NEWS | BLOG | THINGS

Security oder Features? Es geht auch Beides!

Warum "Security First" die Devise sein muss und am Ende sogar weniger Kosten verursacht.

Was sie erwartet

TL;DR: Security oder Features? Mit zunehmender Digitalisierung stellt sich diese Frage in immer mehr Projekten. Fehlendes Budget und Return-on-Invest machen daraus aber eher eine rhetorische Frage. Wie kann es also gelinge Security als Feature und nicht nur als Versicherung gegen Cyberangriffe zu sehen? Anhand eines Industrie 4.0 Setups wird der Zusammenhang zwischen Aspekten mit einem direkten ROI, wie Optimierung, Automatisierung, Monitoring und Security, gezeigt. Durch einen Perspektivwechsel und eine angepasste Kommunikation können diese, nicht immer offensichtlichen, Zusammenhänge zu mehr zielführenden Security Investitionen führen — ein Win-Win Szenario.

Die Digitalisierung macht auch vor der Industrie nicht halt. Wer nicht konsequent Produktions- und Prozessdaten sammelt und nutzt, wird früher oder später Wettbewerbsnachteile haben. Nur wer die Daten und ihre Zusammenhänge kennt, kann Prozesse effizienter gestalten oder sich anbahnende Defekte frühzeitig erkennen.

Die notwendige Vernetzung der Maschinen und Prozesse sowie die Verschmelzung von OT und IT haben aber auch Seiteneffekte. War früher die Produktion ein Datensilo auf den nur wenige Techniker vor Ort Zugriff hatten, so sind die Daten jetzt zentral verfügbar, innerhalb der Fabrik oder gar via Dashboard in der Cloud. Maschinen können remote konfiguriert oder per Over-the-Air Update aktualisiert werden.

Eine massiv gestiegene Datenmenge und die Vielzahl an neuen Zugriffsmöglichkeiten machen die Industrie aber auch zu einem attraktiven Ziel für Cyberangriffe. Um die Vorzüge der Vernetzung sorglos nutzen zu können, bedarf es daher eines umfassenden Sicherheitskonzepts. Eine TARA (Threat Analysis & Risk Assessment) identifiziert sensitive Assets, zeigt potenzielle Gefahren auf, bestimmt deren Risiko und empfiehlt Maßnahmen, um die vorliegenden Risiken zu minimieren.

Im besten Falle geschieht dies Hand in Hand mit der Planung und dem Aufbau der Produktion. In der Realität sieht es aber oft anders aus. Knappe Budgets beantworten die Frage: Security oder Features? oftmals schon von selbst. Die Gründe liegen klar auf der Hand. Features haben einen direkten Nutzen, der sich meist gut greifbar ist . Security Investitionen werden eher als eine Maßnahme zur Risikominimierung, ohne direkt kalkulierbaren ROI betrachtet. Eine Art Versicherung, von der man hofft, sie nie zu brauchen.

Eine gefährliche Wette, denn mit zunehmender Vernetzung steigt die Angriffsfläche um ein Vielfaches. Gleichzeitig haben Angriffe auf Produktionsanlagen einen ungleich größeren Impact als vergleichbare Angriffe auf Consumer IoT Geräte. Gezielte Industriesabotage kann Security Controls von Industriesteuerungssystemen (ICS) lahmlegen  oder gar Menschenleben gefährden. Speziell Ransomware Angriffe, die die Produktion lahmlegen, sind für Angreifer im industriellen Kontext besonders interessant, da Ausfälle sehr teuer und schnell existenzbedrohend werden können. Es wird geschätzt, dass die WannaCry Schadsoftware, die u.a. Großkonzerne wie Telefónica, die Deutsche Bahn oder den Britischen National Health Service mit mehreren Krankenhäusern befallen hat, weltweit über vier Milliarden US Dollar Schaden angerichtet hat.

Doch auch eine zunehmende „Security Awareness“, d.h. die Kenntnis der ständig steigenden Gefahrenlage, zieht leider zu selten konkrete Maßnahmen nach sich. Als kleinster gemeinsamer Nenner wird eine TARA zum Ende des Produktentwicklungsprozesses oder gar nach den ersten Kundenauslieferungen durchgeführt, um den aktuellen Security Status Quo des Produktes zu bestimmen. Meist wird überraschend zur Kenntnis genommen, wenn die Liste der Risikofaktoren dann in Sachen Quantität und Kritikalität von der eigenen Wahrnehmung deutlich abweicht.

Das Dilemma des Security Analysten
 

An diesem Punkt beginnt das eigentliche Dilemma des Security Analysten. Neben dem Identifizieren der Schwachstellen und Risikofaktoren wird eine Handlungsempfehlung ausgesprochen, wie man Sicherheitslücken beheben und Risiken minimieren kann. Aber gerade besonders Security-kritische Aspekte des Produkts sind schwer oder nur mit hohem finanziellem Aufwand zu beheben, wenn die Architektur schon in Stein gemeißelt ist und keine Änderungen in der Hardware mehr möglich oder gewünscht sind.

