V-Hub by Vodafone BusinessSecuritySicherheitSecurity by Design: Sicherheit von Anfang an
Drei Frauen und zwei Männer sitzen an einem Tisch. Darauf stehen zwei Laptops. Ein Mann hält ein Papier in der Hand, die anderen blicken darauf.
Security

Security by Design: Sicherheit von Anfang an

Portrait von Dr. Lorenz SteinkeLorenz Steinke
19.08.2022
11 Min.

    Die großen Datenmengen, die in der Industrie 4.0 und im Industrial Internet of Things anfallen, stellen hohe Anforderungen an den unternehmensweiten Datenschutz. Security by Design soll sensible Daten durchgängig und effizient schützen und Unternehmen gegen Cyberangriffe von innen und außen absichern. Was verbirgt sich hinter dem Designkonzept und wie können Sie es in Ihrem Unternehmen umsetzen?

    Die Industrie 4.0 schafft viele technische Neuerungen: Fertigungsmaschinen, die genau wissen, welche Aufträge sie mit welcher Priorität für welche Kund:innen gerade just in time produzieren und eine Unternehmenscloud, in der alle Auftrags- und für alle beteiligten Abteilungen jederzeit abrufbar sind. Dazu Lieferfahrzeuge, die laufend ihre voraussichtliche Ankunftszeit an das Ziel-Depot übermitteln. Das alles bringt Ihrem Unternehmen ein schnelleres Auftrags-Handling, hohe Transparenz auf allen Ebenen, sowie Ressourcenersparnis durch das Vermeiden von Leerfahrten und unnötigen Wartezeiten.

    Entscheidend für den reibungslosen Ablauf im digitalisierten Unternehmen ist der freie Fluss aller am jeweiligen Einsatzort benötigten Daten. Wo früher zentral geplant und gesteuert wurde, gewinnt nun auch der Edge-Bereich (also der Rand) des Firmennetzes an Bedeutung. Sensoren, Aktoren und via Internet of Things (IoT) mit der Cloud verbundene Systemsteuerungen tragen ihren Teil zur Informationsgewinnung und -verarbeitung im Unternehmen bei. Viele Systeme arbeiten schon automatisiert, Mitarbeiter:innen können Entscheidungen so schneller und effizienter treffen.

    Was entsteht, bietet echten Mehrwert: Die Klimaanlage und das Entertainmentsystem im Hotelzimmer erinnern sich an die Vorlieben eines Stammgastes und stellen sich hierauf ein. Das gemietete Connected Car der Zukunft bringt seine Passagiere nicht nur sicher ans Ziel. Es merkt sich auf Wunsch auch ihre letzten Fahrtziele oder empfiehlt ihnen am Urlaubsort Destinationen, die zum Nutzerprofil passen könnten.

    Unbedingte Voraussetzung hierfür ist allerdings der sichere Datenaustausch zwischen allen Geräten im IoT. Unterschiedliche Funkstandards, Netzwerkprotokolle und Betriebssysteme müssen so miteinander kommunizieren, dass Cyberkriminelle keine Schwachstellen für den Diebstahl von Daten oder die Sabotage ganzer Industrieanlagen finden. Security by Design soll Geräte, Software und Netze entsprechend sicher machen.

    Inhaltsverzeichnis

    Wie funktioniert Security by Design?Security by Design: Relevanz für IoT-GeräteUnterschiede zu anderen Security-PhilosophienPrivacy by Design als Teilbereich des Security by Design

    Wie funktioniert Security by Design?

