:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/5f/a35f0343ded23356f5a14cc344d274a4/0118321942.jpeg "Helpdesk-Mitarbeiter sind sowohl der am besten zugängliche Endpunkt, als auch die erste Verteidigungslinie eines Unternehmens. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/c2/38c201fe602031e0fddea4333ca5ee29/0118350186.jpeg "Zwei Schwachstellen in Treibern für AMD Radeon-Grafikadapter und verschiedenen Client-Prozessoren ermöglichen die Ausführung von beliebigem Code auf betroffenen Systemen. (Bild: Tomasz Zajda - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/ef/b6ef4d118242940df2cc9de4fce975b1/0115509917.jpeg "GPT4All bietet eine übersichtliche und einfache Oberfläche. (Bild: T. Joos)")
:quality(80)/p7i.vogel.de/wcms/6e/eb/6eeb93d95d6367e707843fe02cab71b4/0118321293.jpeg "Es gibt Schwachstellen bei der Open Source-Firewall pfSense. Updates stehen bereits zur Verfügung. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/0a/770a1fa201f42c5b1b9f56f545f9b327/0118321946.jpeg "Für Kleinstbetriebe und Homeoffice-Arbeitsplätze sind Security-Lösungen oft überdimensioniert. Eset hat jetzt eine Lösung für diese Zielgruppe im Portfolio. (Bild: Metro Hopper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e3/8c/e38ca1abf1d5478a684717b9a39310dc/0118047783.jpeg "Die Gründe, warum sich Cloud-Migrationen schwierig gestalten, sind oft nicht auf den ersten Blick zu erkennen. (Bild: fran_kie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f3/68/f368e33f6ce4d0595536f3f1fda14921/0118321915.jpeg "Das Geschäft mit der Sovereign Cloud boomt, kann aber mit hohen Kosten zu einem Problem werden. (Bild: Ivan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/de/97de094fc7b4e649bd8e42473ded2648/0117949527.jpeg "Wir haben uns 16 zum Teil kostenfreie Wekzuege angesehen, mit denen WLANs besser eingerichtet, überwacht, abgesichert und gemanagt werden können. (Bild: © bancha - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/92/dd92d7f80a94d1aeecc31d89a9d14fc6/0118351220.jpeg "Zwischen Regulierungsflut, Haftungsfragen und dem eigenen Ruf: das Dilemma ständig unterbudgetierter IT-Sicherheit in mittelständischen Unternehmen. (Bild: esp2k - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/dc/77dc19d7af8da14cddf1fc60a85b9063/0118294901.jpeg "Grundrechte und Datenschutz auf der einen Seite, Strafverfolgung und Verbrechensbekämpfung auf der anderen – die sogenannte Vorratsdatenspeicherung steht seit Jahren in der Kritik und auch immer wieder vor Gericht – neue Verfahren sollen rechtskonformer werden. (Bild: Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/3d/a6/3da608aeebe82e525855b876087b22bd/0116955923.jpeg "Project Zero ist ein Google-Team von Sicherheitsexperten, das auf der Suche ist, nach Zero-Day-Schwachstellen in Hard- und Software. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Security by Design IT-Security – von Anfang an gedacht
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) veröffentlichte ein überarbeitetes Dokument des TeleTrusT-Leitfadens zum „Stand der Technik in der IT-Sicherheit“. Vor diesem Hintergrund gibt es Anwendern konkrete Hinweise und Handlungsempfehlungen.
Mit der Zunahme der Komplexität in Vernetzungs- und Applikationsumgebungen geht auch eine Verschärfung der Bedrohungslage einher. Aus diesem Grunde darf die IT-Security für die Softwareentwicklung nicht mehr nur als ein „Add-On“ betrachtet werden.
Funktionalität vs. Sicherheit
Dies geschieht insbesondre, wenn Funktionalität bzw. Usability bei immer kürzeren Release-Zyklen im Vordergrund stehen, und dagegen Aspekte der Sicherheit eher stiefmütterlich betrachtet werden. Die logische Folge: Tendenziell vergrößern sich die Angriffsflächen für Hacker umso mehr.
Dies gilt insbesondere auch für viele Geräte des Internet of Things (IoT), wofür statt „Security by Design“ oft andere Design-Prinzipien großgeschrieben werden. Als Sicherheitsmaßnahmen kommen meist nur Penetrationstests und Quellcode-Reviews etc. zum Einsatz, die in der Regel nicht ausreichend sind.
So sollen akkubetriebene Geräte zum Beispiel nicht nur sehr energiesparend betrieben werden, sondern auch energiesparende Funkstandards nutzen. Bei der Datenübertragung trifft man leider noch immer unverschlüsselte unidirektionale Protokolle an. Mit der stetig voranschreitenden Vernetzung von Endgeräten drängt sich die Notwendigkeit auf, jeden einzelnen Datenknoten mit einer eigenen Schaltungslogik und Schnittstelle auch separat gegen Hacker-Bedrohungen abzusichern.
Durchgängiges Konzept
Zur Erreichung eines umfassenden Sicherheitsniveaus sind für den Ansatz des „Security by Designs“ alle Phasen eines Product Lifecycle Managements (PLM) zu berücksichtigen. Das heißt, von einem Konzept, über die Anforderungsanalyse und Durchführung von Tests bis hin zur Inbetriebnahme beim Endkunden.
