Security by Design sollte im Internet der Dinge eigentlich selbstverständlich sein. In der Realität kommt die Sicherheit bereits der Hardware-Entwicklung zu kurz. Dies ist ein schwerwiegender Fehler, schließlich werden im Internet of Things kritische Infrastrukturen und Geräte vernetzt.
Sicherheit beim Hardware-Design sollte in der Industrie 4.0 eigentlich die Regel sein.
(Bild: Archiv)
Sicherheitsaspekte werden im Hype um Industrie 4.0 und Internet der Dinge allzu oft vernachlässigt, meint das Auditierungsunternehmen GAI NetConsult. Viele moderne, vernetzte Systeme seien bereits durch Fehler bei der Hardware-Entwicklung anfällig für Hacking und Datenverlust. Selbst die Betreiber kritischer Infrastrukturen schenkten dem Sicherheitsdesign zu wenig Aufmerksamkeit.
Als Beispiel für die Auswirkungen führt GAI NetConsult die Microsoft Xbox an, deren Bussystem auf der Hauptplatine geknackt wurde. Kennt der Angreifer so die Details der Sicherheitsarchitektur, erleichtert ihm das den Zugriff auf andere Geräte gleicher Bauart.
In kritischen Infrastrukturen, in denen vermehrt intelligente Steuerungssysteme zum Einsatz kommen, ist die Gefahr natürlich noch um einiges größer. Doch auch im Privatleben, in dem das Smart Home zur Realität wird und vernetzte oder gar autonome Fahrzeuge erforscht werden, kann ein Angriff schwerwiegende Konsequenzen nach sich ziehen.
Handlungsempfehlungen für Hersteller
Die Gegenmaßnahmen im Hardware-Design erstecken sich über drei Ebenen: Das Gehäusedesign, das Platinen-Layout und die Firmware. Für alle drei Ebenen gibt es zahlreiche Gegenmaßnahmen. Zu den wichtigsten Gegenmaßnahmen gehört, sich zunächst das Ausmaß der Bedrohungslage bewusst zu machen und dann geordnet vorzugehen. Dies kann über alle Ebenen vom Hersteller über die Betreiber bis zum Nutzer geschehen.
Hersteller sollten ihr Hardware-Sicherheitsdesign immer wieder von externen Experten auditieren lassen. Betreiber von Kritischen Infrastrukturen wie beispielsweise der Energieversorgung oder der Verkehrsleittechnik, aber auch zunehmend Fertigungsunternehmen, die ihre Steuerungstechnik im Rahmen des Industrie 4.0-Konzeptes stärker vernetzen, sollten ein Informationssicherheitsmanagement (ISMS) auf der Basis von ISO/IEC 27001 einführen.
Konzepte und Lösungen für sicheres Hardwaredesign sind längst vorhanden, gibt GAI NetConsult zu bedenken. Sicherheit sei ein Prozess, kein Produkt. Sicherheit müsse dementsprechend schon während der Konzeptphase in ein Produkt eingebracht und für jeden Teil des Entwurfs berücksichtigt werden. Das aktuelle Security Journal der GAI NetConsult GmbH zeigt die wichtigsten Angriffsvektoren auf Hardware-Ebene sowie Gegenmaßnahmen und Best-Practices verschiedener Hersteller.
Aufklappen für Details zu Ihrer Einwilligung
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.