Security oder Features? Es geht auch Beides!
TL;DR: Security oder Features? Mit zunehmender Digitalisierung stellt sich diese Frage in immer mehr Projekten. Fehlendes Budget und Return-on-Invest machen daraus aber eher eine rhetorische Frage. Wie kann es also gelinge Security als Feature und nicht nur als Versicherung gegen Cyberangriffe zu sehen? Anhand eines Industrie 4.0 Setups wird der Zusammenhang zwischen Aspekten mit einem direkten ROI, wie Optimierung, Automatisierung, Monitoring und Security, gezeigt. Durch einen Perspektivwechsel und eine angepasste Kommunikation können diese, nicht immer offensichtlichen, Zusammenhänge zu mehr zielführenden Security Investitionen führen — ein Win-Win Szenario.
Die Digitalisierung macht auch vor der Industrie nicht halt. Wer nicht konsequent Produktions- und Prozessdaten sammelt und nutzt, wird früher oder später Wettbewerbsnachteile haben. Nur wer die Daten und ihre Zusammenhänge kennt, kann Prozesse effizienter gestalten oder sich anbahnende Defekte frühzeitig erkennen.
Die notwendige Vernetzung der Maschinen und Prozesse sowie die Verschmelzung von OT und IT haben aber auch Seiteneffekte. War früher die Produktion ein Datensilo auf den nur wenige Techniker vor Ort Zugriff hatten, so sind die Daten jetzt zentral verfügbar, innerhalb der Fabrik oder gar via Dashboard in der Cloud. Maschinen können remote konfiguriert oder per Over-the-Air Update aktualisiert werden.
Eine massiv gestiegene Datenmenge und die Vielzahl an neuen Zugriffsmöglichkeiten machen die Industrie aber auch zu einem attraktiven Ziel für Cyberangriffe. Um die Vorzüge der Vernetzung sorglos nutzen zu können, bedarf es daher eines umfassenden Sicherheitskonzepts. Eine TARA (Threat Analysis & Risk Assessment) identifiziert sensitive Assets, zeigt potenzielle Gefahren auf, bestimmt deren Risiko und empfiehlt Maßnahmen, um die vorliegenden Risiken zu minimieren.
Im besten Falle geschieht dies Hand in Hand mit der Planung und dem Aufbau der Produktion. In der Realität sieht es aber oft anders aus. Knappe Budgets beantworten die Frage: Security oder Features? oftmals schon von selbst. Die Gründe liegen klar auf der Hand. Features haben einen direkten Nutzen, der sich meist gut greifbar ist . Security Investitionen werden eher als eine Maßnahme zur Risikominimierung, ohne direkt kalkulierbaren ROI betrachtet. Eine Art Versicherung, von der man hofft, sie nie zu brauchen.
Eine gefährliche Wette, denn mit zunehmender Vernetzung steigt die Angriffsfläche um ein Vielfaches. Gleichzeitig haben Angriffe auf Produktionsanlagen einen ungleich größeren Impact als vergleichbare Angriffe auf Consumer IoT Geräte. Gezielte Industriesabotage kann Security Controls von Industriesteuerungssystemen (ICS) lahmlegen oder gar Menschenleben gefährden. Speziell Ransomware Angriffe, die die Produktion lahmlegen, sind für Angreifer im industriellen Kontext besonders interessant, da Ausfälle sehr teuer und schnell existenzbedrohend werden können. Es wird geschätzt, dass die WannaCry Schadsoftware, die u.a. Großkonzerne wie Telefónica, die Deutsche Bahn oder den Britischen National Health Service mit mehreren Krankenhäusern befallen hat, weltweit über vier Milliarden US Dollar Schaden angerichtet hat.
