Security by Design

Produkte von Grund auf sicher

Von Daniela Hoffmann · 2024

Security by Design wird zu einem Cybersecurity-Mindeststandards für kritische Infrastruktur. Ähnlich wie schon beim Inkrafttreten der Datenschutz-Grundverordnung könnten auch in diesem Fall viele Unternehmen von den damit verbundenen Herausforderungen eiskalt erwischt werden.

Hände tippen auf einer Tastatur, auf dem Screen ist ein Schloss zu sehen: IT-Sicherheit
Cybersecurity gehört zum Fundament von Software und IT-gesteuerten Produkten. Foto: iStock / sarayut

Security by Design bedeutet, die Cybersicherheit von Produkten vom ersten Entwicklungsschritt an mitzudenken. Dieser Ansatz ist einer der in der Richtlinie NIS-2 festgelegten Cybersecurity-Mindeststandards für Kritische Infrastrukturen. Gerade dort, wo es um digitale Services für Produkte geht, die über Sensoren im Internet of Things Echtzeitdaten etwa an den Hersteller senden, ist besondere Aufmerksamkeit geboten. 

Ob das eine Webmaschine in der Textilindustrie ist, die ihre Muster IoT-gesteuert fertigt, eine Photovoltaik-Anlage, die ihre Daten in das Unternehmensnetz einspielt oder ein IT-Sicherheitsservice, der für NIS-2-Installationen Software anbietet: Für jedes Gerät und Produkt muss sichergestellt werden, dass es über seinen Lebenszyklus hinweg nicht gehackt und als Teil eines Bot-Netzes missbraucht werden kann.

Security by Design: Neue Konzepte für IT-Services

Die Sicherheitsvorgaben betreffen dann auch sämtliche vernetzten Geräte wie Sensoren, IoT-Gateways oder Edge-Computer. Für eingebettete Systeme gilt ebenfalls, dass ihre Herstellung nach Secure-by-Design-Vorgaben erfolgt sein muss. Das beginnt schon mit einem sicheren Betriebssystem und erstreckt sich über nach sicheren Produktionsprozessen gefertigte Hardware und Software.

Weil digitale Services ein recht neues Thema für viele Hersteller sind, wird rund um IoT-Anwendungen nach wie vor viel experimentiert. Zugleich zeigt die Praxiserfahrung, dass es in puncto Sicherheit keine einfachen, vorgefertigten Lösungen gibt: Dafür sind die Anwendungsfälle und Einsatzszenarien schlicht zu unterschiedlich. So kann es etwa um das remote Einspielen von Software-Updates oder um Fernwartung gehen, damit Servicetechniker keine teuren, zeitintensiven Vor-Ort-Einsätze machen müssen. 

Höhere Standards für Maschinen

Rund um vorausschauende Wartung werden Echtzeitdaten zur „Maschinen-Gesundheit“ übermittelt. Jeder Zugriff von außen muss so abgesichert sein, dass keine Angriffsfläche für Cyberkriminelle entsteht. Um neue Produkte und Services auf den Markt zu bringen, müssen Hersteller sich also dringend auf erheblich höhere Cybersecurity-Standards einstellen.

Quellen:
zdf heute: Cybersicherheit in Neuwagen
BSI: Security Assessments und Security-by-Design

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)