Sicherheit im Internet der Dinge Exkurs zur Studie „Security and the IoT Ecosystem“

September 2016

www.kpmg.de

Vorwort Das Internet of Things (IoT) spielt eine große Rolle – und wahrscheinlich sogar eine noch viel größere als allgemein angenommen. Um alle Möglichkeiten voll ausschöpfen zu können, braucht es aber mehr als Apps, vernetzte Geräte und fortgeschrittene Analysen: Es braucht stabile Ansätze bezüglich Security, Datenschutz und Vertrauen. In der deutschen Technologiebranche ist die Botschaft für Geschäft und Kunden eindeutig: Sei innovativ, sei mutig, sei sicher. Danach zu handeln, empfiehlt auch die globale KPMG-Studie „Security and the IoT Ecosystem“. Technologische Unternehmen und IoT-Dienstleister müssen schnell, gewissenhaft und entschlussfreudig arbeiten. Dies gilt auch für den Umgang mit Bedenken und Sorgen bezüglich Sicherheit (Wie gut sind die Geräte und die Infrastruktur abgesichert?), Datenschutz (Werden alle Daten vertraulich behandelt?) und Vertrauen (Wie wird Kundenvertrauen gewonnen?). Andernfalls könnten sich aus Sorgen konkrete Probleme entwickeln. Diejenigen, die an der Beantwortung dieser Fragen scheitern, werden es zukünftig schwer haben, im IoT-Ecosystem zu bestehen und zu wachsen. Das Ziel unseres White Paper ist es, die Debatte zu katalysieren und das gesammelte Wissen über IoT-Security auszuweiten. Wir erläutern Herausforderungen, Hürden und Risiken, mit denen Firmen sich im IoT-Raum rund um die drei Kernthemen Sicherheit, Datenschutz und Vertrauen konfrontiert sehen. Hierbei stützen wir uns auf eine globale Umfrage unter 100 Unternehmen, die das IoT aktiv anwenden. Wir hoffen damit allen, die im IoT-Ecosystem agieren, praktische und handfeste Ratschläge dazu geben zu können, wie sie die drei Grundfragen des IoT am effizientesten lösen.

Peter Heidkamp Partner Head of Technology +49 221 2073-5224

Marko Vogel Director Cyber Security +49 201 455-8838

2 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Cyber Security ist unverzichtbar Vorstände wissen um die Vorteile, die das IoT bieten kann – aber sind sie sich auch über dessen Risiken bewusst? Die Mehrheit gibt zu, dass sie die Gefahren des IoT bezüglich Cyber Security nicht vollständig verstehen. Einerseits sind Kunden nicht gewillt, zusätzliche Kosten für Security auf sich zu nehmen. Andererseits führen Sicherheitsverletzungen in Bezug auf Verbraucherdaten und -systeme dazu, dass Kunden das Vertrauen gegenüber ihrem Dienstleister verlieren und im Zuge dessen Lösungen ablehnen, die (aus ihrer Sicht) nicht die passenden Maßnahmen zur Sicherheitsgarantie beinhalten. Natürlich möchte jeder der Erste mit einer neuen IoT-Solution oder einem neuen Produkt sein; 89 Prozent der Befragten sind überzeugt, dass die First Mover im IoT einen deutlichen Wettbewerbsvorteil am Markt haben. Technologieunternehmen und IoT-Anbieter liefern sich daher einen erbitterten Kampf darum, ihre Produkte schnellstmöglich auf den Markt zu bringen, um maximalen Nutzen aus dem riesigen Wachstumspotenzial dieses neuen Feldes zu ziehen. Das Prinzip ist klar: Diejenigen, die als Erste an den Markt gehen und dort eine führende Position in der „IoT-Nahrungskette“ halten können, nutzen diese für schnelleres und nachhaltiges Wachstum. Inzwischen müssen Firmen jedoch den Aspekt Security genauso berücksichtigen wie andere Schlüsselaspekte (zum Beispiel Geschwindigkeit oder Benutzerfreundlichkeit), wenn sie IoTLösungen entwickeln und umsetzen. Nicht nur Sicherheitsschwächen in bzw. Angriffe auf die Softwaresysteme von Autos haben verdeutlicht, dass dies die neue Realität ist. Ebenso zeigen die damit verbundenen Rückrufe, dass fehlende Sicherheit teuer werden kann.

