Digital-Twin-Risiken
Von bösartigen digitalen Zwillingen
Foto: Jorm Sangsorn - shutterstock.com
Digitale Zwillinge - virtuelle Abbilder von realen (oder geplanten) Objekten - kommen in Unternehmen immer häufiger zum Einsatz. Ihre Verwendungsmöglichkeiten sind breitgefächert - im Allgemeinen tragen Digital Twins dazu bei, Echtzeit-Insights über physische Assets, Systeme oder gar Menschen zu gewinnen, was es ermöglicht, Probleme zu erkennen, während oder bevor sie auftreten - Stichwort Predictive Maintenance.
Einer Prognose von Grand View Research zufolge soll der globale Markt für digitale Zwillinge von 2023 bis 2030 durchschnittlich 37,5 Prozent pro Jahr wachsen - auf ein Gesamtvolumen von 156 Milliarden Dollar. Für das Jahr 2022 beziffern die Marktforscher das Marktvolumen auf rund 11 Milliarden Dollar.
Der anhaltende Digital-Twin-Trend erhöht nach Ansicht von Experten jedoch auch die Cybersicherheitsrisiken. Schließlich basieren digitale Zwillinge auf Daten. Wenn diese beschädigt oder - noch schlimmer - gestohlen und für kriminelle Zwecke eingesetzt werden, drohen unabsehbare Konsequenzen.
"Diverse Möglichkeiten für Kompromittierungen"
Technologie- und Sicherheitsexperten zufolge sind digitale Zwillinge potenziell ebenso anfällig für bestehende Bedrohungen wie herkömmliche IT- und OT-Umgebungen. "Bei dieser Technologie gibt es diverse Möglichkeiten für Kompromittierungen", weiß Brian Bothwell, Director beim Accountability Office der US-Regierung. Einige der Risiken, Sicherheitsbedenken und -gefahren hat der Experte im Rahmen eines aktuellen Reports untersucht: "Viele Branchen setzen Digital Twins ein, um Kosten zu senken, die Konstruktion und Produktion zu verbessern und ihre Lieferketten zu testen. Aber einige Anwendungen - etwa ein digitaler Zwilling einer Person - werfen technische, datenschutzrechtliche, sicherheitstechnische und ethische Probleme auf", schreibt Bothwell.
Wie Mahadeva Bisappa, Principal Architect beim Technologieunternehmen SPR, unterstreicht, bestünden digitale Zwillinge aus der gleichen komplexen Sammlung und Konfiguration von Technologien wie ihre realen Gegenstücke - wiesen also dieselbe Konstellation von Systemen, Rechenleistung (in der Regel aus der Cloud), Netzwerken und Datenströmen auf. "Sie müssen alle Endpunkte und Ihre Cloud-Plattform absichern, egal welches Produkt Sie auch verwenden. Gleiches gilt für alle Daten, die eingespeist werden", schlussfolgert Bisappa und fügt hinzu: "Ein Digital Twin ist im Grunde nur eine weitere mit dem Internet verbundene Anwendung, die mit den gleichen Sicherheitsproblemen wie andere Applikationen einhergeht."
Kayne McGladrey, leitendes Mitglied beim Non-Profit-Verband IEEE und CISO beim Security- und Compliance-Anbieter Hyperproof, äußert weitere Bedenken, wenn es um die Nutzung digitaler Zwillinge geht: "Die Frage ist unter Umständen, ob sich der CISO überhaupt darüber bewusst ist, dass sein Unternehmen Digital Twins einsetzt. Ich habe schon erlebt, dass Business Units entsprechende Lösungen implementiert haben, ohne die Security zu konsultieren. Wirksame Kontrollen für etwas anzuwenden, von dessen Existenz man nichts weiß, ist natürlich schwierig."
