Die Prinzipien, nach denen im Digitalen Zeitalter Software und IT-Systeme entwickelt werden, haben sich zu wenig weiterentwickelt, meinen Helmut Leopold, Head of Center Digital Safety and Security, beim AIT-Austrian Institute of Technology und Peter Lieber, international anerkannter Enterprise Architecture und Modelling Experte und Gründer der Sparx Services Central Europe und von LieberLieber Software.
Sparx Services CE und AIT haben ein neues leistungsfähiges Modellierungswerkzeug Threatget entwickelt welches dem Systemdesigner eine effektive Unterstützung bietet um Sicherheitsvorkehrungen gegenüber potentielle Cyber-Angriffe (threats) im Design des Systems einzubauen. Dabei werden Systeme mit dem Werkzeug Threatget modelliert um eine automatische Überprüfung auf Cyber Sicherheitsbedrohungen und Schwachstellen des System durchführen zu können. Dabei schlägt das Werkzeug dann auch entsprechende Lösungsansätze vor. Threatget ist eine spezielle Erweiterung von Sparx´ Enterprise Architect.
Erstmals der Öffentlichkeit präsentiert wird dieses Konzept im Rahmen des 12. Confare CIO SUMMIT, mit mehr als 500 Gästen aus dem DACH Raum Österreichs wichtigste IT-Management Konferenz. Mitten drin, statt nur dabei: Sichern Sie sich gleich Ihr Ticket auf www.ciosummit.at
Welche Sicherheitsanforderungen ergeben sich aus der Art und Weise, wie Systeme derzeit entwickelt werden?
Peter Lieber, SparxCE:
Zusammen mit der zunehmenden Verwendung von Online-Produkten von Drittanbietern (kommerziell und Open Source) ergibt sich eine wachsende Angreifbarkeit von Einzelgeräten. Die Firmware kann böswillig geändert und hochgeladen werden, um die ursprüngliche Datei zu ersetzen. Ich gebe Ihnen einige Beispiele: Die Server von Building Automation Systeme sind grundsätzlich für das Internet zugänglich und erfordern wenig bis keine Authentifizierung. Backdoor-“Service” -Kennwörter auf Systemen werden in einfach zu beschaffenden Service-Handbüchern veröffentlicht, wobei einige Geräte über keine Sicherheitseinrichtungen verfügen. Wenn eine Authentifizierung vorhanden ist, beispielsweise für Insulinpumpen, veröffentlichen Hersteller in vielen Fällen Spezifikationen in Patentanmeldungen, in denen das Kommunikationsprotokoll beschrieben wird. Hacker müssen lediglich Teile kaufen oder einen Sender für die beschriebene Software bauen.
Helmut Leopold, AIT:
Grundsätzlich erfolgt heute die Entwicklung von Software aber auch ganzen IT-Systemen immer noch nach den gleichen Prinzipien wie es seit den Anfängen der Informatik üblich ist. Über die Definition von Funktionen, die Implementierung und dann Testprozesse. Natürlich sind diese Zyklen in den letzten Jahren immer kürzer und zu einer agilen Software Entwicklung geworden, welche eine neue Dynamik in die Entwicklungsprozesse gebracht hat. Allerdings unverändert ist, dass das Systemdesign, die Implementierung und das Testen immer durch das Expertenwissen des Entwicklers bestimmt ist. Alles hängt davon ab, dass der menschliche Experte alles weiß und alle notwendigen Aspekte in seinen Arbeitsschritten berücksichtigt. Diese Problematik bekommt vor allem durch die fortschreitende Digitalisierung in den Maschinebereichen bei den Steuerungen von Maschinen und Industrieanlagen eine neue Bedeutung. IT Systeme (IT) und Steuerungssysteme (OT) stehen in einer laufenden Wechselwirkung, und durch die Digitalisierung entstehen viele neue Sicherheitsbedrohungen, die in der analogen Welt nicht bekannt waren.
