Sicherheit von IoT Projekten

So können sichere IoT Projekte gelingen – testen Sie uns!

In den letzten Jahren sind unzählige IoT Projekte gestartet worden. Viele Unternehmen haben Daten gesammelt, nutzenstiftende Anwendungen dafür gesucht und sie zum Teil auch gefunden.

Die Anzahl von vernetzten Geräten hat sich in den letzten drei Jahren verdreifacht – sowohl im geschäftlichen wie auch im privaten Umfeld. Im Jahr 2016 waren 6,4 Mrd. Geräte vernetzt, heute sind es fast 20 Mrd. Geräte. Die Ausgaben für IoT weltweit beliefen sich im Jahr 2017 auf 800 Milliarden USD, für das laufende Jahr werden die Kosten auf 1 Billion USD vorausgesagt.

Doch bei vielen dieser Anwendungen spielt das Thema Sicherheit und Schutz der Daten eine sehr untergeordnete Relevanz.

Hier nur ein paar wenige Beispiele bei welche bereits massiven Sicherheitslücken bei IoT Anwendungen aufgetreten sind.

Im Jahr 2016 war es eine Linux-Schadsoftware namens Mirai (was „Zukunft“ auf Japanisch bedeutet) welche sich in IoT-Geräte „eingenistet“ hat, mit deren Hilfe Bot-Netze aufgebaut wurden. Diese haben durch gezielte Attacken, die absichtliche Überlastungen von Netzen, anderer Systeme (Distributed Denial of Service) organisiert. So waren im Herbst 2016 die Server der Firma Dyn von Mirai „befallen“ und die Websiten von PayPal, Twitter, Reddit, Spotify über Stunden nicht erreichbar.

Das zweite sehr drastische Beispiel ist die Puppe Cayla, eine rund 45 cm große Spielzeugpuppe mit interaktiver Software. Diese stellte mittels Bluetooth mit der gleichnamigen App für Smartphone oder Tablet eine Verbindung mit dem Internet her. Die Spracherkennungstechnologie kann die Sprache von Kindern erkennen und mit ihnen reden. Der deutsche Bundesverband des Spielwaren-Einzelhandels zeichnete Cayla 2014 als „Spielzeug des Jahres“ aus. Das Problem war das jedes Bluetooth fähige Gerät über 10 Meter und selbst durch mehrere Wände hindurch ohne weitere Sicherheitsprüfungen eine Verbindung zur Puppe herstellen und Mikrofon und Lautsprecher nutzen konnte. Im Dezember 2016 warnte der Europäische Verbraucherverband (BEUC) vor möglichen Datenlecks in Kinderspielzeug mit Internetverbindung. Im Februar 2017 wurde die Puppe in Deutschland durch die Bundesnetzagentur mittels eines Verkaufsverbots vom Markt genommen.

Wie Sie sehen, gehen hier sowohl die Anbieter als auch die Anwender sehr leichtfertig mit sensiblen Daten um. Daher hat sich unser Partner abits, Microsoft Gold Partner und ausgewiesener Experte in Sachen Datensicherheit, ebenfalls mit dem Thema IoT beschäftigt. Ziel war es, dass die kommenden IoT Projekt nicht nur durch innovative Anwendungen punkten können, sondern auch die Sicherheit der Anwendung gewährleistet wird.

Die abtis Plattform

Die abtis Kollegen haben sich mit Maschinen beschäftigt, die nicht standardmäßig mit Sensoren ausgestattet sind und wie es möglich ist, diese Geräte zu verbinden und Daten sicher zu übertragen, um sie auszuwerten.

Dafür entwickelte abits eine IoT-Plattform, die Daten sammelt und sicher in Richtung Cloud sendet. Diese ist mit Sensortechnik wie zum Beispiel Beschleunigung, Magnetfeld, Feuchtigkeit, Temperatur, ausgestattet und verfügt selbstverständlich über GPS und LTE Funktionalität – ganz individuell und entsprechend der Anforderungen des Kunden.

Die IoT Plattform kommuniziert mit der Azure Plattform (oder auch mit jeder anderen Plattform der Hyperscaler), auf der man unzählige bereits vorgefertigte Analyse- und Anwendung mit den Daten aus der IoT-Box füttern und dann entsprechende Anwendungen und Services entwickeln kann.

Der IoT-Box und dem Azure IoT Hub liegen folgende Sicherheitsaspekte zu Grunde:

  • Konsequente Umsetzung von Security-Guidelines
  • IoT-Devices dürfen nicht nach dem „fire-and-forget“-Prinzip betrieben werden
  • Sichere Updatemechanismen
  • Keine Standardpasswörter
  • Keine unverschlüsselte Kommunikation
  • Zentrale Administrierbarkeit
  • Built-In Security
    • Kommunikation über Shared Access Signature Tokens
    • Absicherung über IP-Filterlisten
    • Iot Security Agent für recommendations

Das Beispiel aus der Praxis

Mit einem Usecase wollen wir Ihnen verdeutlichen, welche Möglichkeiten hinter der IoT Box in Kombination mit der Azure oder aber auch anderen Hyperscaler Plattformen stecken.