Neben Budget Fragen hängt es dann allzu oft an den individuellen Kommunikations- und Überzeugungsfähigkeiten des Analysten, die Notwendigkeit solcher Maßnahmen dem Management zu erläutern. Ein schwieriges Unterfangen, denn eine Entscheidung wird immer auch an wirtschaftliche Aspekte geknüpft. So bleiben in der Realität konkrete Maßnahmen eher eine Seltenheit. Aber muss das sein? Wie können wir trotz ständigen Kostendrucks in Security investieren ohne wertvolle Features streichen zu müssen?

Security as a Feature
 

Zunächst einige Fakten: Eine 100%ige Sicherheit gibt es nicht. Das ist auch zumeist nicht notwendig, denn es geht darum die Hürde für Angreifer höher zu legen, damit ein Angriff aus Kosten-Nutzen-Sicht unrentabel wird. Security ist ein ganzheitliches Konzept und immer nur so stark wie das schwächste Glied. Daher kann es schon ausreichen, besonders kritische Bereiche besser zu schützen, um das allgemeine Schutzniveau drastisch zu steigern.

So ganzheitlich Security ist, so ganzheitlich muss auch die Betrachtung nach Verbesserungen sein. Neben einer, aus Security-Sicht, optimalen Lösung, sollte ein Analyst immer auch Anforderungen an Kosten, Praktikabilität und Benutzerfreundlichkeit berücksichtigen, um die Chancen zu steigern, dass Maßnahmen tatsächlich umgesetzt werden. Aber wie hilft uns das weiter?

Im Folgenden werden Möglichkeiten aufgezeigt, wie Security als Feature mit direktem Return-on-Invest betrachtet werden kann. Wenn über Optimierung, Automatisierung oder Monitoring gesprochen wird, fällt es oft leichter einen direkten Benefit zu erkennen. Das damit aber mitunter auch das Sicherheitsniveau gesteigert werden kann, wird oft übersehen.

Optimierung oder „Wie verkleinere ich die Angriffsfläche“
 

Komplexe Systeme sind in vielerlei Hinsicht herausfordernd, z.B. in Sachen Maintenance und Erweiterbarkeit. Insbesondere „gewachsene“ Systeme, deren Software und Hardware über die Zeit erweitert werden (Beispiel: Sensor Retrofitting) tendieren dazu, mit der Zeit immer komplexer zu werden. Der Fokus liegt auf dem Hinzufügen von Funktionalität, weniger auf dem Abschalten von Legacy Komponenten oder dem Entfernen nicht mehr benutzter Code Fragmente.

Aus Security-Sicht ist Komplexität Gift. Je komplexer und größer ein Produkt ist, desto mehr Angriffsfläche ist für einen Angreifer verfügbar und desto mehr Zeit und Geld muss für die Absicherung aufgewendet werden. Ein Invest in die Optimierung der Software oder Systemarchitektur hat somit auch direkten Einfluss auf die Gesamtsicherheit.

Bei einer Vernetzung der Produktion werden existierende Maschinen beispielsweise mit Hardwarekomponenten wie Sensoren oder Edge Devices erweitert, um Daten zu erfassen und zusammenzuführen. Werden Standardprotokolle wie OPC UA verwendet, so kann die Interoperabilität erhöht und zusätzliche Komponenten, wie Gateways zur Übersetzung von Protokollen vermieden werden. Das reduziert die Systemkomplexität und erhöht nicht unnötig die Angriffsoberfläche. Zusätzlich wird Supply Chain Issues vorgebeugt, wenn Komponenten mit proprietären Protokollen kurzfristig nicht zu beschaffen sind und ein Produktionsstop droht, da Alternativen nur umständlich zu integrieren sind.

Eine weitere Optimierungsmöglichkeit kann die “richtige” Implementierung eines Security Controls darstellen. Oft gibt es mehrere Möglichkeiten Maßnahmen mit ähnlichem Schutzlevel zu integrieren. Je nach Setup kann mal die eine, mal die andere Option praktikabler und effizienter sein.

Beispielsweise gibt es für die AWS Cloud mehrere, sichere Device Onboarding Verfahren mit (self-signed) kryptographischen Zertifikaten. Bei Option 1 spielt der Hersteller auf alle Geräte dasselbe Bootstrap-Zertifikat auf. Mit diesem Zertifikat und der vom Benutzer ausgelesenen MAC-Adresse des Geräts wird die Registrierung in der Cloud durchgeführt. Die Cloud übermittelt dem Gerät nach erfolgreicher Registrierung ein einzigartiges Device-Zertifikat für zukünftige Kommunikation.

Diese Option wird bei einer großen Geräteanzahl empfohlen, die beispielsweise bei einem Auftragsfertiger produziert wird. Dieser soll aus Sicherheitsgründen keinen Zugriff auf die Device-Zertifikate erhalten. Hat man jedoch nur eine geringe Stückzahl und produziert selbst (z.B. als Maschinenhersteller) so ist Option 2 viel kosteneffizienter. Der Hersteller integriert direkt einzigartige Device-Zertifikate. Das vereinfacht den Cloud-Registrierungsprozess und für den Kunden entfällt das Auslesen der MAC-Adresse.

