Michael Wendenburg Online Redaktion

Datensicherheit erfordert offene Informationskultur

Datensicherheit ist ein vielschichtiges Thema, dessen Brisanz mit dem Internet of Things (IoT) bzw. der internetbasierten Vernetzung von Produkten und Systemen dramatisch zugenommen hat. Neulich las ich in der Zeitung, hinter der angeblich immer ein kluger Kopf steckt, dass der Pharmakonzern Johnson & Johnson eine Sicherheitslücke in seinen tragbaren Insulinpumpen gemeldet hat, die es Hackern ermöglicht, die Dosierung zu manipulieren. Interessant an der Nachricht ist nicht nur der offene Umgang des Herstellers mit dem Problem, sondern auch die Tatsache, dass die Pumpe noch gar nicht am Internet hängt, sondern über Radiofrequenz-Technik mit dem Sender kommuniziert.

Datensicherheit

Probleme mit der Datensicherheit sind also nichts Neues. Sie werden aber durch die Vernetzung von allem und jedem verschärft, zum einen weil die Entwickler der vernetzten Geräte dem Thema viel zu wenig Aufmerksamkeit widmen und zum anderen weil sie nicht offenlegen, welche Informationen sie sammeln und wofür. Von einem haarsträubenden Fall berichtete ein Sicherheitsexperte, der für die Firma ERNW Penetrationstest durchführt, vor ein paar Monaten auf dem TechDay der PROSTEP AG: Eine mit dem Internet vernetzbare Personenwaage, die neben Benutzerdaten Daten wie Gewicht, Blutdruck etc. auch noch das Passwort des Modems in die Cloud schickt – und das auch noch unverschlüsselt.

Im Falle einer Personenwaage mag das noch harmlos erscheinen, aber wenn komplexe medizintechnische Geräte in einem Krankenhaus plötzlich ferngesteuert werden können, ist unter Umständen das Leben von Patienten in Gefahr. Verantwortlich für die Sicherheit sind laut deutschem Gesetzgeber aber eigentlich nicht die Gerätehersteller, sondern ihre Betreiber, die meist gar nicht so genau wissen, welche Informationen die Geräte im Einzelnen erfassen und wie sie sie kommunizieren werden und die auch wenig direkten Eingriffsmöglichkeiten haben, wenn sie nicht die Gewährleistung verlieren wollen.

Die Hersteller von smart vernetzten Produkten sollten deshalb meines Erachten für grobe Datensicherheitsmängel haftbar gemacht werden. Und sie sollten verpflichtet sein offenzulegen, welche Informationen sie erfassen, auswerten und an Dritte weitergeben. Das gilt nicht nur für die Hersteller von Hardware, sondern auch für die Software-Hersteller im weitesten Sinne. Über Amazon wird zwar gerne und viel gemeckert, aber die Hersteller von PLM-Systemen sind ihren Kunden gegenüber manchmal auch nicht viel transparenter. Und das obwohl inzwischen alle den Code of PLM Openness unterzeichnet haben, der klar festlegt, dass die mit den Werkzeugen erzeugten Daten den Kunden gehören. Das gilt nicht nur für die CAD- und Metadaten, sondern auch für Kennzahlen aller Art.

Vor ein paar Wochen sprach ich mit dem Geschäftsführer eines mittelständischen Unternehmens, das mit den Software-Werkzeugen eines namhaften deutschen PLM-Anbieters Isolierungen für Gas- und Dampfturbinen entwickelt. Er beklagte sich darüber, dass sein Software-Lieferant bislang nicht offengelegt habe, welche Informationen über die Software-Nutzung erfasst werden, geschweige denn zugesichert habe, dass keine Informationen über Kundenprojekte erfasst und ausgewertet würden. Genau dazu muss er sich aber gegenüber seinen Auftraggebern verpflichten. Die Sache ist deshalb delikat, weil zu den Kunden des Unternehmens große international tätige Turbinen-Hersteller gehören, die in direkter Konkurrenz zur Muttergesellschaft des PLM-Herstellers stehen.

