte sich in internetfähigen Geräten wie Router, Webcams, Videorecordern etc. eingeschleust. Diese wurden mit Standardeinstellungen für Passwörter oder ohne Absicherung durch eine Firewall betrieben. Der Angriff betraf auch viele Nutzer und Anwender, die das Produkt nicht direkt verwendeten. Durch den Ausfall von Dyn waren zum Beispiel beliebte Internet-Dienste wie Twitter oder Netflix über längere Zeit teilweise oder komplett nicht erreichbar.

Sicherheit als Unterscheidungsmerkmal

Vorfälle wie diese drängen Faktoren wie Marke und Produkteigenschaften bei der Kaufentscheidung zunehmend in den Hintergrund.  Schon morgen könnten diejenigen Unternehmen präferiert werden, bei denen die Konsumenten Vertrauen in die sichere Verarbeitung und Speicherung ihrer Daten haben.

Sicherheitsaspekte sollten deshalb schon ab der ersten Phase der Produktentwicklung berücksichtigt werden. In einer neuen auch als „Security-by-design“ genannten Vorgehensweise werden dafür verschiedene Entwicklungsmaßnahmen miteinander verbunden, wie z.B. die Einführung von coding guidelines, das continuous testing oder auch die ganzheitliche Sensibilisierung für den sicheren Umgang mit Daten. Ziel ist es, die Produkte ab dem ersten Schritt im Enwicklungszyklus frei von Schwachstellen und somit möglichst angriffsresistent zu erstellen. Aus meiner Projekterfahrung stellt sich, insbesondere bei der in diesem Zusammenhang beliebten Verwendung agiler Methoden wie Scrum, die Frage nach der ausreichenden Priorisierung nicht-funktionaler Sicherheitsaspekte gegenüber der schnellen Umsetzung neuer Produktfeatures.

Neben diesen prozessualen Herausforderungen wird es für Unternehmen zukünftig immer wichtiger, dem Käufer den bewussten Umgang mit seinen Daten und seiner Sicherheit transparent zu machen. Eine Zertifizierung des Produktentwicklungsprozesses oder der genutzten Infrastruktur könnten dabei eine wichtige Rolle einnehmen. Wie ist Ihre Meinung zur zukünftigen Rolle von Informationssicherheit und Datenschutz bei Kaufentscheidungen? Und wie berücksichtigt Ihr Unternehmen diese Faktoren aktuell? Ich freue mich auf die Diskussion.

Über den Autor

Sebastian Hanschke
Sebastian Hanschke
Sebastian Hanschke ist Senior Consultant in unserem Cybersecurity-Team. Er berät Unternehmen aller Branchen von der Reifegradbestimmung der Informationssicherheit und anschließender Strategiedefinition über die Einführung von Organisationsstrukturen, Richtlinien und Prozessen bis hin zur Vorbereitung und Durchführung von Sensibilisierungsmaßnahmen und Zertifizierungen für Mitarbeiter.

Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind mit einem * gekennzeichnet.