Alle Beiträge von Nicole Segerer

Potential von IIoT, Open Source und Sicherheit noch lange nicht erschöpft

Die Prognosen sind vielversprechend. So sollen die Industrial-IoT-Umsätze in Deutschland jährlich um rund 19 Prozent wachsen und 2022 einen Umsatz von 16,8 Milliarden Euro erzielen. Weltweit wird erwartet, dass der IIoT-Markt in den nächsten drei Jahren rund 123 Mrd US-Dollar erwirtschaftet. Dabei wollen Unternehmen aus der Fertigung, dem Transportwesen und der Logistik bis 2020 jeweils 40 Mrd. US-Dollar in entsprechende IoT-Plattformen investieren.

Doch so gut wie die Prognosen auch sind, in der Realität kämpfen Unternehmen nach wie vor mit der Umsetzung. Laut einem Bericht von Capgemini gelingt es beispielsweise nur 30 % der Unternehmen Serviceeinnahmen über ihre IoT-Produkte zu generieren. Zudem bleiben viele Fragen zum Thema Cybersicherheit oder digitaler Infrastruktur – Stichwort 5G-Ausbau – weiter offen.

Wie lassen sich neue IoT-Geschäftsmodelle monetarisieren? Wo liegt der viel beworbene Mehrwert von Daten? Und welche Sicherheitsrisiken gewinnen an Priorität? Für Software- und Gerätehersteller stehen damit auch weiterhin wieder wichtige Themen auf der IIoT-Agenda. Hier ein Überblick:

Vernetzte Geräte werden zu Innovations-Plattformen

Die industrielle Fertigung nimmt in der Umsetzung und Implementierung des Internet of Things sowohl in Deutschland als auch weltweit eine Vorreiterrolle ein. Die Einführung digitaler Geschäftsmodelle wird dabei im nächsten Jahr deutlich Fahrt aufnehmen. Die Monetarisierung verschiebt sich vom einmaligen Verkauf eines Produkts zum ‚As-a-Service‘-Modell, bei dem Geräte, Maschinen und Anlagen, Software, Services und Daten als Gesamtpaket angeboten werden.

Geräte und Systeme verwandeln sich zu Innovations-Plattformen, wobei die Gerätehersteller stärker die Entwicklung von modularen Systemen vorantreiben. Dazu gehört auch das elektronische Hinzufügen und Ändern von Gerätefunktionalitäten, wodurch Hersteller Produkte, die beim Kunden bereits im Einsatz sind, auf aktuellem Stand halten und kontinuierlich verbessern können. Damit werden auch neue, flexiblere Geschäftsmodelle und Preisstrategien möglich. Diese wiederum benötigen entsprechende Lösungen zum Lizenz- und Berechtigungsmanagement, um die entsprechenden Prozesse zu automatisieren und umzusetzen. In diesem Zusammenhang investieren Unternehmen auch verstärkt in ‚Self-Service‘-Angebote sowie in automatisierte Prozesse für die Softwareauslieferung und Updates.

Daten als neues Geschäftsfeld

Die Datenbereitstellung, -aufbereitung und -auswertung entwickelt sich dabei zum Schlüssel: Hersteller benötigen aussagekräftige Datenanalytik, um Kundenzufriedenheit, Produktakzeptanz und tatsächliche Nutzung auszuwerten und auf dieser Basis neue Produktstrategien zu definieren und Geschäftsmodelle anzupassen. Anbieter, die Datenströme in wirkliche Einblicke umwandeln, werden hier gewinnen. Auf Basis dieser Einblicke lässt sich zum Beispiel die Kundenzufriedenheit erhöhen, die sich beim Übergang auf wiederkehrende Umsatzmodelle maßgeblich auf Vertragsverlängerungen auswirkt.

Gleichzeitig wird das Angebot an SaaS-Lösungen zur Anzeige und Analyse der Datenfeeds aus IoT-Edge-Geräten steigen. Hier sind neue Modelle zur direkten Monetarisierung der Daten zu erwarten. Die Mehrheit der Anbieter wird allerdings auf verbrauchsbasierte Modelle für die Nutzung der SaaS-Anwendungen setzen und sich so weiter von einem Preismodell pro Nutzer entfernen.

Edge-Geräte im Fokus

Cyberattacken, Schwachstellenmanagement und Datenleaks stehen wohl auch weiterhin auf der Tagesordnung. Ein neuer Fokus wird dabei jedoch auf Edge-Geräte gelegt. Um die Fläche für Angriffe zu minimieren, arbeiten Software- und Gerätehersteller daher intensiv mit ihren Kunden an der Sicherheit von Edge-Geräten, um so beispielsweise auch nicht permanent mit dem Internet verbundene Systeme zuverlässig patchen und überwachen zu können.

Rückverfolgbarkeit bei Open Source

Ein ähnlich hohes Risikopotential bergen Open Source Software(OSS)-Komponenten. Sie werden meist undokumentiert in Softwareprodukten verwendet und bringen dadurch IT-Sicherheit sowie Compliance in Gefahr. Softwareanbieter werden sich zwangsläufig stärker mit der Überprüfung und Dokumentation von OSS- und Dritt-Komponenten in ihren Produkten auseinandersetzen und entsprechende Prozesse und Richtlinien etablieren müssen. Open Source Scanning entwickelt sich damit zum integralen Bestandteil jedes agilen DevOps-Zyklus. Die Stückliste für Softwareprodukte (Bill of Materials, BOM) wird für Anbieter zur Pflichtübung – sowohl um neuen gesetzlichen Vorgaben als auch dem Sicherheitsbedürfnis von Kunden zu entsprechen.

