Security
In nahezu allen Industriezweigen wird in modernen Systemen zunehmend auf eine Vernetzung der Geräte und einen weiten Informationsaustausch gesetzt. Das erhöht nicht nur die Schnittstellen innerhalb eines Systems, sondern auch ihre Angriffsoberfläche, sofern sie von außen erreichbar sind. Zudem organisieren sich Hacker/Angreifer vermehrt durch einen Informationsaustausch ihrerseits und nutzen für sich das Geschäftsmodell der Bereitstellung von Software zur automatisierten Ausnutzung von solchen Schwachstellen. Das Know-how für einen Angriff muss daher längst nicht mehr ausschließlich von einem Hacker selbst stammen. Die potentielle Bedrohungslage für die Informationstechnologie (IT) und die Operationstechnologie (OT) ist damit anhaltend alarmierend.
Folglich gewinnt die Einbruchssicherheit von Systemen zunehmend an Bedeutung.
Im Fokus dabei stehen die drei Grundwerte der Informationssicherheit: Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen. Das Security Engineering bietet dabei als eigene Fachdisziplin ein strukturiertes Vorgehen, um Informationssicherheit schon während des Entwicklungsprozesses zu berücksichtigen.
Security-spezifische Fragen treten in jeder Projektphase auf. So stellen sich beispielsweise Fragen nach dem Bedarf einer Akkreditierung oder Marktzulassung hinsichtlich Informationssicherheit bereits während der Planungsphase. Hierbei gilt es branchenspezifische Standards zu berücksichtigen und eine Nachweisführung gegenüber einer Prüfinstanz vorzulegen. Weiterhin ergibt sich während der Produktspezifikation der Bedarf nach einem effizienten Schutzkonzept und damit verbunden nach einer Bedarfsanalyse hinsichtlich Security-spezifischer Anforderungen. Diese Anforderungen müssen wiederum hinsichtlich ihrer Schutzfunktion fachgerecht getestet werden, wobei Testaufgaben über den funktionalen Testaufwand hinaus anfallen.
Im Feld eingesetzt ist ein System einer stetig wachsenden Bedrohung durch Angreifer ausgesetzt. Die Bedrohung wächst, da mit jedem Tag neue Schwachstellen bei zuvor einwandfrei einsetzbarer Software entdeckt werden. Demnach gehört zu einem Schutzkonzept immer auch die Überwachung des Systems im Feld, die sich aus der Reaktion auf Angriffe und der Überprüfung der eingesetzten Systemkomponenten zusammensetzt. Bei der Überprüfung der Systemkomponenten kommt es insbesondere auf das Beheben von Schwachstellen an, im besten Fall bevor es zu einer Ausnutzung durch Angreifer kommt. Ein Notfallvorsorgeplan schreibt hingegen eine priorisierte Liste von Reaktionsmaßnahmen vor, um Angriffe schnell einzudämmen.
Vorteile von Security Engineering
Das Einbinden des Security Engineerings in den Entwicklungsprozess bietet die Möglichkeit, einen Bedarf frühzeitig zu erkennen, der zunächst nicht unmittelbar mit der Projektidee zusammenhängt, jedoch für den Erfolg des Projektes essenziell sein kann. Häufig werden Gefahren hinsichtlich der Informationssicherheit unterschätzt, da keine unmittelbaren Zusammenhänge zu Bewertungskriterien gefunden werden, die aus der Safety (Ausfallsicherheit) bekannt sind. Welche Gefahr von einer kompromittierten Systemkomponente ausgeht, ist jedoch nur schwer abzuschätzen, da eine Zweckentfremdung durch den Angreifer droht. Eine ausführliche Prüfung des Schutzbedarfs bietet sich daher an, sodass Erfahrungen nicht erst im Feldeinsatz gesammelt werden müssen. Ein strukturiertes Vorgehen beginnend mit sorgfältiger Projektplanung, die die Berücksichtigung der Informationssicherheit vorsieht, gefolgt von einer Security-Risikoanalyse sowie der Spezifikation Security-spezifischer Anforderungen und Testfälle. Auch die Produktüberwachung im Feld stärkt die Basis für einen Projekterfolg. In einigen Branchen kann ein solches Vorgehen bereits jetzt Zulassungsvoraussetzung für Komponenten oder ganze Systeme sein.
SCOPE Engineering als Partner für Security Engineering
Als Entwicklungspartner sind wir jederzeit bereit, unsere Erfahrungen aus Projekten in zahlreichen Industriezweigen und im Bereich Security Engineering mit Ihnen zu teilen und Antworten auf Ihre Fragen zu finden. Gerne integrieren wir einen Security-Prozess in Ihren Entwicklungsprozess oder unterstützen Sie gezielt bei der technischen Umsetzung von Aufgaben, die sich aus Ihrem Security-Prozess oder aus Kundenanforderungen ergeben. Folgende Aufgaben in diesem Zusammenhang decken wir für Sie ab:
- Beratung zur Auswahl geeigneter Security-Standards
- Risikoanalyse zur Ermittlung des Schutzbedarfes
- Spezifikation von Security-Anforderungen
- Ermittlungsbegleitende Dokumentation und Design Reviews
- Security-spezifische Testbeschreibung und Testdurchführung
- Produktzertifizierung nach IEC 62443
- Methodisches Arbeiten nach BSI-Grundschutz
- Prozessberatung und Auditvorbereitung