IT-Systeme lassen sich im laufenden Betrieb vor Cyberbedrohungen schützen. Doch Hersteller von Hard- und Software oder IoT-Geräten können ihre Produkte auch schon in der Konzeptions- und Entwicklungsphase gegen mögliche Gefahren wappnen. Mit in Krafttreten des Cyber Resilience Acts sind sie dazu auch gesetzlich und damit zu Security by Design verpflichtet: Denn dieser Design-Ansatz ermittelt Sicherheitsaspekte proaktiv und schließt bereits bei der Planung von IT-Produkten und -Systemen präventiv Sicherheitslücken für deren kompletten Lebenszyklus. Erfahren Sie hier, was Security by Design auszeichnet und welche Vorteile es beim Schutz vor Cyberbedrohungen bietet.
Definition
Security by Design ist ein Designkonzept in der Hard- und Softwareentwicklung, das Sicherheitsfragen von Anfang an in den Entwicklungsprozess einbezieht und für den gesamten Lebenszyklus eines Produkts berücksichtigt. Damit Produkte so „secure by design“ wie möglich sind, nutzt der Ansatz unter anderem Methoden wie die Minimierung der Angriffsfläche, Verschlüsselung, Authentifizierung und die Isolation sicherheitsrelevanter Bereiche.
Außerdem wird das Produkt kontinuierlich auf seine Sicherheit getestet, um für die notwendige IT-Security by Design zu sorgen. Auch in der Planung, Implementierung und beim Betrieb von Systemen können die Grundsätze von Security by Design für mehr IT- und IoT-Sicherheit sorgen.
Was charakterisiert Security by Design?
Klassische „First to Market“-Strategien setzten auf Geschwindigkeit in der IT-Entwicklung. Eine Denke, die in Anbetracht der Cyber-Bedrohungen der heutigen Zeit zunehmend an Bedeutung verliert: Geschäftskunden sind zunehmend für Sicherheitsfragen sensibilisiert und der Cyber Resilience Act wird Hersteller dazu verpflichten, ihre Produkte von vornherein mit den notwendigen Strukturen für Cyber-Sicherheit auszustatten. Genau an diesem Punkt setzt die Security by Design mit ihren grundsätzlichen Strategien für mehr Sicherheit noch vor der ersten Code-Zeile an.
Nicht zuletzt die rasante Verbreitung des Internet of Things hat dazu geführt, dass Security by Design an Bedeutung gewonnen hat. In Unternehmen und Organisationen aller Branchen sind immer mehr Geräte und Anwendungen über das Internet miteinander verbunden, sie interagieren und steuern beispielsweise wichtige Prozesse in der Produktion. Das vergrößert die potenzielle Angriffsfläche für Cyber-Attacken, deren Folgen zu Ausfällen und Verlusten führen können. Genau deshalb legt Security by Design den Hauptfokus auf Cyber-Sicherheit.
Sicherheitsanspruch von Security by Design
Security by Design fußt dementsprechend auf folgendem Grundprinzip: Von Anfang auf größtmögliche Sicherheit getrimmte IT-Produkte und -Systeme sind immer sicherer als solche, die rückwirkend mit Patches oder Updates geflickt werden müssen. Das gilt besonders für Unternehmen, die hunderte oder tausende IoT-Geräte schützen wollen.
Hierfür verfolgt Security by Design im Wesentlichen zwei grundsätzliche Ansätze:
- Möglichst einfach und übersichtlich: Je simpler der Code und die Architektur von Anwendungen und Hardware sind, desto sicherer sind sie. Komplexe und ineinander verschachtelte Strukturen können den Überblick über das System und die Beseitigung von Sicherheitslücken erschweren, weil Fehler in einzelnen Bereichen das gesamte System beeinträchtigen können.
- Sicherheitsprobleme sinnvoll korrigieren: Wenn es zu Sicherheitsvorfällen kommt, kann ein schneller Fix mit möglichst wenig Aufwand zunächst attraktiv erscheinen. Damit das betroffene System aber auch künftig dem Prädikat „secured by design“ entspricht, braucht es eine umfassende Fehleranalyse über festgelegte Prozesse.
Grundprinzipien von Security by Design
Eine umfassende Cyber Security by Design nutzt verschiedene Methoden, um sichere Anwendungen und Systeme zu planen. Sie basieren auf folgenden Grundprinzipien:
- Angriffe erwarten: Security by Design fußt auf der Annahme, dass Cyber-Angriffe, Sicherheitslücken und Benutzerfehler erfolgen. Deshalb gilt es, deren Auswirkungen zu minimieren.
- Security by Obscurity vermeiden: In der Praxis und in Studien haben sich offene Codes gegen geschlossene durchgesetzt: Leaks, Unfälle und Reverse Engineering gehören zur Realität. Deshalb haben sich Offenheit und Transparenz als sicherer erwiesen als die sogenannte Security by Obscurity, bei der die Codes geheim bleiben sollen.
- Privilegien einschränken: Das Prinzip der eingeschränkten Privilegien (principle of least privilege, PoLP) basiert darauf, Benutzenden, Prozessen und Programmen nur Zugriff auf die Informationen und Ressourcen zu gewähren, die für ihre Arbeit unbedingt erforderlich sind.
Gestaltungsprinzipien von Secured by Design
Damit Security by Design seinem Sicherheitsanspruch und Grundprinzipien gerecht wird, nutzt es folgende Grundsätze für die Gestaltung von Hard- und Software:
- Angriffsfläche minimieren: Wer überflüssige Komponenten weglässt oder deaktiviert, bietet möglichen Attacken weniger Raum.
- Verschlüsselung: Secure by Design wertet Daten oder Informationen grundsätzlich als schützenswert und verschlüsselt sie dementsprechend.