Es handelt sich um eine Baufirma mit Baumaschinen wie Bagger, Radlader und LKWs. Der gesamte Fuhrpark war bisher ohne Sensoren unterwegs und der Inhaber wusste weder genau, wo sich die Fahrzeuge befinden noch in welchem Zustand diese waren. Denn wenn die Maschinen bisher bereits Meldungen geliefert haben, hat das denjenigen, der die Maschine in dem Moment genutzt hat nicht interessiert. Diese Meldungen kamen somit nicht bei der richtigen Person an, um damit entsprechenden Aktivitäten z.B. bei der Wartung der Maschine auszulösen und damit Nutzen daraus zu ziehen. Mit Hilfe der IoT-Box und den in Azure hochgeladenen Daten kann der Inhaber oder auch jede andere autorisierte Person, nun sehen, wo sich die Fahrzeuge exakt befinden und wie deren Status ist. Somit kann die Einsatzplanung verbessert und die Nutzungszeiten erhöht werden.

Darüber hinaus wird durch das Auslesen und Bewerten der Daten schnell sichtbar, in welcher Maschine ein Defekt zu erwarten ist (hohe Öltemperatur, etc,). Somit kann dieser durch Predictive Maintainance bereits im Vorfeld behoben und ein Ausfall der Maschine im laufenden Betrieb verhindert werden. Die Anomalie-Erkennung ist ein elementarer Baustein, um den Fuhrpark ständig einsatzbereit zu haben und somit unproduktive Ausfallzeiten, die bares Geld kosten, zu vermeiden. Die in Azure liegende Power Business Intelligence Anwendung visualisiert die Daten nahezu in Echtzeit, abhängig vom Umfang der Streaming Units und filterbar in verschiedenste Einheiten.

Dieses sehr einfache Beispiel zeigt Ihnen die Möglichkeiten auf, die man mit Hilfe der IoT-Box und der Azure Plattform erzielen kann. Es gibt neben den sehr offensichtlichen Lösungen und Services meist noch weitere Anwendungen, die man erst entdeckt, wenn man sich detaillierter damit beschäftigt. Hier bietet Just4People Ihnen gerne Unterstützung an, um diese zu entdecken. Wir haben für die  Geschäftsmodell-entwicklung ein strukturiertes Vorgehensmodell, dem Business Model Canvas. So können wir gemeinsam neue Möglichkeiten ausloten.

Sind Sie interessiert?

Den ersten 5 Unternehmen bieten wir einen Einstiegs-Case für

10.000 €* an.

Nehmen Sie ganz einfach Kontakt zu uns auf (agr@j4p.de) Der Case beinhaltet die IoT-Box von abits, Einrichtung der Azure Plattform und die Geschäftsmodell-Analyse mit Business Model Canvas von Just4People.

*Der Case steht damit als Referenz zur Verfügung
Herausforderung Lizenzmodelle

Die 7 Grundregeln des Projektmanagements

Zum Thema Projektmanagement gibt es mehr als 20.000 Buchtitel, zum Thema IT-Projektmanagement auch schon über 10.000 verschiedene mehr oder weniger schlaue Bücher.

Warum sich weiterlesen trotzdem lohnt? Einfach, weil ich 7 einfache Regeln aus meiner 20-jährigen Projektmanagement-Erfahrung im IT- und SAP-Umfeld für Sie zusammengestellt habe, die zwar weder einen Anspruch auf wissenschaftliche Vollständigkeit noch die allein selig machenden Tipps darstellen, funktioniert und geholfen haben Sie mir aber bisher immer!

project_pexels

 

1. Soft Skills

Es spielt keine Rolle, ob wir hier vom Projektleiter/-in des Auftraggebers oder dem Projektleiter/-in des Beratungshauses sprechen: Ein Projektmanager braucht vielfältige Kompetenzen! Einige davon sind allgemein bekannt.

Beispiele:

Projektmanager sind…
…Führungskräfte, Fachexperten und auch Manager

Der/Die Projektleiter(in) benötigt unbedingt…
…Projektmanagement- und Business-Skills

Alles richtig, alles gut. Falls hier das ein oder andere mal nicht in ausreichendem Ausmaß vorhanden sein sollte, auch nicht schlimm. Daran allein sind noch keine Projekte gescheitert.

