Security Testing als Teil der Automatisierung

Software-Sicherheit in der Industrie

| Autor / Redakteur: Prof. Dr. Hartmut Pohl / Reinhard Kluger

Die Nachfrage nach Technologien und Lösungen zur Verbesserung der IT-Sicherheit wächst.
Die Nachfrage nach Technologien und Lösungen zur Verbesserung der IT-Sicherheit wächst. (Bild: BITKOM)

Der fehlerbehaftete Ablauf von Software birgt das Risiko eines Schad-Angriffs. Security Testing beugt dem vor, Sicherheitslücken werden systematisch aufgedeckt. Der Nutzen: höheres Sicherheitsniveau eines Industrial Control Systems.

Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter der Softscheck GmbH.
Prof. Dr. Hartmut Pohl, Geschäftsführender Gesellschafter der Softscheck GmbH. (Bild: Softscheck)

Seit Stuxnet (*2006) und dessen mehr als 10 Nachfolgern und Derivaten sind Angriffe auf Industriesteuerungen in aller Munde – aber es gibt noch viele Punkte zu bedenken, um zukunftssichere Lösungen zu erreichen. Allerdings wäre es völlig falsch, nur die aggressiver werdenden Angriffe zu analysieren. Die Untersuchung von Angriffen ist sogar völlig überflüssig! Richtig ist vielmehr, Security Testing einzusetzen, um insbesondere die von den Angriffen ausgenutzten Sicherheitslücken (insbesondere die noch nicht veröffentlichten Zero-Day-Vulnerabilities) zu identifizieren und zu beheben (zu patchen): Ohne Sicherheitslücke ist nämlich kein einziger Angriff mehr erfolgreich!

Über Netze in elektronische Systeme eindringen

Derzeit werden längst nicht alle Sicherheitslücken veröffentlicht – noch nicht einmal die den Herstellern bekannten – und sie werden z.T. über Jahre nicht behoben (gepatcht)! Gerade die selbst den Herstellern (noch?) nicht bekannten Sicherheitslücken stellen ein erhebliches Risiko dar, weil sie von Kriminellen und Nachrichtendiensten erfolgreich zur Spionage und Sabotage ausgenutzt werden (können).

Tests und Prüfungen der funktionalen Sicherheit sind Stand der Technik. Bedingt durch die stark zunehmende Vernetzung – auch schon vor der Industrie 4.0 – wird aber tatsächlich über Netze in programmierbare elektronische Systeme eingedrungen.

Dies gilt für Maschinensteuerungen, Produktionsanlagen, Leitstellen, Leittechnik und modernes Gebäudemanagement und auch Fernwartungs- und Fernsteuerungsanlagen, Wartungsplattformen, Router, Gateways und auch für sicherheitsgerichtete elektrische und elektronische Systeme und generell für Fernzugriffe – auch über VPN und andere Sicherheitssoftware und Sicherheitshardware wie z.B. industrielle Firewalls.

Damit werden Programme und Steuerdaten ausgelesen (Spionage) und Daten so manipuliert, dass die implementierten Safety-Maßnahmen ausgehebelt werden. Um die funktionale Sicherheit von Systemen (Safety) sicherzustellen, ist daher Security unverzichtbar. Notwendig ist hier ein Tool-gestützter Security Testing Process wie er in der ISO 27034 als Stand der Technik formuliert wird mit den folgenden vier Methoden: Threat Modeling, Static Source Code Analysis, Penetration Testing und insbesondere Dynamic Analysis Fuzzing.

Gezielte Angriffe auch ohne Internet-Anschluss

Die Risiken liegen im fehlerhaften Ablauf der Software, (leicht) fahrlässiger Bedienung der Software bis hin zu gezielten Angriffen aus dem Unternehmen und auch aus dem Internet. Ein Internetanschluss ist aber für einen erfolgreichen Angriff gar nicht notwendig – wie die Angriffe auf Industriesteuerungen mit dem Wurm Stuxnet usw. ebenfalls gezeigt haben.

Sicherheit ist also schon lange nicht nur ein theoretisches Problem. Tatsache ist, dass nicht nur weit entfernte Uran-Zentrifugen angegriffen werden, sondern unsere eigenen Prozesssteuerungen, unsere Abfüllanlagen, unsere Wartungsplattformen usw. – Missbrauchsfälle sind hinreichend bekannt. Security Testing ist eine Notwendigkeit für die Automatisierung.

Dieser Beitrag stammt ursprünglich aus unserer Schwesterpublikation Elektrotechnik.de.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42947734 / Softwareentwicklung)