Automatisierte Produktsicherheit mit Vdoo Embedded Device Security ohne den Channel

Autor: Sylvia Lösel

Sicherheitsanforderungen werden komplexer: Embedded Devices in Autos, Saugrobotern, Produktionsstraßen und Co. müssen gesichert werden. Dafür bedarf es neuer Ansätze. Vdoo hat diese im Portfolio und drängt auf den deutschen Markt. Nur: der Channel hat derzeit nichts davon.

Firmen zum Thema

Damit der Channel nicht in die Röhre schaut, sondern Licht am Ende des Tunnels sieht, gilt es rechtzeitig Knowhow aufzubauen.
Damit der Channel nicht in die Röhre schaut, sondern Licht am Ende des Tunnels sieht, gilt es rechtzeitig Knowhow aufzubauen.
(Bild: © Torkhov - stock.adobe.com)

Vom Auto bis zum Staubsaugerroboter – immer mehr Geräte werden digital. Und damit angreifbar. Das mag beim heimischen Rasenmäher nicht ganz so tragisch sein, wenn es um eine Maschinensteuerung geht, die die Produktion einer Fabrik lahmlegt, ist es das aber auf jeden Fall. Je mehr Dinge nicht nur dank Software „intelligent“, sondern auch vernetzt werden, desto höher wird das Risiko für einen Hackerangriff jeder Art.

„Wir helfen Unternehmen, den Produktsicherheitsprozess zu automatisieren.“

Harry Zorn, Vice President EMEA bei Vdoo

Die Erkenntnis, hier für Sicherheit zu sorgen, setzt sich langsam im Markt durch – auch weil durch die Berichterstattung zu „erfolgreichen“ Angriffen das Bewusstsein steigt. DevSecOps – also Security-Implementierung bereits im Entwicklungsprozess von Geräten und Prozessen, Cloud-native Security und Security by Design sind hier alles Begriffe, die gerne fallen. Unternehmen, die hier Lösungen anbieten, entstehen. Darunter zum Beispiel das israelische Unternehmen Vdoo, das gerade dabei ist, auf dem deutschen Markt Fuß zu fassen. Neu ist bei Vdoo nicht nur die technologische Plattform, sondern auch deren präferierter Vertriebsansatz. Hier bleibt nämlich der „klassische“ Channel, zumindest zunächst, außen vor.

Wer ist Vdoo?

Die drei Gründer, zwei davon mit einem Endpoint-Security-Background, sowie einer aus der Embedded-Device-Welt, gründeten 2017 Vdoo. Das Ziel: die Entwicklung einer SaaS-Plattform für Embedded Devices. Heute hat das Unternehmen rund 90 Mitarbeiter und Niederlassungen in Israel, Amerika, Europa und Japan. Harry Zorn ist Vicepresident EMEA, seit knapp einem Jahr an Bord und baut den Vertrieb hierzulande aus. Den Grundsatz der Vdoo-Lösung erklärt er so: „Wir helfen Unternehmen, den Produktsicherheitsprozess zu automatisieren.“ Dabei kann der Anbieter an mehreren Punkten ansetzen. „Wir sind beispielsweise bei der Entwicklung der Connected Devices dabei. Wir analysieren automatisch und regelmäßig und sind Teil des Software-Entwicklungs-Prozesses des aktuellen Builds. Oder wir schauen uns das aktuelle Release der Software an und geben dann Feedback an die Entwickler, sowohl zum Sicherheitsstatus als auch hinsichtlich Compliance. Darauf aufbauend geben wir Empfehlungen.“

Der Markt ist in einer Phase, in der man als Partner Expertenwissen aufbauen kann, das dann wiederum für andere nur wieder schwer aufzuholen ist.