Projekte scheitern wenn sowohl der/die Projektleiter(in), als auch andere Projektbeteiligte folgende Soft Skills nicht mitbringen:

  • Fokussierte Ziel- und Lösungsorientierung
  • Verantwortungsübernahme leben und jederzeit von allen Beteiligten einfordern
  • Maximale Flexibilität, weil in einem Projekt jeden Tag was anderes schiefgehen kann
  • Unerschütterliche Hartnäckigkeit verbunden mit einem ausgeprägten Selbstbewusstsein
  • Veränderungsbereitschaft und Lust auf Neues

Aber am Allerwichtigsten:

Der Mensch steht auch im kompliziertesten und anspruchvollsten Projekt immer im Mittelpunkt des Handelns! Ein Projekt wird nicht nur durchgeführt, um eine Organisation zu ändern oder einen Prozess zu optimieren. Ein Projekt ist auch dazu da, den beteiligten und betroffenen Menschen die Ausübung Ihrer Aufgaben zu erleichtern, zu verschönern, zu optimieren,….was auch immer. Am Ende soll ein Projekt allen Freude bereiten und Spaß machen! Die Organisation und die Prozesse optimieren sich dann ganz nebenbei.

Grundregel 1
„Der Menscht steht im Mittelpunkt!“

Soft Skills_pexel

 

2. Change Management

Jedes Projekt, das mit dem Ziel aufgesetzt wird durch Technologie ausgetretene Pfade zu verlassen und einen schon lange notwendigen Change einzuleiten, ist vom Start weg zum Scheitern oder zumindest zu zweifelhaftem Erfolg verurteilt.

Als klassische Beispiele können hier viele SAP-Projekte genannt werden, die vom Kunden initiiert worden sind um organisatorisch und unternehmenspolitisch schon seit geraumer Zeit notwendige Anpassungen und Änderungen in ein Software-Projekt zu verlagern.

Das hat noch nie funktioniert und wird auch zukünftig nicht funktionieren!

Grundregel 2
„Change Management ist ein ständiger Prozess, aber niemals ein Projekt“

change_sw

 

3. Kommunikation und Projekt-Marketing

Projekte beginnen oft mit großem Getöse, werden toll aufgesetzt, im gesamten Unternehmen über mehrere Kanäle propagiert und die betroffenen Projektmitglieder in den ersten Tagen und Wochen mit Informationen buchstäblich zugeschüttet.

Leider hält dieser Elan oftmals nicht sehr lange an. Die Auswirkungen einer ungenügenden Kommunikation im Projekt kommen erst im späteren Verlauf als Bumerang zurück.

Tipps:

  • Implementieren Sie von Beginn an den regelmäßigen Informationsaustausch auf verschiedenen Projektebenen und überwachen Sie, dass diese Veranstaltungen auch stattfinden.
  • Die „offizielle“ und offene Kommunikation kann nicht hoch genug eingeschätzt werden. Wenn die „informelle“ Kommunikation im Projekt irgendwann überwiegt, ist es bereits zu spät.
  • Stellen Sie sicher, dass auch außerhalb des Projektkernteams eine Regel-Kommunikation und -information aller betroffenen Mitarbeiterinnen und Mitarbeiter im Unternehmen stattfindet. Dieses sogenannte Projektmarketing wird meist belächelt und schläft dann entweder ein oder es werden nur „geschönte“ Berichte veröffentlicht. Der tatsächliche Projektstand hat sich aber bereits informell rumgesprochen…

Grundregel 3
„Kein Projekt ohne regelmäßigen Informationsaustausch und Projektmarketing!

SONY DSC

 

4. Risikomanagement

„Bärentango“ heißt der Klassiker der Fachliteratur zum Risikomanagement in Projekten. Tom DeMarco’s Buch aus dem Jahre 2003 ist auch heute immer noch Pflichtlektüre für jeden Projektmanager oder Risikomanager in Projekten. Wenn Ihnen 200 Seiten Lektüre zu viel sind, fasse ich die Wichtigkeit dieses Themas mal in ein paar pragmatischen Aussagen zusammen:

  • Risiken sind einfach da, sie lassen sich nicht vermeiden
  • Risiken zu kennen und auch einzuschätzen begünstigt eine schnelle und folgenmindernde Reaktion bei deren Eintritt.
  • Probleme gibt es meist schon in der ersten Projektwoche. Fördern und fordern Sie eine offene Projekt- und Risiko-Kultur, sonst passiert es sehr schnell, dass alles schön unter den Teppich gekehrt wird.
  • Stellen Sie sich bei auftretenden Problemen immer folgende Fragen:
    • Ist das Problem grundsätzlich?
    • Sind die Rahmenbedingungen falsch?
    • Gibt es ungeklärte Verantwortlichkeiten?
    • Wird die Verantwortung überhaupt gelebt?

Grundregel 4
„Risiken und Probleme sind normaler Bestandteil von Projekten. Behandle Sie genau so!“

risikomanagement _pexel.jpeg

 

5. 80 zu 20 Regel

Einfacher ausgedrückt: Setzen Sie Prioritäten!