IoT: schnelles Wachstum, hohes Potenzial Niemand bezweifelt, dass das IoT den Technologieunternehmen, Firmen und Kunden großartige Möglichkeiten bietet. Die meisten Unternehmen fangen gerade erst an, an der Oberfläche dessen zu kratzen, was sie mit IoT-Lösungen alles erreichen können. Von Produktherstellern und Anwendungsentwicklern erwartet man eine schnelle Einführung von IoT nutzenden Geräten – dies eröffnet weitere Möglichkeiten hinsichtlich Wachstum und Expansion. Die Zahl installierter Devices steigt raketenartig: Gemäß IDC Research wird die Zahl der installierten IoT-Einheiten zukünftig sogar noch weiter um 17,5 Prozent pro Jahr steigen.* Prognosen besagen, dass der Weltmarkt in fünf Jahren bereits unglaubliche 7,1 Billionen US-Dollar wert sein wird. Die Konsumenten werden immer vertrauter mit den Vorteilen, die das IoT mit sich bringt – smarte Anwendungen, automatisierte Fahrzeuge, Wearables und vieles mehr. Daher glauben wir, dass auch die Sorgen hinsichtlich Security, Datenschutz und Vertrauen in gleichem Maße steigen werden. * Worldwide and Regional Internet of Things 2014 – 2020 Forecast, IDC Research, 2014.

3 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

„Sicherheit muss von Anfang an in die IoT-Lösungen eingearbeitet werden. Das gilt sowohl für die Hard- und Software als auch die damit verbundenen Dienstleistungen. Auch die Sicherheitslage sollte überwacht werden, um  auf neue Bedrohungen schnell und angemessen reagieren zu können.“

IoT-Nutzer und Vorstände zeigen sich zunehmend besorgt über die Risiken von Cyberangriffen auf ihre IoT-Lösungen: 93 % aller IoT-Nutzer sind besorgt hinsichtlich des Themas Cyber Security. Besorgt Unbesorgt

37%

Unentschlossen

5%

2%

56% Sehr besorgt

Quelle: Worldwide and Regional Internet of Things 2014–2020 Forecast, IDC Research, 2014

Marko Vogel Director, Cyber Security KPMG, Deutschland

4 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Risiken und Möglichkeiten Wo Potenziale stecken, gibt es auch Risiken. Und diese reichen beim Internet der Dinge von Datenverlust und Serviceunterbrechung bis hin zum Verlust der Kontrolle über das Gerät. Unsere Erfahrung zeigt, dass eine klare Haltung zu Cyber Security, allgemein akzeptierte Standards, umfassende Maßnahmen und Bemühungen um das Kundenvertrauen die Schlüssel zu einem langfristigen Marktvorteil ­ sind. Schlüsselkonzepte rund um IoT-Security, Datenschutz und Vertrauen müssen für Technologieunternehmen und IoT-Dienstleister an oberster Stelle stehen. Die Vorteile von Cyber Security werden sich bald zeigen. Tatsächlich erwarten wir schon bald, dass Unternehmen ihre Cyber Security-Aktivitäten in realen Gewinn umwandeln, indem sie zum Beispiel Identitäten und Verhaltensmuster monetarisieren. Wie die meisten IoT-User-Unternehmen mit der Umsetzung der IoTThemen umgehen, zeigen die Antworten auf die Frage: Innerhalb Ihrer Branche – wie aktiv gestaltet Ihre Firma den Dialog bezüglich des IoT?

„Am sichersten sind die Daten, die nicht gesammelt werden. Allerdings entgeht uns damit ein noch viel größerer Nutzen!“ Peter Heidkamp Head of Technology KPMG, Deutschland

Aktiv

Sehr aktiv

10 %

56%

28 % Eher aktiv

Quelle: KPMG, Cyber Security and IoT Survey, 2015

6% Eher inaktiv

Dass Firmen Profit aus den persönlichen Daten ihrer Kunden ziehen, ist im Allgemeinen kein Geheimnis. Beispielsweise bieten deutsche Versicherer datengetriebene Telematiktarife für ihre Kfz-Versicherungen an. Darüber hinaus gibt es für ihre Kunden Prämien, wenn sie Gesundheits-Apps nutzen. Die Weiterentwicklung von IoT-Angeboten wird noch stärker als bisher die Themen Datenschutz, Privatsphäre und Vertrauen aller Beteiligten aufgreifen und berücksichtigen. Daher prognostizieren wir: Jene Technologieunternehmen und IoT-Lösungsanbieter, die diszipliniert ein angemessenes Maß an Zeit und Ressourcen in die Integration von Sicherheit und Datenschutz für eine vertrauenswürdige IoT- Lösung investieren, werden letztendlich die Nase vorn haben gegenüber denen, die diese Maßnahmen zurückstellen, nur um als Erste am Markt zu sein. 5 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