Das gehört zum Sicherheitsportfolio

Software Composition Analysis (kurz SCA) bezeichnet die detaillierte Untersuchung aller Open-Source-und Dritt-Komponenten, die sich in Anwendungen befinden. Die Analyse liefert Sicherheits-, Rechts- und Entwicklerteams verwertbare Daten, um Schwachstellen im Code eines Softwareprodukts zu identifizieren und zu beseitigen. Gleichzeitig lassen sich auch Verstöße gegen Open Source Compliance-Richtlinien aufdecken, denn nur wenn Unternehmen wissen, welche OSS- Komponenten von ihnen genutzt werden, können sie auch Lizenzbestimmungen zuverlässig einhalten und auf Anfrage eine entsprechende Dokumentation vorlegen.

Scannerlösungen ermöglichen Softwareanbietern und Hersteller von IoT-Geräten:

  • eine durchgängige Inventarisierung aller Open-Source-Assets (Software Bill of Materials – BOM)
  • das Managen von Open-Source-Schwachstellen
  • die Sicherstellung von Open-Source-Compliance
  • die Auslieferung ihrer Anwendungen und Geräte unter Angabe der Nutzungsrechte von Dritten (Third Party Disclosures)

Über SCA-Lösungen lassen sich automatisierte Prozesse innerhalb des Schwachstellen- und Compliance-Managements realisieren. Sie decken nicht nur auf, welche Source Libraries von den Entwicklern genutzt werden, sondern auch welche Drittanbieter-Bibliotheken standardmäßig damit verknüpft sind. Dabei lässt sich der genaue Anteil des übernommenen Codes innerhalb des proprietären Quellcodes prozentual bestimmen. Das Sicherheitsteam wird zudem automatisch per Warnmeldung über neu entdeckte Schwachstellen benachrichtigt.   

Das entgeht statischen Analyse-Tools

Viele Unternehmen vertrauen bei der Sicherheit ihrer Anwendungen noch immer zu sehr auf statische Analyse-Tools. Nicht immer reichen diese jedoch aus. Grundsätzlich können Softwareanbieter und Gerätehersteller mit statischen Analyse-Tools ihren eigenen proprietären Source Code analysieren. Entweder wird dazu ein abstrakter Syntaxbaum (AST) oder ein Modell der Anwendung erstellt, das unter anderem Ablaufsteuerung, Datenfluss oder Variablen abbildet. Einmal fertiggestellt, kann der AST nach vordefinierten Regeln abgefragt werden und so Schwachstellen und andere Sicherheitsprobleme aufdecken.

Statische Anwendungssicherheitstests (SAST) sind ohne Frage ein wichtiger Bestandteil des Software Development Life Cycles. Sie haben jedoch Grenzen – vor allem wenn es um die Analyse von Open Source geht. In vielen Fällen können die statischen Tools nicht den schnellen Veränderungen der OSS-Welt nachkommen. So werden in OSS-Paketen beispielsweise Sicherheitsschwachstellen gefunden, die längst von den verantwortlichen Autoren oder der Community beseitigt wurden.

Oft ist der Output der statischen Analyse-Tools auch einfach so umfangreich, dass es für Entwicklerteams extrem schwierig ist, einen klaren Blick auf die Ergebnisse zu erhalten und die Probleme schnell und effektiv zu lösen. Darüber hinaus kommen statische Tests meist erst gegen Ende des Entwicklungsprozesses zum Einsatz, um alle Abhängigkeiten in der vollständigen Anwendung berücksichtigen zu können.

Tests für die Anwendungssicherheit

Blitztest für Open Source Software

Ob statische oder dynamische Analysen, Penetrationstests und Fuzzing – das Managen von Open Source bleibt zentrale Aufgabe der Software Composition Analysis. Wer Software entwickelt oder diese in seine Geräte integriert und sich in Sachen OSS auf der sicheren Seite glaubt, sollte seinem Entwicklerteam oder externen Dienstleister einfach einmal die folgenden Fragen stellen:

  • “Nutzen wir die neueste Version von Apache Struts 2?”

Die Frage nach Apache Struts ist ein guter Test. Das Open-Source-Framework zur Entwicklung und Bereitstellung von Web-Applikationen in Java stand bereits 2017 im Mittelpunkt des spektakulären Equifax-Hacks. Damals konnten Angreifer über eine Sicherheitslücke insgesamt  145,5 Millionen Datensätze des US-amerikanische Finanzdienstleisters Equifax abgreifen. Auch in diesem Jahr wurden neue Schwachstellen bekannt. Gibt es auf die Schnelle keine klaren Informationen darüber, wo und wie Apache Struts 2 genutzt wird, ist davon auszugehen, dass sich das Unternehmen nicht auf dem neuesten Stand befindet.

  • “Was tun wir, wenn ein Kunde Anwendungen oder Geräte, in denen OpenSSL genutzt wird, aus Sicherheitsgründen ablehnt?“

Software-Sicherheitsaudits beinhaltet fast immer eine Überprüfung von Komponenten Dritter. Mit Unterstützung einer SCA-Plattform können Anbieter ihren Kunden einen detaillierten und vollständigen Einblick über die Verwendung von OSS- und Dritt-Komponenten bieten. Um langfristig Sicherheitsbedenken aus dem Weg zu räumen, können Unternehmen zudem auf das kontinuierliche Scannen und Monitoring aller Software-Komponenten verweisen.

  •  „Eine neue Vulnerability macht gerade Schlagzeilen. Sind wir davon betroffen?”

SCA-Lösungen beinhalten in der Regel Dashboards und Reports die das Risikopotential ihrer Anwendungen und die Gefährdung durch spezifische Schwachstellen über das ganze Unternehmen hinweg analysieren und bewerten. Sinnvoll ist hier auch die Integration der SCA-Plattform in den Build-Zyklus, um schnell und proaktiv Sicherheitslücken zu schließen.