Schon vor Projektstart muss ganz klar festgelegt sein, welche Projektziele welche Priorität haben. Wenn alle Ziele gleich wichtig sind, die Anzahl Ziele aber weder zum Budget noch zum veranschlagten Zeitrahmen passen, ist es Aufgabe des Projektmanagements schon in den ersten Tagen und Wochen mit der Anpassung der Prioritäten zu beginnen.
Dieses Umpriorisieren muss ein fester Bestandteil im gesamten Projektverlauf sein.

Nur dann kann es mit der Pareto-Regel was werden.

Alternative:

  • Projektverzögerungen
  • Ständig neue Change Requests
  • Budgetüberschreitungen
  • generelle, ungesteuerte Qualitätsverluste
  • …bis zur Projekt-Eskalation

Grundregel 5
„Die Prioritäten im Projekt richten sich ausschließlich nach den Projektzielen!“

Pareto J4P_Neu (2)

 

6. Stakeholder

Beginnen wir mit einem Zitat, welches man im Internet unter den Top 5 Ergebnissen findet:

„Das Management von Stakeholdern ist ein wesentlicher Aspekt des Projektmanagements; Stakeholder sollten immer bevorzugt informiert werden, um das Erreichen der Projektziele abzusichern.“

Kernaussage
Jeder, der irgendwie von einem Projekt betroffen sein könnte ist ein Stakeholder. Nicht wie fälschlicherweise immer angenommen Stakeholder = Management.

Beachten Sie!

  • Jedes Projekt weckt Ängste und Befürchtungen. Es passiert nämlich etwas neben bzw. außerhalb der regulären Organisation.
  • Machen Sie sich daher immer bewusst…
    • …für wen das Projekt einen Bedeutungsverlust bringen könnte
    • …wer glauben könnten Nachteile aus diesem Projekt zu haben
    • …wer sich Gedanken macht, dass sein Arbeitsplatz gefährdet sein könnte
    • …wer sich gerade fragt, warum er nicht bei diesem wichtigen Projekt dabei ist
  • Nehmen Sie alle Betroffenen und Beteiligten gleich ernst. Kommunizieren vom Start weg offen und ehrlich!

Grundregel 6
„Jedes Projekt ist von Stakeholdern umzingelt!“

stakeholder_pexel

 

7. Projektende

Eine ganz klassische Definition findet sich bei projektmagazin.de:

„Das Projektende ist der Termin, zu dem der Lenkungsausschuss ein Projekt für abgeschlossen erklärt.“

Wenn es immer so einfach wäre….Wenn Sie allerdings die Grundregeln 1 bis 6 beherzigt haben, ist obige Definition so einfach wie auch richtig.

Und ganz wichtig!

Planen Sie rechtzeitig (noch in der Realisierungs-Phase) eine Projektabschluss-Feier mit dem gesamten Projekt-Team. Nur so haben alle die Chance mit einem guten Gefühl und einer abschließenden Wertschätzung das Kapitel „Projekt“ abzuhaken und diesen Schwung mit ins normale Tagesgeschäft oder das nächste anstehende Projekt mitzunehmen.

Grundregel 7
„Holzhacken ist deshalb so beliebt, weil man bei dieser Tätigkeit den Erfolg sofort sieht.“ Albert Einstein

Projektende_pexel

 

 

Projekt eskaliert

Eskalation im IT-Projekt und was nun?

Laut einer Studie von IDG Business Research Service haben bereits mehr als 50% aller IT Entscheider das Scheitern eines Projektes erlebt. Neben dieser Studie haben sich viele weitere Erhebungen mit dem Thema beschäftigt und die häufigsten Defizite dokumentiert.

Die Gründe

Wir haben die wichtigsten Ursachen für Sie zusammengetragen:

  • Schlechte Projektsteuerung
  • Überforderung von internen Mitarbeitern
  • Zu hohe technische Komplexität
  • Zu viele Projekte parallel, kein Multiprojektmanagement
  • Keine externe objektive Kontrolle des Vorhabens
  • Zu wenig Dokumentation der Ausgangssituation
  • Keine Anpassungsbereitschaft der existierenden Prozesse
  • Falsche Auswahl des Partners oder der Software

Die Maßnahmen

Es ist nie zu spät, den Schaden durch eine Eskalation zu vermeiden oder die Eskalation des Projektes aufzuarbeiten. Natürlich empfiehlt es sich, jedes IT Vorhaben durch ein qualifiziertes internes oder externes Projektmanagement zu unterstützen. Sollte aber zu Beginn des Projektes der Fokus auf diesen Bereich vernachlässigt worden sein, ist jetzt der Zeitpunkt dies zu korrigieren.