UL SETZT NEUE STANDARDS FÜR DIE CYBER SECURITY - IOT REALISIERBAR MACHEN: MIT STANDARDISIERTEN KRITERIEN SOFTWARE-SCHWACHSTELLEN AUFDECKEN UND ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
UL setzt neue Standards für die Cyber security IoT realisierbar machen: Mit standardisierten Kriterien Software- Schwachstellen aufdecken und beurteilen.
UL CAP
Das UL Cybersecurity
assurance programm
IoT realisierbar machen: Mit standardisierten Kriterien
Software-Schwachstellen aufdecken und beurteilen.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
„Betrachtet man alle die Felder in der Industrie 4.0, auf denen durch das Internet der Dinge
neue Technologien hervorgehen, dann stehen uns revolutionäre Umwälzungen bevor.
In der Fabrik von morgen sind die Lieferketten durchgängig und transparent und neue
Services mit künstlicher Intelligenz gestalten die Produktion hocheffizient, Stichwort
Advanced Manufacturing.
Aber viele Perspektiven müssen noch beleuchtet werden. Hierbei ist Cyber Security ein
zentrales Thema. Es geht jedoch weiter mit Interoperabilität und hört bei Mensch-
Maschine-Kommunikation, welche die Sicherheit am Arbeitsplatz in ein neues Licht rückt,
noch lange nicht auf.
In all diesen Fällen ist Sicherheit ein Kern des Umsetzungsprozesses. Die Mission von
UL (Underwriters Laboratories) dabei: Wir wollen Industrie 4.0 realisierbar machen.“
Ingo Rübenach
Vice President, DACH & Eastern Europe
UL International Germany GmbH
Cyberbedrohungen durch das IoT
Von RFID zur industriellen Revolution Vernetzte Geräte für Angriffe nutzen Open-Source-Software als Angriffspunkt
1999 prägte Kevin Ashton den Begriff „Internet der Die Schattenseite dieser Entwicklung: Die umfassende Ein besonderes Augenmerk ist dabei erforderlich
Dinge“. Der britische Technologie-Pionier stellte ein Vernetzung und durchgängige, standardisierte Anwen- bei der Nutzung von Software von Drittanbietern wie
System mit RFID-Chips vor, das „Dinge“ miteinander dungen erleichtern es Angreifern und Schadsoftware, Open-Source-Software, bei vom Hersteller bereitge-
kommunizieren ließ (1). Den Begriff Internet der Dinge auf die Systeme zuzugreifen. Und wir sprechen von stellter Software oder von Code-Schnipsel, die aus
verwendete er das erste Mal bei einer Präsentation, in Geräten, die weltweit verteilt sind. Lassen sich Millionen Online-Quellen stammen. Denn mehr als 80 Prozent
der er die Bedeutung der RFID-Technik für die Logistik von Devices manipulieren und zu einer Plattform zusam- der heute verfügbaren Softwareanwendungen beste-
demonstrierte. menführen, können sie eine kraftvolle Distributed Denial hen aus Open-Source-Komponenten (2). Daher müssen
of Service Attack (DDoS) durchführen. Einige Angriffe Unternehmen ein besonderes Augenmerk legen auf
Seitdem sind Sensoren wesentlich günstiger und kleiner und Simulationen weisen heute in diese Richtung und ihre Software-Supply-Chain-Management-Systeme und
geworden. Sie liefern die Daten, die sich durch Cloud zeigen, dass man diese Geräte genauso zusammen Verfahren, um das potenzielle Risiko aus Anwendungen
Computing in alle Richtungen des Internets verbreiten. schalten kann wie PCs. von Drittanbietern abzumildern.
