Definition Was ist Security by Design?

Anbieter zum Thema

Securepoint GmbH

WatchGuard Technologies GmbH

XOPERO SOFTWARE S.A.

Mit dem proaktiven Ansatz Security by Design können im IT- sowie OT-Bereich bereits während der Produkt- und Softwareentwicklung alle relevante Sicherheitsaspekte gezielt ermittelt und in den ganzheitlichen Lebenszyklus eingebunden werden.

Auf diese Weise lassen sich bereits präventiv Cyber-Bedrohungen minimieren und identifizierte Sicherheitslücken schließen. Neben der Software- und Produktentwicklung stellen zudem auch der Betrieb, die Planung und die Implementierung von IT- und OT-Systemen etablierte Anwendungsszenarien dar. Im Mittelpunkt steht dabei immer die Idee eines sicheren Secure Product Lifecycle Managements (SPLM).

Welche Ziele lassen sich mit Security by Design umsetzen?

In diesem Fall beginnt das sichere Produkt-Lebenszyklus-Management grundsätzlich schon bei der Vision beziehungsweise der Idee und führt anschließend über alle Produktphasen hinweg bis zum Nutzungsende. Dabei verfolgt Security by Design das Ziel, die jeweils erforderlichen Sicherheitsanforderungen nach aktuellem Stand der Technik transparent sowie vor allem effizient auszuwählen, bedarfsgerecht anzupassen und in das System zu integrieren.

Gegenüber dem nachträglichen Aufspüren und Flicken von Sicherheitslücken via Sicherheitsupdates und Patches erweist sich Security by Design in der Praxis als weitaus effektiver. Ausschlaggebend ist hierfür der Umstand, dass die Sicherheit bereits im Entwicklungsstadium von Produkten maßgeblich berücksichtigt wird. Die obersten Schutzziele lauten diesbezüglich Integrität, Vertraulichkeit und Verfügbarkeit. Es gibt aber noch weitere Security-by-Design-Prinzipien.

Security by Design – die zehn wichtigsten Ziele nach OWASP

Als eine sehr gute Orientierungshilfe gelten hier die zehn Prinzipien des Open Web Application Security Projects (OWASP). Diese Prinzipien sind mit jeweils spezifischen Zielen gleichzusetzen. Dies sind die von OWASP aufgestellten Prinzipien beziehungsweise Ziele:

• Minimierung der Angriffsfläche

• Sicherung der Standardeinstellungen

• Aufgabenbereiche gezielt trennen

• Minimale Berechtigungen anstreben

• Defense-in-depth-Konzept umsetzen

• Sicherheit möglichst einfach halten

• Sicherheitsprobleme stets ordnungsgemäß beheben

• Services nicht vertrauen

• Fehlverhalten absichern

• Keine Sicherheit durch Geheimhaltung

Security by Design steht für besonders strenge Kriterien

Im Hinblick auf einen effektiven Basisschutz wird je nach Anforderung und Branche Security by Design häufig auch mit etablierten Cyber-Security-Prinzipien wie ISO27000, IEC 62443 oder CIS-18 Controls kombiniert. Zu beachten ist dabei immer, dass der Ansatz Security by Design den Gegensatz zu Modellen, die weniger strengen Kriterien unterliegen. Typische Beispiele hierfür sind Security through Minority (Sicherheit durch selten genutzten Code), Security through Obscurity (Sicherheit durch Unklarheit) oder auch Security through Obsolescence (Sicherheit durch veraltete Technologien).

So setzen Unternehmen Security by Design nachhaltig um

Es sollten ausschließlich sichere Einstellungen, Verfahren und Protokolle verwendet werden. Im Umkehrschluss bedeutet das den Ausschluss unsicherer Aspekte. Wichtig ist auch, dass klare und angepasste Sicherheitsrichtlinien formuliert und entsprechend umgesetzt werden. Die Bandbreite an Maßnahmen reicht hier von Passwortrichtlinien bis hin zu Zugriffskontrollen. Zudem zählen zum Beispiel Sicherheitsaudits zur Identifikation von Risiken und Schwachstellen sowie die Integration von proaktiven Maßnahmen zur Früherkennung und Eliminierung von potenziellen Bedrohungen zu den wichtigsten Richtlinien. Sinnvoll in diesem Zusammenhang ist auch die Einbindung von Notfallszenarien im Hinblick auf Ransomware-Attacken, Hacker-Angriffe und andere IT-Bedrohungen.

(ID:49990796)