- Authentifizierung: Nur authentifizierte Nutzer, Nutzerinnen und Systemkomponenten erhalten Zugriff.
- Least Privilege: Gleichzeitig gilt für User und Systemkomponenten das bereits erwähnte Least-Privilege-Prinzip.
- Getrennte Systeme und isolierte Bereiche: Je weniger verschiedene Systeme voneinander abhängig operieren und je besser sicherheitsrelevante Bereiche isoliert sind, desto besser lassen sie sich vor und bei Angriffen schützen.
- Kontinuierliche Sicherheitstests und Updates: Sicherheitstests erfolgen regelmäßig und über den gesamten Lebenszyklus eines Produkts. Dazu zählt auch die Bereitstellung von Updates, Sicherheitspatches oder Softwareaktualisierungen.
Vorteile von Security by Design
Durch die genannten Prinzipien bietet Security by Design folgende Vorteile:
- Weniger Sicherheitslücken und Schwachstellen in Hard- und Software oder IT-Systemen
- Verringertes Risiko für Cyber-Angriffe und anderen Sicherheitsbedrohungen
- Robustere und qualitativ hochwertigere IT-Produkte
- Kostenersparnis durch effektives Cyber Risk Management
- Vermeidung und schnellere Behebung von Produktionsausfällen
- Verbesserte Sicherheit im Internet of Things und für IoT-Geräte
- Bessere Compliance und weniger Haftungsrisiko
- Mehr Vertrauen in die bereitgestellten Produkte seitens der Kundschaft
Secure by Design mit der Nexus
Die Nexus hat sich auf sichere und vertrauenswürdige Identitäten für Mitarbeitende und IoT-Umgebungen spezialisiert. Wir konzentrieren uns also auf eines der Gestaltungsprinzipien von Security by Design. Außerdem nutzen wir die Secured by Design-Grundsätze für die Entwicklung unserer Produkte. Sie suchen nach Lösungen für eine sichere IoT-Plattform oder nach Smart-IDs für Ihre Belegschaft? Unsere Produkte verhindern Cyberangriffe auf Ihre IoT-Umgebung und geben Ihren Mitarbeitenden sicheren Zutritt zu Räumlichkeiten und digitalen Ressourcen und sorgen damit für mehr End-to-End-Sicherheit.
Zusammenfassung
Zwei Entwicklungen haben dafür gesorgt, dass Security by Design an Bedeutung gewonnen hat: Die Zahl der mit dem Internet verbundenen Geräte ist exponentiell angestiegen, die der Cyberattacken auch. Die wachsende Angriffsfläche trifft also auf eine zunehmende Angriffsbereitschaft. Da IT-Geräte und -Systeme außerdem immer mehr Aufgaben übernehmen, die entscheidend für den Betrieb und geschäftlichen Erfolg von Unternehmen und Organisationen sind, können erfolgreiche Angriffe weitreichende Folgen haben. Security by Design kann diese vermeiden oder minimieren.
FAQ zu Security by Design
Brauche ich Security by Design?
Hersteller von internetfähigen Geräten werden mit Inkrafttreten des Cyber Resilience Acts auch gesetzlich zu mehr Security by Design verpflichtet sein. Abgesehen von Compliance-Fragen schützt Cyber Security by Design Ihre Daten und Systeme grundsätzlich vor Diebstahl und Beschädigung. Dadurch eignet sich der Ansatz optimal für den Schutz von sensiblen Daten, persönlichen Informationen, geistigem Eigentum, Daten und Informationssysteme von Behörden oder Unternehmen.
Wie erreiche ich Security by Design?
Security by Design nutzt verschiedene Designgrundsätze für die Entwicklung von möglichst sicherer Soft- und Hardware:
- Verringerung der Angriffsfläche
- Verschlüsselung von Daten und Informationen
- Authentifizierung von Usern und Systemkomponenten
- Least-Privilege-Principle
- Systeme trennen und sicherheitsrelevante Bereiche isolieren
- Sicherheitstests und Updates über den gesamten Lebenszyklus eines Produkts
Was für ein Konzept hat Security by Design?
Security by Design beruht auf dem Grundsatz, IT-Produkte und -Systeme schon in der Planung und Entwicklung so sicher wie möglich zu gestalten. Statt Software und Hardware rückwirkend mit Patches oder Updates flicken zu müssen, bezieht Secure by Design mögliche Schwachstellen und Angriffe für den gesamten Lebenszyklus eines Produkts von Anfang an mit ein, ums für mehr Cybersicherheit zu sorgen.
In welchem Maß ist Security by Design eine Best Practice?
Spätestens mit dem Inkrafttreten des EU-Cyber Resilience Acts sind Hersteller und Händler von IT-Produkten gesetzlich dazu verpflichtet, Security by Design als Best Practice zu integrieren. Durch die zunehmende Vernetzung und steigende Zahl von mit dem Internet of Things verbundenen Geräten, sind auch neue Bedrohungen und Angriffsflächen entstanden. Das macht Security by Design zu einer Strategie, die viele Vorteile bietet: Sicherheitsfragen spielen bereits bei der Entwicklung von Hardware und Software eine Rolle, um Schwachstellen konsequent zu beheben und Schäden durch Cyberangriffe möglichst gering zu halten.
Was ist Security by Design und Security by Default?
Security by Design ermittelt die Sicherheitsaspekte von IT-Produkten und Systemen proaktiv schon bei der Entwicklung und Planung. Das Ziel dieses Ansatzes ist es, Sicherheitslücken präventiv für den kompletten Lebenszyklus eines Produkts zu schließen. Security bei Default programmieren Hersteller ihre Produkte außerdem so, dass die Standardeinstellungen maximale Sicherheit bieten.