Da immer mehr Unternehmen verschiedenster Branchen IoT-Geräte einführen und mit dem Internet verbinden, steigt das Risiko, dass diese Geräte Ziel von Cyberangriffen werden. Informationssicherheit gewinnt zunehmend an Bedeutung, doch das Bewusstsein für dieses Thema unterscheidet sich zwischen Japan und dem Rest der Welt. Sato Shunsuke von der Abteilung für Informationsinnovation bei Dai Nippon Printing Co., Ltd. (DNP) ist Sicherheitsberater mit Schwerpunkt auf der Fertigungsindustrie und arbeitet daran, diese Lücke zu schließen.
Das Vertrauen internationaler Kreditkartenunternehmen gewinnen
Sato, der für Planung und Entwicklung in der Informations- und Kommunikationsabteilung zuständig ist und das Sicherheitsberatungsteam leitet, ist der Ansicht, dass die Einrichtung eines Systems durch die DNP-Gruppe zur kontinuierlichen Reaktion auf die strengen Werksprüfungen internationaler Kreditkartenmarken das Sicherheitssystem der „Kartenfabrik“ auf ein Weltklasseniveau gehoben hat.
DNP begann in den 1980er-Jahren mit der Entwicklung von Chipkarten und ist seitdem Marktführer in Japan in deren Herstellung und Ausgabe. Chipkarten erfordern ein hohes Maß an Sicherheit beim Umgang mit personenbezogenen Daten. Daher muss sich das Unternehmen jährlich Zertifizierungsaudits internationaler Kreditkartenunternehmen unterziehen. Dies erfordert die strikte Einhaltung nicht nur der „physischen“ Aspekte der Produktionsanlagen, wie die Installation von Überwachungskameras und Zugangsbeschränkungen, sondern auch „logischer“ Aspekte, beispielsweise Maßnahmen zum Schutz vor Cyberangriffen.
Als Sicherheitsberater in verschiedenen Branchen tätig
Sato fungierte als Bindeglied zwischen den Fabrikmitarbeitern und der Umsetzung strenger Sicherheitsvorgaben. Er übersetzte die von internationalen Kreditkartenherstellern festgelegten Sicherheitsspezifikationen ins Japanische und dolmetschte bei Audits. Die verschiedenen Kreditkartenproduktionsstätten von DNP verfügen über Hochsicherheitsbereiche mit strengen Sicherheitsmaßnahmen, zu denen nur ausgewählte Mitarbeiter Zutritt haben. Sato hat umfangreiche Erfahrung in der Durchführung von Audits durch Kartenunternehmen in diesen Bereichen. Dank dieser wertvollen Erfahrung erlangte er als erster Japaner die Zertifizierung zum Internal Security Assessor (ISA) des Payment Card Industry (PCI) Security Standards Council (PCI SSC). Aktuell arbeitet er als Sicherheitsberater für verschiedene Branchen, darunter die Automobilindustrie und die Finanzbranche.
„Da IoT-Geräte in einer Vielzahl von Branchen eingeführt und mit dem Internet verbunden werden, entwickeln sich Cyberangriffe auf diese Geräte ständig weiter und nehmen täglich zu. Die Realität sieht jedoch so aus, dass viele japanische Unternehmen bei ihrer Reaktion hinterherhinken“, sagt Sato, der das Bewusstsein für Informationssicherheit in Japan als unzureichend bezeichnet und deshalb den Umfang seiner eigenen Aktivitäten erweitert.
Zwischen der Theorie, dass die menschliche Natur gut und böse ist
Im Jahr 2008 verschärften internationale Kreditkartenunternehmen die Anforderungen an die Sicherheitsmaßnahmen gegen Cyberangriffe in den Produktionsstätten für Karten deutlich. Die Sicherheitsmaßnahmen im Westen basieren auf dem Konzept des „Zero Trust“, das besagt, dass nichts vertrauenswürdig ist – eine Art verhängnisvolle Theorie. DNP verfügte bereits über ein hochrangiges Sicherheitssystem, doch die Anforderungen wurden nochmals erhöht.
