Spätestens seit die EU den Gesetzentwurf zur Cyber-Resilienz veröffentlicht hat, ist auch der Begriff Security by Design in der breiteren Öffentlichkeit angekommen. Doch worum geht es genau?
Wir fassen zusammen und zeigen, in welchen Bereichen Security by Design eine Rolle spielt.
Unser Beitrag über Security by Design im Überblick:
Digitalisierung vs. IT-Sicherheit
Schriftverkehr per E-Mail, Aktenablage dank papierlosem Büro digital, Mitarbeiter im Home Office, Präsentationen, Dokumente und Tabelle sowie Maschinen in der Industrie 4.0, die mehr und mehr vernetzt sind – die Arbeit wird spätestens seit der Corona-Pandemie immer digitaler. Und auch im privaten Sektor wird das Leben mit dem Internet der Dinge zunehmend smart. Sei es der Smart TV oder gleich das ganze Smart Home, die sprechende Puppe im Kinderzimmer, der Kühlschrank, der weiß, was eingekauft werden muss, Jalousien, die sich dem Lichteinfall anpassen, Heizungen, die aus der Ferne steuerbar sind und nicht zu vergessen: Handy, Tablet, Computer und Co. – sie alle sind mit dem Internet vernetzt und somit potenziellen Angriffen von Cyberkriminellen ausgesetzt.
Die Folge: Datendiebstahl, Cyberattacken und Online-Betrug bedrohen Firmen und Bürger gleichermaßen. Die IT-Sicherheit rückt daher überall in den Vordergrund, setzt aber oft viel zu spät an – beim fertigen Produkt. Hier setzt Security by Design an. Hierbei werden Sicherheitsaspekte als elementarer Bestandteil in allen Phasen der Hard- und Softwareentwicklung berücksichtigt, damit Schwachstellen gar nicht erst entstehen können.
Immer mehr Geräte sind vernetzt und kommunizieren über das Internet. Eine gute IT-Sicherheit ist dafür die Grundlage. Bild: ©mrmohock/stock.adobe.com
Security by Design
Während die Digitalisierung das Leben vielfach leichter macht und Produkte vor allem auf Funktionalität und Bequemlichkeit ausgelegt sind, bleibt die IT-Sicherheit oft auf der Strecke. Dabei ist längst bekannt, dass Cyberattacken weltweit zunehmen. Allein im Jahr 2022 sind rund 46 Prozent der befragten Unternehmen in Deutschland mindestens ein Mal Opfer einer Cyberattacke geworden. Außerdem gab es in Deutschland 17,7 Millionen Opfer von Internetkriminalität. Beides hat Statista erfasst.
Erschreckende Zahlen, die deutlich machen, wie wichtig die IT-Sicherheit für alle sein sollte, die Geräte nutzen, die mit dem Internet kommunizieren. Security by Design sorgt dafür, dass nicht erst das die fertige Hard- und Software auf ihre IT-Sicherheit geprüft und Schwachstellen durch Updates geschlossen werden. Security by Design berücksichtigt Sicherheitsanforderungen an Soft- und Hardware schon während der Entwicklungsphase eines Produktes. Das Ziel ist, später auftretende Sicherheitslücken zu verhindern. Denn: Mit dem laufenden Projektfortschritt steigen auch die Kosten für die Beseitigung von Sicherheitslücken. Security by Design spart Herstellern also bares Geld.
IT-Sicherheit durch Security by Design
Aber wie gelingt es, dass schon während der Entwicklung von Software die Systeme so konzipiert werden, dass sie so frei von Schwachstellen und so unempfindlich gegen Angriffe wie möglich konzipiert werden? Denn genau das beinhaltet Security by Design. Erreichbar ist das durch kontinuierliche Tests während der Entwicklung, bestimmte Programmierverfahren, sichere Authentifizierungen, aber auch das Weglassen überflüssiger Komponenten. Somit wird die bislang in der Entwicklung vernachlässigte Sicherheit eine Anforderung, die ausdrücklich in den Entwicklungsablauf eingebunden ist.
Im Gesetzvorschlag der EU zur Cyber-Resilienz ist deshalb auch eine Security-by-Design-Pflicht niedergeschrieben. Aber warum ist das überhaupt nötig? Ganz einfach: In Sachen Sicherheit setzte man lange auf Firewalls, Schutz vor Malware und andere externe Sicherheitsmechanismen. Dadurch seien in der Vergangenheit oft Sicherheitslücken in Anwendersoftware entstanden. Und solche Lücken haben Hacker ausgenutzt und sich Zutritt zu Daten und Systemen verschafft. Und genau das gilt es zu verhindern, indem von der ersten Ideenfindungsphase bis zum End of Life eines Produkt an die IT-Sicherheit gedacht wird.
Vernetze Geräte können über die ganze Welt miteinander kommunizieren. Cyberkriminelle haben leider zu oft zu leichtes Spiel, weil die IT-Sicherheit fehlt. Bild: ©vegefox.com/stock.adobe.com
IT-Sicherheit privat und betrieblich
IT-Sicherheit geht alle an – ob privater Endverbraucher oder Betrieb! Wenn es um die Sicherheit vernetzter Geräte geht, ist jeder betroffen, ob jung oder alt, groß oder klein, dick oder dünn, männlich oder weiblich. Und genau deshalb gibt es Security by Design und mit dem Cyber Resilience Act die Pflicht für die Hersteller, Produkte von Beginn an sicherer zu machen.
Aber: Bis die Hersteller in der Pflicht sind und Geräte und Software von Anfang an sicherer gedacht werden, wird noch Zeit ins Land gehen, da der Cyber Resilience Act erst einmal nur ein Entwurf ist und Hersteller zudem erst ab dann wirklich ab Ideenfindung die gewünschte Security by Design umsetzen müssen.
Umso wichtiger ist es also, dass Sie sich und Ihre Technik schützen. Das funktioniert am besten durch kontinuierliche IT-Betreuung, die PC-SPEZIALIST als Managed Services mit dem IT-Basisschutz sowohl für Firmenkunden als auch mit dem Eins-für-Alles-Paket für Privatkunden anbietet. Beide Pakete sorgen dafür, dass Angriffe von außen keinen Erfolg haben und Ihre Daten sicher sind.
_______________________________________________
Andere Stimmen zum Thema: Security-Insider, computerweekly, tuev-nord, öffentliche it, Statista, Statista
Schreiben Sie einen Kommentar