Wir sind Zeugen, wie ein enormes dezentrales Netzwerk
von Geräten, Anwendungen und Diensten entsteht. Daher ist es eine Herausforderung für alle Beteiligten Dieses eBook bietet im zweiten Kapitel einen Überblick
Heute ist das Internet der Dinge ein Schlüsselelement und eine große Aufgabe für Forschung, Wirtschaft über allgemeine Cybersicherheitsrisiken von kritischen
in der Digitalen Transformation. und Normierung, gemeinsam geeignete Sicherheits Infrastrukturindustrien und erläutert, warum es wichtig
anforderungen zu definieren. Wie diese Anforderungen ist, die Sicherheit und Integrität der Software-Lieferkette
Für die Industrie bieten diese Veränderungen große aussehen können, ist schon gut ersichtlich Anhand zu validieren. Kapitel 3 zeigt, welche Vorteile es bringt,
Chancen, man spricht sogar von einer weiteren indu der Bemühungen zur Sicherung von kritischen Intra- dabei gemeinsame technische Kriterien anzuwen-
striellen Revolution. Aus cyber-physischen Systemen strukturen. den, die von unabhängigen Dritten überprüft werden
entstehen Fertigungsanlagen, die umfassend mit können. Welche Schritte möglich sind, um potenzielle
einander vernetzt sind. Solche IoT-Systeme haben Kritische Infrastrukturen sind meist gewachsene Schwachstellen zu mildern, die Software zuzuschreiben
starken Einfluss auf die Geschäftsmodelle. Wer eine Systeme – wie viele industrielle Plattformen. Sie be sind, erfahren Sie im Kapitel „UL Cybersecurity Assurance
IoT-Plattform erfolgreich für die horizontale Wert standen bislang aus autarken Steuerungs- und Auto Program und die UL 2900 Standards“.
schöpfung etabliert, beherrscht seinen Markt. matisierungsanlagen und werden nun zunehmend
über das Internet vernetzt. Das macht kritische Infra-
strukturtypen besonders anfällig für Cyber-Vorstöße. (1) http://www.rfidjournal.com/articles/view?4986
(2) “ Protecting the open source software supply chain”, posted on GCN,
https://gcn.com/Articles/2016/07/22/software-supply-chain.aspx.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
Cyberbedrohungen durch das IoT
70% 66%
70% der IoT-Geräte sind anfällig für Angriffe Bis 2018 wird in 66% aller Netzwerke eine
Quelle: HP IoT-Sicherheitsverletzung aufgetreten sein
Quelle: IDC Research
2014 2015 2016
28%
bis
3,8 Mio.
4,0 Mio.
3,5 Mio
47%
Bei 28% bis 47% aller Organisationen sind bereits Im Jahr 2016 lagen die durchschnittlichen konsolidierten
Sicherheitsverstöße im IoT-Kontext aufgetreten Gesamtkosten einer Datenschutzverletzung bei 4 Mio. USD
Quelle: Forrester/CISCO Quelle: 2016 Ponemon Study
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
Forschung im Auftrag des
US-Verteidigungsministeriums
Es war eine US-Behörde, welche die Grundlagen für das Internet schuf. Sie
hatte Ende der 60-er Jahre Forscher zusammengezogen, die das ARPANET
entwickelten, aus dem später das Internet hervorging. Diese Behörde ist die
DARPA, die Defense Advanced Research Projects Agency. Sie investiert im Auftrag
des US-Verteidigungsministeriums in Forschungsprojekte, die im Interesse der
Nationalsicherheit liegen, und fördert dabei technische Innovationen –
von Biologie über Mikroelektronik bis hin zu unbemannten Fluggeräten.
Cyber Security von IoT-Gateways für industrielle Steuerungssysteme
Wie wichtig die Software-seitige Sicherung von Micro-Chips, den Komponenten und Systemen. Dabei Bereichen Automobil, Fabrikautomation, Medizin und
kritischen Infrastrukturen ist, zeigt ein aktuelles führten die UL-Ingenieure strukturierte Penetration- Beleuchtungsindustrie.
Projekt der DARPA, zu deren Aufgaben es auch gehört, Tests durch und untersuchten, wie Systeme auf Remote-
kritische Infrastrukturen wie Krankenhäuser oder Geräte zugreifen und Software-Updates durchführen. Die Konzepte, die in dem DARPA-Projekt erarbeitet
Industrieanlagen zu sichern. wurden, wird UL auch in die Industrie zurückspielen.