Wer die Vorteile von Open Source Software für sich nutzen will, muss sich auch mit den Risiken hinsichtlich Sicherheit und Compliance auseinandersetzen. Die Grundregel lautet: „Kenne Deinen Code!“ Unternehmen, die Software Composition Analysis aktiv in ihre Sicherheits- und Compliancestrategie einbeziehen, schützen sich nicht nur vor Schwachstellen, sondern tragen auch zu einer sicheren Software Supply Chain im IoT bei.

Wie Softwarelizenzierung vor Produktpiraterie schützt

Um steigendem Wettbewerbs- und Kostendruck entgegenzuwirken, verlagern zahlreiche Hersteller ihre Fertigung ins Ausland. Riskant bei dieser Auslagerung der Produktion wird es, wenn Auftragsfertiger parallel auf dem Graumarkt tätig werden und die unautorisierten Produkte des Auftraggebers dort zu einem günstigeren Preis anbieten. Um dieser Handlungsweise entgegenzutreten, können Hersteller smarte Softwarelizenzierung einsetzen.

Produktpiraterie und Graumarkt

Im Gegensatz zum Schwarzmarkt befindet sich der Graumarkt – wie der Name schon sagt – in einer Grauzone: Die angebotenen Produkte entsprechen zwar dem Original, werden aber ohne Kenntnis des Entwicklers über nicht autorisierte und unkontrollierbare Vertriebswege verkauft.

Für den Auftraggeber hat diese Praktik gleich mehrere Nachteile: Ihm gehen zum einen Umsätze verloren, da das Produktangebot steigt und die Nachfrage demzufolge sinkt. Zum anderen kann der Auftraggeber keine Serviceleistungen für Produkte erbringen, die nicht direkt bei ihm bezogen wurden. Dadurch erleidet das Unternehmen einen Imageverlust. Dieses Bild wird zusätzlich verstärkt, da den Kunden meist nicht bewusst ist, dass sie ein Gerät auf dem Graumarkt erworben haben.

Software und Prävention

Um dem Graumarkt nachhaltig entgegenzuwirken, können Hersteller verschiedene präventive Maßnahmen ergreifen. Die Hardware des Geräts lässt sich nur schwer schützen, da der Auftraggeber für die Produktion alle Fertigungspläne bereitstellen muss. Ist das Gerät erstmal auf dem Graumarkt, gibt es wenige Möglichkeiten einzuschreiten. Anders bei sogenannten „Smart Devices“, deren Nutzung maßgeblich von der integrierten Software abhängt. Software kann im Gegensatz zur Hardware jederzeit problemlos modifiziert und aktualisiert werden. Diese Möglichkeit wird in erster Linie von Herstellern für einen effizienten Kundenservice genutzt, kann aber auch ein geeignetes Mittel zur Bekämpfung des Graumarktes darstellen.

Smarte Softwarelizenzierung

Eine Vorsichtsmaßnahme zur nachhaltigen Eindämmung des Graumarkthandels sind Aktivierungscodes. Vor der ersten Anwendung des Gerätes muss eine Verbindung zu einem Cloud-basierten Lizenzserver aufgebaut werden, damit das Gerät aktiviert wird und betriebsbereit ist. Ein illegales Produkt kann keine Lizenz abrufen und folglich nicht in Gebrauch genommen werden.

Viele Hersteller führen im Rahmen ihres Auftragsfertigungsmanagements zudem Lizenzierungsprozesse und Nutzungsmanagement für die beauftragten Firmen ein. Beispielsweise erhält der Auftragsfertiger eine Lizenz für die Produktion von 20.000 Geräten. Bei der Aktivierung der Geräte wird die Anzahl der bereits genutzten Lizenzen überprüft. Das 20.001. Gerät wird nicht mehr freigeschalten.

Mit Hilfe von Softwarelizenzen können Unternehmen den Graumarkthandel effizient unterbinden. Darüber hinaus wird Softwarelizenzierung auch als Geschäftsmodell eingesetzt. Smart Devices werden durch das Bereitstellen von zusätzlichen Funktionen, Upgrades und Zugriffsberechtigungen individuell auf die Kundenbedürfnisse zugeschnitten. Eine Anpassung der Kundenwünsche und damit auch der Anforderungen an das Gerät kann auch nach dem Kauf noch berücksichtigt werden. So führt der Einsatz smarter Softwarelizenzierung zu einer Win-Win-Situation: Kunden erhalten eine hohe Flexibilität und Anpassung der Produkte an ihre Bedürfnisse, was sich positiv auf die Kundenzufriedenheit auswirkt. Hersteller generieren wiederkehrende Einnahmen durch die flexible Dienstleistung.

Kurz gesagt: Wollen Hersteller ihre Produkte schützen und einen ausgezeichneten Kundenservice bieten, kommen sie an einer effizienten Softwarelizenzierung nicht vorbei.

Quizfrage für Hardwarehersteller: Sind wir schon Softwaremanager?

Je smarter die Produkte und Services, desto höher der Anteil von Software. Allein in der Industrieautomatisierung beschäftigen viele Hersteller mittlerweile drei- bis viermal mehr Software- als Hardware-Entwickler. Nur so können sie Cloud- und SaaS-Angebote  (Software as a Service-Angebote) an den Markt bringen und ihre Produkte durch vielfältige Embedded Software-Funktionen von  preisgünstigeren Mitanbietern abheben. Dazu zählt beispielsweise Remote-Diagnose oder das Freischalten von Zusatz-Features über Upgrades. Doch trotz der Omnipräsenz von Software fehlt es häufig an einer Standardisierung, die durchgehende Lizenzierungsprozesse und Softwareupdates für alle Produktlinien umsetzt und damit auch eine flexible und effektive Monetarisierung erlaubt.