Doch auch eine zunehmende „Security Awareness“, d.h. die Kenntnis der ständig steigenden Gefahrenlage, zieht leider zu selten konkrete Maßnahmen nach sich. Als kleinster gemeinsamer Nenner wird eine TARA zum Ende des Produktentwicklungsprozesses oder gar nach den ersten Kundenauslieferungen durchgeführt, um den aktuellen Security Status Quo des Produktes zu bestimmen. Meist wird überraschend zur Kenntnis genommen, wenn die Liste der Risikofaktoren dann in Sachen Quantität und Kritikalität von der eigenen Wahrnehmung deutlich abweicht.
Das Dilemma des Security Analysten
An diesem Punkt beginnt das eigentliche Dilemma des Security Analysten. Neben dem Identifizieren der Schwachstellen und Risikofaktoren wird eine Handlungsempfehlung ausgesprochen, wie man Sicherheitslücken beheben und Risiken minimieren kann. Aber gerade besonders Security-kritische Aspekte des Produkts sind schwer oder nur mit hohem finanziellem Aufwand zu beheben, wenn die Architektur schon in Stein gemeißelt ist und keine Änderungen in der Hardware mehr möglich oder gewünscht sind.
Neben Budget Fragen hängt es dann allzu oft an den individuellen Kommunikations- und Überzeugungsfähigkeiten des Analysten, die Notwendigkeit solcher Maßnahmen dem Management zu erläutern. Ein schwieriges Unterfangen, denn eine Entscheidung wird immer auch an wirtschaftliche Aspekte geknüpft. So bleiben in der Realität konkrete Maßnahmen eher eine Seltenheit. Aber muss das sein? Wie können wir trotz ständigen Kostendrucks in Security investieren ohne wertvolle Features streichen zu müssen?
Security as a Feature
Zunächst einige Fakten: Eine 100%ige Sicherheit gibt es nicht. Das ist auch zumeist nicht notwendig, denn es geht darum die Hürde für Angreifer höher zu legen, damit ein Angriff aus Kosten-Nutzen-Sicht unrentabel wird. Security ist ein ganzheitliches Konzept und immer nur so stark wie das schwächste Glied. Daher kann es schon ausreichen, besonders kritische Bereiche besser zu schützen, um das allgemeine Schutzniveau drastisch zu steigern.
So ganzheitlich Security ist, so ganzheitlich muss auch die Betrachtung nach Verbesserungen sein. Neben einer, aus Security-Sicht, optimalen Lösung, sollte ein Analyst immer auch Anforderungen an Kosten, Praktikabilität und Benutzerfreundlichkeit berücksichtigen, um die Chancen zu steigern, dass Maßnahmen tatsächlich umgesetzt werden. Aber wie hilft uns das weiter?
Im Folgenden werden Möglichkeiten aufgezeigt, wie Security als Feature mit direktem Return-on-Invest betrachtet werden kann. Wenn über Optimierung, Automatisierung oder Monitoring gesprochen wird, fällt es oft leichter einen direkten Benefit zu erkennen. Das damit aber mitunter auch das Sicherheitsniveau gesteigert werden kann, wird oft übersehen.
Optimierung oder „Wie verkleinere ich die Angriffsfläche“
Komplexe Systeme sind in vielerlei Hinsicht herausfordernd, z.B. in Sachen Maintenance und Erweiterbarkeit. Insbesondere „gewachsene“ Systeme, deren Software und Hardware über die Zeit erweitert werden (Beispiel: Sensor Retrofitting) tendieren dazu, mit der Zeit immer komplexer zu werden. Der Fokus liegt auf dem Hinzufügen von Funktionalität, weniger auf dem Abschalten von Legacy Komponenten oder dem Entfernen nicht mehr benutzter Code Fragmente.
Aus Security-Sicht ist Komplexität Gift. Je komplexer und größer ein Produkt ist, desto mehr Angriffsfläche ist für einen Angreifer verfügbar und desto mehr Zeit und Geld muss für die Absicherung aufgewendet werden. Ein Invest in die Optimierung der Software oder Systemarchitektur hat somit auch direkten Einfluss auf die Gesamtsicherheit.
