Die Varianz der Begriffsbedeutungen fängt schon bei der Übersetzung vom Deutschen ins Englische an.
Der Begriff „Sicherheit“ im Deutschen kann sowohl als „Safety“ als auch als „Security“ übersetzt werden. Im Deutschen gibt es nur einen Begriff für zwei, doch sehr unterschiedliche, Dinge.
Wenn man nun aber einen Schritt weitergeht, den Safety Begriff außer betracht lässt und Security Themen genauer betrachtet, stellt man plötzlich fest, dass es hier sehr lohnenswert sein, kann die einzelnen Dinge auseinander zu halten. Das Wichtigste ist, sich bewusst zu werden, dass diese Abgrenzungen der einzelnen Themen eine absolute Voraussetzung sind, um Security als Ganzes und in jedem Teilgebiet angemessen zu behandeln. Dieses Bewusstsein zu schaffen ist Ziel dieses Blogbeitrags.
Machen wir uns zunächst einmal bewusst, warum Security zunehmend ein wichtiges Thema wird. Aus meiner Sicht sind das autonome Fahren eines Autos, Industrie 4.0 oder Smart Home nur drei Entwicklungen, die auch einer breiten Öffentlichkeit bewusst machen, dass Security ein wichtiges Thema ist.
Die Antworten auf Fragestellungen rund um das Thema Security werden ein Schlüssel sein, für das Erreichen der Ziele, die mit diesen Megatrends verbunden sind.
Schon aus diesen drei Punkten ergibt sich, dass Security Themen im Automotive Umfeld und in der Industrieautomatisierung oder im Bereich Smart Home vorhanden sind. Da die Produkte und deren Einsatzgebiet sehr unterschiedlich sind, müssen also schon einmal die verschiedenen Industriezweige im Bereich Security unterschieden werden.
Ein weiteres wichtiges Unterscheidungskriterium ist das Anwendungsgebiet innerhalb eines Industriezweiges. Hier gibt es drei Kategorien die auf jeden Fall zu bilden sind:

• Security für IT-Systeme
• Security für embedded Systeme
• Security für Systeme bei denen embedded Systeme mit IT-Systemen im Datenaustausch stehen

Security für IT-Systeme

Für solche Systeme gibt es bereits seit sehr vielen Jahren Erfahrungen im Umgang mit Gefahren, die sich aus Angriffen auf solche Systeme ergeben. Es gibt erprobte Prozesse und Normen wie man diesen Gefahren effektiv begegnen kann. Als Beispiel sollen hier IT-Systeme von Banken genannt werden. Dieses Angriffsziel ist sehr attraktiv, daher waren Banken schon sehr früh gezwungen sich Gegenmaßnahmen zu überlegen. Die Wirksamkeit der Schutzmechanismen ist aber zumindest so hoch, dass sich die Online-Abwicklung von Bankgeschäften auf dem Markt absolut durchgesetzt hat. Es liegt aber in der Natur der Sache, dass es immer wieder neue Gefahren gibt, auf die reagiert werden muss. Bei der Entwicklung der Gegenmaßnahmen kann man inzwischen schon auf einen beträchtlichen Erfahrungsschatz zurückgreifen.

Security für Embedded Systeme

Solche Systeme sind aus Sicht der Security der Gegenpol zu den oben beschriebenen Systemen. Da es hier keine technischen Angriffsmöglichkeiten gibt, müssen auch keine Maßnahmen im Bereich der Security getroffen werden. Dies galt bis vor ein paar Jahren für die übergroße Mehrzahl der embedded Systeme. Die prominentesten Beispiele sind das Auto und Industrieanlagen. Dazu zählen auch Anlagen zur Energieerzeugung. Es gab keinen technischen Zugang (Netzwerk) von außen auf diese Systeme. Auf Grund der schon oben genannten Entwicklungen, ändert sich dies aber im Moment radikal und sehr schnell. Daher ist davon auszugehen, dass es zukünftig nur noch sehr wenige solche Systeme geben wird.

Security für Systeme bei denen Embedded Systeme mit IT-Systemen im Datenaustausch stehen

Es werden also zukünftig viele embedded Systeme vernetzt sein. Zum einen vernetzt mit anderen embedded Systemen und vor allem vernetzt mit IT-Systemen. Damit werden embedded Systeme von außen, oft übers Internet, angreifbar. Viele der heutigen im Einsatz befindlichen embedded Systeme wurden aber nie für solche Szenarien konzipiert.
Die nachfolgende Tabelle veranschaulicht anhand von Beispielen, welche Vielfalt an Produkten und Systemen vorhanden ist und für welche davon Lösungen im Bereich Security erarbeitet werden müssen.

Fazit

Die vorhandenen Herausforderungen im Bereich Security sind sehr vielfältig und komplex. Für IT-Systeme sind bereits vielfältige Lösungen und Vorgehensweisen vorhanden. Die neue Herausforderung liegt in Systemen, die embedded Systeme mit IT-Systemen vernetzen, bzw. die eine von außen zugängliche Schnittstelle besitzen.
Die erste Norm die sich der Security Thematik von embedded Systemen annimmt ist die IEC 62443. Allerdings ist auch hier der wichtige Teil 4 noch nicht veröffentlicht. Diese Norm beschränkt sich auch mehr oder weniger auf Systeme der Industrieautomatisierung. In wie weit andere Branchen eigene Normen schaffen werden, ist eine der im Moment offenen Fragen.
Wenn man beginnt, sich mit der Security Thematik zu beschäftigen ist es auf jeden Fall ein sehr hilfreicher Schritt sich bewusst zu machen, in welchem Bereich der Security man sich befindet.

Ihre individuellen Fragen zum Test Embedded Security beantworten wir gerne in einem ersten, kostenlosen 30min Beratungsgespräch!
Vereinbaren Sie gleich einen Termin: Eine kurze Mail an info[at]heicon-ulm.de genügt, oder greifen Sie gleich zum Telefonhörer: +49 (0) 7353 981 781 (Mo bis Fr 08:00 – 18:00Uhr).