„Wer sich dem Trend und dem Standard verwehrt, der hat künftig im internationalen Wettbewerb keine Chance mehr.“ Peter Heidkamp Head of Technology KPMG, Deutschland

„Regulierung und Sicherheitsvorgaben sind ein zweischneidiges Schwert. Einerseits machen sie es erforderlich, dass Organisationen in die Umsetzung und Einhaltung der Vorgaben investieren, andererseits verschaffen sie Klarheit bezüglich dessen, was nicht akzeptiert wird. Somit schaffen sie eine gewisse Planungssicherheit.“

Suche nach Standards Charakterisiert durch schnelles Wachstum und permanent neue, innovative Anwendungsfälle, ist das IoT aktuell noch ein virtueller Wilder Westen mit wenigen Regeln, geringer regulatorischer Überwachung und vielen Pionieren, die ihre Idee umsetzen wollen. Industrie, Regulatoren und Nutzer werden enger zusammenarbeiten müssen, um allgemein akzeptierte Standards und Ecosystems zu etablieren. Um einerseits die Kompatibilität von IoT-Solutions zu verbessern und andererseits wenigstens ein Minimum an Sicherheitsstandards vorweisen zu können, sind viele Unternehmen davon überzeugt, dass die Entwicklung von Industriestandards der wichtigste Schritt für den Durchbruch von IoT-Technologien ist. Oft werden Innovationen erst dann von der Mehrheit übernommen, wenn allgemeingültige Standards für diese definiert wurden. Aufgrund dessen haben sich kleine wie große Tech-Firmen mit gleichgesinnten Unternehmen zusammengeschlossen, um gemeinsam den Fokus auf neue Standards zu legen und aus diesen auch möglicherweise Profit zu schlagen. Neue Zusammenschlüsse und Standards werden in nahezu monatlichen Abständen bekannt gegeben, was zu großer Konkurrenz und hoher Unsicherheit für alle Marktteilnehmer führt. Es ist wichtig, diese Initiativen zu konsolidieren und einen umfassenden Ansatz zu wählen. Zunehmende Regulierung und entsprechende Vorgaben würden die Einführung von Standards auf eine breitere Basis stellen. In einigen Bereichen wird die fehlende Regulierung die Einführung innovativer IoT-Lösungen auch verlangsamen. So bietet Tesla beispielsweise einen Autopilot-Modus, der jedoch nicht eingesetzt werden darf, da eine entsprechende Zulassung durch die zuständigen Behörden fehlt. Fast

1/3 aller Firmen, die bereits IoT-Solutions nutzen, sagen, dass fehlende Regeln und Standards eine Hürde in der Einführung des IoT dargestellt haben.

Marko Vogel Director, Cyber Security KPMG, Deutschland 6 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Was heißen Sicherheit, Datenschutz und Vertrauen? Was bedeuten Sicherheit, Datenschutz und Vertrauen innerhalb des ­digitalen Ecosystem? Viele Firmen und Entwickler suchen nach einem Schlüssel zum Erfolg. Doch für erfolgreiche IoT-Lösungen, -Produkte und -Innovationen ist es erforderlich, über drei Schlüsselkonzepte nachzudenken, die es dem Benutzer erlauben, eine positive Erfahrung zu machen: Sicherheit, Datenschutz und Vertrauen! IT-Sicherheit, häufig definiert als die Fähigkeit eines Unternehmens, seine Umgebung sowie Hard- und Software zu schützen und zu überwachen, kann aktiv in die eigenen Unternehmensprozesse eingebettet werden. Nicht minder relevant ist der Datenschutz. Dieser baut vor allem auf die Vertraulichkeit und Kontrolle personenbezogener Daten und stellt sich daher häufig als viel schwerer in eine Lösung oder ein Produkt „einbettbar“ dar. Denn bei Datenschutz geht es nicht nur darum, die Daten des Kunden zu schützen, es geht auch darum, welche Rechte und Berechtigungen der Kunde in Bezug auf seine Daten hat und wie diese Informationen geteilt und von Dritten genutzt werden können. Der letzte und aktuell am wenigsten diskutierte Aspekt ist der Einfluss von Vertrauen auf IoT-Teilnehmer. Viel mehr als nur Markenvertrauen und Reputation müssen IoT-Entwickler und Tech-Firmen ein „Ecosystem“ von Vertrauen und Integrität mit ihren Nutzern, Partnern, Lieferanten und Kunden aufbauen, um gemeinsam neue, vielfältige und positive Möglichkeiten für Kunden zu schaffen. Häufig kann Vertrauen auch gewonnen werden, indem das bestehende Vertrauensverhältnis einer dritten Partei genutzt wird, um den Verbraucher oder Nutzer zu schützen.

