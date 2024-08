Digital Signage-Software unterliegt denselben Sicherheitsanforderungen wie alle professionell genutzten Softwarelösungen. Zu vermeiden sind Systemschwachstellen, die im Code einer Software auftreten. Hacker können diese Lücken ausnutzen, um auf Softwareprogramme zuzugreifen, wertvolle Daten zu stehlen und wichtige Systeme zu zerstören.

Um einer Softwarebedrohung vorzubeugen, sollte Software Security ein wichtiger Bestandteil der Softwareentwicklung und -prüfung sein. Kleinere Softwareanbieter hatten in der Vergangenheit das Thema Software Security unterschätzt: Attacken wie Phishing, Distributed Denial of Service (DDOS), Angriffe auf Cloud-Dienste oder die Software-Lieferkette waren nur Herausforderungen der globalen Anbieter, aber nicht vom Mittelstand.

Gefahr für alle

Doch die Praxis hat gezeigt, dass Digital Signage-Plattformen mit ein paar Zehntausend Lizenzen ebenso gefährdet sind wie millionenfach genutzte Office-Tools. Bei den meisten großen Anbietern steht Software Security mittlerweile ganz oben auf der Agenda. Auch weil Kunden und Cybersecurity-Versicherungen genau prüfen.

Cloud bietet Vorteile

Einen gewissen Vorteil haben Software-Anbieter, deren Tech-Stack auf den großen Service-Cloud-Anbietern von Amazon, Microsoft und Google sitzt. Die Serverless Components und Container Applications werden von weltweiten Developerteams getestet.

Einige Anbieter setzen auf alternative Betriebssysteme oder Software-Integrationen. Google wirbt mit ChromeOS, das angeblich noch nie gehackt wurde, und Brightsign mit einem robusten „Selfhealing“-Betriebssystem. Cingerine arbeitet mit einer Software-Kombination, die ähnlich auch bei Security-Routern zum Einsatz kommt.

Angriffe auf Software-Lieferkette

Im Rahmen des IBM-Reports Cost of a Data Breach 2023 wurden Angriffe untersucht, die ihren Ursprung in der Software-Lieferkette haben.

Bei 12 Prozent der befragten Unternehmen drang ein Angreifer in das Netz eines Softwareanbieters ein und setzte schädlichen Programmcode ein. Über die kompromittierte Software wurden dann Daten oder das System des Kunden angegriffen.

Digital Signage-Software-Entwickler stehen deshalb zunehmend unter Beobachtung. Laut der Studie betrugen die Kosten einer Datenschutzverletzung, die auf die Kompromittierung der Software-Lieferkette zurückzuführen ist, durchschnittlich 4,63 Millionen US-Dollar. Im Durchschnitt benötigte es 294 Tage, bis die Datenschutzverletzung erkannt und eingedämmt wurde.

IT-Sicherheit immer mitgedacht

ISVs und Integratoren mit eigener Software sollten in jeder Phase der Entwicklung und Bereitstellung von Software die Sicherheit berücksichtigen und regelmäßig testen. Prinzipiell legen Unternehmen bei der Evaluierung von Softwareanbietern großen Wert auf Cybersecurity.

Während in der Vergangenheit Anbieter im Evaluierungsprozess oft nur lange Excel-Tabellen ausfüllen mussten, sind anspruchsvolle Penetration-Tests heute an der Tagesordnung. Zunehmend werden diese bei Enterprise-Unternehmen auch nicht mehr von der eigenen IT-Abteilung, sondern von externen Experten in Auftrag der Cybersecurity- Versicherung durchgeführt.

EU AI Act und andere

Die traditionell mittelständisch geprägte Digital Signage-Branche tut sich beim Thema Cybersicherheit besonders schwer. Insbesondere Anbieter mit älterem Tech-Stack und ohne IT-Security-zertifizierten Unternehmensprozessen – unter anderem ISO 27001 – scheitern öfter in Ausschreibungen oder verlieren sogar Bestandskunden.

Mit dem Cyber Resilience Act oder dem EU AI Act kommen neue Gesetze auf europäische Unternehmen zu – somit auch auf Digital Signage-Anbieter, aber insbesondere auf Digital Signage-Endkunden. Globale Unternehmen stehen zudem auch überschneidenden Regulierungen aus anderen Rechtsprechungen gegenüber, einschließlich den USA und China. Bisher freiwillige Meldungen von Cybersecurity-Vorfällen und -praktiken werden gesetzliche Vorgaben.

GenAI und Sicherheit

Die Nutzung von GenAI-Tools in Form von Large-Language-Modellen wie ChatGPT müssen rechtskonform erfolgen. Das bisher häufige Trial-and-Error-Prinzip mit öffentlichen und vertraulichen Daten muss organisationsweit kontrolliert werden.

Erste Digital Signage-Anbieter setzen auf Private-GenAI-Modelle, um den Datenschutz von Kundendaten zu garantieren.

