Statische Code-Analyse Mehr Sicherheit für IIoT-Geräte

Der vierstufige Prozess für Sicherheit und Qualitätssicherung von IIoT-Geräten.
Der vierstufige Prozess für Sicherheit und Qualitätssicherung von IIoT-Geräten.

Im Industrial Internet of Things (IIoT) sind Geräte oft wegen Einschränkungen bei Design und Kapazität nicht sicher. Abhilfe schafft die Implementierung von Sicherheit auf Systemlevel - statische Analysetools geben, nach Ansicht von Grammatech, dabei praktische Hilfestellungen.

Für Industriegeräte gelten dieselben Herausforderungen wie für alle IoT-Geräte, unter anderem steigende Attraktivität für Hacker, traditionell vernachlässigte integrierte Sicherheit, breiter Einsatz von Altgeräten - bei zugleich höherer M2M-Konnektivität und IoT-Hürde. »Das gilt auch für die eingesetzten Protokolle, so dass das blinde Vertrauen in die physische Sicherheit - wie der Anschluss von Geräten an einem lokalen Netzwerk - ziemlich gewagt ist«, erklärt Marc Brown, VP Business Development von GrammaTech. Trotzdem seien die IIoT-Geräte einzigartig:

  • Eingeschränkte Hardware in punkto Verarbeitungskapazität vieler moderner Sicherheitsfunktionen wie Verschlüsselung, Network Stacks und eingebaute Firewalls.
  • Weil sie oft kritische Infrastruktur steuern, können sich mögliche Cyberangriffen viel schlimmer auswirken.
  • Industriesteuerungen und SCADA-Systeme haben andere Kommunikationsprotokolle und Standards als Heim- oder Bürogeräte.
  • Extrem langer Produktlebenszyklen und - verglichen mit anderen Geräten - schwierige Firmware- und Hardware-Updates.

»Diese zusätzlichen Herausforderungen verschärfen das Thema Sicherheit für die Entwicklungsteams im Bereich IIoT«, betont Brown. »Der vierstufige Verbesserungsprozess für IoT-Geräte gilt auch für IIoT, allerdings mit zusätzlichen Überlegungen.«  Die grundlegenden Schritte sind:

  • Design gemäß einer »Security-First«-Philosophie,
  • wiederholte systemweite Einschätzungen und Analysen von Bedrohungen,
  • Wiedereinsatz von vorhandenen Tools so oft wie möglich
  • Nutzung der modernen Quell- und Binärcodeanalyse, um die Qualität und Sicherheit von Fremdcode sicherzustellen.

»Entscheidenden Support in den Kodier- und  Integrationsphasen der Entwicklung bieten statische Analysetools wie Codesonar«, erläutert Brown. »Indem sie die dauerhafte Code-Qualität sowohl in der Entwicklungs- als auch Erhaltungsphase sicherstellen, reduzieren sie die Kosten und Risiken von Sicherheits- und Qualitätsproblemen ganz wesentlich.«

Die statische Analyse eröffnet wesentliche Vorteile:

  • Dauerhafte Qualität und Sicherheit des Quellcodes
  • Auffinden und Prüfen von Tainted-Daten
  • Prüfung der Qualität und Sicherheit von Fremd-Code
  • Sichere Anwendung von Kodierstandards

»Als Teil einer ganzen Toolsuite bietet die statische Analyse wichtige Fähigkeiten, die anderen Tools fehlen«, betont Brown. »Sie amortisieren sich durch das frühe Auffinden von Fehlern und Schwachstellen, die gewöhnliche Testtools übersehen könnten.« Das kommt der Sicherstellung von einem dauerhaft hohen Level an Qualität und Sicherheit zu Gute.

Befolgen Hersteller von M2M- und IIoT-Geräten eine Security-First-Designphilosophie mit formeller Risikoeinschätzung und automatisierten Tools, sind ihre Geräte besser vor den steigenden Bedrohungen im Internet geschützt. Das Wichtigste ist die Erweiterung eines bestehenden erfolgreichen Software-Entwicklungsprozesses um Sicherheit zu einem frühen Zeitpunkt im Prozess. Mit dem intelligenten Einsatz von automatisierten Tools, um sowohl neuen Code zu entwickeln als auch bestehenden und Fremd-Code zu sichern, können Entwicklungsteams straffe Budget- und Terminvorgaben einhalten. »Die statische Analyse von Quell- und Binär-Code spielt eine Schlüsselrolle in einem Security-First-Entwicklungs-Toolset«, resümiert Brown.