UL wurde gewählt, weil es seit über 20 Jahren im Sie haben eine große Chance, in der Praxis genutzt
Ende 2016 hat die DARPA UL beauftragt, die Cyber Sicherheitsbereich tätig ist. Das Unternehmen hat zu werden. Für das Projekt hat UL sein eigenes Cyber-
Security von IoT-Gateways für industrielle Steuerungs- bereits für die US-Regierung Sicherheitsstandards security Assurance- und Assessment vertieft und
systeme zu erforschen. Der Auftrag ging über neun für Kryptografiemodule spezifiziert und an weiteren seine Fähigkeit in den Testprozessen von Industrie-
Monate. Um alle Anforderungen zu überblicken, hatte Sicherheitsstandards mitgearbeitet. In seinem Cyber und Factoring-Automatisierungskomponenten ge-
das Cybersecurity-Team von UL die gesamte IoT- Assurance Program (CAP) untersucht UL seit vier stärkt. Denn UL erwartet künftig ein hohes Maß an
Architektur im Fokus, also sämtliche Software von Jahren Risiken von Industrie-4.0-Systemen in den Automatisierung, um IoT-Geräte sicher zu managen.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
Industrie 4.0 erfordert eine
dynamische Zertifizierung
Das Aufkommen von Industrie 4.0 im Einsatz sein. Ein verantwortungsbewusster
hat auch Auswirkungen Komponentenhersteller sollte also Prozesse definieren,
auf das Geschäft von wie er hier verfährt – und eine Zertifizierung von
Zertifizierungsunternehmen. Komponenten muss diese Prozesse natürlich enthalten.
Solche Überlegungen bedeuten für UL einen Übergang
Bislang hat man in der Industrie ein Gerät hergestellt von der statischen hin zu einer dynamischen Zerti-
und nicht mehr angefasst. Für solche Geräte reichte fizierung. Eine dynamische Zertifizierung erfordert
ein einmaliger Zertifizierungsvorgang. Heute wird Prozesse, um reagieren zu können, wenn sich etwas
preiswerte Standard-Hardware genutzt, um die am Produkt verändert – und unterstützt damit auch
Vernetzung zu ermöglichen. Das bringt fortlaufend IT-Verantwortliche, die heute schon ein stetes
Software-Updates mit sich. Welche Auswirkungen Monitoring ihrer IoT-Landschaft benötigen.
diese Updates auf die Sicherheit haben, lässt sich
mit einer einmaligen klassischen Zertifizierung nicht Wie solche Prozesse aussehen können, zeigt das
mehr beantworten. eBook im Kapitel
Zudem sind IoT-Komponenten so kritisch, „Cybersecurity Assurance Program (CAP) der
dass es einen konsequentes Lifecycle UL und der Standardserie UL 2900“
Management erfordert.
Was passiert, wenn eine Komponente Eine Anwendung des UL 2900-Standards für industrielle
am Ende ihrer Produktion ist? Steuerungssysteme bietet schließlich das Kapitel
Unternehmen benötigen ein sicheres Nachfolgepro- „Cyber Security in
dukt, schließlich kann die Komponente millionenfach industriellen Steuerungssystemen (ICS)“
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
Cyber Security und kritische Infrastrukturen
Ein Schwerpunkt bei den Bemühungen zum Schutz vor Bedrohungen der Cybersicherheit liegt auf Unternehmen,
die als Teil der kritischen Infrastruktur zu betrachten sind. Kritische Infrastruktur lässt sich wie folgt definieren:
IT-Einrichtungen, -Netzwerke, -Dienste
und -Installationen, deren Beschädigung
oder Zerstörung schwerwiegende
Auswirkungen auf die Gesundheit, Sicherheit
oder das wirtschaftliche Wohlergehen
der Bevölkerung und das effiziente Funktionieren
der Regierung und Behörden eines Landes hat. (3)
(3) “ ICS-CERT Fiscal Year 2015: Final Incident Response Statistics,” ICS-CERT Monitor,
published by the U.S. Department of Homeland Security, November/December
2015. Web. 8 August 2016. https://ics-cert.us-cert.gov/sites/default/files/Monitors/
ICS-CERT_Monitor_Nov-Dec2015_S508C.pdf.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
Cyber Security und kritische Infrastrukturen
Zu den Branchen, die am häufigsten als Teil der kritischen 245 Vorfällen entspricht dies einem Anstieg um Infrastructure Protection, EPCIP) schwerpunktmäßig
Infrastruktur bezeichnet werden, gehören Verteidigung, 20 Prozent (4). Cyberangriffe im Zusammenhang mit an Unternehmen, die Teil der kritischen Infrastruktur
Energieerzeugung und -versorgung, Wassersysteme, Produktionsbetrieben machten ein Drittel aller ge innerhalb der Transport- und Energiebranche sind. Das
Transport und Logistik, Finanzdienstleistungen, Gesund- meldeten Vorfälle aus (97), gefolgt von Unternehmen Programm definiert spezifische Anforderungen, die für
heitswesen und öffentliche Sicherheit. im Energiesektor (46 Vorfälle bzw. 16 Prozent) und den die Unternehmen in diesen Branchen gelten.