Bevor also Smart Factory und Co. in neue Sphären aufbrechen, sollten Hersteller zunächst die Konsolidierung des Softwaremanagements in ihren Produkten vornehmen. Ein zentrales Berechtigungsmanagement hilft dabei, operative Prozesse des Softwaregeschäfts zu zentralisieren, damit die Produkte über ihren gesamten Lebenszyklus hinweg zu verwalten, Sicherheit zu gewährleisten und Software und Updates bereitzustellen.

Wissen was läuft

In einer Fertigungsumgebung ist es wichtig, zu wissen, welche Software wo läuft. Welche Kunden verwenden welche Software-Version? Was wurde erworben, was wurde aktiviert und was wird genutzt? Und wie lässt sich sicherstellen, dass wirklich nur berechtigte Kunden die Software nutzen? Nur wer diese Fragen schnell und einfach beantworten kann, wird sich langfristig auch als Anbieter von IIoT-Geräten durchsetzen können. Dabei ist „die Software“ schon oft der erste Trugschluss. Die meisten Hersteller bringen unzählige Softwareprodukte zum Einsatz, doch leider werden diese oft uneinheitlich gemanagt. Oft hat die Konzernleitung keinen Überblick, wie sich das digitale Geschäft als Ganzes entwickelt, da nur fragmentarische Informationen aus Einzelbereichen vorliegen. Kunden leiden so unter uneinheitlichen Lizenzierungs-, Aktivierungs- und Updateprozessen bei verschiedenen Produkten vom gleichen Hersteller.

Für den Einstieg sollten sich Hersteller drei spezifische Fragen hinsichtlich ihrer Softwareprodukte stellen:

  • Sind wir in der Lage, neue Softwareprodukte schnell zu integrieren?

 Die Herausforderung für Anbieter von Industrieautomatisierungslösungen besteht darin, Geräte schnell auf den Markt zu bringen und gleichzeitig die Fertigungskosten niedrig zu halten. Mit entsprechenden Lizenzierungstechnologien lassen sich innovative Produkte leichter, schneller und vor allem kostengünstiger entwickeln. Die Software macht den Unterschied. Sie kann beispielsweise über das Freischalten von Funktionen entscheiden und damit Produkte und Geräte differenzieren. Dabei wird prinzipiell die gleiche Hardware genutzt, so dass keine zusätzlichen Produktionslinien nötig sind. Die Flexibilität beim Aufspielen neuer Software kann auch den Eintritt in ein neues Marktsegment vereinfachen. Ist eine IIoT-Monetarisierungsplattform einmal implementiert, lassen sich neue Produkte schnell ins Portfolio einfügen, die die gleichen Lizenzierungs- und Updateprozesse wie bestehende Angebote verwenden.

  • Besitzen wir eine zentrale und transparente Plattform, um Softwarelizenzen, -berechtigungen, -aktivierung und -nutzung zu überprüfen?

 Ein Energiekonzern muss den Stromverbrauch jedes einzelnen Kunden regelmäßig überprüfen und messen, um die tatsächlichen Kosten in Rechnung stellen zu können. Für einen Anbieter von softwarebasierten Geräten und Anlagen gilt das ganz genauso. Sie müssen wissen, welcher Kunde welche Lösungen mit welcher Lizenz und in welcher Version nutzt, um ein klares Bild hinsichtlich der Nutzung und nötiger Updates zu erhalten. Tun sie das nicht, können erhebliche Umsatzeinbußen entstehen. So berichten Softwareanbieter von entgangenen Einnahmen von mehr als 30 Prozent durch automatisch durchgeführte Upgrades bei Kunden, die gar nicht für die entsprechenden Services eingeschrieben waren. Auch bei Verträgen, die nach Nutzung abgerechnet werden, ist eine hohe Transparenz erforderlich. Zum Beispiel können Hersteller durch die genaue Messung der Nutzung sicherstellen, dass beim Produktionsoutsourcing nicht mehr Produkte vom Vertragshersteller produziert werden als vereinbart. Die Transparenz ist schlichtweg auch eine Frage der Sicherheit: Schwachstellen in älteren Softwareversionen müssen regelmäßig gepatcht werden, damit sie nicht als Einfallstor für Hacker dienen und so möglicherweise ganze Anlagen lahmlegen.

Nutzungsdaten und im Produkt integrierte Analysen bieten den entscheidenden Einblick und geben an, auf welchen Plattformen welche Version einer Software läuft und wann diese zuletzt aktualisiert wurde. Die Daten können zudem für die geplante Produktentwicklungsstrategie aufschlussreich sein, neue Möglichkeiten zur Monetarisierung offenlegen und sich auf die zukünftige Preisgestaltung auswirken.

  • Können wir Updates rechtzeitig und zuverlässig zur Verfügung stellen?

Generell sind Software- und Firmware-Aktualisierungen entscheidend für die Sicherheit, aber auch für die Compliance und effiziente Support-Prozesse. Manuelle und isolierte Update-Prozesse liefern nicht die notwendige Automatisierung, um vernetzte IIoT-Geräte regelmäßig und kontinuierlich zu überprüfen. Zudem fehlt ihnen die Möglichkeit einer Skalierung, zum Beispiel bei Kundenwachstum, bei neuen Softwareprodukten oder häufigeren Aktualisierungen.

Updates, Upgrades und Security-Patches sind jedoch nicht nur Sache der Hersteller. Mehr und mehr gewinnen auch Self-Service-Portale an Beliebtheit, die Endnutzern, Wiederverkäufern und Servicepartnern direkten Zugriff auf die von ihnen genutzte Software ermöglichen. Das kann in vielen Fällen sinnvoll sein: Kunden können direkt auf alle Produkte zugreifen, die sie erworben haben, und Servicepartner können Softwareprodukte und Lizenzen direkt für ihre Endkunden managen.

