Vernetzte Systeme werden immer komplexer und bieten neue Angriffsflächen für Hacker. Umso wichtiger ist es, Unternehmen eine präventive und nahtlos integrierbare Sicherheitslösung zu bieten.
Die Wahrscheinlichkeit, Ziel eines Hackerangriffs zu werden, ist für Unternehmen schon heute groß. Bei einer vom Bitkom durchgeführten Umfrage wurden mehr als 100 Geschäftsführer und Sicherheitsverantwortliche von Unternehmen verschiedener Branchen mit jeweils mehr als zehn Mitarbeitern befragt. Das Ergebnis zeigte, dass rund 75 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Ziel von Angriffen waren. Zudem gehen 13 Prozent davon aus, dass Angriffe zwar stattgefunden haben, aber nicht entdeckt wurden. Laut einer aktuellen VDMA-Studie zur industriellen Sicherheit erwarten 60 Prozent der befragten Unternehmen in Zukunft eine Zunahme von Sicherheitsvorfällen.
Im schlimmsten Fall gelingt es Hackern, durch einen Angriff einen Produktionsstillstand zu verursachen, der einen immensen finanziellen Schaden anrichten würde. Denn sobald Hacker die Kontrolle beispielsweise über einen Industrie-Controller oder einen Chip in einer Produktionsanlage übernehmen, können sie sich im Handumdrehen im gesamten Netzwerk verbreiten und im schlimmsten Fall ganze Produktionsanlagen lahmlegen.
Zwischen Regulierungsdruck und mangelnden Ressourcen
Das Risiko eines Hackerangriffs beschäftigt nicht nur die Unternehmen selbst, sondern auch die Politik. Denn Angriffe auf kritische Infrastruktur, zum Beispiel im Energiesektor, haben unmittelbare Auswirkungen auf die Bevölkerung. Und auch das Thema Connected Cars ist längst keine Zukunftsvision mehr und darf als potentielles Risikofeld nicht ignoriert werden.
Daher werden weltweit immer mehr Regulierungen erlassen, die die Hersteller in die Pflicht nehmen, vernetzte IoT-Geräte, Industrie-Controller und Kfz-Steuergeräte zu sichern.
Das kalifornische Gesetz SB-327 und das NIST-Rahmenwerk für Cybersicherheit sowie Spezifikationen der europäischen Behörden ENISA, ETSI oder die ISO-Norm 21434 sind nur einige Beispiele dafür.
All diese Vorschriften haben eines gemein: sie basieren auf der Erkenntnis, dass klassische Cyber-Security-Ansätze aus der IT, wie Antivirensoftware und kontinuierliche Patches, für IoT-Geräte nicht funktionieren. Embedded Systeme wie Controller und Steuergeräte sind schlichtweg nicht dafür ausgelegt und können in der Regel nicht zentral verwaltet und entsprechend mit Sicherheitsupdates versorgt werden. Schon allein die Tatsache, dass es einige Zeit braucht, bis ein Sicherheitsvorfall in der gesamten industriellen Supply-Chain mit unzähligen Akteuren kommuniziert wird, macht das deutlich. Stattdessen müssen Hersteller Lösungen finden, die ihre IoT-Geräte (Internet of Things) bereits ab Werk schützen.
Das ist für viele Unternehmen jedoch eine Herausforderung. Der Grund ist einfach: Sicherheitsmechanismen umzusetzen, kostet Zeit und Geld.
Darüber hinaus fehlen vielen Entwicklungsabteilungen der Hersteller das Know-how und die Kapazitäten, um umfassende Sicherheitsanforderungen zu erfüllen. R&D-Abteilungen treiben die Entwicklung neuer Features und Produkt-Updates voran und haben dafür komplexe Prozesse. Bedenkt man die jüngsten COVID-19-Verzögerungen bei den Entwicklungs- und Fertigungsprozessen, können die Hersteller die Kosten für zusätzliche R&D-Teams, die ihre Entwicklungsprozesse um Cybersicherheits-Expertise erweitern, nicht zusätzlich tragen. Im schlimmsten Fall wird dadurch die Marktreife der Produkte entsprechend verzögert, was zu Umsatzeinbußen führt.
Die Gründe sind nachvollziehbar aber gleichsam problematisch. Denn trotz mangelnder Ressourcen wie Zeit, Geld und Know-how muss die Sicherheit von eingebetteten Geräten sichergestellt werden. Es braucht also einen Ansatz, der diese schwer überwindbaren Gegebenheiten berücksichtigt.
Die Lösung: Nahtlos eingebettete Cybersicherheit
Fortschrittliche Security-Ansätze machen sich den deterministischen Charakter eingebetteter Geräte zu Nutze. Sie stellen sicher, dass während der gesamten Laufzeit nur Funktionsaufrufe und -rückgaben zugelassen werden, die in den Werkseinstellungen definiert sind. Alle anderen Aufrufe – also auch potenziell schädigende – blockt das System automatisch. Dieses Sicherheitsprinzip beruht auf dem Konzept der Control Flow Integrity, also der Integrität während der Laufzeit.
Um diese Wirkungsweise zu generieren, wird die Software nahtlos in den Software-Build-Server integriert (das heißt wenn alle Binärdateien zu einer Datei verknüpft sind). Die Software scannt automatisch die Binärdateien des Controllers, erstellt einen Graphen für Aufrufe und Rückgaben und prüft deren Gültigkeit durchgängig und über den gesamten Lebenszyklus des Geräts hinweg. Dieser gesamte Prozess wird automatisch durchgeführt, ohne dass ein Eingreifen des Entwicklers oder eine Änderung der Entwicklungs- und Produktionsprozesse erforderlich ist.
Ausblick: Sicherheitsstandards in Zukunft erfüllen
Strenge Sicherheitsstandards sind richtig und wichtig, um Unternehmen vor wirtschaftlichen Schäden zu bewahren. Ebenfalls ist es sinnvoll, dass Geräte- und Softwarehersteller ihren Beitrag dazu leisten und die Verantwortung nicht auf die Kunden abwälzen. Nahtlos integrierbare Sicherheitslösungen werden dafür aktuell als Mittel der Wahl angesehen. Natürlich braucht es ein gewisses Know-how, um solche Lösungen zu implementieren. Doch die Integrationsbemühungen beschränken sich auf die Build-Server-Integration und erfordern vom Standpunkt des Entwicklungsprozesses keine Änderungen.
Autor: Rainer Witzgall
(c)2020
Vogel Communications Group
Bitte beachten Sie
Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Communications Group GmbH & Co. KG. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.
Vogel Communications Group