Einrichtungen für Wassersysteme (25 Vorfälle bzw.
Es liegt auf der Hand, dass die zur kritischen Infrastruk- 9 Prozent). Zu diesen Anforderungen gehört die Ausarbeitung eines
tur zählenden Branchen aufgrund ihrer zentralen Rolle Sicherheitsplans des Betreibers, der wichtige Infrastruk-
im Alltagsleben ein attraktives Ziel für Cyberangriffe Aufgrund ihrer strategischen Bedeutung wird von tureinrichtungen identifiziert, eine detaillierte Gefahren-
darstellen. Schätzungen des Industrial Control System Unternehmen, deren Geschäftsaktivitäten den Branchen abschätzung auf der Grundlage von Schwachstellen
Cyber Emergency Response Team (ICS-CERT) des US- innerhalb der kritischen Infrastruktur zuzurechnen sind, der Einrichtungen umfasst und Gegenmaßnahmen zur
Heimatschutzministeriums (U.S. Department of Home- erwartet, dass sie vorgeschriebene oder empfohlene Abwehr von Cyberbedrohungen enthält. In einigen
land Security) zufolge wurden im Jahr 2015 in den Cybersicherheitsanforderungen und -praktiken einhalten. EU-Mitgliedstaaten, darunter Deutschland und das
USA 295 Vorfälle gemeldet, bei denen es sich um Cyber- So richtet sich beispielsweise in der Europäischen Union Vereinigte Königreich, gelten für Unternehmen, die zur
angriffe gegen kritische Infrastruktureinrichtungen (EU) das Europäische Programm zum Schutz kritischer kritischen Infrastruktur zählen, noch zusätzliche Anfor-
handelte. Im Vergleich zu den im Jahr 2014 gemeldeten Infrastrukturen (European Programme for Critical derungen an die Cybersicherheit.
(4) S
ee “CIP Standard,” website of NERC, the North American Electric Reliability
Organization. Web. 8 August 2016. http://www.nerc.com/pa/Stand/Pages/
CIPStandards.aspx.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
Hacker-Angriffe auf kritische Infrastrukturen
In den vergangenen Jahren gab es eine Reihe bekannter Beispiele dafür, wie
Schwachstellen in Software bei Unternehmen in den Branchen der
kritischen Infrastruktur schwerwiegende Konsequenzen haben können:
Im Dezember 2015 haben Hacker in einem koordinierten Im Oktober 2015 wurden Datensätze von etwa 15 Ende 2014 übernahmen Hacker die Kontrolle über
Angriff die Umspannstationen von drei regionalen Millionen Kunden entwendet, die bei T-Mobile USA einen Produktionsanlagen in einem Stahlwerk in Deutschland
Stromversorgern in der Ukraine erfolgreich abgeschaltet, Kredit beantragt hatten. Die Überprüfung der Kredit und manipulierten via Fernzugriff Steuerungssysteme,
sodass Hunderttausende von Menschen keinen Strom würdigkeit von T-Mobile-Kunden wurde von Experian um die Abschaltung des Hochofens zu verhindern. Nach
hatten. Berichten zufolge übernahmen die Hacker via durchgeführt, der weltgrößten Agentur zur Überprüfung einem Bericht des Bundesamtes für Sicherheit in der
Fernzugriff die Kontrolle über die Rechner der Leittechnik der Bonität privater Verbraucher. Berichten zufolge war Informationstechnik (BSI) haben sich die Hacker Zugriff
der Umspannstationen. Dies erfolgte mithilfe von es im Kreditinformations-Support-Portal des Unter auf das Softwarenetzwerk der Werksverwaltung ver-
Remote Administration Tools auf Betriebssystemebene nehmens möglich, Anhänge zu Anträgen hochzuladen, schafft und dann über diesen Zugang die Steuerung der
bzw. mit einer Client-Software für industrielle Fernsteue- ohne dass die Benutzer zuvor validierte Anmeldedaten Produktionsmanagement-Software des Werks übernom-
rungssysteme über die VPN (Virtual Private Network) angeben mussten. So konnten Hacker auf einfachem men. Berichten zufolge entstand dadurch ein erheblicher
Verbindungen (5) der Leittechnik. Weg Malware einschleusen (6). Schaden an der Infrastruktur des Werks (7).