Auf dem Weg zum erfolgreichen, softwarebasierten IIoT-Geschäftsmodell stellen sich sicherlich noch eine Vielzahl von anderen Fragen – angefangen beim passenden Monetarisierungsmodell für jede Software bis hin zu Risiken von Open Source Komponenten. Grundsätzlich lohnt es sich jedoch ein Perspektivenwechsel, der letztendlich Hardwarehersteller auch zu Softwareanbietern und -managern macht.

Prozesslücken im IoT: „Mind the Gap!“

In Sachen Digitalisierung und neuen Technologien müssen Hersteller nicht nur Schritt halten, sondern in vielen Fällen auch die Vorreiterrolle übernehmen. Dass es bei diesem hohen Tempo auch zu Datenschiefständen, uneinheitlichen Angeboten sowie einem Nebeneinander von Lösungen kommt, ist so gut wie vorprogrammiert. Unterschiedliche Plattformen, Softwareversionen, Nutzungsrechte, Sicherheitsvorkehrungen und Monetarisierungsstrategien tun ein Übriges, die Sachlage zu verkomplizieren.

Um auf der Schnellstraße zum smarten Lösungsanbieter nicht von Schlaglöchern ausgebremst zu werden, sollten Hersteller neuralgische Bereiche innerhalb ihrer IoT-Prozesse überprüfen und Lücken schließen:

#1 Uneinheitlich und damit angreifbar

Ein uneinheitliches Produktportfolio macht nicht nur doppelte Arbeit, sondern potenziert auch das Sicherheitsrisiko. Dies ist vor allem dann der Fall, wenn Anbieter den Überblick über die tatsächliche Nutzung ihrer Produkte verlieren und nicht in der Lage sind, die Compliance zu überprüfen, Upgrades zur Verfügung zu stellen oder Vertragsverlängerungen frühzeitig einzuleiten. Fusionen und Übernahmen können die Lage zusätzlich verschärfen, worunter letztendlich immer die Kundenzufriedenheit leidet. Um auch unterschiedliche Softwareprodukte auf durchgängige und sichere Weise zu managen, empfehlen sich automatisierte und zentrale Berechtigungsmanagementsysteme, mit denen Details einer jeden bereitgestellten Software (Version, Plattform) kundenspezifisch überprüft und nachverfolgt werden können.

#2 Was steckt im Code?

50-90 % des kommerziellen Codes in Softwareprodukten ist Open Source Software (OSS). Doch nur in den seltensten Fällen wird der Einsatz des vermeintlich  frei verfügbaren Codes dokumentiert und nachverfolgt. Das birgt Probleme – sowohl bei der Einhaltung der jeweiligen OSS-Lizenzbestimmungen als auch bei der Behebung von veröffentlichten OSS-Schwachstellen. Softwareanbieter wie Hersteller von softwaregesteuerten Geräten sind gut beraten ein internes Management für OSS zu etablieren. Dazu zählt zunächst die Einrichtung eines OSS-Prüfungsausschusses, der die Bereiche Technik, IT, Recht und Management umfasst und Prozesse und Richtlinien für die Verwendung und Dokumentation von OSS definiert. Parallel gilt es, den bereits in Produkten eingesetzten OSS-Code über automatisierte Scans zu identifizieren und über die automatisierte Bereitstellung von Updates und Patches eventuelle Sicherheitslücken zu schließen.

#3 Nutzung analysieren

Für die Sicherheit der Anwendungen ist auch eine Analyse der Nutzung entscheidend. Nur wenn von Anfang an klar ist, welche Kunden in welchem Maße betroffen sind, lassen sich bei der nächsten Malware entsprechend schnell Maßnahmen ergreifen. Unzulängliche Sicherheitsprozesse und manuelle Abfragen von Berechtigungen kosten nicht nur wertvolle Zeit, sondern langfristig auch das Vertrauen des Kunden. Details der Produkte (Version, Plattform, Support-Plan) sowie die Geräteverwendung müssen daher unmittelbar einsehbar sein. Dies gilt insbesondere für Gerätehersteller, die Kapazität und Leistungsfähigkeit elektronisch verändern. Automatisierte Benachrichtigungen über neue Versionen und Patches können dabei helfen, Kommunikationsprozesse zum Kunden zu beschleunigen sowie Support- und Außendienstteams auf dem Laufenden zu halten.

 #4 Mehr Sichtbarkeit

Die höhere Transparenz hinsichtlich der Nutzung punktet auch beim Kunden. Entsprechende Portale zeigen auf einen Blick, welche Anwendungen gekauft wurden, tatsächlich zum Einsatz kommen oder nur unnötige Kosten verursachen. Je mehr Informationen geteilt werden, desto einfacher lässt sich auf beiden Seiten der Produktlebenszyklus einer Anwendung einsehen. Die Informationen reichen dabei vom Abrufen des bislang verbrauchten Datenvolumens über die Verfügbarkeit von Updates und Features bis hin zu Vertragsverlängerungen und End-of-Life-Daten.

#5 Zufriedene Kunden

Automatisierte und damit einfachere und schnellere Prozesse tragen zusätzlich zu mehr Kundenzufriedenheit und einer idealen Customer Journey bei. Dazu zählt unter anderem die zeitnahe Benachrichtigung von Kunden über bevorstehende neue Versionen und Updates, Self-Services, die es Benutzern erlauben, Gerätelizenztransaktionen und Rollen/Berechtigungen selbstständig zu verwalten sowie die Einsicht von Nutzungsdaten. Gleichzeitig lassen sich so auch Cross-Sell- und Up-Sell-Kampagnen sowie Vertragserneuerungen vereinheitlichen.