Der Sicherheitsentscheider sieht darüber hinaus auch rechtliche und regulatorische Fragestellungen, wenn es um digitale Zwillinge geht: "Hauptsächlich geht es dabei um die Frage, ob die Betreiber der Digital Twins gewährleisten können, dass die dabei verwendeten Daten in einer Weise gehandhabt werden, die den gesetzlichen Anforderungen in Bezug auf Datenschutz, Vertraulichkeit und Lokalität genügt." Darüber hinaus könne auch das Thema Data Ownership zum Problem werden, so McGladrey - insbesondere dann, wenn eine Organisation mit anderen Unternehmen zusammenarbeite, um den digitalen Zwilling zu betreiben.
Der CISO sieht jedoch auch ein weiteres, eher generelles Problem: "Einige Unternehmen schenken Sicherheits- und Risikoüberlegungen keine ausreichende Berücksichtigung, weil sie fürchten, zu viele Sicherheitskontrollen könnten die Performance des Digital Twin beeinträchtigen."
Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
Der "Evil Digital Twin" kommt
Andere Experten sehen weitere Bedrohungen am Horizont, die sich aus der Natur des digitalen Zwillings ergeben. Etwa Jason M. Pittman, Dozent an der School of Cybersecurity & Information Technology der University of Maryland, der das Security-Risiko des "Evil Digital Twin" heraufbeschwört. Im Rahmen eines Blogbeitrags prognostizierte der Akademiker Anfang 2023: "Im Laufe des kommenden Jahres werden wir den Aufstieg des bösartigen, digitalen Zwilling erleben. Dieses maliziöse, virtuelle Softwaremodell wird künftig eingesetzt werden, um Cybercrime-Aktivitäten wie Ransomware, Phishing und gezielte Angriffe auf Staaten zu verstärken. Im Vergleich zu traditionellen Methoden wird das zu wesentlich effektiveren Angriffen führen - in erster Linie wegen der Spezifität, die die bösartigen digitalen Zwillingsmodelle bieten."
Ein Hacker könne einen digitalen Zwilling einer existierenden Persona erstellen, ihn in eine Umgebung einfügen und dann die Organisation beobachten und an ihr partizipieren, um letztlich Malware in das Ökosystem zu injizieren, orakelt Pittman und fügt hinzu: "Das eröffnet kriminellen Hackern einen weiteren Zugang - und es ist unwahrscheinlich, dass es dagegen eine Verteidigungsmaßnahme gibt." Der Sicherheitsexperte sieht darüber hinaus weitere, neue Angriffsszenarien, die sich aus der Nutzung von digitalen Zwillingen ergeben könnten. Gelinge es Hackern beispielsweise, in eine Digital-Twin-Umgebung einzudringen, könnten sie entweder die Daten stehlen oder - je nach Motiv - diese manipulieren, um die Simulationsergebnisse absichtlich zu verfälschen.
Mit seiner unheilvollen Prognose steht Pittman jedoch nicht alleine da: Auch Technologieexperte Bothwell erwähnt in seinem vorgenannten Report das Problem im Zusammenhang mit der Manipulation von Trainingsdaten - dem sogenannten Data Poisoning.
Dazu kommt laut David Shaw, CEO des Cybersicherheitsunternehmens Intuitus, dass Security beim Aufbau von Digital Twins allzu oft keine Rolle spiele und erst später nachträglich einbezogen werde - was in der Regel zu unzureichenden Security-Kontrollmaßnahmen führe. Der Manager appelliert: "Sicherheit muss Kernbestandteil Ihres digitalen Zwillings sein und von Beginn an integriert werden."
Auch Shaw bestätigt ein, dass neuartige Angriffsszenarien - wie von Pittman in Aussicht gestellt - möglich seien und beruft sich dabei auf Erkenntnisse von Security-Forschern, die in der Vergangenheit in entsprechenden Testumgebungen neuartige Techniken identifiziert haben. Davon abgesehen stellt der CEO sich die Frage, ob Unternehmen überhaupt in der Lage wären, einen neuen Angriffstyp zu erkennen, wenn kriminelle Hacker diesen entwickeln würden: "Wir müssen die Augen offenhalten und Wege finden, Leitplanken zu integrieren, um anormales Verhalten zu erkennen." (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.