Zusätzlich zu den in vielen Unternehmen bereits geltenden Standards, wie regelmäßigen Penetrationstests und Schwachstellenanalysen, enthielten die neuen Richtlinien weitere Auflagen, etwa das mehrmalige willkürliche Überschreiben und Löschen von USB-Speichersticks nach Gebrauch und das Löschen nicht benötigter Software auf Windows-Geräten. Viele der Standards unterstellen zudem eine negative Einstellung gegenüber Mitarbeitern, beispielsweise durch das Deaktivieren oder Löschen von Berechtigungen, die Mitarbeitern vor ihrem Renteneintritt erteilt wurden, und die regelmäßige Überprüfung von WLANs, selbst wenn keine WLAN-Geräte in Gebrauch sind. Als japanisches Unternehmen, das sich dem Prinzip der „Güte des Menschen“ verschrieben hat, stieß dies auf Widerstand im Unternehmen. Mitarbeiter fragten: „Müssen wir wirklich so weit gehen?“
Das Foto dient nur zur Veranschaulichung.
Die Vor-Ort-Reaktionsfähigkeit von DNP
Die Reaktionsfähigkeit von DNP vor Ort ist jedoch hoch. Wenn die Prüfer der Kartenunternehmen die Gründe für die in den Spezifikationen festgelegten Standards erläutern, entwickelt das Personal vor Ort mitunter kostengünstigere Sicherheitsmaßnahmen, die die Ziele dennoch erfüllen und die Prüfer beeindrucken. „Es ist uns außerdem gelungen, das Bewusstsein der Mitarbeiter in den Fabriken deutlich zu schärfen, und die Sicherheitsmaßnahmen von DNP entsprechen mittlerweile internationalen Standards“, so Sato.
Beispielsweise grüßen Mitarbeiter im DNP-Werk Ushiku in der Präfektur Ibaraki Besucher von außerhalb des Unternehmens absichtlich mit „Hallo“, um sicherzustellen, dass viele Mitarbeiter wissen, wo sich Fremde innerhalb des Werks aufhalten. „Es ist eine effektive Sicherheitsmaßnahme, die den Besuchern keinerlei Unbehagen bereitet“, sagt Herr [Name fehlt].
„Durch die schnelle Übernahme modernster Sicherheitskonzepte aus Übersee konnte DNP sein Sicherheitssystem weiter stärken“, sagt Sato, aber erst 2014 kam er zu der Überzeugung, dass dieses Wissen auch im Beratungsbereich Anwendung finden könnte.
Nach dem Vorbild der Finanzbranche werden wir dieses Wissen auch in anderen Branchen verbreiten.
Im April 2014 erstellte Sato einen Analysebericht über einen Informationsleck-Vorfall, der Ende 2013 bei einem großen US-Einzelhändler aufgetreten war. Er ging davon aus, dass bereits ähnliche Berichte erstellt worden waren, doch als er einem Manager eines Kreditkartenunternehmens seine Analyseergebnisse erläuterte, wurde er für seine „zeitnahe und innovative Analyse“ gelobt, was DNP dazu veranlasste, eine Diagnose der Sicherheitslücken des Unternehmens durchzuführen.
Im darauffolgenden Jahr, 2015, begann er, branchenfremde Projekte zu realisieren und wirkte als Beobachter an einem Projekt für einen großen Automobilzulieferer mit. Die Automobilindustrie stand damals vor dem Einzug des Internets der Dinge (IoT), und die Stärkung der Sicherheitssysteme, insbesondere die Verwaltung elektronischer Schlüssel (digitaler Schlüssel) für Bordcomputer, wurde zu einem wichtigen Thema. DNP verfügt über umfassendes Know-how im Schlüsselmanagement, das durch die langjährige Erfahrung in der Kreditkartenherstellung und -ausgabe erworben wurde. „Wir konnten Projekte für große, weltweit tätige Unternehmen entwickeln, nicht nur weil wir unsere Stärken als Projektteam bündelten, sondern auch weil DNP als Unternehmen derselben Fertigungsindustrie die Gegebenheiten in der Produktion genau kannte, einschließlich der Einschränkungen im Fabrikbetrieb und der Arbeitsweise der Mitarbeiter.“
Die Kluft zwischen Japan und dem Rest der Welt in der Informationssicherheit