 #6 Schlauer entscheiden

Mit Big Data haben endlose Diskussionen über die scheinbar profitabelsten Features und das Raten über die tatsächliche Nutzung einer Software ein Ende. Stattdessen können Anbieter basierend auf Daten, den Mehrwert bestimmter Gerätefunktionen belegen und mit Blick auf die genutzten verwendeten Plattformen und Betriebssysteme die Markteinführung eines neuen Produkts sowie das End-of-Life eines älteren Produkts planen.

 #7 Der Preis ist heiß

On-premise, SaaS, Cloud – Softwareprodukte werden auf unterschiedliche Art und Weise bereitgestellt, genutzt und bepreist. Voraussetzung für die flexible Abrechnung sind entsprechende Lizenzierungstechnologien. Pakete adressieren beispielsweise in der Lite-, Basic- oder Professional-Variante unterschiedlichen Kundenbedürfnissen und bieten dank entsprechender Skalierung die Möglichkeit mit dem Wachstum des Kunden Schritt zu halten. Premium-Features lassen sich bei Hardware-Produkten ohne weitere physische Konfigurationen einfach zu oder abschalten. Zudem können hybride Preise konfiguriert werden, z. B. Basis-Abonnements in Verbindung mit Zusatzgebühren für die Nutzung in Spitzenzeiten.

Schützt die Geschirrspüler!

Über das potentielle Sicherheitsrisiko eines Geschirrspülers warnte Anfang des Jahres das IT-Beratungsunternehmen Schneider & Wulf. Das Gerät Miele Professional PG 8528 PST10 enthielt nach Angaben der Experten eine schwere Directory Traversal Vulnerability, die über das lokale Netz ausgenutzt werden konnte. Ein Patch, um die Sicherheitslücke zu schließen, stand lange Zeit nicht zur Verfügung.

Das Problem ist bekannt. Vulnerabilities in der Software von IoT-Geräten dienen Hackern immer wieder als Angriffsbasis, um an sensible Daten zu gelangen, Geräte zu manipulieren und sich Zugriff auf Netzwerke zu verschaffen. Trotzdem sind Hersteller in den meisten Fällen schlichtweg nicht darauf vorbereitet, auf neu veröffentlichte Schwachstellen schnell und effektiv zu reagieren. Insbesondere Hersteller, die klassische Konsumgüter wie Waschmaschine, Fernseher und Kameras mit dem Internet verbinden, sind oft nicht ausreichend gerüstet, um die Sicherheitsaspekte intelligenter, verbundener Geräte zu managen.

Sicherheit bereits auf Entwicklerebene

Je mehr Produkte und Geräte ins IoT wandern, desto dringlicher stellt sich die Sicherheitsfrage. Das beginnt bereits bei der Entwicklung. Neben sorgfältigen Code-Tests und kontinuierlicher Wartung müssen auch gebündeelte Softwarekomponenten und Drittherstellerprodukte mit verifizierten Daten über Schwachstellen abgeglichen werden. Parallel sind ein Maßnahmenplan sowie ausreichend bemessene Ressourcen nötig, die es den Herstellern ermöglichen, schnell und effektiv auf Vulnerabilities in ihren Produkten zu reagieren und Software- und Firmware-Updates sowie Patches zur Verfügung zu stellen.

Glücklicherweise sind mittlerweile neue Technologien verfügbar, mit denen Anwendungshersteller Updates automatisch an ihre Kunden weitergeben und deren Implementierung sogar erzwingen können. Das senkt die Risiken und beugt möglichen Schadensersatzansprüchen vor. Stabile und skalierbare Update-Prozesse und -Technologien sind vom ersten Tag an unabdingbar, um Software- und Firmware-Updates auch remote durchzuführen. Um Hackern den Zugriff auf den Programmcode möglichst schwer zu machen, muss die Software zudem bei der Distribution tatsächlich manipulationssicher sein. Darüber hinaus sollten sichere und ausgereifte Lizenzierungstechnologien eingesetzt werden, um gewährleisten zu können, dass ausschließlich berechtigte Benutzer auf die Anwendungen zugreifen.

Achtung Open Source Software

Die Sicherheitsmaßnahmen müssen dabei auf allen Ebenen der Firmware und Software eines Geräts greifen. Nur wenn kontinuierliche und zuverlässige Prozesse auf Seiten der Hersteller etabliert werden, kann Sicherheit im wachsenden IoT-Universum funktionieren, wo jede Software-Komponente Teil einer langen Lieferkette ist und mit Anwendungen anderer Hersteller gebündelt wird.

Das wird nirgendwo so klar wie bei Open Source Software (OSS), die von nahezu allen Softwareentwicklern intensiv genutzt wird und fester Bestandteil fast jeder IoT-Lösung ist. Trotz der weiten Verbreitung gibt es nach wie vor große Defizite im Management von OSS. Häufig sind Entwickler nicht in der Lage, Sicherheitslücken in ihrem Code nachzuverfolgen und zu beheben. Der Grund: Es fehlt eine kontinuierliche Analyse des Quellcodes, um alle in Softwareprodukten genutzten OSS-und Dritt-Komponenten zu identifizieren und auf dem neuesten Stand zu halten.

Drei Tipps für das IoT

Für eine hohe Anwendungssicherheit sollten IoT-Hersteller diese drei grundlegenden Maßnahmen ergreifen:

  1. Scannen der Codebasis auf Komponenten, die möglicherweise Schwachstellen enthalten. Dies können sowohl OSS- als auch andere Dritt-Komponenten sein.
  2. Nutzen von manipulationssicheren Lizenzierungstechniken, um Anwendungen vor Hackerangriffen zu schützen.
  3. Implementieren von automatisierten und kontinuierlichen Software-/Firmware-Updates, um bei Sicherheitsrisiken schnell und effektiv zur reagieren.

