Security by Design Sicher von Anfang an

Entwicklung elektronischer Geräte im Sicherheitsbereich mit gut geplanten Einsatz.

Bei der Entwicklung elektronischer Gerät sollte man sich genau überlegen, was wie und wovor abgesichert werden muss, denn später die Lücken zu stopfen, ist aufwendig und teuer.

Schon als Kinder lernen wir den Umgang mit Schlössern und Schlüsseln sowie die Notwendigkeit, Wichtiges und Wertvolles zu schützen. Die Sicherung von Eigentum ist ein vertrautes Konzept. Es erscheint daher umso überraschender, dass Security bei der Analyse von Anforderungen für elektronische Produkte oft nicht in der Spezifikation auftaucht. Eine mögliche Erklärung wäre, dass die Notwendigkeit von Sicherheit als selbstverständlich gesehen wird. Ein Bauunternehmer würde beispielsweise davon ausgehen, dass man die Eingangstüre mit einem Schloss versieht, und der Hauskäufer würde nicht zwangsweise überprüfen, ob dies Teil der Spezifikation für das Haus ist. In dieser Hinsicht ist es eine gegebene Tatsache, jedoch eine, die ein hohes Maß an Aufmerksamkeit erfordert. Dabei kommen beispielsweise die Fragen auf, wer die Schlösser einsetzen und wer die Schlüssel haben sollte. In jedem Fall lautet eine grundlegende Frage: Was muss geschützt werden und warum? Drei grundlegende Definitionen stecken dabei den Rahmen ab:

Geht man diesen Fragen nach, so reduziert sich Security auf die folgenden Entscheidungen: Wem wird ein Zugriff worauf erlaubt? Wo müssen Schlösser angebracht werden? Unter welchen Umständen muss Alarm gegeben werden? Und schließlich: Wer darf einen Schlüssel haben? Bei der Überlegung zu den Anforderungen sollte Selbstzufriedenheit ebenso wie auch Angst vermieden werden. Zu viele Schlösser und Schlüssel beeinträchtigen die Benutzerfreundlichkeit eines Systems und können diese unbeabsichtigt in Sicherheit wiegen. Die Kunst liegt darin, die richtige Balance zu erzielen, und dies führt zurück zur Erwägung der oben gestellten Fragen.

Die Entwicklung einer Security-Topologie, wie in Bild 1 dargestellt, kann hilfreich zum Erzielen der richtigen Balance sein. Die Abbildung zeigt ein geschlossenes und abgesichertes lokales Netzwerk. Security-Funktionen machen das Netz sicher und gewährleisten Datenschutz. Allerdings erfolgt eine Übertragung von Daten an das Internet, wodurch das Netzwerk in dieser Hinsicht offen ist. Dabei werden die Security-Funktionen an die Internet-Protokollverarbeitung übergeben. Dies ist insoweit in Ordnung, solange der Datenschutz des geschlossenen Systems effektiv funktioniert. Die Topologie zeigt darüber hinaus auch andere Bereiche auf, die abgesichert werden könnten, sowie die Möglichkeit einer Security Wall, durch die nichts, was nicht zuvor überprüft wurde, passieren kann bzw. dem nichts entgehen darf.

Die richtige Balance

Die Wahl der am besten geeigneten Topologie ist keine einfache Aufgabe, sie ist jedoch der Ansatzpunkt zur Einbindung von Security in ein Design. Das Ziel dabei ist die Abdeckung von vier wichtigen Aspekten: Datenschutz, Integrität, Verfügbarkeit und Reaktion auf Angriffe. Die Topologie sollte Bereiche im System aufzeigen, an denen Security-Funktionen hinzugefügt werden müssen, um die Abdeckung dieser vier wichtigen Aspekte zu gewährleisten. Die Wahl eines geeigneten Gateways ist zum Beispiel erforderlich, um Datenschutz zu gewährleisten. Welcher Zugriff ist dafür nötig, welche Elemente müssen offen und welche geschlossen sein, und welche Sicherheitsüberprüfungen sind dafür zu implementieren?

Zur Abdeckung der verbleibenden drei Aspekte ist eine weitere Präzisierung des Designs erforderlich. Zudem sind Entscheidungen darüber zu treffen, ob die Security über Soft- oder Hardware bereitgestellt werden soll. Zur Unterstützung der Integrität lassen sich kundenspezifisch ausgelegte Security-Chips in das Design einbinden. Diese Chips sind nicht umprogrammierbar und eignen sich damit zur Implementierung der Security Wall. Auch Software-Algorithmen können effizient sein. In diesem Fall ist allerdings sorgfältig darauf zu achten, dass diese keine Manipulationen ermöglichen. Andere Software-Techniken wie eine Gegenprüfung der Aktionen unabhängiger Funktionen und die Anwendung von Prüfsummen auf Datenblöcke sowie Back-ups tragen ebenso zur Integrität bei.