MENU
Kurz nachgefragt

Was ist Security by Design?

© iStock Photo

15. August 2017

Software, Hardware – und Sicherheit: Das sind Themen, die schon immer eng miteinander verknüpft waren. Doch vor dem Hintergrund der zunehmenden Vernetzung mit dem Internet müssen sie noch stärker zusammenwachsen, um auch in Zukunft Schutz zu gewährleisten. Was eigentlich selbstverständlich klingt, ist in vielen Branchen längst noch nicht gang und gäbe. TÜV NORD steht in einer digitalen, vernetzten Welt für Sicherheit und Vertrauen – und treibt deshalb das Prinzip „Security by Design“ weiter voran. Worum es dabei genau geht, erklärt Markus Wagner von TÜViT, ein Tochterunternehmen der TÜV NORD GROUP, im Kurzinterview.

#explore: Was ist Security by Design?
Markus Wagner: Die Formulierung ‚Security by Design’ ist relativ einfach zu erklären: Der Begriff bedeutet, dass Sicherheitsanforderungen an Soft- und Hardware schon während der Entwicklungsphase eines Produktes berücksichtigt werden, um spätere Sicherheitslücken zu verhindern. Denn mit dem laufenden Projektfortschritt steigen auch die Kosten für die Beseitigung von Sicherheitslücken.

„Wir helfen Unternehmen dabei, die Richtlinien, die zuvor definiert worden sind, auch umzusetzen.“

Markus Wagner

#explore: Ist dieses Thema für alle Branchen relevant?
Markus Wagner: Ja, ich bin davon überzeugt, dass sich mittelfristig alle Branchen damit befassen müssen. Insbesondere im Bereich Internet of Things spielt Security by Design eine wichtige Rolle. Dabei geht es darum, Sicherheitsmechanismen bereits bei der Entwicklung der Geräte zu berücksichtigen. Denn durch die zunehmende Vernetzung von Geräten und Sensoren über das Internet und die Tatsache, dass immer mehr Prozesse über Software laufen, öffnen sich zusätzliche Angriffsflächen für unerwünschte Attacken. Der Security-by-Design-Ansatz sorgt für eine erheblich bessere Qualität und erhöht den Widerstand der Hard- und Software gegen Angriffe.

Bei Chipkarten etwa muss bereits seit Jahren ein relativ hoher Sicherheitsstandard eingehalten werden. Viele Branchen beschäftigen sich aber aktuell das erste Mal mit dem Thema ‚Security by Design’. Für sogenannte Smart Meter Gateways, die die Messwerte von Stromzählern entgegennehmen, verarbeiten und an den Energieversorger weiterleiten, gab es zum Beispiel bislang noch gar keine Anforderungen in puncto Sicherheit. Das ändert sich jetzt.

#explore: Warum ist Security by Design ein wichtiges Thema für TÜViT?
Markus Wagner: Als IT-Spezialisten beschäftigen wir uns damit auf mehreren Ebenen. Auf der einen Seite beauftragen uns Verbände und Bundesämter damit, Mindeststandards für mehr Produktsicherheit zu gestalten. Ein konkretes Beispiel dafür ist die Datenübertragung. Anwender müssen sich darauf verlassen können, dass ihre Daten sicher verschlüsselt übertragen werden und nicht von Dritten mitgelesen werden können. Auf der anderen Seite beraten wir Hersteller bei der Umsetzung des Prinzips Security by Design. Wir helfen Unternehmen dabei, die Richtlinien, die zuvor definiert worden sind, auch umzusetzen. Letztendlich überprüfen wir auch die Sicherheit der Software – TÜViT ist also bei allen Schritten von der Konzeption über Design bis zur Zertifizierung dabei. Allerdings sind für die verschiedenen Phasen unterschiedliche Abteilungen und Mitarbeiter zuständig, damit nicht erst eine Person die Richtlinie schreibt, dann den Kunden berät und zum Schluss die Prüfung abnimmt. So wahren wir unsere Unabhängigkeit.

ZUR PERSON

Markus Wagner ist bei TÜViT im Bereich IT-Sicherheit u.a. für die Spezifikation von Software-Richtlinien zuständig.

Das Spezialgebiet des Diplom-Wirtschaftsinformatikers: die Common Criteria. Neben seinen Schwerpunktthemen „digitale Signaturen“, „Smart Meter Gateways“ und „Datenbankmanagementsystemen“ arbeitet Wagner auch an technischen Richtlinien im Auftrag des BSI. Außerdem berät er verschiedene Hersteller, wie die funktionalen Sicherheitsanforderungen der CC umzusetzen sind und unterstützt Hersteller beratend in Zusammenhang mit der Durchführung von Sicherheitsevaluationen.