Der Zeitdruck bei Entwicklungen fürs „Internet der Dinge“ wird bei hiesigen Mittelständlern immer größer. Das Stuttgarter Start-up Asvin stößt hier in eine Sicherheitslücke.
Stuttgart - Made in Germany – das steht doch für Sicherheit und Solidität? Doch wenn Mirko Ross Gründer des Stuttgarter IT-Start-ups Asvin darauf schaut, wie im Bereich des so genannten Internet der Dinge die Entwicklungen laufen, bekommt er seine Zweifel. „Die großen Firmen haben das im Griff. Die können sich eigne Spezialisten leisten.“ Doch Mittelständler, die etwa im Bereich der so genannten Industrie 4.0 aktiv sind, seien schon froh, den Sprung in die sich rasant vernetzende Industriewelt überhaupt zu schaffen, sagt Ross. Schnelligkeit ist da ein besser sichtbarer Wettbewerbsvorteil als Sicherheit.
Kunden wollen Schnelligkeit – Sicherheit fällt hinten herunter
„Sie brauchen dafür Mitarbeiter, die ganz anders denken und programmieren, als ein Produktentwickler“. Für jemand, der dabei ist ein neues IT-Produkt zu entwickeln, sind Sicherheitsfragen ein Hemmschuh. „Es gibt einen großen Druck von den Kunden, die ihre Maschinen am liebsten über eine App steuern wollen“, sagt Ross. „Was man früher in ein oder zwei Jahren entwickelt hat, macht man jetzt in einem halben Jahr. Bei der Sicherheit heißt es dann: Das Update machen wir später.“
Asvin ist eine Ausgründung des Stuttgarter IT-Dienstleisters Digital Worx. Ein Start-up sei es geworden, weil das Geschäftsmodell ein völlig anderes sei. Bisher schneidert man Lösungen für individuelle Kundenprobleme. Auf einmal hat man aber ein Produkt, mit dem man schnell groß werden könnte. Es ist eine Technologie für Softwareupdates, mit denen sich Sicherheitslücken schnell schließen lassen. „Das müssen sie ganz anders vermarkten und dabei auch Investoren finden.“Asvin steht für einen Technologie-Gründungstrend der Region: Entstanden aus der Expertise im Umgang mit Geschäftskunden, gestützt vom wachsenden IT-Bedarf der Industrie entstehen neue Märkte. Zielgruppe ist dabei genau der baden-württembergische Mittelstand, der vernetzte, oft hochspezialisierte Produkte in Stückzahlen von mehreren hundert bis mehreren tausend im Jahr verkauft. Die Verteilung von aktueller Software auf verschiedene Geräte, sei komplex, sagt Ross.
Es gibt noch einen Grund, warum der Schutz gegen Attacken nicht immer Priorität hat. Wenn Geräte übers Internet der Dinge gekapert werden, dann hat häufig nicht der Betroffene den Schaden. „Kriminelle nutzen die Geräte als Ressource für Attacken mit ganz anderen Opfern“, sagt Ross. Wer Server durch massenhafte Anfragen lähmen will, braucht alle Rechenpower, derer man habhaft werden kann – und die holt man sich über die Manipulation vernetzter Geräte. Verbreitet sei das in der Welt der Online-Spiele, wo es auf hohes Rechentempo ankommt: „Wenn sie da den Server eines Konkurrenten durch eine Attacke auch nur im eine Winzigkeit langsamer machen, merken das ihre Spieler und laufen davon“, sagt Ross.
Eine Attacke auf die Telekom 2016 hat aufgerüttelt
Den finalen Impuls für Asvin gab eine Attacke auf Telefonrouter der Telekom, die im November 2016 Schlagzeilen machte. Mit einer Million betroffenen Geräten war sie die bisher größte in Deutschland. Der inzwischen in Deutschland gerichtlich verurteilte Angreifer wollte, wie üblich, unbemerkt Geräte kapern, ohne dass es die Nutzer merkten. Er machte aber einen Fehler, sodass die Attacke bemerkbar war.
Anfang des Jahres ging Asvin an den Start. Heute hat man schon fünf Mitarbeiter, obwohl man erst ein Testprodukt hat und Ende 2018 auf den Markt will. Das schon viel länger bestehende Digital Worx hat 30 Angestellte. In dieser Woche erst hat ein Sicherheitskongress der IHK in Stuttgart, auf dem Asvin vertreten war, sich mit dem Thema beschäftigt.
Die EU nimmt sich des Themas an
Auch die EU ist alarmiert. Ross ist Mitglied einer europäischen Arbeitsgruppe, die in ein, zwei Jahren einen Schutzstandard für vernetzte Geräte formulieren will. Der Schutz des Internet der Dinge sei keine individuelle sondern eine gesellschaftliche Frage, sagt Ross. Noch ist unklar, ob man es bei einem Gütesiegel und einer freiwilligen Selbstverpflichtung belasse oder ob wie bei der Datenschutz-Grundverordnung das Ganze verpflichtend wird. Wenn dann die Firmen auf einmal das Thema entdecken, will Asvin gewappnet sein.