Zum Inhalt springen

Open Source basierte Industrial Security - Konzepte, Module, Entwicklung und Wartung über den Lebenszyklus

| Vortrag

Durch globale Trends wie die iPhonisierung und das so genannte Internet of Things bzw. Industrie 4.0 rücken Sicherheitsfragen in der Vernetzung von Embedded-Geräten in den Mittelpunkt, die bislang unvernetzt oder in kleine lokale Netzwerke in der Produktion integriert waren. Die Anbindung von Sensoren und Aktoren und Steuerungsdevices erfolgt zunehmend über Unternehmensgrenzen hinweg. Ein weiterer Aspekt ist, dass die Geräte - anders als in der Vergangenheit - während des Lebenszyklus mit Software-Updates versehen werden (müssen).

In der Folge müssen die Embedded-Geräte selbst unmittelbar gegen Manipulationsversuche und Datenmissbrauch geschützt werden. Ein Schutz über die Absicherung des Unternehmensnetzwerkes, in das sie integriert sind, ist nicht länger alleine tragfähig und hat auch bisher nicht gegen Angriffe von innen geschützt. Wie dieser Schutz auf Embedded Ebene auszusehen hat, was die wesentlichen Angriffsvektoren und welches die Schutzziele sind ist zum einen je nach Applikationskontext sehr heterogen und zum anderen bislang nicht eindeutig im Sinne eines Standards definiert. Die Hersteller von Embedded Geräten müssen hier sinnvolle Annahmen treffen, was vom Markt akzeptiert bzw. gefordert wird. Ebenso müssen sie sich entscheiden, welche Komforteinbußen für ihre Anwender zugunsten von Security-Maßnahmen zumutbar sind. 

Gerade im - von zertifizierenden Behörden immer wieder propagierten - Open Source-Umfeld findet sich eine große Auswahl durchaus über Jahre erprobter Security-Software-Module und -Verfahren. Hier kann auf vieles zurückgegriffen werden, was sich bereits bewährt hat. Die eigentliche Leistung liegt in der sinnvollen Komposition der einzelnen Elemente je nach Anwendungskontext und in ihrer Pflege über den Produktlebenszyklus.

Um von den kontinuierlichen Verbesserungen aus der Open Source Community ebenso kontinuierlich profitieren zu können, ist es erforderlich, aktiv die einschlägigen Informationsquellen zu monitoren. Im Bereich Security ist es obligatorisch. Denn ein Auslieferungszustand einer Software wird kaum über den Produktlebenszyklus "sicher" bleiben. Es gilt: Sicherheit ist kein Zustand, sondern ein Prozess.

Es bedarf also zum einen einer Scout-Funktion, die Verbesserungen und Security-Fixes systematisch aufspürt, und es bedarf eines seinerseits sicheren Update-Mechanimus und Roll-out-Prozesses. Gerade in konservativen Industrie-Branchen wie etwa dem Maschinenbau sind solche Mechanismen nicht immer etabliert.

Der Vortrag stellt dar, wie aus Open Source Security-Modulen ein passendes, marktfähiges Sicherheitskonzept für ein konkretes Umfeld erarbeitet werden kann, welche Prozesse erforderlich sind und wie eine Lifecycle Maintenance eines Sicherheitskonzeptes zuverlässig und wirtschaftlich erfolgen kann.

Veranstaltung: Markt&Technik Security Symposium
Referent: Heike Jordan, emlix GmbH
Datum: 20.10.2015

Unternehmensbroschüre

Hier steht Ihnen unsere Unternehmensbroschüre (PDF) zum Download zur Verfügung.

Kontakt

Tel +49 (0) 551 / 306 64 - 0
presse [at] emlix.com