So sehr die Digitalisierung unser Leben auch bereichern, so steigt auch das Risiko aggressiven Cyberangriffen ausgesetzt zu sein
Kann "Security by Design" die Sicherheit Europas verbessern?

Die digitale Welt verändert alles. Milliarden von Komponenten sind über das Internet der Dinge (IoT) miteinander verbunden. Maschinen interagieren auf einer völlig neuen Ebene und in nie da gewesenem Umfang. Das schafft große Chancen - doch so sehr diese Fortschritte unser Leben auch bereichern, so steigt auch das Risiko aggressiven Cyberangriffen ausgesetzt zu sein.

Am 19. September 2017 veröffentlichte die EU-Kommission einen Verordnungsvorschlag zur Abwehr von Cyberangriffen. Noch in diesem Jahr will die EU ihre Vorschriften zur Cybersicherheit fixieren, um der wachsenden Bedrohung durch Cyberangriffe zu begegnen. Durch den Vormarsch der Digitalisierung und der unternehmensweiten Vernetzung über Bereichsgrenzen hinweg, ergeben sich Gefahren für Produktionsnetze, wie sie bereits aus Büronetzwerken bekannt sind. Auch wenn Unternehmen die Notwendigkeit erkannt haben, ihre Netze zu schützen - ein gutes Sicherheitskonzept beginnt nicht erst auf Produktionsebene. Gerade bei den dort eingesetzten Maschinen müssen Sicherheitsanforderungen an Soft- und Hardware schon während der Entwicklungsphase eines Produktes berücksichtigt werden, um spätere Sicherheitslücken zu verhindern. Sicherheit beginnt bereits im Entwicklungsprozess der Maschinen und Komponenten. Als Hersteller von Lösungen zu Fernwartung und Datenlogging wollen wir Menschen, Unternehmen und Infrastrukturen vor Schaden bewahren. Daher beschäftigen wir uns schon seit langer Zeit mit Security by Design. Dabei ist ein ganzheitliches Sicherheitskonzept gemeint, in dem schon in der Entwicklungsphase eines Produkts die Sicherheit einen ganz wesentlichen Stellenwert einnimmt. 

Wir glauben, dass IT-Sicherheit ein fundamentaler Bestandteil für eine funktionierende Gesellschaft ist. Daher gehört Sicherheit bei uns schon lange als fester Bestandteil zur Ideenphase in der Entwicklung. Berücksichtigt ein Entwickler Sicherheitseigenschaften als Designkriterium, lassen sich Sicherheitslücken und Schwachstellen vorausschauend vermeiden. Aus diesem Grund lassen wir unsere Embedded-Entwickler auch T.P.S.S.E. zertifizieren – als TeleTrusT Professional for Secure Software Engineering. Das ist eine Auszeichnung des Bundesverbandes IT-Sicherheit e.V. Mit Absolvierung der Schulung und der unabhängigen Prüfung können die Absolventen typische Fehler bei der Softwareentwicklung rechtzeitig erkennen und beseitigen, sowie die LifeCycle-Design-Prozesse im Unternehmen nachhaltig verbessern.

Ein Beispiel für eine gelungene Umsetzung des Konzepts „Security by Design“ ist der Fernwartungsrouter mbNET. Die klassische Architektur in Embedded Systemen besitzt in der Regel einen RAM-Baustein, den Prozessor und den Flash-Speicher. Auf Letzterem sind Firmware und Benutzerdaten gespeichert. Um die Sicherheit erheblich zu erhöhen, wurden im vorliegenden Fall zusätzlich noch zwei Hardwareelemente hinzufügt. Das Boot-ROM mit dem fest eingebrannten Bootlader und den Hersteller-Zertifikaten stellt sicher, dass das System mit einem unveränderlichen Vertrauensanker, dem so genannten „Chain of Trust“ geladen wird. Die Firmware auf dem Flash-Speicher ist mit dem Herstellerzertifikat signiert und wird vom Bootlader nur nach Übereinstimmung akzeptiert. Somit ist sichergestellt, dass nur die vom Hersteller signierte Firmware verwendet wird und auch bei Updates keine manipulierte Firmware auf dem System eingeschleust werden kann. Zusätzlich wurde ein sogenanntes „Secure Element“ hinzugefügt. Das ist ein eigener Hardwarebaustein (IC), welcher die digitalen Schlüssel und Zertifikate unabhängig vom Flash speichert. Der verschlüsselte Benutzerspeicher auf dem Flash wird in diesem Fall mit einem Schlüssel aus dem Secure Element freigegeben.

Die Gewährleistung von IT-Sicherheit ist eine ganzheitliche betriebliche Obliegenheit und auch eine gesamtgesellschaftliche Aufgabe. Security by Design ist ein bewährter Ansatz, der langfristig die Sicherheit für die Menschen, Firmen und Organisationen in Europa verbessert. Das hat auch die Europäische Kommission bereits festgestellt. Hersteller müssen künftig damit rechnen, dass sie für IT-Sicherheitsmängel haftbar gemacht werden. Kann ein Unternehmen keinen Nachweis für ausreichende Sicherheit erbringen, können sich schon bald signifikante finanzielle Probleme ergeben. Für die Hersteller von Maschinen und Anlagen schlägt sich dies langfristig in ihrer Profitabilität nieder. Mit den Produkten und Lösungen von MB connect line können also Haftungsrisiken verringert und somit die Profitabilität insgesamt gesteigert werden.