    Security by Design ist eine Philosophie aus der Hard- und Software-Entwicklung. Im Zentrum steht hier der Schutz eines neuen technischen Gerätes oder einer neuen Software gegen jegliche Sicherheitslücken über die gesamte Lebenszeit des Produktes. Dies sollen folgende Maßnahmen erreichen:
    • Bereits in der Entwurfsphase implementieren die Entwickler:innen Sicherheitsfunktionen und Kommunikationsstandards, die einen geschützten Verbindungsaufbau und Datenaustausch mit anderen Geräten oder Programmen gewährleisten. Das schließt später ein unverschlüsseltes Mitlesen über Programmier-, Diagnose- oder Kommunikationsschnittstellen aus. Mit geeigneter End-to-End-Verschlüsselung verhindern sie auch Man-in-the-Middle-Attacken und andere Angriffsvarianten.
    • Passworteingabe oder biometrische Erkennung schützen Hard- und Software bestmöglich gegen Manipulation und Sabotage am Einsatzort. Resettaster werden beispielsweise schlüsselgesichert. Die Resetfunktion ist dabei so ausgelegt, dass ein Drücken des Resettasters keine Sicherheitsfunktionen beim Neustart außer Kraft setzt oder die Passwortabfrage umgeht.
    • Die Firmware enthält keine Standard-Passwörter für den ersten Systemstart wie „0000“ oder „Admin“. Der Hersteller liefert das Produkt bereits mit einem individuellen Passwort aus, das er beispielsweise aus der Seriennummer generiert.
    • Alle im System gespeicherten Informationen gelten grundsätzlich als schützenswert. Anwendende müssen sich daher immer erst autorisieren, um auf für sie freigegebene Inhalte zuzugreifen. Je nach Sicherheitsstandard protokollieren die Systeme alle Zugriffe.
    • Bei der Kontaktaufnahme via Mobilfunk verschleiert das Gerät seine Funktion sowie Herstellernamen, Betriebssystem und alle weiteren Informationen, die Angreifende beim Ausnutzen von Schwachstellen helfen könnten.
    • Im System gibt es eine hierarchische Staffelung der Benutzerrechte. Nur Anwendende mit Administrationsrechten können Updates einspielen, Sicherheitseinstellungen verändern oder Passwörter vergeben.
    • Die einzelnen Speicherbereiche für Daten und Applikationen werden durch das Betriebssystem voneinander getrennt Applikationen niedriger Priorität erhalten vom Rechtemanagement keinen Zugriff auf Betriebssystemfunktionen und werden soweit möglich in isolierten Speicherbereichen ausgeführt („Sandboxing”).
    • Nicht benötigte Gerätekomponenten und Software-Bestandteile entfernt, um für mögliche Hackingangriffe ein kleinstmögliches Angriffsprofil zu bieten.
    • Hersteller oder unabhängige Testlabore testen die gesamte Systemarchitektur in regelmäßigem Turnus auf bisher unbekannte Schwachstellen. Dies gilt insbesondere für die verwendeten Verschlüsselungs- und Übertragungsstandards.
    • Der Hersteller garantiert, über die gesamte Produktlebenszeit Patches und Firmware-Updates bereitzustellen. So werden später entdeckte Sicherheitslücken oder neue Schadprogramme nicht zum Problem, die Cyberkriminelle ausnutzen könnten.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Security by Design: Relevanz für IoT-Geräte

    Für viele Geräte im Internet of Things standen lange Zeit anstelle von Security by Design andere Design-Prinzipien im Vordergrund. Akkubetriebene Geräte beispielsweise sollten besonders energiesparend sein und entsprechend auch energiesparende Funkstandards nutzen. Bei der Datenübertragung waren Datensparsamkeit und unverschlüsselte unidirektionale Protokolle verbreitet.
    Mit der zunehmenden Vernetzung von Endgeräten wächst die Notwendigkeit, jeden einzelnen Datenknoten mit einer eigenen Schaltungslogik und Kommunikationsschnittstelle auch separat gegen Hackingattacken abzusichern.

    Zugangskontrollen und Gebäudemanagementsysteme vermehrt im Fokus von Hacker:innen

    Immer wieder gibt es Hackingattacken auf Firmennetze, die nicht auf klassischem Weg aus dem Internet durch die Unternehmens-Firewall oder über Büroarbeitsplätze erfolgen, sondern zunehmend über andere Geräte wie Zutrittskontrollen, Gebäudemanagementsysteme oder speicherprogrammierbare Steuerungen in Industrieanlagen.
    Sicherheitsexpert:innen schauen daher zunehmend auf derartige Angriffswege. So warnte 2021 die Schweizer Eidgenössische Finanzkontrolle, dass es noch immer nicht behobene Sicherheitslücken in der Gebäudesteuerung und Gebäudeautomation der Schweizerischen Bundesverwaltung gebe.
    Schon 2019 wies Microsoft darauf hin, dass Cyberkriminelle wie das Kollektiv Strontium zunehmend IoT-Geräte für den Angriff auf Firmennetze nutzen. Daher ist die regelhafte Implementierung von Security by Design ein logischer Schritt, um auch Ihr Unternehmen gegen Attacken von außen und innen zu schützen und Ihre Cloud-Security sowie allgemein die IoT-Sicherheit zu verbessern.
    Arbeiter mit Helm schaut auf sein Smartphone