Harry Zorn, Vice President EMEA bei Vdoo

Ein weiteres Betätigungsfeld ist die Analyse von Geräten, die bereits auf dem Markt und im Einsatz sind. „Und wir analysieren nicht nur, wir können auch einen Endpoint-Security-Agent auf das Embedded Device ausbringen“, erläutert Zorn. Damit könne man dann künftig schneller Updates ausbringen, wenn neue Schwachstellen aufgedeckt werden, erläutert der Manager, der seit vielen Jahren in der Security-Branche unterwegs ist und vom eigenen Unternehmen, über ein Startup bis hin zum Konzern schon einige Stationen durchlaufen hat. Ohne diese Lösung, dauere es oft viel zu lange, bis Schwachstellen wieder geschlossen würden. „Angenommen Automobil-Hersteller A hat das Infotainment-System von Anbieter B in seinen Autos im Einsatz. B hat in diesem Open Source Software verwendet. Dann stellt A fest, dass es eine Schwachstelle gibt. Er informiert B und die prüfen, wer die Komponenten nun weiter entwickelt. Vom Auftauchen bis zum Schließen einer Lücke vergehen dann schnell mal sechs bis neun Monate. Diese Zeit lässt sich überbrücken – das ist wie ein virtueller Patch.“

Wer ist zuständig?

Neben der zunehmenden Vernetzung von OT- und IT, sind es regulatorische Vorschriften, die es zu beachten gilt und auf die das Vdoo-System ebenfalls prüft und entwickelt. Als dritte Schwierigkeit für Unternehmen identifiziert Zorn die Zuständigkeiten. „Eigentlich ist das Teil der Aufgabe eines Security-Verantwortlichen. Nur da gibt es oft keine definierte Rolle. Das ist in jedem Unternehmen anders. Manchmal sind es die Produktsicherheitsteams, manchmal ist das in der Entwicklungsabteilung aufgehängt. Je nach Unternehmensgröße und Organisationsreifegrad kann es auch einen Chief Product Security Officer (CPSO) geben. Aber das sind zum Teil ganz neue Rollen und ganz neue Organisationsstrukturen, die sich gerade formieren. Und das sind die Leute, denen wir helfen“

Vertrieb läuft am Channel vorbei

Und auch wenn Zorn hier für den Channel eine Chance sieht: „Wenn ich ein Reseller wäre, würde ich zwei bis drei Mitarbeiter für das Thema ausbilden und mir einen Namen machen. Der Markt ist in einer Phase, in der man als Partner Expertenwissen aufbauen kann, das dann wiederum für andere nur wieder schwer aufzuholen ist. Im ersten Schritt geht es vor allem darum, herauszufinden: Welche IT- und OT-Geräte hat der Kunde im Netzwerk von denen er gar nichts weiß und die er deswegen auch nicht kontrollieren kann? Eine derartige Bestandsaufnahme als Service macht für einen Partner durchaus Sinn.“ Dennoch geht Vdoo einen anderen Vertriebsweg.

„Ich habe hierzulande mit zahlreichen Resellern gesprochen: die haben nicht den Zugang zu den Produktsicherheitsspezialisten, zum CPSO oder in die Führungsetage. Deshalb ist für uns hier der Mehrwert, den ein solcher Reseller bringt, überschaubar.“ Vdoo hat nun Verträge mit Beratungshäusern und einem Wirtschaftsprüfungsunternehmen geschlossen. „Diese Unternehmen haben in den vergangenen Jahren neue Teams und Spezialisierungen im Security-Umfeld aufgebaut. Die beraten Unternehmen strategisch, beispielsweise im Automotive-Sektor. Dort gibt es zahlreiche regulatorische Vorgaben, die diese Häuser bereits kennen und dahin gehend Knowhow haben. Deshalb macht es für uns viel mehr Sinn, mit diesen zusammenzuarbeiten", erläutert Zorn. Gleiches trifft auf das Risk Assessment zu. „Wenn ich ein DAX-Unternehmen bin, wo gehe ich hin, wenn ich wissen will, wie hoch mein Security-Risiko ist und wo es liegt? Da gehe ich zu den großen Beratungshäusern – denn die können mir auch global helfen.“

(ID:47263593)

Über den Autor

 Sylvia Lösel

Sylvia Lösel

Chefredakteurin