Intelligente Waschmaschine, smarter Heizungsregler und Streaming über den Fernseher – die Geräte von morgen werden mit fortschreitender Technologie immer intelligenter. Mit jeder Innovation steigt dabei auch das Sicherheitsrisiko. Hersteller werden hier mehr und mehr in die Verantwortung genommen und müssen ihre Sicherheitsstrategien überdenken, sollen ihre Geräte nicht zur Zielscheibe für Cyberkriminelle werden.

Sicherheit für IoT-Geräte

Erst Mirai, jetzt IoT-Reaper – Botnets, die ungepatchte Sicherheitslücken oder Standard-Passwörter von Überwachungskameras, Routern und Internet-of-Things-Geräten ausnutzen, offenbaren immer deutlicher die mangelnde Sicherheit im Bereich des IoTs. Diese Geräte sind ein ideales Angriffsziel für Botnet-Programmierer und anderen Malware-Akteure: Sie sind in der Regel rund um die Uhr an High Speed Netzwerkverbindungen angebunden, laufen unter embedded Linux und verfügen über keine Monitoring-Systeme, Filter oder Protokolle, die vor einer Infiltration warnen könnten. Zudem sind die industriellen Systeme häufig nur für einen eingeschränkten Rollout ausgelegt oder stammen von Unternehmen, die sich nur unzureichend mit dem Thema Sicherheit befassen.

Das Open Source-Risiko

Eine besondere Rolle nimmt hier Open Source Software ein. OSS hat die Softwareentwicklung in den letzten zehn Jahren grundlegend verändert. Die weltweite Vernetzung erlaubt einen engen Austausch zwischen Softwareentwicklern und bietet eine Plattform, auf der Millionen Softwarekomponenten von Dritt-Anbietern frei zur Verfügung stehen. Heute liegt der Anteil der OSS-Produkte bei 50 bis 90 Prozent und umfasst Hunderte, wenn nicht Tausende von OSS-Komponenten. Sie ermöglichen es, große und anspruchsvolle IIoT-Projekte zu stemmen. Dabei werden oft die Sicherheitsrisiken von nicht verwalteter Open-Source-Software übersehen.

Ein typisches System mit embedded Linux verwendet beispielsweise Dutzende oder auch Hunderte von Open-Source-Paketen. Diese Komponenten sind zwar von hoher Qualität, enthalten aber – wie jede Software – Fehler. Im Laufe der Zeit werden die Schwachstellen in diesen Komponenten bekannt und schließlich auch ausgenutzt. In der Regel sind die Geräte nicht für automatische Updates konzipiert und beruhen auf Software von kommerziellen Quellen oder Open-Source-Organisationen, für die im Wochen- oder Monatsrhythmus neue Sicherheitslücken entdeckt werden.

Schwachstellen managen und schließen

Genau diese Schwachstellen heißt es in der nächsten Generation von IoT- und IIoT-Geräten zu berücksichtigen. Best Practices empfehlen Software-Stücklisten eines Geräts zu erstellen und aufmerksam und mit Fokus auf Komponenten mit bekannten Sicherheitslücken zu scannen. Zu finden sind diese beispielsweise in der National Vulnerability Database. Die Datenbank enthält eine Liste der Komponenten, die im Betriebssystem und in der eigentlichen Anwendung verwendet werden. Jedoch sollten sich Unternehmen nicht nur auf öffentlichen Quellen verlassen. Nur wer umfassend informiert ist und auf alle relevanten Daten zugreifen kann, ist den Malware-Autoren einen Schritt voraus – vor allem dann, wenn gleichzeitig ein rigoroses Patching-System gepflegt wird.

Ironischerweise nutzen Malware-Autoren bisweilen die Updatesysteme von Herstellern zur Verbreitung von Malware. Dieses Phänomen tritt dann auf, wenn beispielsweise festkodierte Kennwörter von mehreren Geräten oder Gerätefamilien gemeinsam verwendet werden. Viele aktuelle Malware-Systeme nutzen diese im Grunde triviale Schwachstelle, um Systeme zu infizieren und sich weiterzuverbreiten. Werden die Lücken von Herstellern geschlossen, gehen die Angreifer auf andere Sicherheitslücken über – zum Beispiel in OpenSSL, Bash oder in kommerzieller Firmware, die in DVRs oder Kamera-Leiterkarten zu finden sind.

Überblick behalten

Für IIoT-Systementwickler heißt es daher: Keep Track! Der Überblick über den Einsatz von Open-Source- und kommerziellen Produkten sowie deren Abhängigkeiten ist entscheidend. Unterstützung erhalten sie dabei von entsprechenden Tools und Services. Solche Lösungen für Software Composition Analysis (SCA) geben beispielsweise automatisch Warnmeldungen heraus, sobald neue Schwachstellen in den verwendeten Komponenten entdeckt werden. Entwickler sind damit in der Lage, Produkte auf den Markt zu bringen, die bei der Erstauslieferung keine bekannten Schwachstellen enthalten. Ein kontinuierliches Monitoring hilft ihnen dabei, neue Sicherheitslücken zu entdecken ud Kunden über Patches zu informieren. So lassen sich Komponenten auch beim Einsatz vor Ort stets auf dem neuesten Stand halten.

SCA-Software enthält Scanning- und Workflow-Funktionen, mit denen Technologieunternehmen ihre Open-Source-Komponenten ermitteln, verwalten, aktualisieren und implementieren können. Indem die von den Geräten verwendeten Dateien mit einer Datenbank aus Milliarden bekannter Open-Source-Dateien abgeglichen werden, erkennt das System bekannte Schwachstellen und kann zudem die Konformität mit Open-Source-Lizenzen überprüfen.

Wer als Entwickler diese Anforderungen erfüllt, kann Geräte ausliefern, die einerseits der Open-Source-Community gerecht werden und die andererseits die Anwender vor Angriffen schützen. Damit lässt sich ein neues Sicherheitslevel im IIoT erreichen, dass die Entwicklung und Verbreitung von vernetzten, zukunftsweisenden Systemen weiter vorantreibt.