    Mobiler Virenschutz für Mitarbeiter:innen

    Ihre Mitarbeiter:innen nutzen die Firmen-Handys auch privat? Mit unserer netzbasierten Virenschutz-Lösung Secure Net surfen sie sicher im Vodafone-Netz.

    • Ohne Installation, direkt im Netz
    • Schützt von Viren und Pishing
    • Automatisch auf dem neusten Stand
    Jetzt informieren

    Unterschiede zu anderen Security-Philosophien

    Neben Security by Design gibt es weitere Philosophien, die die Sicherheit von Daten speziell auf IoT-Geräten verbessern und Ihnen helfen sollen, Cyberangriffe abzuwehren. Sie sind unter Expert:innen jedoch umstritten. Besonders bekannt sind Security through Obscurity (Sicherheit durch Unklarheit), Security through Obsolescence (Sicherheit durch veraltete Technologien) und Security through Minority (Sicherheit durch Seltenheit).
    • Security through Obscurity setzt darauf, dass Angreifende keinerlei Kenntnis über die in einem Gerät verwendete Hard- und Software haben und somit auch deren Schwachstellen nicht kennen. Es handelt sich hierbei um einen eher schwachen Schutzmechanismus. Denn im Internet-Zeitalter können Angreifende sich über die in IoT-Geräten verwendeten Systeme meist auch über öffentlich zugängliche Quellen (Herstellerwebseite, Fachforen) informieren. Dennoch kann Security through Obscurity ein zusätzliches Sicherheitsmerkmal sein, indem es als eine Komponente von Security by Design Hackingangriffe zumindest erschwert.
    • Security through Obsolescence basiert darauf, dass Angreifende veraltete Systeme nur schwer attackieren können, weil ihnen deren Betriebssysteme, Programmiersprachen und Datenprotokolle nicht oder nicht mehr bekannt sind. Auch dies ist ein eher schwaches Schutzprinzip, denn auch für veraltete Softwaretechnologien sind weiterhin entsprechende Hackingtools im Umlauf. Security through Obsolescence ist daher auch nicht Bestandteil von Security by Design.
    • Security through Minority vertraut darauf, dass Hackingattacken sich üblicherweise gegen sehr verbreitete Produkte richten. So gibt es beispielsweise für Windows- und Office-Produkte von Microsoft oder für die verbreiteten Apache-Webserver zahlreiche Exploits. Auch für die führenden SQL-Datenbanken finden sich in einschlägigen Foren viele Codes für SQL-Injection. Die genannten Produkte und Sprachen sind also schon aufgrund ihrer großen Marktdurchdringung interessant für Cyberkriminelle. Umgekehrt gibt es aber auch immer wieder Hackinggruppen, die sich bewusst auf seltene, exotische Hard- und Software spezialisieren um dort gezielt nach bisher unbekannten Schwachstellen zu suchen. Security through Minority ist also ebenfalls kein ausreichend vertrauenswürdiger Schutz für Ihre Unternehmenshard- und -software.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Privacy by Design als Teilbereich des Security by Design