EN H

Sicherheit

Die erfolgreichsten IoTSolution-Anbieter ­ und Tech-Unternehmen werden sich zukünftig auf verbesserte Sicherheitsaspekte, auf den Schutz der Privatsphäre sowie den Aufbau von Vertrauen konzentrieren. Alle drei Elemente sind ausschlaggebend, um einen Anteil am IoT-Markt etablieren zu können. Während das Thema Cyber Security das wichtigste Thema sowohl für IoT-User als auch für Entwickler zu sein scheint, zeigt unsere Erfahrung leider, dass die Mehrheit eher eine enge Sicht auf dieses Thema hat. Wir sind davon überzeugt, dass ein robuster Cyber Security-Ansatz nicht nur die Endgeräte und zugehörigen Infrastrukturen schützt, sondern auch auf das richtige Maß an Datenschutz Wert legt und Vertrauen bei Kunden sowie bei Regulatoren aufbaut.

S ES OZ PR

ME NS C

Das IoT-Schlüsselkonzept für Mensch, Technologie und Prozess

Wir glauben …

IoT Daten­ schutz

TEC

Vertrauen HNOLOGIE

Quelle: KPMG, Cyber Security and IoT Survey, 2015 7 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Wie Security, Datenschutz und Vertrauen fokussieren? „Persönliche Daten werden mehr und mehr zu einem neuen Handelsgut für Verbraucher, und unter den richtigen Umständen und für die passende Bezahlung sind IoT-Nutzer bereit, ihre Daten zu teilen. Aber das bedeutet, dass sich IoT-Lösungsanbieter, ihre Kunden und jeder andere in der IoT- Wertschöpfungskette ganz klar darüber bewusst sein müssen, welche Daten mit wem geteilt werden können.“

Fokus auf Datenschutz Heutige Verbraucher erkennen mehr und mehr den Wert, den ihre persönlichen Informationen für Firmen und Dienstleister darstellen. Sie akzeptieren immer häufiger das Prinzip, persönliche Daten im Austausch für besseren Service oder günstigere Preise zur Verfügung zu stellen. Durch die Unterzeichnung eines „Information-für-Mehrwert“-Vertrags kommt eine klare Vereinbarung darüber zustande, welche Informationen konkret geteilt werden dürfen, mit wem und zu welchem Zweck. Beispielsweise erwartet ein Verbraucher mit einem Wearable und einem Connected Heart Monitor, dass die gewonnenen Informationen an seinen Arzt gesendet werden, aber er würde vermutlich nicht wollen, dass sie an Markthändler geraten oder Grundlage für die Berechnung von Krankenversicherungsbeiträgen werden.

Wir glauben … Unternehmen müssen anfangen, mit ihren Nutzern zu verhandeln, um die Erlaubnis für bestimmte persönliche Informationen im Austausch für klare Vorteile zu erhalten. Tech-Firmen und IoT-Entwickler haben die einzigartige Möglichkeit, Services anzubieten, die Mehrwert generieren und sowohl Zugriffsrechte managen als auch sicher Daten integrieren und aggregieren können.

