Industrie 4.0 und das Internet der Dinge sind in aller Munde. Nur wenn frühzeitig auch den Sicherheitsrisiken im Hardwarebereich begegnet wird, führt dieser Technologietrend nicht ins Fiasko.
Berlin, 29.01.2015 – Die GAI NetConsult GmbH, führender Anbieter von IT-Sicherheitsaudits und der Beratung im Bereich IT-Sicherheitsmanagement, sieht das mangelnde Sicherheitsdesign von Hardwarebauteilen als erhebliches Sicherheitsrisiko bei Industrie 4.0 und dem Internet der Dinge. In dem Artikel “Sichere Systeme – Security beim Hardwaredesign” im aktuellen Security Journal von GAI NetConsult werden nicht nur die wichtigsten Angriffsvektoren auf Hardwareebene vorgestellt, sondern auch Gegenmaßnahmen und Best-Practices seitens der Hersteller diskutiert. Zudem werden Tipps für die Produktentwicklung und -auswahl gegeben.
In unser tägliches Leben halten sowohl im privaten Bereich als auch in den Unternehmen verstärkt Systeme zur Automatisierung und Steuerung Einzug. Im Hype um Industrie 4.0 und das Internet der Dinge wird eine Problematik leider zu oft ausgeblendet: Beim Design solcher Systeme wird nicht selten der Fokus auf die Verwendung einer sicheren Hardware vernachlässigt. Dadurch sind viele dieser Systeme anfällig für Hacker-Attacken und Datenverluste, nur ist sich dessen kaum jemand bewusst.
Schon heute wird der Hardware von kritischen Infrastrukturen wie Steuerungsanlagen in der Energiewirtschaft in Bezug auf Sicherheitsdesign zu wenig Aufmerksamkeit gewidmet. Wenn nun mit dem Industrie 4.0-Konzept massiv vernetzte Steuerungselemente in die industriellen Fertigungsprozesse einziehen und das tägliche Leben durch das Internet of Things (IoT) mit vernetzten Devices aller Art angereichert wird, potenziert sich die Gefahr dramatisch.
Dabei sind Konzepte und Lösungen für sicheres Hardwaredesign längst vorhanden. Es ist essentiell wichtig zu verstehen, dass Security keine “App” oder ein nachträglich zugefügtes “Feature” ist. Ein System muss von Grund auf hinsichtlich Sicherheitsanforderungen geplant, konstruiert und gefertigt werden. Sicherheit ist ein Prozess, kein Produkt. Sicherheit muss grundsätzlich schon während der Konzeptphase in ein Produkt eingebracht und für jeden Teil des Entwurfs berücksichtigt werden.
Sicherheitslücken in der Hardware ermöglichen zahlreiche Angriffsszenarien wie beispielsweise das unbemerkte Abhören von Daten, Steuerungsinformationen und Messwerten. So wurde beispielsweise die bekannte Xbox von Microsoft über das Auslesen des Bussystems auf der Hauptplatine geknackt. Kennt der Angreifer so die Details der Sicherheitsarchitektur, ist für ihn der Zugriff auf andere Xbox-Systeme deutlich einfacher. Weitere bekannte Schadensszenarien sind die Funktionsunterbrechung oder der Einbau “neuer” Funktionen für den Angreifer, die zum gewünschten Zeitpunkt die Steuerung Dinge tun lässt, die nicht vorgesehen waren. Im Internet der Dinge oder bei der massiven Aufrüstung von industriellen Fertigungsprozessen mit vernetzten Steuerungssystemen kann man sich die wirtschaftlichen Folgen und Risiken für Mensch und Umwelt schnell ausmalen.
“Die Notwendigkeit der Sicherheit beim Hardware-Design steht außer Frage. Die in unserem Artikel genannten Schwachstellen und Angriffsszenarien zeigen deutlich, wie wichtig der Blick auf die Hardware ist”, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. “Sie zeigen auch, dass Software – und sei diese noch so sicher konfiguriert und programmiert – nicht vor Angriffen auf der Ebene der Hardware schützt. Es sollte aus diesem Grund immer auch ein kritischer Blick auf die Hardware geworfen werden – insbesondere bei Systemen, die in Bereichen der Kritischen Infrastrukturen eingesetzt werden.”
