Definition Was ist Security by Design?

Von Security by Design spricht man, wenn bei der Entwicklung von Hard- und/oder Software bereits von Anfang an darauf geachtet wird, die Systeme möglichst ohne Schwachstellen und so unempfindlich wie möglich gegen Angriffe zu konzipieren.

Hard- und Software nicht nur sinnvoll miteinander zu verknüpfen, sondern bereits in der Konzeptions- und Entwicklungsphase darauf achten, dass beide keine späteren Schwachstellen offenbaren – genau das macht „Security by Design“.

Sicherheitsanspruch und -standards in die Entwicklungsphase integrieren

Der Begriff „Security by Design“ gewann, nicht zuletzt durch die kontinuierliche Verbreitung von IoT-Systemen, zuletzt zusehends an Bedeutung. Gleichermaßen grenzt sich der Begriff gegen andere Sicherheitskonzepte ab, darunter beispielsweise Security through Obscurity, Security through Obsolescence oder Security through Minority.

Beim Security by Design stehen die späteren hohen Sicherheitsstandards bereits bei der Produktentwicklung im Fokus – was Software ebenso wie Hardware betrifft. Damit werden die Sicherheitsstandards automatisch auch in den kompletten Produktlebenszyklus integriert und an diesen gekoppelt. Das Prinzip fußt auf dem Grundsatz, dass ein später durch Patches oder Updates geflicktes System nie so sicher sein kann wie eines, das bereits in der Entwicklungsphase das Fundament für eine realistisch größtmögliche Sicherheit legte.

Designkriterien bei einer Anwendung von Security by Design

Das Prinzip untersteht einer Reihe von Kriterien, die erfüllt sein müssen, damit selbiges überhaupt greift. Das sind zum Beispiel:

• -die technische Isolation von sicherheitsrelevanten Komponenten und Bereichen,

• der Einsatz moderner Verschlüsselungstechnologien,

• ergänzende Sicherheit durch Authentifizierungsverfahren, insbesondere auch über Zweitgeräte,

• generelle Minimierung der Angriffsfläche,

• fortlaufende Prüfung der Sicherheit.

Das Konzept Security by Design greift also erstmals bei der Ideenfindung, erhält dann die notwendige Aufmerksamkeit in der Produktentwicklungsphase und begleitet das Produkt bis zum Ende seines Lebenszyklus. Um bei der genutzten Sicherheitsarchitektur die Gesamtangriffsfläche zu minimieren, werden die oben genannten Grundsätze eingehalten. Des Weiteren wird beispielsweise auf überflüssige Komponenten verzichtet, die nachfolgend ein Sicherheitsrisiko darstellen könnten.

Obgleich diese Designkriterien bereits bei der Entwicklung eine Schlüsselrolle einnehmen, finden ebenso fortlaufende Sicherheitstests und vergleichbare Prüfungen statt. Auf Firmware-Updates und beispielsweise Sicherheitspatches wird also nicht verzichtet.

Vorteile von Security by Design

Generell reduziert sich mit diesem Ansatz sowohl bei Soft- als auch Hardware das Sicherheitsrisiko. Nutzer der Produkte werden mit einer geringeren Wahrscheinlichkeit Opfer von Cyberattacken und vergleichbaren Angriffen. Wirtschaftlich kann sich Security by Design für den Hersteller ebenfalls lohnen, wenn dieser in der Folge weniger häufig Patches veröffentlichen muss - während sein Produkt weiterhin den Status als sehr sicher genießt. Das reduziert ebenso das Haftungsrisiko. Generell ist vielen der mit Security by Design entwickelten Produkten eine höhere Qualität sowie ein längerer Lebenszyklus zuzuschreiben.

Notwendigkeit in Anbetracht der Industrie 4.0

Die Verschmelzung zwischen Operational Technology (OT) und IT macht sichere Systeme insbesondere mit Hinblick auf die Industrie 4.0 und das Internet der Dinge (IoT) notwendig.

(ID:49513210)