Auf diese Weise sollen Fehler und Schwachstellen von Anfang an reduziert und eine integrierte und nachhaltige Sicherheit hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität erzielt werden. Im Fokus von „Security by Design“ steht der Schutz gegen jegliche Sicherheitslücken über den gesamten Lebenszyklus von Systemen und Produkten mit digitalen Komponenten.
So werden bereits in der Entwurfsphase entscheidende Funktionen für die Sicherheit als auch Kommunikationsstandards für den Datenaustausch mit anderen Geräten oder Programmen implementiert. Das heißt, ein unverschlüsseltes Mitlesen über verschiedene Schnittstellen ist somit ausgeschlossen. Zudem verhindert eine End-to-End-Verschlüsselung auch Man-in-the-Middle-Attacken sowie andere Angriffsvarianten und vieles mehr.
Secure Product Lifecycle Management (SPLM)
Die Integration der „Security by Design“-Prinzipien sind in ein Product Lifecycle Management (PLM) führt zu dem Ansatz des Secure Product Lifecycle Management (SPLM). Damit ein SPLM reibungslos funktionieren kann, muss es in alle Phasen eines Qualitäts- und Informationssicherheits-Managementsystems eingebunden werden.
Mithilfe des SPLM tragen alle an der Entwicklung des Produkts beteiligten Abteilungen im Hinblick auf die IT-Security ihren Anteil an Verantwortung. Zu diesen Abteilungen können unter anderem folgende Bereiche gehören: Produktmanagement, Entwicklung, Einkauf, Fertigung, Vertrieb, Marketing, Logistik, Service, IT-Security-Manager, Compliance- und Datenschutzbeauftragte.
Ablauf einer „Security by Design“-Entwicklung
Eine neue Software oder ein neues Gerät lässt sich in unterschiedliche Reifegrade einteilen: Von der Idee, über die Konzeption und der Entwicklung eines Prototyps entsteht ein marktreifes Produkt. Alle Reifegrade werden von den „Security by Design“-Prinzipien begleitet. Ein paar wesentliche sind in der Folge skizziert:
Idee
In der Phase der Konkretisierung von Produktideen sind zum Beispiel folgende Fragen für die IT-Security von Bedeutung:
Wie hoch sind die Anforderungen an die IT-Security?
In welchem Umfeld (Outdoor, Smart Home, Kraftwerk etc.) und in welchem IT-Umfeld (Netzwerk, vor oder hinter einer Firewall etc.) soll das Produkt eingesetzt werden?
Konzept
Für die Formulierung eines Konzepts sind unter anderem folgende Fragen zu klären:
Wie ist der Schutzbedarf an Daten im Hinblick auf Schutzziele wie beispielsweise Vertraulichkeit, Integrität und Verfügbarkeit festzulegen?
Welche Compliance-Anforderungen wie zum Beispiel Normen, Gesetze, Branchen-Standards, Kundenanforderungen etc. gibt es?
Welche digitalen Bedrohungsszenarien sind zu nennen und wie können sie verhindert werden?
Entwicklung
Bei der Erstellung eines marktfähigen Produkts mit angemessenen IT-Security-Komponenten sind folgende Schutzmaßnahmen zu beachten:
Gibt es für die Systemarchitektur ein angemessenes Sicherheitskonzept? Lassen sich damit alle relevanten Bedrohungen ausreichend abschwächen?
Prototyp
In dieser Phase werden die Anforderungen an die IT-Security unter realen Bedingungen direkt am Einsatzort überprüft. Zu den Tests gehören unter anderem eine automatisierte Schwachstellensuche im Produkt sowie Penetrationstests.
Empfehlung von TeleTrusT
Für eine erfolgreiche Einführung von „Security by Design“ sind nach Ansicht von TeleTrusT folgende Kriterien zu beachten:
- Commitment der Unternehmensführung für „Security by Design“ als zwingende Voraussetzung im Produktentwicklungs- und Produktionsprozess. Dabei ist darauf zu achten, dass dafür alle Produkte betrachtet werden, auch diese, die bereits am Markt positioniert sind.
- „Security by Design“ sind nicht nur technische Vorgaben, sondern es soll sich insbesondere die gesamte Organisation weiterentwickeln.
- Bereitstellung von hinreichenden Ressourcen und finanziellen Budgets. Erfolgt dies nicht, bleibt „Security by Design“ lediglich eine Absichtserklärung des Managements.
- „Security by Design“ muss auf Compliance-Vorgaben und gesetzliche Bestimmungen ausgerichtet werden.
- Klare personelle Zuordnung der Management-Verantwortung von „Security by Design“ innerhalb der Organisation.
- Für die Einführung von „Security by Design“ empfiehlt sich eine klassische Projekt-Organisation.
- Einbindung der Geschäftsführung und aller relevanten Organisationsbereiche.
(ID:49600249)
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/b9/fab9a67aa8c4dea97b2569e3e797f3bf/0116172193.jpeg "In einer Umgebung, in der Fehler nicht offen angesprochen werden dürfen, werden Sicherheitsvorfälle oft nicht gemeldet, aus Angst vor Schuldzuweisungen oder negativen Konsequenzen. (Bild: Andrey Popov - stock.adobe.com)")