Marko Vogel Director, Cyber Security KPMG, Deutschland

8 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Fokus auf Sicherheit In unserer Umfrage gaben nur ca. 40 Prozent der IoT nutzenden Unternehmen an, dass sie bereits Maßnahmen wie stärkere Firewall-Kontrollen, verbesserte Benutzer- und Berechtigungsmanagement-Prozesse und Intrusion-DetectionSysteme haben. Cyberangriffe sind längst an der Tagesordnung. Die Europäische Agentur für Netz- und Informationssicherheit (ENISA) berichtete in ihrer im Dezember 2015 veröffentlichten Analyse (Analysis of ICS-SCADA Cyber Security Maturity Levels in Critical Sectors) über insgesamt 295 Vorfälle, die sich auf industrielle Steuerungs- und Kontrollsysteme ausgewirkt haben (diese Systeme steuern, regeln und kommunizieren zumeist mit industriellen IoT-Geräten). Bei 37 Prozent dieser 295 Vorfälle handelt es sich um sogenannte Spear-PhishingAngriffe – gezielte E-Mail-Angriffe auf spezielle Nutzergruppen oder Unternehmen. Unsichere Netzwerkarchitekturen und fehlende Basissicherheitsmaßnahmen sind immer noch der Hauptgrund für erfolgreiche Angriffe.

Wir glauben … Damit Security im IoT effektiv sein kann, muss sie direkt in die Technologie eingebaut werden, und zwar so nah am Asset wie möglich: eingebettete Sicherheitskontrollen für Geräte, in den Quellcode eingebettete Sicherheit für Software. Sicherheit sollte auch im Fehlerfall funktionieren. Das bedeutet, dass die Technologie, auch wenn sie „offline“ ist, immer sicher ist. Was wir nicht empfehlen, sind „offene“ Geräte oder Plattformen, bei denen Sicherheit zentral kontrolliert wird. Hier sind die Risiken einfach zu hoch.

Fokus auf Vertrauen Genau wie persönliche Informationen für den Verbraucher in Mehrwert verwandelt werden können, kann Vertrauen für Tech-Firmen und IoT-Lösungsanbieter in Mehrwert verwandelt werden. Es gibt eine Vielzahl von Veröffentlichungen, die den unverkennbaren Zusammenhang zwischen Markenvertrauen, Nutzererfahrung und Verkaufszahlen beschreiben. Produkte und Services von Marken, die ein hohes Maß an Kundenvertrauen genießen, weisen nicht nur stärkere Beziehungen zu ihren Kunden auf, ihre Anbieter haben auch einen breiteren Handlungsspielraum für Cross-Selling-Services und -Produkte.

Wir glauben … Das IoT wird zu stärkerer Integration zwischen Produkten und Services führen – die Integration von Kartendiensten in Autos, die die aktuelle Verkehrssituation kennen, oder Bezahl-Apps für Smartphones, die Liste ist lang. Unternehmen konzentrieren sich vor allem darauf, ihren Endverbrauchern eine vollständige und nahtlose Nutzerer fahrung zu bieten.

„Es entsteht Vertrauen, wenn Hersteller ihre Systeme und die Kundendaten nachhaltig schützen. Es braucht aber auch Ansätze hinsichtlich des Rufs der Marke, der Kommunikationsweise mit Kunden und wie Unternehmen mit unbeabsichtigten Sicherheits- und Datenschutzverletzungen umgehen. Sie können nicht einfach erwarten, dass, sobald Hersteller etwas schützen, das Vertrauen automatisch auch da ist. Sie müssen hart für dieses Vertrauen arbeiten.“ Marko Vogel Director, Cyber Security KPMG, Deutschland

9 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Sicherheit, Datenschutz, Vertrauen: durch das Ecosystem steuern Kein Unternehmen kann alleine im IoT-Raum bestehen. Um Erfolg zu haben, sind Partnerschaften und Wertschöpfungsketten notwendig, in denen das Ecosystem gedeihen kann. IoT-User binden mehr und mehr Teilnehmer, Service- und Fremdanbieter in ihre Wertschöpfungskette ein, sodass Tech-Firmen und IoT-Lösungsanbieter sich dem Druck stellen müssen, ihre Security-Fähigkeiten zu demonstrieren. Von Geräteherstellern und Infrastrukturdienstleistern über Telekommunikationsfirmen bis hin zu Cloud-Anbietern wird es ein großes Angebot an Mitwirkenden brauchen, die gemeinsam das richtige IoT-Ecosystem erarbeiten. Schon jetzt sagen mehr als drei Viertel aller IoT-User, dass sie auf bis zu vier Fremdanbieter zurückgreifen, um ihre IoT-Solutions zu managen. 15 Prozent sagen, dass sie sogar fünf Fremdanbieter oder mehr nutzen. Ein immer häufigerer Ansatz ist es, den Dienstleister von einem unabhängigen Dritten, zum Beispiel gemäß dem Sicherheitsstandard ISO 27001, zertifizieren zu lassen. Das IoT-Ecosystem wächst und Nutzer verstehen mehr und mehr, dass sie sich auf Dritte und Fremdanbieter verlassen müssen, um eine starke Position am Markt einnehmen zu können: 44 % der Befragten gaben zu, noch nicht darüber nachgedacht zu haben, wie eingesetzte Drittanbieter Sicherheitsrisiken wahrnehmen und mit ihnen umgehen.