Die Gegenmaßnahmen im Hardwaredesign erstecken sich über drei Ebenen: Das Gehäusedesign, das Platinen-Layout und die Firmware. Für alle drei Ebenen gibt es zahlreiche Gegenmaßnahmen, die im neuen Artikel der GAI NetConsult zum Thema ausführlich beschrieben werden. Der Artikel wurde im Security Journal der GAI NetConsult veröffentlicht und kann kostenlos bezogen werden.
Zu den wichtigsten Gegenmaßnahmen gehört, sich zunächst das Ausmaß der Bedrohungslage bewusst zu machen und dann geordnet vorzugehen. Dies kann über alle Ebenen vom Hersteller über die Betreiber bis zum Nutzer geschehen. Hersteller sollten ihr Hardware-Sicherheitsdesign immer wieder von externen Experten auditieren lassen. Betreiber von Kritischen Infrastrukturen wie beispielsweise der Energieversorgung oder der Verkehrsleittechnik, aber auch zunehmend Fertigungsunternehmen, die ihre Steuerungstechnik im Rahmen des Industrie 4.0-Konzeptes stärker vernetzen, sollten ein Informationssicherheitsmanagement (ISMS) auf der Basis von ISO/IEC 27001 einführen. Sogar einfache Nutzer von vernetzter Hardware können durch ein verstärktes Hinterfragen der Sicherheitsmaßnahmen bei der Produktauswahl den Marktdruck zugunsten von mehr Sicherheit im Internet der Dinge erhöhen.
Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. In einer “TOP 10 der Sicherheitsrisiken” stellt es die wichtigsten Bedrohungen der letzten zwei Monate zusammen und gibt Hinweise zu empfohlenen Gegenmaßnahmen. In der neu eingeführten Kolumne “ICS Security News” werden zudem wichtige Sicherheitsinformationen speziell aus dem Bereich der Steuerungs- und Automatisierungssysteme (Industrial Control Systems – ICS) weitergegeben. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal
Details zu den Beratungsangeboten der GAI NetConsult wie Sicherheitsaudits, Sicherheitsmanagement und ISMS-Einführung finden Sie hier: https://www.gai-netconsult.de
Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderem Fokus auf das Thema IT-Sicherheit. Unser Angebot umfasst dabei die qualifizierte Beratung sowie die Konzeption und Realisierung individueller Aufgabenstellungen bis zur Einführung und Betreuung im laufenden Betrieb.
Bei der Informationssicherheit konzentrieren wir uns auf Sicherheitsaudits, Penetrationstests, Hacking, ISO/IEC 27001 / ISO/IEC 27019 Umsetzung und die Einführung von Information Security Management Systemen (ISMS) im Sicherheitsmanagement. Ein besonderer Schwerpunkt liegt in der Sicherung kritischer Infrastrukturen in der Leittechnik, Industrial Control Systems (ICS), SCADA, Prozessdatenverarbeitung (PDV) und Industrie 4.0. Sichere Prozessintegration, sichere Anwendungsentwicklung und die Umsetzung des Security Development LifeCycle sind die Basis für Integrationslösungen und Branchenlösungen auf der Basis von EIA und ESB mit modernen SCRUM Methoden. Unsere Spezialisten gehören zu den Top-Know-how-Trägern für Informationssicherheit und ICS-Sicherheit und arbeiten in führenden Fachgremien an Industriestandards und nationalen Sicherheitsempfehlungen mit.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.
Firmenkontakt
GAI NetConsult GmbH
Detlef Weidenhammer
Am Borsigturm 58
D-13507 Berlin
+49 30 / 41 78 98 – 0
info@gai-netconsult.de
http://www.gai-netconsult.de
Pressekontakt
bloodsugarmagic GmbH & Co. KG
Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen
0049 7721 9461 220
bernd.hoeck@bloodsugarmagic.com
www.bloodsugarmagic.com