Das Geschäft mit dem Abonnement

IoT-Geräte der ersten Generation boten nur wenige Optionen zur Monetarisierung. In der Regel stammten die Einnahmen aus dem Verkauf der Hardware sowie nachfolgenden Wartungsarbeiten. Solche CapEx-Monetarisierungsmodelle, die Einnahmen aus Einmalverkäufen von Geräten oder Software generieren, sind in industriellen IoT-Anwendungen wie medizinischen Geräten und Fertigungsanlagen noch häufig Standard. Innovative IoT-Anbieter experimentieren jedoch verstärkt mit Modellen, die auf Subskriptionen, „Pay-per-Use“ oder einem „Value-and-Outcome“-Ansatz basieren.

Wiederkehrende Einnahmen statt Einmalverkäufe

Diese Modelle versprechen langfristig die größeren Umsatzchancen. Neben hoher Flexibilität, bieten sie Upselling- und Cross-Selling-Möglichkeiten durch Features, die genau auf die Kundenbedürfnisse zugeschnitten sind. Durch die Umstellung auf subskriptions- und servicebasierte Modelle lassen sich wiederkehrende Einnahmen generieren. Das ist vor allem für Unternehmen interessant, die IoT-Geräte für Netzwerke, industrielle Automatisierung, medizinische Geräte und intelligente Heim- und Gebäudetechnik entwickeln.

Um widerkehrende Einnahmen aus Upgrades, Apps und Services zu generieren, benötigen Unternehmen eine Monetarisierungsplattform, die es ermöglicht, die Installationsbasis zu verfolgen und zu verwalten. Gleichzeitig muss den Kunden ein hoher Service geboten werden, der sich positiv auf die Verlängerungsquote auswirkt. Dabei stellen flankierende IoT-Softwarekomponenten sicher, dass die Subskriptionsbedingungen erfüllt werden (z. B. über die Aktivierung/Deaktivierung von Funktionen) und zeichnen die genaue Nutzung einschließlich entsprechender Datenpunkte auf.

Mehr Features, mehr Gewinn

On-Demand-Features ermöglichen Up- und Cross-Selling über den gesamten Lebenszyklus der IoT-Geräte und Softwareanwendungen hinweg. Bestes Beispiel sind die zahlreichen Features von Home-Gateways wie Amazon Echo und Google Home. Mit Software auf Abonnementbasis lassen sich angeschlossene Geräte im Smart Home steuern – von Rollläden über Alarmanlagen bis hin zu Unterhaltungselektronik. Mobile Versionen der Anwendungen bieten zusätzliche Flexibilität und erhöhen den Kundenservice. Dabei laufen die Berechtigungen und Nutzungsrechte der Anwendungen und Apps über entsprechende Monetarisierungslösungen in der Cloud.

Ein solches Management von Funktionen einer Software verschafft Herstellern eine bisher unerreichte Produktagilität und steigert die betriebliche Effizienz: Sie können die Fertigung von Produkten und Teilen reduzieren und gleichzeitig die Geräte kundenspezifisch mit den Features ausstatten, die auch tatsächlich genutzt und bezahlt werden. Anstatt eine Vielzahl verschiedener Modelle eines Produkts zu hohen Kosten zu fertigen, können sie auf eine digitale Monetarisierung setzen, physische Produktlinien reduzieren und stattdessen über die Software verschiedene Produkte einfach freischalten und anbieten.

Daten, Daten, Daten

Das IoT stellt Unternehmen eine gewaltige Menge an Daten zur Verfügung. Zudem nimmt die Konnektivität stetig zu, während Hochleistungsrechner und Storage-Kapazitäten immer kostengünstiger und leistungsfähiger werden. Damit bieten sich auch neue Wege der Monetarisierung von Software in Form von datengestützten Ertragsmodellen:

  • Nutzungsbasierte Ertragsmodelle wie Pay-per-Use oder Pay-for-Overage
  • Produktnutzungsanalysen, die Herstellern helfen können, das Packaging von Produkten und zukünftige Geschäftsmodelle zu optimieren
  • Instrumentierungsdaten, die komplexere Verträge oder die gemeinsame Nutzung von Geräten unterstützen
  • Leistungsdaten als Treiber für Services, wie beispielsweise vorausschauende Instandhaltung und präventive Wartung

Datendienste werden beim Verkauf von Lösungen eine entscheidende Rolle spielen. In der Automotive-Branche gehören unterschiedlichste Features und Upgrades bereits zur Grundausstattung von Fahrzeugen und werden je nach Kundenwunsch und bezahltem Leistungspaket über Software- und Lizenzierungstechniken individuell freigeschalten. In der Industrie liefern die Daten aus dem Monitoring von Anlagen und Maschinen die Grundlage für vorausschauende Instandhaltung und präventive Wartung. Dabei entscheiden die Gerätehersteller strategisch, ob sie solche zusätzlichen Features und Services zusammen mit dem Produkt anbieten, um sich vom Wettbewerb abzusetzen, oder über subskriptions- bzw. nutzungsbasierte Betriebskosten abrechnen.

Der Trend zu Subskriptionsmodellen für Geräte und datengetriebenen Services ist klar. Strategische IoT-Unternehmen entwickeln mehr und mehr entsprechende Geräte mit cloudbasierten Feature-Management-Anwendungen. In den nächsten Jahren wird sich damit die Monetarisierung der IoT-Produkte grundlegend verändern. Das bringt Vorteile für beide Seiten: Hersteller profitieren von steigenden wiederkehrenden Einnahmen, während Kunden nur das zahlen, was sie auch tatsächlich nutzen.