Wir glauben … Das Ecosystem wird sich verändern, weg von einem linearen Modell, in dem der Kunde am Ende steht, hin zu einem Modell mit dem Kunden in der Mitte und den Teilnehmern des Ecosystem um ihn herum. In dieser Umgebung erwarten wir eine Verschiebung der traditionellen Rollen, da die Player nun verschiedene Rollen innerhalb des Systems einnehmen. Bisher war das TechnologyEcosystem linear: Unternehmen Technology

Kunde

Zahlung und Verteiler

Trust Provider

Im heutigen IoT-Ecosystem „um­kreisen“ die Akteure den Kunden: Unternehmen Technology

>8 Drittanbieter Solutions

76%

Kunde

Telco Provider

1%

Trust Provider

Gerätehersteller

Eigentümer / eigenes System Quelle: KPMG, Cyber Security and IoT Survey, 2015

9% 1–4 Drittanbieter Solutions

14% 5–8 Drittanbieter Solutions

Quelle: KPMG, Cyber Security and IoT Survey, 2015 10 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Wir glauben … Alle Teilnehmer des Ecosystem müssen Verantwortung tragen, um Sicherheit, Datenschutz und Vertrauen der Solution zu gewährleisten, um den Endverbraucher zu schützen.

Fazit Was Sie mitnehmen sollten: Der IoT-Markt entwickelt sich. Der Sektor wächst schnell und wird sich weiter verändern. Gleichzeitig wachsen die Sorgen bezüglich Sicherheit, Datenschutz und Vertrauen. Sicherheitsstrategien sollten nachhaltig aufgestellt sein, um mögliche Marktveränderungen zu antizipieren und darauf reagieren zu können.

Das IoT-Ecosystem spielt eine entscheidende Rolle bei der Absicherung des IoT. Unternehmen sollten ihre Fremdanbieter gewissenhaft bewerten, qualifizierte Partner identifizieren und in die Integration von Sicherheit, Datenschutz und Vertrauen in das Ecosystem investieren.

Sicherheit muss von Grund auf mit Fokus auf den Kunden „eingebaut“ werden. Verbraucher und Geschäftspartner erwarten, dass Sicherheit in das System integriert wird. Sicherheitsmaßnahmen sollten „always on“ sein und nicht einfach ausgehebelt werden können. In Anbetracht des Ausmaßes und der Geschwindigkeit des IoT-Wachstums können Sicherheitsverletzungen zukünftig große Haftungsfälle für Unternehmen bedeuten.

Suchen Sie nach Möglichkeiten, sich mittels Sicherheit vom Wettbewerb zu unterscheiden. Durch erstklassige Sicherheits-, Datenschutz- und Vertrauenskonzepte kann das eigene Produkt sich von anderen klar absetzen. IoT-Sicherheit ist nicht nur der Schutz sensibler Daten, sondern bedeutet auch, Möglichkeiten umzusetzen, mehr (als andere) mit diesen Daten sicher machen zu können.

Befassen Sie sich mit Industriegremien, um die Standardisierung des IoT zu beschleunigen. Durch Zusammenarbeit werden Unklarheiten schneller beseitigt und die Fähigkeit eines Unternehmens verbessert, Produkte und Services mit einem nachhaltigen Geschäfts-Ecosystem bereitzustellen. Gleichzeitig müssen Regulatoren an der Diskussion in der Industrie teilnehmen, um den Markt und die Kundeninteressen zu schützen. Tech-Unternehmen sollten den Regulatoren hierbei proaktiv helfen.

11 © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.

Kontakt KPMG AG Wirtschaftsprüfungsgesellschaft

Peter Heidkamp Partner Head of Technology T +49 221 2073-5224 M +49 174 3132744 [email protected] Marko Vogel Director Cyber Security T +49 201 455-8838 M +49 160 3675309 [email protected]

www.kpmg.de www.kpmg.de/socialmedia

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Infor mationen so zutreffend sind wie zum Zeitpunkt ihres Ein gangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründ liche Analyse der betreffenden Situation. © 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Printed in Germany. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.