Durch die zunehmende Komplexität der Systeme und durch die Notwendigkeit immer mehr Anforderungen immer umfassender zu berücksichtigen, ist solchen Ansätzen eine natürliche Grenze gesetzt. Es wird immer wichtiger, auch nicht funktionale Anforderungen und vor allem Sicherheitsanforderungen im gesamten Entwicklungsprozess vom Anforderungsmanagement, über das System-Design bis hin zu Test und Verifikationsprozessen umfassend zu berücksichtigen und einzubauen. Am Ende eines Entwicklungsprozesses nur zu testen und dann zu versuchen, digitale Angriffe (Cyber Angriffe) zu verhindern – durch Firewalls und Virenscanner – wird nicht mehr ausreichend sein.
Wo sehen Sie einen Änderungsbedarf?
Peter Lieber, SparxCE:
Es ist wichtig, das Problem zu verstehen, bevor Sie eine Lösung implementieren. Die vorausschauende Identifizierung potenzieller Sicherheitsbedrohungen und deren Behebung vor der Produktion muss eine hohe Priorität haben. Testläufe so früh wie möglich und während des gesamten Lebenszyklus müssen tiefer in den Entwicklungsprozess integriert werden, schließlich sollte ein umfassendes Verständnis für moderne Sicherheitsaspekte erreicht werden.
Helmut Leopold, AIT:
Software und Systeme werden immer komplizierter und es wird immer schwerer, dass Experten die wechselseitigen Abhängigkeiten der Funktionen und Systemteile sofort erkennen bzw. laufend verfolgen können. Vor allem, weil unsere Systeme immer mehr mit dynamischen Änderungen konfrontiert sind – durch Wartungsmechanismen werden Systeme verändert, intelligente Sensoren tauschen selbstständig im Betrieb Software aus oder ändern den Betriebsmodus, etc. – das gesamte System muss dabei laufend sicher gehalten werden. Hierbei können uns nur Maschinen helfen, die selber die Systeme laufend beobachten und aufkommende Probleme sofort dem Wartungspersonal melden. Dies wird durch eine modell-basierte Entwicklung erreicht, wobei Sicherheitsanforderungen (Security), Anforderungen der Zuverlässigkeit (Safety) und auch der Privatsphäre (Privacy) in die Architektur und in die Funktionen des Systems von vornherein fix eingeplant und eingebettet werden. „Security by Design“ ist hier das Stichwort. Diese im Systemdesign eingebauten Vorkehrungen können nun von modernen Werkzeugen automatisch laufend überprüft und kontrolliert werden.
Wie sollte die Systementwicklung die Cybersicherheit zukünftig berücksichtigen?
Peter Lieber, SparxCE:
Um dies zu quantifizieren, ist die Implementierung von Sicherheitspraktiken im Rahmen des Software Development Lifecycle – von den Anforderungen bis zum Test – dringend erforderlich. Die Überprüfung muss frühzeitig als Teil des internen Prozesses erfolgen, sonst wird unnötig viel Zeit und Mühe verschwendet.
Helmut Leopold, AIT:
„Security und Privacy by Design“ sowie modellbasierte Entwicklung sind dazu die Schlagwörter. Es braucht neue Methoden und vor allem Werkzeuge, welche Sicherheitsanforderungen von Anfang an – von der Anforderungsanalyse und dem Systemdesign bis zu den Testverfahren – berücksichtigen. Sicherheitsanforderungen müssen modelliert werden, damit Maschinen die Einhaltung dieser Anforderungen während der Systementwicklung laufend selbstständig überprüfen können. So kann der Entwickler in seiner Aufgabe unterstützt, Systemschwächen oder Widersprüche schon sehr früh im Design berücksichtigt und Testabläufe sogar vollständig automatisiert werden.
Und wie sieht nun eine zeitgemäße Lösung aus? AIT hat auf Basis von Sparx‘ Enterprise Architect und Threat Modeling „Threatget“ entwickelt, welches SparxCE als ein neuartige Erweiterung, dem Cyber Security Modelling, zur Verfügung stellt. In Teil 2 des Beitrages lesen Sie die ersten 5 Schritte für Security by Design und wie ein Modelling in der Praxis aussehen kann.
Erstmals der Öffentlichkeit präsentiert wird dieses Konzept im Rahmen des 12. Confare CIO SUMMIT, mit mehr als 500 Gästen aus dem DACH Raum Österreichs wichtigste IT-Management Konferenz. Mitten drin, statt nur dabei: Sichern Sie sich gleich Ihr Ticket auf www.ciosummit.at