HANDBUCH INTERNET OF THINGS
Kapitel 4.10 / Security-Management im IoT-Zeitalter
nem durchgängigen Security-Lifecycle-Mo- dell basieren.
Sicherheit beginnt mit der Geräteent- wicklung
Fachliche Anforderungen und deren techni- sche Umsetzung waren für die Hersteller von Maschinen, Produktionsanlagen, Schaltsys- temen und Komponenten, beispielweise im Smart-City-Umfeld, die Richtschnur. Mit Se- curity- emen haben sich die Entwicklungs- ingenieure und Techniker bestenfalls am Ran- de befasst – oder dann, wenn die Systeme be- reits in Betrieb waren.
Daher lautet die erste Empfehlung: Security by Design. Bereits bei der fachlichen Anfor- derungsanalyse neuer Geräte, Maschinen und Lösungen, beispielsweise für die industrielle Verfahrenstechnik, sollten Hersteller eine Be- wertung der Security-Risiken einplanen. Ei- nerseits geht es um die Ermittlung aktueller Angri svektoren, gegen die ein System oder Gerät geschützt werden soll, und andererseits müssen sich Entwickler auch damit befassen, welche Angri spunkte im weiteren Lebenszy- klus entstehen könnten.
In diesem Zusammenhang werden Ansätze wie Security-Agility und Crypto-Agility im- mer wichtiger. Im Kern geht es darum, dass Entwickler und Benutzer der fertigen Produk- te, Lösungen und Services sich darauf einstel- len müssen, dass die aktuell implementierten Sicherheitsmaßnahmen bei einem Produktle- benszyklus von zehn bis zwanzig Jahren re- gelmäßig überprü , aktualisiert und ergänzt werden müssen: Welche Art der So warewar- tung ist geplant? Wie und in welchen Release-
zyklen sollen So ware- und Security-Updates eingespielt werden? Ist die in Entwicklung be-  ndliche Hardware auch für die zukün igen Anforderungen (beispielsweise Speicher, Pro- zessorleistung usw.) ausgelegt?
Wer heute ein sicheres Maschinen-, Pro- dukt- und Geräte-Design erstellen will, muss sich natürlich auch mit Kommunika- tionsprotokollen befassen – das heißt, mit den aktuell im Einsatz befindlichen Lösun- gen und deren fortlaufender Aktualisie- rung. Beispiele dafür sind TLS („Transport Layer Security“) und dessen Vorgänger SSL („Secure Sockets Layer“) zur Absicherung von Datenverbindungen. Aufgrund ver- schiedener in den letzten Jahren entdeck- ter und ausgenutzter Schwachstellen lau- tet die Empfehlung, alle Versionen von SSL und TLS 1.0 zu deaktivieren. Neue Kom- munikationsprotokolle und natürlich auch die Nutzung von aktuellen Kryptoverfahren und Schlüssellängen müssen natürlich beim Design der Hardware berücksichtigt wor- den sein. Bei allen Sicherheitsmaßnahmen kommt es darauf an, dass Hersteller – ange- lehnt an das IT-Security-Management – ei- nen nachvollziehbaren und dokumentierten
 Verwandte emen
V Gewissenha e Weiterentwicklung
der digitalen Vernetzung
V Neue Risiken durch IoT in Industriesystemen
V Achillesferse Infrastruktur
S. 40
S. 77 S. 171
201
Technologien