Schnittstellen Security – Functional Safety

Schnittstellen ermöglichen es, spezielle Funktionen in einem Auto über das Mobiltelefon zu steuern oder auch eine Industriesteuerung über einen Remotezugriff von der Ferne aus zu warten. Hacker können hier durch gezielte Angriffe hohen Schaden anrichten. Neben der Preisgabe von vertraulichen Informationen tritt hier die Gefahr auf, ganze Anlagen für längere Zeiträume abschalten zu können oder sogar Sicherheitsfunktionen zu manipulieren, um dabei das Leben von Menschen zu gefährden. Die Gefahr ist durchaus real, wie der Stuxnet-Angriff im Iran, der Angriff auf ein Kraftwerk in der Ukraine oder auch die Beeinflussung der Steuerung eines PKWs in den USA durch Hacker, zeigt. Die Dunkelziffer solcher Angriffe ist hoch, da viele Angriffe nicht gemeldet werden.

Normen, die von erfahrenen Fachleuten definiert werden, sollen einen nötigen Mindestschutz bieten. Für das Thema Office-IT ist dies die Normenreihe IEC 2700X, die aber nur eingeschränkt auf die IoT-Geräte angewendet werden kann. Deswegen wurde für das industrielle Umfeld die Security Norm IEC 62443 entwickelt, die von der Risiko-Analyse, Ergänzungen zum Entwicklungsprozess von IoT-Geräten, Techniken und Maßnahmen (zum Beispiel Kryptographie) für Hardware und Software bis zur Vernetzung der Komponenten wichtige Hinweise gibt. Nach einer ausführlichen Risikoanalyse werden für die IoT-Geräte unter der Berücksichtigung des potentiellen Schadens, des Aufwands, den Angriff durchzuführen, und einer geschätzten Eintrittswahrscheinlichkeit ein Security Level (SL) im Bereich von eins bis vier definiert. Umso höher der SL-Level ist, umso mehr aufwendige Techniken und Maßnahmen müssen in das Produkt integriert werden. Zusätzlich muss der bestehende Entwicklungsprozess erweitert werden. Security-Anforderungen müssen in Pflichtenheften definiert und die Wirksamkeit mit aufwendigen Tests (Penetrationstests) nachgewiesen werden. Da sich die Sicherheitsbedrohungen laufend ändern, müssen regelmäßige Risikobetrachtungen und Feldbeobachtungen durchgeführt werden. Im Falle einer neuen Bedrohung ist die Hardware beziehungsweise Software anzupassen. Somit muss es auch möglich sein, die Produkte im Feld upzudaten und ein gutes Patch-Management-Verfahren zu implementieren. Das Thema Security erhält noch zusätzliche Spannung durch das Thema Raubkopien. Es kann vorkommen, dass Konkurrenten versuchen, Produkte nachzubauen. Hier bietet die Security Möglichkeiten, den Nachbau erheblich zu erschweren.

Der TÜV Nord beschäftigt sich mit der Prüfung und Zertifizierung von Produkten im Bereich funktionaler Sicherheit. Durch die zunehmende Vernetzung der Sicherheitskomponenten hat sich das Tätigkeitsfeld um das Thema Security erweitert. Um das Thema Security zu verstehen, wird empfohlen, für die betroffenen Mitarbeiter eine Awareness- Schulung durchzuführen, um folgende Fragen zu klären:

Welche Gefahren gibt es?
• Welche Normen sollte ich anwenden?
• Wie kann die Gefährlichkeit systematisch geschätzt werden?
• Welche Techniken und Maßnahmen sind geeignet, um einen Angriff zu erschweren?
• Was muss bei der Entwicklung eines IoT beachtet werden?
• Wie kann ich die Wirksamkeit der umgesetzten Maßnahmen prüfen?

So empfiehlt zum Beispiel der Verband Deutscher Maschinen- und Anlagenbau e.V. (VDMA), einen SL2 anzustreben, wobei ein Erfüllungsgrad von 80 Prozent auch akzeptabel ist. Es empfiehlt sich, eine Security for Safety (S4S) Risiko-Analyse durchzuführen, um systematisch alle Security Bedrohungen zu erfassen, zu bewerten und geeignete Gegenmaßnahmen abzuleiten. TÜV Nord hat deswegen hierfür ein leistungsstarkes Tool auf Basis von Microsoft Excel und Visual Basic entwickelt. Man geht von einem Angreifer mit vorgegebenen Qualifikationen und einer Bedrohung in Kombination mit einer Schwachstelle (zum Beispiel bekannter Softwarefehler) aus. Darauf basierend wird der maximale Schaden in Geld oder für Leib und Leben von Menschen abgeschätzt.

Dieser Wert wird mit einer geschätzten Eintrittswahrscheinlichkeit und dem Aufwand für einen Angriff in Verbindung gesetzt, um einen SL abzuleiten.

• SL0: Keine Bedrohung
• SL1: Schutz gegen ungewollten oder zufälligen Missbrauch
• SL2: Schutz gegen gewollten Missbrauch unter Verwendung von einfachen Mitteln
• SL3: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel
• SL4: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel und erweiterter Ressourcen

Dipl.-Ing. (FH). Martin Zeh, Sachverständiger für funktionale Sicherheit im Bereich IEC 61508, ISO 26262, ISO 13849 und IEC 61511 beim TÜV Nord, www.tuev-nord.de