Bedeutung von Security by Design für OT-Umgebungen
Sarah Kolberg | August 1, 2024
Security by Design ist ein Designkonzept in der Hard- und Softwareentwicklung, das eine kontinuierliche Testung der Sicherheitsvorkehrungen vorsieht. Die Sicherheit eines Produktes wird hierbei in allen Phasen des Entwicklungsprozesses sowie im kompletten Lebenszyklus berücksichtigt: von der Ideenfindung bis zum Auslaufen des Produkts. In der heutigen Praxis werden Sicherheitsvorkehrungen und -konzepte häufig erst am Ende der Prozesskette hinzugefügt, wenn ein Produkt bereits in Betrieb ist. Insbesondere in OT-Systemen kann dies erhebliche Probleme verursachen. Erfahren Sie, welche Chancen Security by Design für die Sicherheit, Zuverlässigkeit und Kontinuität von OT-Systemen mit sich bringt.
Integrierte und nachhaltige Sicherheit
Security by Design ist eine der Anforderungen, die im European Cyber Resilience Act für Produkte mit digitalen Elementen im europäischen Binnenmarkt festgeschrieben sind. Es geht darum, eine geeignete Sicherheitsarchitektur in das Produkt selbst zu implementieren, sodass es bei der Markteinführung möglichst keine Schwachstellen aufweist. Dieser Zustand wird über den Lebenszyklus des Produkts mit Sicherheits-Updates durch den Hersteller erhalten. Eine integrierte und nachhaltige Sicherheit des Produktes wird angestrebt.
Wie wird ein Produkt „secure by design“?
- Minimierung der Angriffsfläche: z.B. durch Weglassen überflüssiger Komponenten, Anwendung des Least-Privilege-Prinzips
- Datenverschlüsselung: Verschlüsselung des empfangenen und gesendeten Datenverkehrs des Produkts
- Sichere Authentifizierung: Authentifizierung der Produktnutzer über eine sichere Methode, Multi-Faktor-Authentifizierung
- Isolation: Abtrennung sicherheitsrelevanter Bereiche
- Regelmäßige Tests: Durchführung periodischer Sicherheitstests
- Sicherheitsupdates: Angebot regelmäßiger Sicherheitsupdates durch Hersteller
Security by Design in der OT
Für OT-Systeme ist Security by Design von besonderer Bedeutung. In der Betriebstechnik, insbesondere in kritischen Infrastrukturen, haben Cyber-Angriffe und Systemausfälle meist weitreichende Folgen. Es braucht daher robuste und zuverlässige Systeme, die einen kontinuierlichen cyber-resilienten Betrieb gewährleisten. Durch die Definition und Prüfung der Sicherheitsanforderungen im gesamten Entwicklungsprozess wird Cybersecurity nicht mehr als Add-On betrachtet, sondern zum festen Bestandteil eines Produkts.
Das Internet of Things (IoT) sowie Industrial Internet of Things (IIoT)-Geräte werden zunehmend in Industrieanlagen, Krankenhäusern und anderen kritischen Versorgern eingesetzt. Sie versprechen effizientere Prozesse und neue Wertschöpfungspotenziale. Zugleich gelten sie vielerorts als Einfallstore für Angreifer, da herstellerseitige Sicherheitsvorkehrungen nicht verpflichtend sind. Daher weisen IoT- und IIoT-Geräte zum Teil Sicherheitslücken auf, die nachträglich durch Sicherheitslösungen kompensiert werden müssen. In sensiblen Prozessen und Betrieben herrscht bei Verantwortlichen oft Unsicherheit, ob sie sich solche Geräte zu Nutze zu machen sollten.
Insbesondere hier kann das Designkonzept Security by Design positive Effekte zeigen, denn es kann helfen, mehr Kundenvertrauen zu schaffen, Risiken zu minimieren und Einsatzbedenken auszuräumen.
Vorteile durch Security by Design
- In der OT sind die Lebenszyklen von Maschinen, Anlagen und Systemen oft lang und Sicherheitsanforderungen wurden bei deren Implementierung ursprünglich nicht berücksichtigt. Security by Design integriert Sicherheit von Anfang an in Produkte, Risikoanalysen werden durchgeführt und entsprechende Anforderungen definiert.
- Secure by Design bedeutet, robuste Produkte mit zeitgemäßen Sicherheitsvorkehrungen zu entwickeln und Sicherheit als Qualitätsmerkmal zu verstehen: Schwachstellen in der Architektur und im Code der Produkte werden minimiert und bieten so möglichst wenig Angriffsfläche.
- Nachbesserungen und Eingriffe in den laufenden Betrieb können hohe Kosten und weitreichende Folgen mit sich bringen. Diese potenziellen zukünftigen Kosten werden durch das Designkonzept eingespart. Die Anwendung von Security by Design kann daher auf langfristige Sicht besonders in der OT rentabel sein, da eine sichere Basis für einen zuverlässigen Einsatz der Produkte im Betrieb geschaffen wird.