CAD- und PLM-Systeme erfassen mittlerweise eine Vielzahl von Informationen über das Nutzerverhalten: Wer die Software wo nutzt, wie lange er sie nutzt, welche Funktionen mehr und welche weniger genutzt werden etc. Das ist nicht grundsätzlich schlecht, denn diese Informationen können zu Kennzahlen verdichtet werden, die Auskunft über die Effizienz des PLM-Einsatzes geben, und auch darüber, wo die Anwender vielleicht Schulungsbedarf haben. Dem Systemhersteller helfen diese Angaben bei der Weiterentwicklung der Software und der Lizenzgestaltung.

Diese Win-Win-Situation kann aber nur funktionieren, wenn alle Beteiligten einen offenen Umgang mit den Informationen pflegen: Die Software-Hersteller über das was sie erfassten, die Anwenderunternehmen über das was sie damit machen: Und in keinem Fall – das ist schon ein Gebot des Datenschutzes – darf die Erfassung und Auswertung nutzerspezifischen Informationen zum Schaden der Nutzer sein.

Weitere Beiträge auf wendenburg.net Seite 1

12.02.2018
Dassault Systèmes präsentierte auf der SolidWorks World 2018 in Los Angeles neben den Fortschritten bei der Entwicklung der Cloud-CAD-Anwendung xDesign und Cloud-basierten PLM-Diensten für SolidWorks-Anwender seinen Traum von einem weltumspannenden Marktplatz für Fertigungsunternehmen und Zulieferer,... Artikel weiterlesen
07.02.2018
Vor ein paar Monaten kündigte Aras auf der ACE 2017 in München an, das eingesammelte Venture Capital in Höhe von 40 Millionen US-Dollar unter anderem dafür nutzen zu wollen, seine PLM-Plattform um den Bereich Maintenance, Repair & Overhaul (MRO) zu erweitern. Jetzt lässt das Unternehmen den... Artikel weiterlesen
03.02.2018
Boosting Digital Realities in Engineering und Manufacturing lautet das Motto des diesjährigen prostep ivip Symposiums, das am 18. und 19. April im MOC Veranstaltungscenter in München stattfinden wird. Die Denkanstöße des im letzten Jahr ins Leben gerufenen Querdenkerclubs schlagen sich in der Agenda... Artikel weiterlesen
30.01.2018
Es gibt nicht so viele reinrassige PLM-Veranstaltungen auf der Welt, schrieb Oleg Shilovitsky neulich in einem Blogbeitrag auf BeyondPLM. Eine davon findet am 19. und 20. Februar in Hamburg statt: Die PI PLMx – angeblich Europe’s only Product Lifecycle Management Event. Nicht gerade ein Zeichen... Artikel weiterlesen
24.01.2018
Haben Sie am 30. Januar schon etwas vor? Dann sollten Sie, insbesondere wenn Sie Anwender von Oracle Agile PLM sind, vielleicht mal nach San José in Kalifornien reisen. Dort findet in der Tanq Bar des Marriott-Hotels eine Abschiedsparty für Agile PLM statt. Wir erinnern uns: Agile übernahm 2003 den... Artikel weiterlesen
22.01.2018
Jahrelang rangen IT und Fachbereiche bei BMW um die geeignete Nachfolge für das Legacy-System TAIS, das die Drehscheibe zwischen Entwicklung und Produktion bildet. Jetzt scheint die Entscheidung gefallen zu sein: PTC verkündete vor ein paar Tagen offiziell, dass sich die BMW Group für PTC Windchill... Artikel weiterlesen
13.12.2017
Alle Jahre wieder steht plötzlich das Christkind vor der Tür und man fragt sich mit den Määnzer Fassenachtern, die aber erst in ein paar Monaten wieder am Zug sind: Wolle mer‘s eroilasse? Es kommt natürlich wie immer viel zu früh. Aber nachdem unser US-amerikanisches Trump-eltier kurz vor Weihnachten... Artikel weiterlesen
09.12.2017
In einem von Dassault Systèmes gesponserten Whitepaper kommen die Marktforscher von IDC zu dem Schluss, dass Industrie 4.0 in Deutschland die nächste Stufe der erreicht hat. Sie führen das auf den verbesserten Informationsaustausch entlang des Wertschöpfungsprozesses durch Zugriff auf eine PLM-Software-Plattform... Artikel weiterlesen