Vernetzung ist im Trend. Unternehmen bieten vernetzte Produkte vom Kaffeeautomaten bis zum Connected Car. Werkzeugmaschinen, Produktionsanlagen oder Kraftwerke sind an das Internet angeschlossen. Dabei tauchen neue Risiken auf: 2014 unterbanden Cyberkriminelle die Abschaltung des Hochofens in einem deutschen Stahlwerk und richteten erheblichen Schaden an. 2015 schalteten Hacker in der Ukraine mehrere Umspannwerke ab, sodass einige Regionen keinen Strom hatten.
Die Gemeinsamkeit in beiden Fällen: Die Zugriffe geschahen über Schwachstellen in der Fernzugriffs-Software. Das ist oft Drittanbieter-Software, die so zum Risiko wird. Das Problem geht sogar noch tiefer, denn Softwareanbieter nutzen ihrerseits Module von Fremdherstellern, etwa für den Aufbau von Verbindungen, die Übertragung und Verschlüsselung von Daten, die Ansteuerung von Sensoren und Aktoren oder andere Funktionen.
Neue IT-Security-Risiken
Bei Drittanbieter-Software gibt es große Unterschiede in der Qualität und Sicherheit der einzelnen Module und Dienste. Standardisierte Metriken für die Messung der Qualität von Cybersecurity-Maßnahmen gibt es nicht, die Unternehmen müssen sich auf die Anbieter verlassen oder selber testen. Darüber hinaus ist Drittanbieter-Software meist recht intransparent, nur selten sind alle Schwachstellen bekannt. Doch bekannt gewordene Sicherheitslücken werden von den meisten Anbietern in der Regel sofort bei Bekanntwerden geschlossen. Sie versorgen ihre Kunden mit Patches und Updates, doch nicht jedes Unternehmen besitzt ein ausreichend robustes Patchmanagement, um diese Aktualisierungen auch zeitnah auszubringen.
Die Unternehmen benötigen also Verfahren zur Beurteilung und Kontrolle von Drittanbieter-Software. Eine große Hilfe bei der Messung und Bewertung ihrer Sicherheitsmerkmale ist zum Beispiel die Normenreihe UL 2900. Sie bietet einen Rahmen für die Beurteilung des Gesamtkonzepts eines Unternehmens für die Softwaresicherheit sowie der spezifischen Schwachstellen einzelner Software-Produkte und -Komponenten von Drittanbietern. Mit ihrer Hilfe können Unternehmen einige allgemein anwendbare Prinzipien und Best Practices umsetzen, die in den folgenden Absätzen vorgestellt werden.
Best Practices für Risikomanagement
Sicherheitsvorgaben formulieren: Unternehmen sollten formale Sicherheitsvorgaben und -Anforderungen definieren, die dann für alle Softwareprodukte und -Komponenten von Drittanbietern gelten und in Ausschreibungen oder Lieferantenvereinbarung aufgenommen werden sollten.
Beschaffungsrichtlinien festlegen: In einer Beschaffungsrichtlinie definiert das Unternehmen Anforderungen an die Sicherheitsqualität eines Produktes und das Sicherheitsniveau eines Lieferanten. Die Unternehmen können dabei auf eine unabhängige Validierung der Software von Drittanbietern zurückgreifen, beispielsweise Security-Siegel oder Bewertungen und Gutachten von Spezialisten für die Produktprüfung wie URL. Zudem sollte jeder neue Lieferant in der Software-Lieferkette zunächst eine Due-Diligence-Prüfung bestehen. Darin wird ermittelt, ob der Lieferant angemessene Sicherheitsvorkehrungen umsetzt.
Regelmäßige Software-Validierungstest: Regelmäßige Tests von Softwareprodukten und -Komponenten sind empfehlenswert, da durch ihre Weiterentwicklung neue Schwachstellen auftauchen können. Durch diese Tests lassen sich auch Versäumnisse im Patchmanagement bei den Softwareanbietern aufdecken.
Track&Trace-Programme implementieren: Mit Track&Trace-Programmen werden die Quellen (Herausgeber) aller Anwendungen, Komponenten und Codebibliotheken erfasst und überwacht. Dadurch ist ein effizienter Zugriff auf Updates und Patches möglich, sodass keine Versäumnisse im eigenen Patchmanagement entstehen.
Awareness für Security durch Mitarbeiterschulungen fördern: Komplexe Software-Lieferketten sind besonders anfällig durch Versäumnisse und Nachlässigkeiten, die durch mangelndes Wissen bei den Mitarbeitern entstehen. Aus diesem Grunde sollten alle Mitarbeiter regelmäßig in Sicherheitspraktiken, aber auch den Security-Anforderungen des eigenen Unternehmens geschult werden.
Mit diesen Best Practices und den UL-Normen entschärfen Unternehmen ihre Sicherheitsrisiken durch Drittanbieter-Software. Sie können damit die Beschaffung von Business-Software, Backend-Systemen oder Komponenten für die Entwicklung organisieren und die Cybersecurity stärken.
Weitere Informationen zum Thema Sicherheit vernetzter Produkte rund um die Industrie 4.0: https://industrie-4-0.ul.com sowie zur Normenreihe UL 2900 unter https://de.industries.ul.com/cybersecurity.
Johannes Bauer ist promovierter Informatiker und arbeitet als Principal Security Advisor bei UL in Frankfurt. Seit mehr als zehn Jahren beschäftigt er sich mit der IT-Security, insbesondere im Umfeld der Elektromobilität sowie der Smart-Home-Systeme. Er verfügt über detaillierte Kenntnisse im Hinblick auf physische Bedrohungen eingebetteter Systeme sowohl invasiv als auch non-invasiv und hat eine Vielzahl von Beiträgen über Mitigationsstrategien zu deren Bekämpfung veröffentlicht. Daneben führte er regelmäßig Workshops zum Thema angewandte Kryptographie sowie Bedrohungs- und Risikoanalysen durch und arbeitete als Consultant für IT-Sicherheit.