Bei einer Vernetzung der Produktion werden existierende Maschinen beispielsweise mit Hardwarekomponenten wie Sensoren oder Edge Devices erweitert, um Daten zu erfassen und zusammenzuführen. Werden Standardprotokolle wie OPC UA verwendet, so kann die Interoperabilität erhöht und zusätzliche Komponenten, wie Gateways zur Übersetzung von Protokollen vermieden werden. Das reduziert die Systemkomplexität und erhöht nicht unnötig die Angriffsoberfläche. Zusätzlich wird Supply Chain Issues vorgebeugt, wenn Komponenten mit proprietären Protokollen kurzfristig nicht zu beschaffen sind und ein Produktionsstop droht, da Alternativen nur umständlich zu integrieren sind.
Eine weitere Optimierungsmöglichkeit kann die “richtige” Implementierung eines Security Controls darstellen. Oft gibt es mehrere Möglichkeiten Maßnahmen mit ähnlichem Schutzlevel zu integrieren. Je nach Setup kann mal die eine, mal die andere Option praktikabler und effizienter sein.
Beispielsweise gibt es für die AWS Cloud mehrere, sichere Device Onboarding Verfahren mit (self-signed) kryptographischen Zertifikaten. Bei Option 1 spielt der Hersteller auf alle Geräte dasselbe Bootstrap-Zertifikat auf. Mit diesem Zertifikat und der vom Benutzer ausgelesenen MAC-Adresse des Geräts wird die Registrierung in der Cloud durchgeführt. Die Cloud übermittelt dem Gerät nach erfolgreicher Registrierung ein einzigartiges Device-Zertifikat für zukünftige Kommunikation.
Diese Option wird bei einer großen Geräteanzahl empfohlen, die beispielsweise bei einem Auftragsfertiger produziert wird. Dieser soll aus Sicherheitsgründen keinen Zugriff auf die Device-Zertifikate erhalten. Hat man jedoch nur eine geringe Stückzahl und produziert selbst (z.B. als Maschinenhersteller) so ist Option 2 viel kosteneffizienter. Der Hersteller integriert direkt einzigartige Device-Zertifikate. Das vereinfacht den Cloud-Registrierungsprozess und für den Kunden entfällt das Auslesen der MAC-Adresse.
Automatisierung oder „Wie eliminiere ich den Faktor Mensch“
Automatisierung beschleunigt Prozesse, indem manuelle Schritte ersetzt werden. Das kann eine Automatisierung mit Maschinen bei einer Produktherstellung sein oder der Einsatz von DevOps-Techniken wie Continuous Integration in der Softwareentwicklung.
Angewandt auf sicherheitskritische Operationen wie Secrets Management, d.h. der Ausstellung und Verwaltung von kryptographischen Zertifikaten, kann das aber auch zu einem Sicherheitszuwachs führen. Menschliche Fehler, entweder durch Unachtsamkeit oder durch gezieltes Herbeiführen mittels Social Engineering werden dadurch eliminiert und der Prozess wird effizienter und sicherer.
Die Vergabe von Berechtigungen ist ein weiterer sensibler Bereich, sei es bei der Zutrittskontrolle für Gebäude oder Zugangsberechtigungen in Softwaresystemen beim Onboarden neuer User oder bei der Bedienung von Maschinen. Automatische Rechtevergabe und -entzug und das Minimalitätsprinzip (es werden nur die Berechtigungen vergeben, die für die jeweilige Tätigkeit notwendig sind) verbessern die Sicherheit und helfen Kosten für Fehlersuche und -behebung zu vermeiden.
Monitoring oder „Security – The Department of No“
Das Security-Department ist oft verschrien als Abteilung der Nein-Sager. Das kommt daher, dass Security-Controls oftmals mit weniger Produktivität und Usability einhergehen. Der Wunsch nach mehr Flexibilität kann aus Security-Sicht nicht nachgekommen werden—oder doch?
In der Tat ist es nicht immer einfach die optimalen Balance zwischen Security und Usability zu finden. Aber durch umfassendes System-Monitoring und Incident Response ist es möglich, mehr Freiheiten zu gewähren, ohne größere Abstriche in der Security machen zu müssen.