(5) “Alert (IR-ALERT-H-16-056-01): Cyber-Attack Against Ukrainian Critical (6) “At Experian, Security Attrition Amid Acquisitions,” KrebsonSecurity blog posting, (7) “ A Cyberattack Has Caused Confirmed Physical Damage for the Second Time
Infrastructure,” issued by the Industrial Control Systems Cyber Emergency Response 8 October 2015. Web. 8 August 2016. http://krebsonsecurity.com/tag/experian- Ever,” Wired Magazine, January 8, 2015. Web. 8 August 2016. https://www.wired.
Team (ICS-CERT) of the U.S. Department of Homeland Security, February 25, 2016. breach/. com/2015/01/german-steel-mill-hack-destruction/.
Web. 8 August 2016. https://ics-cert.us-cert.gov/alerts/IR-ALERT-H-16-056-01.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Faktoren bei den Schwachstellen
in Software-Lieferketten
Bei Unternehmen, die in Branchen der kritischen Softwareprodukte, einschließlich Webservern, Internet- Drittanbietern stammen und über die Software-Liefer-
Infrastruktur tätig sind, geht von Software von Drittan- browsern, Kommunikations- und Verschlüsselungsbiblio- kette bezogen werden, können Unternehmen in
bietern, die zur Verwendung in internen Systemen und theken, von etablierten Herstellern von Drittanbie- Betriebssystemen oder Endprodukten mit unzureichend
betrieblichen Abläufen oder zur Integration in Endpro- ter-Software. robuster Sicherheit unwissentlich Software verwenden
dukte gekauft oder heruntergeladen wurde, eine oder in diese integrieren, die problemlos gehackt oder
deutlich größere Gefahr für Verletzungen der Cyber Auch wenn sich mit Softwarekomponenten von Drittan- anderweitig kompromittiert werden kann.
sicherheit aus, die indes weniger häufig als Ursache hier- bietern die Produktivität bei den eigenen Entwicklungs-
für erkannt wird. bemühungen steigern und sogar eine bessere Produkt-
qualität erzielen lassen, so haben ihr vermehrter Einsatz
In den letzten Jahren greifen Entwickler vermehrt auf auch neue Risiken der Cybersicherheit aufgeworfen und
Standard-Softwarekomponenten zurück und nutzen die Branchen der kritischen Infrastruktur noch anfälliger
diese als effektive Möglichkeit, um die Entwicklung gegenüber Cyberangriffen werden lassen. Ohne geeignete
eigener Software und Anwendungen zu beschleunigen. Systeme und Verfahren zur Beurteilung und Kontrolle
Gleichzeitig stammen die am meisten verwendeten von Softwareprodukten und -komponenten, die von
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Zu den spezifischen Risikofaktoren der Cybersicherheit im Zusammenhang mit der Software-Lieferkette zählen:
Dominanz von Drittanbieter-Software Eigenschaften keine standardisierten Metriken gibt, Unzulängliche Praktiken im Lieferanten
Wie bereits erwähnt, sind Unternehmen überwiegend müssen sich Unternehmen auf die Zusicherungen von management und Risikomanagement
auf Softwareprodukte, -komponenten und -code von Softwareanbietern verlassen oder ihre eigenen unab- Zahlreiche Unternehmen sind nicht in der Lage, aus
Drittanbietern angewiesen, um ihre elementaren Ge- hängigen Bewertungsverfahren durchführen. reichend robuste Programme und Praktiken für das
schäftsabläufe zu steuern und eine solche Software in Lieferantenmanagement und das Risikomanagement
ihre Endprodukte zu integrieren. Selbst Unternehmen, Bekannte und unbekannte Schwachstellen zu implementieren und beizubehalten, mit deren Hilfe
die proprietäre Softwareplattformen entwickeln oder von Software potenzielle Gefahren für die Cybersicherheit erkannt
betreiben, setzen oft auf Softwarekomponenten oder Laut einer Schätzung sind 97 Prozent der Vorfälle im werden können, die von den von Drittanbietern be
-code von Drittanbietern, um die eigene Entwicklung Bereich der Cybersicherheit darauf zurückzuführen, zogenen Softwareprodukten und -komponenten aus-
zu beschleunigen und die Zuverlässigkeit zu erhöhen. dass es versäumt wurde, Schwachstellen in vorhandener gehen, oder mit denen die Fähigkeit eines Lieferanten
Software oder vorhandenen Softwareanwendungen zu beurteilt werden kann, schnell auf neu identifizierte
Wachsende Anzahl von Herstellern beheben (8). In einer Software, die mehrere Komponenten Schwachstellen zu reagieren.
