Security by Design

Lieber sicher entwickeln als flicken

03.04.2013
Von 


Simon Hülsbömer betreut als Senior Research Manager Studienprojekte in der Marktforschung von CIO, CSO und COMPUTERWOCHE. Zuvor entwickelte er Executive-Weiterbildungen und war rund zehn Jahre lang als (leitender) Redakteur tätig. Hier zeichnete er u.a. für die Themen IT-Sicherheit und Datenschutz verantwortlich.

Nächste Baustelle: Embedded-Systeme

Oliver Winzenried, CEO bei Wibu Systems, sieht vor allem Embedded-Systeme stark gefährdet.
Oliver Winzenried, CEO bei Wibu Systems, sieht vor allem Embedded-Systeme stark gefährdet.
Foto: Wibu Systems AG

Und was ist mit den Hardware-Entwicklern - stehen die vor den gleichen Herausforderungen wie ihre Software-Kollegen? Sicher ist, dass es in erster Linie die eingebetteten Systeme trifft, wenn es um das Thema IT-Sicherheit geht. Ob nun Geldautomat, Medizintechnik, Fernseher, Smartphone oder Auto - der Bedarf an sicheren IT-Systemen wird sich in den kommenden Jahren noch einmal verschärfen. "Die zunehmende Vernetzung bringt gerade die Industrieanlagen in Gefahr", weiß Oliver Winzenried, CEO bei Wibu Systems, das Sicherheitslösungen für derartige Systeme produziert. "Im ERP- und CAD-Umfeld oder auch bei Automatenherstellern besteht die Nachfrage nach sicheren Lösungen schon lange. Der Maschinen- und Anlagenbau, die Medizintechnik und auch die Textilindustrie kommen hingegen erst langsam dazu", erläutert Winzenried.

Das berichtet auch Bartol Filipovic, Sprecher der Fachgruppe Produktschutz am Fraunhofer AISEC (Einrichtung für Angewandte und Integrierte Sicherheit), das im industriellen Auftrag Sicherheitsverfahren für Soft- und Hardware entwickelt: "In der Industrie ist oft gar nicht bekannt, wie der aktuelle Stand der Technik ist." Das AISEC arbeite mit Industrieverbänden wie dem VDMA (Verband Deutscher Maschinen- und Anlagenbau) zusammen, um auf aktuelle Gefahren für Investitionsgüter wie hochspezialisierte Steuerungsanlagen hinzuweisen. "Letztlich können wir aber nur Lösungen für die Kunden bauen, die auf uns zukommen", so Filipovic, der in erster Linie die Hersteller von Industrieanlagen selbst in der Pflicht sieht, was die sichere Entwicklung angeht.

Absolut fälschungssicher?

Die Codemeter-Architektur von Wibu-Systems sichert IT-Systeme aller technischen Plattformen ab.
Die Codemeter-Architektur von Wibu-Systems sichert IT-Systeme aller technischen Plattformen ab.
Foto: Wibu Systems AG

Wie sieht moderne Gerätesicherheit genau aus? Bei Wibu steht der Integritätsschutz derzeit ganz oben auf der Anforderungsliste: "Sie müssen verhindern, dass Software unberechtigterweise verändert werden kann", so Winzenried. Mithilfe eines Dongles mit integrierter Smartcard (Codemeter) lasse sich eine Hardware-Software-Verbindung schaffen, die nach heutigen technischen Maßstäben fälschungs- und umgehungssicher sei. "Im Chip auf der Smartcard ist ein auf die jeweilige Hardware zugeschnittener kryptographischer Schlüssel gespeichert", berichtet der Wibu-Vorstand aus den Labors. Nur mit dem richtigen Dongle ist ein Zugang zu einem Gerät möglich - egal, welche technische Plattform diesem zugrunde liegt. "Heutige Smartcard-Chips, wie sie beispielsweise in SIM-Karten für Handys oder Pay-TV-Karten zum Einsatz kommen, sind gut gehärtet und nahezu fälschungssicher - lediglich den Transfer in den Anlagenbau haben sie noch nicht geschafft", weiß auch Filipovic.

Um den Sicherheitsfaktor noch einmal zu erhöhen, gehen Hersteller wie Wibu Systems zudem zum "Frontalangriff" über: Bei regelmäßigen Hacker-Wettbewerben sollen technisch versierte Anwender versuchen, die neuen Sicherheitssysteme zu umgehen. Bisher hat es noch nie einen vollständig erfolgreichen Versuch gegeben, obwohl das Karlsruher Unternehmen diese Veranstaltung bereits seit vielen Jahren ausrichtet. Auch Adobe lädt regelmäßig Hacker dazu ein, seine Softwareprodukte zu knacken. "Wir passen unsere Architekturen nach der Analyse neuer Angriffsvektoren sofort an", so Ulrich Isermeyer.