Im Beispiel der smarten Fabrik ist ein Use-Case, das Erfassen der Maschinen-Daten, um ein zentrales Condition-Monitoring zu etablieren. Ergänzt man das Monitoring noch um Machine-Learning-Ansätze, ist es sogar möglich drohende Ausfälle, durch Predictive Maintenance Konzepte vorherzusagen.
Predictive Maintenance hat viele Gemeinsamkeiten mit Anomaly Detection, die zum Ziel hat ungewöhnliche Muster in einem Datenstrom zu erkennen. Aus Security-Sicht kann das genutzt werden, um erhöhten Traffic von oder zu einer Maschine zu detektieren oder Verhaltensmuster eines Mitarbeiters zu erkennen, die nicht der Norm entsprechen. Damit können gängige Angriffe wie DoS (Denial of Service), die es auf die Verfügbarkeit der Maschinen absehen, erkannt werden. Auch Insider und Advanced-Persistent-Threats können so frühzeitig erkannt werden, wenn untypische Aktivitäten von einem Mitarbeiteraccount ausgehen. Kombiniert mit automatischen Incident Response-Maßnahmen, wie erzwungene 2-Faktor-Authentifizierung, führt der Aufbau eines Monitoring-Systems so gleichzeitig eine weitere Sicherheitsebene ein.
Zusammenfassung und Ausblick
Security wird zumeist noch als Versicherung verstanden, statt eines Enablers für Digitalisierung. Vernetzte Infrastruktur und Austausch sensibler Daten kann aber nur mit einer sicheren Basis funktionieren. Wie kann aber eine solche Basis mit knappen Budgets und ohne direkten ROI realisiert werden, insbesondere wenn keine Regularien wie KRITIS oder Zertifizierungen nach ISA/IEC 62443 gefordert sind?
Wie so oft im Bereich Security gibt es nicht den einen Königsweg. Neben einer grundlegenden Security-Awareness birgt ein Perspektivwechsel und eine bessere Kommunikation das Potenzial, die Zahl der Investments in Security und deren Erfolg zu erhöhen. Denn oft ist der Zusammenhang zwischen Security und einem Feature nicht offensichtlich.
Lassen Sie uns über Security as a Feature sprechen!
Security ist ein Enabler für vernetzte (Industrial) IoT-Geräte und essentiell um Produkte, Software und ihre Daten zu schützen. Daher analysieren unsere Security-Experten nicht nur den Status Quo ihres Produktes, sondern identifizieren insbesondere auch Synergiemöglichkeiten, wo ein Security-Invest auch gleichzeitig ein Feature mit messbarem Return on Invest darstellen kann. Lesen Sie mehr zu comlet IoT Security. Gerne beraten wir Sie individuell.
comlet Verteilte Systeme GmbH
Amerikastr. 27
66482 Zweibrücken
Telefon: +49 (6332) 811-0
Telefax: +49 (6332) 811-315
https://www.comlet.de
Marketing
Telefon: +49 (6332) 811110
Fax: +49 (6332) 811-315
E-Mail: christina.kist@comlet.de
comlet Verteilte Systeme eröffnet Standort in Valladolid
Der Kontakt mit der UVa ist dabei nicht zufällig entstanden: Der Vorsitzende des Aufsichtsrats der comlet Verteilte Systeme, Prof. Dr.-Ing. Duque-Antón, kommt von dort. Das Büro befindet sich auf dem Miguel-Delibes-Campus, dem größten Komplex der UVa, in dem die Fachbereiche Informatik, Telekommunikation, Physik und Mathematik beheimatet sind.
Von Beginn an suchte comlet den Kontakt zu den Hochschulen Kaiserslautern, Darmstadt und München, um den Studierenden einerseits Möglichkeiten für ihre Praxisphasen zu bieten; andererseits profitieren beide Seiten durch die mit comlet durchgeführten Masterarbeiten, Promotionen oder Projekte. „Da wir dies seit einigen Jahren auch mit der UVa praktizieren, reifte der Entschluss, hier einen Standort zu eröffnen, um die Kooperation zu intensivieren.“, schildert Prof. Dr.-Ing. Duque-Antón die Entscheidung für den Standort. Seit 2015 hat comlet bereits zehn Studierende der UVa betreut.