Automatisierung oder „Wie eliminiere ich den Faktor Mensch“
  

Automatisierung beschleunigt Prozesse, indem manuelle Schritte ersetzt werden. Das kann eine Automatisierung mit Maschinen bei einer Produktherstellung sein oder der Einsatz von DevOps-Techniken wie Continuous Integration in der Softwareentwicklung.

Angewandt auf sicherheitskritische Operationen wie Secrets Management, d.h. der Ausstellung und Verwaltung von kryptographischen Zertifikaten, kann das aber auch zu einem Sicherheitszuwachs führen. Menschliche Fehler, entweder durch Unachtsamkeit oder durch gezieltes Herbeiführen mittels Social Engineering werden dadurch eliminiert und der Prozess wird effizienter und sicherer.

Die Vergabe von Berechtigungen ist ein weiterer sensibler Bereich, sei es bei der Zutrittskontrolle für Gebäude oder Zugangsberechtigungen in Softwaresystemen beim Onboarden neuer User oder bei der Bedienung von Maschinen. Automatische Rechtevergabe und -entzug und das Minimalitätsprinzip (es werden nur die Berechtigungen vergeben, die für die jeweilige Tätigkeit notwendig sind) verbessern die Sicherheit und helfen Kosten für Fehlersuche und -behebung zu vermeiden.

Monitoring oder „Security – The Department of No“
   

Das Security-Department ist oft verschrien als Abteilung der Nein-Sager. Das kommt daher, dass Security-Controls oftmals mit weniger Produktivität und Usability einhergehen. Der Wunsch nach mehr Flexibilität kann aus Security-Sicht nicht nachgekommen werden—oder doch?

In der Tat ist es nicht immer einfach die optimalen Balance zwischen Security und Usability zu finden. Aber durch umfassendes System-Monitoring und Incident Response ist es möglich, mehr Freiheiten zu gewähren, ohne größere Abstriche in der Security machen zu müssen.

Im Beispiel der smarten Fabrik ist ein Use-Case, das Erfassen der Maschinen-Daten, um ein zentrales Condition-Monitoring zu etablieren. Ergänzt man das Monitoring noch um Machine-Learning-Ansätze, ist es sogar möglich drohende Ausfälle, durch Predictive Maintenance Konzepte vorherzusagen.

Predictive Maintenance hat viele Gemeinsamkeiten mit Anomaly Detection, die zum Ziel hat ungewöhnliche Muster in einem Datenstrom zu erkennen. Aus Security-Sicht kann das genutzt werden, um erhöhten Traffic von oder zu einer Maschine zu detektieren oder Verhaltensmuster eines Mitarbeiters zu erkennen, die nicht der Norm entsprechen. Damit können gängige Angriffe wie DoS (Denial of Service), die es auf die Verfügbarkeit der Maschinen absehen, erkannt werden. Auch Insider und Advanced-Persistent-Threats können so frühzeitig erkannt werden, wenn untypische Aktivitäten von einem Mitarbeiteraccount ausgehen. Kombiniert mit automatischen Incident Response-Maßnahmen, wie erzwungene 2-Faktor-Authentifizierung, führt der Aufbau eines Monitoring-Systems so gleichzeitig eine weitere Sicherheitsebene ein.

 
Zusammenfassung und Ausblick
 

Security wird zumeist noch als Versicherung verstanden, statt eines Enablers für Digitalisierung. Vernetzte Infrastruktur und Austausch sensibler Daten kann aber nur mit einer sicheren Basis funktionieren. Wie kann aber eine solche Basis mit knappen Budgets und ohne direkten ROI realisiert werden, insbesondere wenn keine Regularien wie KRITIS oder Zertifizierungen nach ISA/IEC 62443 gefordert sind?

Wie so oft im Bereich Security gibt es nicht den einen Königsweg. Neben einer grundlegenden Security-Awareness birgt ein Perspektivwechsel und eine bessere Kommunikation das Potenzial, die Zahl der Investments in Security und deren Erfolg zu erhöhen. Denn oft ist der Zusammenhang zwischen Security und einem Feature nicht offensichtlich.

Lassen Sie uns über Security as a Feature sprechen! 

 

Security ist ein Enabler für vernetzte (Industrial) IoT-Geräte und essentiell um Produkte, Software und ihre Daten zu schützen. Daher analysieren unsere Security-Experten nicht nur den Status Quo ihres Produktes, sondern identifizieren insbesondere auch Synergiemöglichkeiten, wo ein Security-Invest auch gleichzeitig ein Feature mit messbarem Return on Invest darstellen kann. Lesen Sie mehr zu comlet IoT Security.  Gerne beraten wir Sie individuell.

Sprechen Sie uns an!

Rufen Sie uns an

+49 6332 811 0

Schreiben Sie uns