Das digitale Zeitalter eröffnet ungeahnte Möglichkeiten für Verbraucherinnen und Verbraucher, für Unternehmen – und für Cyberkriminelle. Deshalb wollen Sicherheitsexperten von TÜV NORD Software und vernetzte Produkte bereits bei der Entwicklung so sicher wie möglich machen.
745.000 Träger vernetzter Herzschrittmacher auf der ganzen Welt durchfuhr im August 2017 ein kalter Schreck: Die Gesundheitsbehörde der USA hatte eine Sicherheitslücke entdeckt, über die Hacker Pulsfrequenz oder Batterieladung der lebenswichtigen Geräte manipulieren konnten. Erst durch ein Firmware-Update wurde die gefährliche Lücke geschlossen. Sicherheitslücken wie diese sind in unserer vernetzten Gegenwart längst zur Regel geworden. Über die Hälfte aller Unternehmen in Deutschland war bereits von Cyberattacken betroffen, ergab eine Studie des Verbands der Elektrotechnik, Elektronik und Informationstechnik (VDE). Pro Jahr verursachen Cyberattacken bei Unternehmen weltweit Schäden in Höhe von rund 400 Milliarden Euro, ermittelte der Versicherer Allianz Global Corporate & Speciality. Mehr als 45 Milliarden davon entfielen auf die deutsche Wirtschaft, Stand 2015 – Tendenz stark steigend. Selbst kritische Infrastrukturen wie Energieversorger sind nicht mehr vor Cyberkriminellen sicher, wie der Hackerangriff auf ukrainische Kraftwerke 2015 beweist.
Mehrstufige Schutzbarrieren
„Wir müssen uns überlegen, ob wir den Hackern weiter hinterherlaufen wollen und Sicherheitslücken notdürftig stopfen – oder stattdessen eine vorausschauende Sicherheitspolitik betreiben“, sagt Matthias Springer. Die Lösung für den Leiter der Koordinierungsstelle Security4Safety von TÜV NORD: Security by Design. Die Idee hinter diesem Konzept ist, Sicherheitslücken gar nicht erst entstehen zu lassen. Dazu begleiten Sicherheitsexperten den kompletten Entwicklungsprozess von Software oder smarten Geräten und arbeiten dabei mit IT-Abteilungen und Entwicklern interdisziplinär zusammen. „Es geht um das Prinzip mehrstufiger Schutzbarrieren“, erläutert Matthias Springer. „Man spricht hier auch von der digitalen Ritterburg.“ Wie in den mittelalterlichen Festungen ein komplexes System aus Burggräben, Vormauern und Wehrmauern Angreifern den Weg versperrte, nehmen die Experten Sicherheitsaspekte auf allen Ebenen in den Blick: von der Software über die Hardware, das Netzwerk, die Prozesse bis zu den Anwendern. „Macht man das nur auf einer Ebene, sind die anderen Ebenen immer noch ungeschützt. Und Angreifer suchen sich immer die schwächste Stelle“, erläutert Springer. Wie die Burgbaumeister des Mittelalters müssen sie abschätzen: Von wo können Angriffe erfolgen, welche Motive und Möglichkeiten haben Angreifer und wie können sie effektiv abgewehrt werden. „Wenn wir alle diese Aspekte miteinbeziehen, entsteht ein umfassendes Bild, welche Ebenen besonders schützenswert sind.“
„Wir müssen uns überlegen, ob wir den Hackern weiter hinterherlaufen wollen und Sicherheitslücken notdürftig stopfen – oder stattdessen eine vorausschauende Sicherheitspolitik betreiben.“
Bereits etablierte Sicherheitslösungen einfach nur anzupassen, reicht dazu nicht aus, erklärt Springer. „Man muss wirklich auf dem weißen Blatt Papier anfangen. Das ist der beste Weg.“ Die Sicherheitsexperten unterstützen so den Entwicklungsprozess, um für die jeweilige Situation neue, individuelle Lösungen zu kreieren.
Bereits erfolgreich umgesetzt haben die Experten von TÜV NORD und TÜViT Security by Design zum Beispiel im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) bei der Entwicklung des sogenannten Smart-Meter-Gateways. Diese Kommunikationszentralen für den Heizungskeller übermitteln die“ten von Stromzählern an Energieversorger und übernehmen eine Schlüsselrolle für das smarte Energiesystem der Zukunft. Um sie umfassend zu schützen, begleiteten die Experten von TÜV NORD den gesamten Entwicklungsprozess von der Spezifikation der Sicherheitsprofile bis zur Umsetzung.
400 Milliarden Euro Schaden verursachen Cyberattacken bei Unternehmen weltweit jährlich. Mehr als 45 Milliarden davon entfielen im Jahr 2015 auf die deutsche Wirtschaft.
Bei den smarten Stromzählern sind größtmögliche Sicherheitsstandards mittlerweile gesetzlich verpflichtend, bei vielen smarten Produkten sind sie jedoch bislang noch optional. Das Problem: Für zwei Drittel der deutschen Unternehmen sind Leistungsfähigkeit und Benutzerfreundlichkeit im Zweifelsfall wichtiger als IT-Sicherheit, ergab eine Befragung von Crisp Resarch im Auftrag von TÜViT. Doch das ist zu kurz gedacht: Mit der Sicherheit steigen Kundenzufriedenheit, Verfügbarkeit der Komponenten und Rechtssicherheit. Kosten für technische und juristische Schadensbegrenzungen sinken, ebenso wie die Gefahr von Imageschäden durch erfolgreiche Hackerangriffe. IT-Experte Springer: „Security by Design führt mittel- und langfristig zu einem strategischen Marktvorteil.“
Ganzheitliche Sicherheit braucht Standardisierung
So effektiv Security by Design auch für einzelne vernetzte Produkte und Anwendungen ist: Damit umfassende Sicherheit gerade für kritische Infrastrukturen gewährleistet wird, braucht es einen branchenübergreifenden Sicherheitskodex. „Wir müssen für alle Bereiche normative Bedarfsanalysen durchführen, um dann für die jeweiligen Branchen Sicherheitsstandards mitzugestalten und zu entwickeln. Das ist die große Aufgabe, die der Gesetzgeber und die Normsetzung momentan haben“, so Springer. „Zwei bis drei Jahre werden wir dazu sicherlich benötigen“, ergänzt der Sicherheitsexperte. „Deshalb müssen wir das jetzt anpacken“.