    Während Security by Design die Gesamtheit aller Sicherheitsaspekte betrachtet, bezieht sich die Designphilosophie Privacy by Design (Datenschutz durch Technikgestaltung) speziell auf den Schutz von Daten, insbesondere persönlichen Daten.
    In Art. 25 Abs. 1 der Datenschutzgrundverordnung (DSGVO) geht die Europäische Union als Verfasserin dieser Verordnung näher auf den Datenschutz durch Technikgestaltung ein und fordert bereits bei der Entwicklung von Software und Hardware entsprechende Maßnahmen zum Schutz von Daten (Pseudonymisierung, Datensparsamkeit).
    Privacy by Design kann somit als Teilbereich von Security by Design angesehen werden. Viele Forderungen zum Schutz von Daten sind zugleich eine Untermenge der Anforderungen an sichere Systeme im Sinne von Security by Design.
    Eng mit Privacy by Design ist der Begriff Privacy by Default (Privatheit als Grundeinstellung) verbunden. Er beschreibt Maßnahmen, die das Erzeugen und Kopieren persönlicher Daten auf ein absolut notwendiges Minimum beschränken. Dazu gehört beispielsweise das automatisierte Löschen nicht mehr genutzter Benutzerkonten und eine für die Anwendenden leicht erreichbare Löschfunktion in all jenen Geräten, die persönliche Daten generieren (zum Beispiel Smartphone, Navigationssystem, Smart Watch).
    Zu Privacy per Default gehört es auch, dass optionale Gerätefunktionen, die weitergehende persönliche Daten erzeugen, standardmäßíg deaktiviert sind und die die Anwendenden erst nach einem vorherigen Hinweis auf die entstehenden Daten aktivieren können.

    Security Architecture: Mit 7 Schritten zu mehr Sicherheit im Unternehmen

    Die passende Sicherheitsarchitektur (IT security architecture) auf Basis von Security by Design schützt Ihr Firmennetz und Ihre IoT-Geräte gegen Hackingangriffe. Sofern Sie selbst Hard- oder Software anbieten, erhöhen Sie hiermit die Sicherheit und Robustheit Ihrer Produkte und bieten Ihren Kund:innen damit einen erheblichen Mehrwert. Sicherheitsexpert:innen empfehlen diese sieben Schritte beim Design neuer Produkte:
    • Minimierte Angriffsflächen: Beschränken Sie Menüs, Einstellmöglichkeiten und Schnittstellen bei allen Systemen auf die unmittelbar benötigten Punkte. Deaktivieren Sie nicht benötigte Funktionen.
    • Authentifizierung: Achten Sie auf Mindeststandards bei der Vergabe von Passwörtern und PIN-Codes. Zu simple Passwörter und zu kurze Zahlenfolgen muss das System generell ablehnen. Besser: Alle Mitarbeiter:innen erhalten eigene, individuelle PIN-Codes oder das System unterstützt ausschließlich längere PIN-Codes.
    • Überprüfung: Beschränken Sie bei allen Eingabemenüs und -schnittstellen die Zeichenauswahl auf das Notwendige. In Datumsfeldern sollten nur Ziffern zugelassen werden. Textfelder werden als String ausgelesen. Arbeiten Sie, wo immer dies möglich ist, mit Auswahlmenüs anstatt mit offenen Eingabefeldern. Das System könnte sonst anfällig für sogenannte Injection- oder Scripting-Angriffe sein.
    • Systeme isolieren: Bauen Sie Funkverbindungen und Datenkanäle per Mobilfunk, NFC oder Bluetooth, die Sie nicht zur permanenten Anlagenüberwachung benötigen, nur fallweise auf. So sind Ihre Systeme bei Attacken von außen besser voneinander getrennt. Im Nebeneffekt sparen Ihre Geräte so auch Energie ein.
    • Verschlüsselung: Verschlüsseln Sie alle Daten, die Sie und Ihre Mitarbeiter:innen auf Ihren Systemen speichern, auch wenn es sich hierbei nicht um sensible Personendaten handelt. Arbeiten Sie mit separaten Speicherblöcken für einzelne Anwendungen.
    • Aktualisierung: Installieren Sie zeitnah Patches und Firmware-Updates, wenn sich bei Ihrer Software Sicherheitslücken ergeben.
    • Regelmäßiges Testen: Überprüfen Sie Ihre Systeme und Netzwerke regelmäßig und systematisch auf Schwachstellen. Hierfür gibt es spezielle Dienstleister, die sogenannte Pentests anbieten. Auch bereits bei Kund:innen installierte Systeme können Sie nachträglich austesten, indem Sie diese als Digital Twins virtuell nachbauen.
    Wenn Sie diese Entwicklungsprinzipien beachten, können Sie zahlreiche Sicherheitsrisiken bereits in frühen Entwurfsphasen ausschließen und Hackinggefahren für Ihre eigenen Produkte minimieren.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Mobile Cyber Security für Ihr Business

    Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Die Vorteile von Security by Design auf einen Blick

    Wie der TÜV Nord 2017 in einer Erhebung unter deutschen Unternehmen herausfand, ordnen rund zwei Drittel (67,3 Prozent) von ihnen andere Kriterien wie die Produkt-Performance höher ein als die IT-Sicherheit. Im Zuge wachsender IoT-Vernetzung müssen diese Unternehmen jedoch mit hohen Folgekosten durch Produktfehler und Cyberattacken rechnen.
    Insbesondere daraus resultierende Verstöße gegen die DSGVO können zu hohen Bußgeldern oder Schadenersatzforderungen führen. So verhängte etwa der Landesbeauftragte für Datenschutz in Niedersachsen 2021 ein Bußgeld in Höhe von 65.000 Euro gegen eine deutsche Firma, die eine veraltete Webshop-Software genutzt und somit die Passwörter der Kund:innen unzureichend gesichert hatte. Laut DSGVO sind bei entsprechenden Verstößen grundsätzlich Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des Unternehmensumsatzes möglich.
    Neben dem Kostenrisiko durch entsprechende Bußgelder bietet Security by Design viele weitere Vorteile:
    • Geringeres Risiko, Opfer von Cyberkriminellen zu werden
    • Langlebigere Produkte und höhere Produktwertschätzung durch Kund:innen, weil bis zum Lebensende des Produkts Support und Patches bereitgestellt werden müssen
    • Vermeidung möglicher Produktionsausfälle durch Cyberattacken
    • Höhere Sicherheit auch für die eigenen Daten und die Daten der Mitarbeiter:innen und Kund:innen
    • Einfachere Erweiterbarkeit bereits eingeführter Produkte auf IoT, weil die dafür notwendigen Sicherheitsstandards bereits implementiert sind

    Security by Design in der Übersicht

    • Mit der Designphilosophie Security by Design in der Hard- und Softwareentwicklung vermeiden Sie frühzeitig viele Sicherheitslücken.
    • Privacy by Design stellt speziell den Datenschutz in das Zentrum und kann als Teildisziplin von Security by Design gesehen werden.
    • Auch im eigenen Unternehmen reduzieren Sie die Gefahren von Cyberangriffen, indem sie Prinzipien wie Datensparsamkeit, sichere Passwortvergabe und Sandboxing anwenden.
    • Durch die Umsetzung von Privacy by Design steigern Sie den Wert Ihrer eigenen Produkte und minimieren das Risiko von Datendiebstahl und anderen Cyberattacken.
    Portrait von Dr. Lorenz SteinkeLorenz Steinke
    19.08.2022
      # Tags:SicherheitDigitalTipps
      Das könnte Sie auch interessieren:
      Security
      Zwei Personen, die vor einem Laptop an einem Schreibtisch stehen, transparent darüber projiziert: technische Strukturen mit leuchtenden Linienmustern und technische Symbole sowie binäre Zahlen.

      Ist Ihre IT-Infrastruktur sicher? Jetzt den Schnell-Check machen!

      Der Branchenverband Bitkom schlägt Alarm: Drei von vier deutschen Firmen wurden bereits Opfer von Hacker-Attacken. Besonders perfide: Zwischen dem Eindringen in Ihr System und der eigentlichen Attacke können Monate liegen. Ist Ihr Unternehmen gefährdet? Hier erfahren Sie es. Höchste Zeit, dass Cyber-Sicherheit in Ihrer Firma Chefsache wird! Gerade kleine und mittlere Betriebe sind im Visier von Cyberkriminellen. Erpressersoftware und Datendiebstahl verursachen Milliardenschäden. Haben Sie bereits gefährliche Eindringlinge in Ihrer IT, ohne es zu wissen? Machen Sie hier den von Security-Experten entwickelten 5-Punkte-Schnell-Check von Vodafone Business!

      Weiterlesen
      Telefon

      Digitalisierungs-Beratung

      Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

      0800 505 4512

      Hilfe und Service

      Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

      0800 172 1234
      Online
      Vor Ort