„Bislang gab es in der japanischen Fertigungsindustrie meines Erachtens kein großes Bewusstsein für Informationssicherheit. Doch mit dem Fortschritt von IoT und CASE*1 sowie dem Einsatz von Robotern in Fabriken blieb auch der Fertigungsindustrie nichts anderes übrig, als ihre Geräte mit dem Internet zu verbinden. Dies führte zu einem erhöhten Bedarf an verstärkten Cybersicherheitsmaßnahmen.“ Anders als die Finanzbranche, für die höchste Sicherheitsstandards zum Kerngeschäft gehören, sei es laut Sato für die Fertigungsindustrie schwierig, sofort ein vergleichbares Sicherheitssystem einzuführen. „Würden wir Branchen außerhalb des Finanzsektors die sofortige Einführung höchster Sicherheitsstandards vorschlagen, würden sie unter einer Art Höhenkrankheit leiden: Sie würden außer Atem geraten und ihre Aktivitäten kämen zum Erliegen. Wir müssen die Einführung von Sicherheitsmaßnahmen schrittweise und ohne Übertreibung vorschlagen und dabei stets optimale Betriebsmethoden und Kosten im Blick behalten.“
Kommunikation fortschrittlicher Sicherheitsmaßnahmen aus der ganzen Welt
Die Vermittlung von Beispielen für innovative Sicherheitsmaßnahmen aus aller Welt gehört ebenfalls zu den wichtigen Aufgaben eines Beraters. Bei seinen Seminaren wird er häufig nach Cyberangriffen weltweit gefragt. Um diese Fragen beantworten zu können, ist es unerlässlich, stets über die aktuellsten Informationen zu verfügen. Sato hat Dutzende von Sicherheitsinformationsseiten aus aller Welt auf seinem Smartphone gespeichert und nutzt seine Freizeit, beispielsweise während seiner Pendelfahrten, um Informationen zu sammeln.
- CASE: Ein Akronym für Connected, Autonomous/Automated, Shared, and Electric, das sich auf technologische Innovationen in der Automobilindustrie bezieht.
Steigende Nachfrage aufgrund der Zunahme und Raffinesse von Cyberangriffen
Da Cyberangriffe immer ausgefeilter werden und ihre Anzahl zunimmt, ist zu erwarten, dass die Nachfrage nach den Sicherheitsberatungsleistungen von Sato und anderen weiter steigen wird. „DNP gehörte zu den ersten Unternehmen, die das Zero-Trust-Konzept umgesetzt haben, und wir sind überzeugt, dass ihr fundiertes Wissen für japanische Unternehmen von großem Wert sein wird.“
Bereiche, in denen in Japan künftig eine Stärkung der Sicherheit notwendig sein wird
Sato ist überzeugt, dass Japan künftig die Sicherheit nicht nur im Finanz- und Automobilsektor, sondern insbesondere auch im Gesundheitswesen verstärken muss. Denn Sicherheitslücken im Gesundheitswesen sind im Ausland zwar weniger offensichtlich, aber dennoch häufig. Sato plant, sich auf die Ausbildung der nächsten Mitarbeitergeneration im Unternehmen zu konzentrieren und gleichzeitig dem wachsenden Bereich der medizinischen Versorgung Rechnung zu tragen.
Da seine Tage mit Arbeit ausgefüllt sind, entspannt er sich am Wochenende gerne, indem er mit seiner Familie „Pokémon GO“ spielt. Er läuft in seinem Haus herum, sucht nach Pokémon und fordert sie zu Kämpfen heraus. Das ist außerdem gute Bewegung und hilft ihm, gesund zu bleiben.
- Veröffentlichungsdatum: 10. Juni 2020
- Bitte beachten Sie, dass die Angaben, wie z. B. Abteilungsnamen und Produktspezifikationen, zum Zeitpunkt des Vorstellungsgesprächs korrekt sind und sich ohne vorherige Ankündigung ändern können.
10. Juni 2020, Redaktion Discover DNP
Weiterführende Lektüre
Informationen zu diesem Artikel
Website-Artikel
-
Pressemitteilung: Japan Card Network und EMV 3-D Secure, ein Identitätsauthentifizierungsdienst zur Erhöhung der Sicherheit von Online-Kreditkartenzahlungen, beginnen mit der flächendeckenden Bereitstellung für Kartenunternehmen.
-
Pressemitteilung: Dai Nippon Printing, Mitsubishi UFJ NICOS, JCB und EPOS Card beginnen mit der gemeinsamen Nutzung von Geräteinformationen durch risikobasierte Authentifizierung zur Verhinderung betrügerischer Kreditkartenzahlungen.
-
Wirtschaftskolumne: Betrachtung der Risiken neuer Arbeitsweisen während und nach COVID-19, Teil 1: „Fernverbindungen im Visier“