Hohe Qualität der Absolventen
Die Region Kastilien-Léon, nördlich von Madrid gelegen, ist eine Region, die sich wirtschaftlich gut entwickelt. Es herrscht ein hohes Bildungsniveau, wobei über 10.000 Menschen in der Forschung arbeiten. Außerdem sorgen über 35 Forschungseinrichtungen für einen regen Wissens- und Technologietransfer. Die wichtigsten Branchen der Region sind Automotive, Luft- und Raumfahrt sowie Pharma und Energie.* „Wir haben die Erfahrung gemacht, dass die Qualität der dortigen Absolventen exzellent ist, gleichzeitig sind das Engagement und die Neugierde an Technologie sehr hoch.“, so Prof. Dr.-Ing. Duque-Antón. „Der persönliche Bezug und die Begeisterung für die Region, ihre Menschen und deren Mentalität sind für uns auch eine solide und wesentliche Basis für das Engagement von comlet in Valladolid.“
Die Zusammenarbeit mit Universitäten, auch international, gehört für comlet zum Konzept der Zukunftssicherung. Darüber hinaus geht comlet mit dem neuen Standort auch den nächsten Schritt in Richtung Internationalisierung. Das kommt auch den Kunden von comlet zugute.
Weitere Informationen unter: www.comlet.de.
*Quelle: Instituto para la Competitividad Empresarial de Castilla y León (ICE), Junta de Castilla y Léon
digital. connected. intelligent.
Als Pionier der Digitalisierung stehen wir seit über 20 Jahren für vernetzte und intelligente Systeme. Das macht uns zu einem gefragten Kooperationspartner für digitale Technologien. Wir bieten unseren Kunden Softwareentwicklung nach Maß sowie fertige Lösungen zur Vernetzung ihrer Systeme. Durch unsere Expertise in weiteren Themenfeldern wie AI, Testing, Software/Configuration Management oder Security, bieten wir alles, was es für eine erfolgreiche, digitale Transformation braucht.
Einer unserer Leitgedanken lautet: Vernetzung so einfach wie möglich.
comlet Verteilte Systeme GmbH
Amerikastr. 27
66482 Zweibrücken
Telefon: +49 (6332) 811-0
Telefax: +49 (6332) 811-315
https://www.comlet.de
Marketing
Telefon: +49 (6332) 811110
Fax: +49 (6332) 811-315
E-Mail: christina.kist@comlet.de
20 Jahre comlet: Innovationsfreude bei der Entwicklung von Embedded Systems zur Tradition gemacht
Connected Car, Autonomes Fahren, Smart Farming, Industrial Internet of Things und Smart Home – alle Felder, in denen durch intelligente Vernetzung eine intuitive Benutzung angeboten und gleichzeitig Mehrwerte generiert werden können, sind Bereiche, in denen comlet Lösungen für seine Kunden aus ganz unterschiedlichen Hightech-orientierten Branchen erarbeitet. Dazu gehören generelle Leistungen rund um die Entwicklung von Embedded Software, sei es nahe an Hardware-Systemen oder auf Betriebssystemebene, aber auch weitere Themen aus dem Software-Lebenszyklus wie Integration, Maintenance, Testen, Security, Architektur-Know-how sowie mobile Applikationen und IoT-bzw. Cloud-Infrastrukturen.
Unternehmerisches Denken und beratender Ansatz
Ein ganz wichtiger Faktor für eine erfolgreiche Zusammenarbeit ist die Nähe zum Kunden. „Das meinen wir wörtlich! Einerseits dadurch, dass wir bereits bei der Erfassung und Beschreibung des Problems die Dinge aus seiner Sicht betrachten. Andererseits haben wir unsere Standorte Darmstadt und München gewählt, weil sie räumlich nahe an vielen unserer Kunden liegen und weil es dort ebenfalls hervorragende Informatik-Fakultäten an den Hochschulen gibt“, sieht Prof. Dr. Manh Tien Tran comlet auch für die Zukunft bestens aufgestellt.
Kunden schätzen an comlet das unternehmerische Denken und den systemischen Ansatz. Letztendlich liefern die Unternehmen eine Vielzahl von Komponenten und erwarten von comlet ein System, das als Ganzes einfach bedient werden kann, ohne sich mit den Details der einzelnen Komponenten beschäftigen zu müssen. Obwohl sich die Komponenten jeweils erheblich in ihren Funktionalitäten unterscheiden können, ist das von comlet gern genutzte Know-how oft das Gleiche: Es geht darum, die Komplexität zu beherrschen, die aus der starken Vernetzung resultiert. „Auf diese Weise können wir unseren Kunden viele Hundert Mannjahre Erfahrung
und umfangreiche Expertise im Embedded Engineering anbieten, die wir in unterschiedlichen Domänen erworben haben“, so Prof. Dr. Manuel Duque-Antón über eine Stärke seines Unternehmens. Dadurch ergeben sich langfristige Beziehungen, denn comlet wird von seinen Kunden als Technologiepartner und Know-how-Lieferant auf Augenhöhe akzeptiert.
Vereinbarkeit von Familie und Beruf
Dass comlet es geschafft hat, die Neugierde an der Innovation mit der Souveränität einer organisch gewachsenen Firma zu vereinigen, ist ein Faktor, der das Klima im Unternehmen prägt. Auch familiäre Züge hat comlet sich bewahrt. So lassen sich individuelle Anliegen sowie die Vereinbarkeit von Familie und Beruf dadurch realisieren, dass ein starker Zusammenhalt und eine optimistische Grundeinstellung dem gemeinsamen Handeln zugrunde liegen. Die Nähe von comlet zu den Studierenden an den Standorten sorgt außerdem für ein starkes Interesse von Doktoranden, Absolventen und Praktikanten. So bleibt comlet jung und stets nah an der aktuellen Forschung.
Die Nähe zu verschiedenen nationalen und internationalen Hochschulen und Forschungseinrichtungen fördert auch die hohe Qualität und die Zukunftsfähigkeit der Aufstellung von comlet. Das beweisen unter anderem Zahl und Qualität der Spitzenforschungs-Projekte, die von den Wirtschaftsministerien des Bundes und von Rheinland-Pfalz bislang gefördert worden sind.
„Im Grunde unterstützen wir bereits seit 20 Jahren unsere Kunden bei der Digitalisierung,“ so Geschäftsführer Steffen Fromm, „und dazu werden wir von ihnen auch in Zukunft weiterhin dringend gebraucht. Da werden neue Kunden dazu kommen, aber auch unsere Bestandskunden werden uns neu entdecken: Denn erst, wenn sie die ganze Breite unseres Angebots kennen, können sie noch besser von unserer flexiblen, antizipierenden und umfassenden Aufstellung profitieren. Wir werden uns und unsere Kunden aus Schubladendenken hinaus emanzipieren.“
comlet Verteilte Systeme GmbH ist ein spezialisierter Entwicklungs-Dienstleister im Bereich Embedded Systems. Für unsere Kunden entwickeln wir einzelne Systeme und Komponenten in der Softwareentwicklung bis hin zu kompletten Produkten und betreuen sie über den vollständigen Produktlebenszyklus. Durch jahrelange Projekterfahrung und Prozesstreue gewährleisten wir die sichere und zuverlässige Ausführung aller Aufträge.
comlet Verteilte Systeme GmbH
Amerikastr. 27
66482 Zweibrücken
Telefon: +49 (6332) 811-0
Telefax: +49 (6332) 811-315
https://www.comlet.de
Marketing
Telefon: +49 (6332) 811110
Fax: +49 (6332) 811-315
E-Mail: christina.kist@comlet.de