von Drittanbieter-Softwareprodukten von Drittanbietern enthält, kann sich dieses Risiko ent-
und -komponenten sprechend rechnerisch erhöhen. Unberücksichtigt Für Unternehmen und Einrichtungen, die Teil der kri-
Software-Lieferketten bilden in zunehmendem Maße bleiben zudem auf dieser Ebene der Risikobewertung tischen Infrastruktur sind, unterstreichen diese Risiko-
traditionelle Lieferketten in ihrer Länge und in der An- Schwachstellen, die sich erst dann identifizieren lassen, faktoren umso mehr, wie wichtig es ist, die Software-
zahl der beteiligten Lieferanten nach. Darüber hinaus wenn die Software bereits freigegeben ist und im realen Lieferkette auf Schwachstellen zu analysieren und
gewinnen Anbieter von Software-as-a-Service (SaaS) Praxiseinsatz angegriffen wird. Programme zu implementieren, mit denen sich die
Lösungen verstärkt an Bedeutung, da immer mehr Risiken der Cybersicherheit in Verbindung mit Software
Unternehmen ihre Infrastrukturkosten besser steuern Gefälschte Software von Drittanbietern verringern lassen.
wollen, indem sie kritische IT-Systeme auf Cloud- Ebenso birgt der Einsatz von Drittanbieter-Software
basierte Alternativen verlagern. das Risiko, dass unwissentlich gefälschte Versionen
authentifizierter Softwareprodukte oder -komponenten
Unterschiedliche Stufen der Software- heruntergeladen oder verwendet werden. Gefälschte
Qualitätskontrolle Software könnte Malware enthalten, die auf kritische
Der verstärkte Einsatz von Drittanbieter-Software und Systemdaten zugreifen kann. Rechtmäßige Software
SaaS-Anbietern führt folglich zu großen Unterschieden anbieter befassen sich regelmäßig mit bekannten
in der Qualität und Sicherheit der verfügbaren Software- Schwachstellen, indem sie Patches bereitstellen, die
(8) “ 2016 Data Breach Investigation Report,” Verizon, April 2016. Web. 8 August 2016.
produkte, Komponenten und Dienste. Da es für diese Fälschern nicht zur Verfügung stehen. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2016/.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Minimieren von Schwachstellen in der
Software-Lieferkette
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Best Practices zur Minimierung von Risiken
der Software-Lieferkette
Jedes Unternehmen ist anders. Dennoch gibt es einige grundlegende Prinzipien und Best Practices, die universell
anwendbar sind und mit denen sich Sicherheitsrisiken, die sich durch die Aktivitäten in der Software-Lieferkette
ergeben, entschärfen lassen. Ein effektives Programm für das Management der Software-Lieferkette sollte auf jeden
Fall folgende Bestandteile haben:
formaler Sicherheitsvorgaben Aktualisierungsverfahren Zugangbeschränkung
Die Ausarbeitung formaler Sicherheitsvorgaben Ein formelles Verfahren für das regelmäßige Aktuali- Ein nach dem Need-to-Know-Prinzip (Kenntnis nur
und -anforderungen für alle Softwareprodukte und sieren von Softwareanwendungen und das Anwenden bei Bedarf) beschränkter Zugang einzelner Software-
-komponenten von Drittanbietern. Diese Vorgaben von Patch-Releases, um den Schutz vor neu identifi- anbieter zu Informationen über die gesamte Software-
sind durch entsprechenden Verweis in jede Ausschrei- zierten Bedrohungen sicherzustellen. strategie des Unternehmens oder aktuelle bzw.
bung und Lieferantenvereinbarung aufzunehmen. geplante Softwaresysteme.
Prüfung neuer Lieferanten Software Validierungstests LieferantenRichtlinien
Eine Due-Diligence-Prüfung neuer Lieferanten in der Anfängliche und danach regelmäßige Validierungs- Klare Richtlinien für die Softwareanbieter mit eindeu-
Software-Lieferkette, um zu ermitteln, ob sie über an- tests von Softwareprodukten und -komponenten zur tig festgelegten Konsequenzen bei Nichteinhaltung
gemessene Sicherheitsvorkehrungen zur Minimierung Einhaltung der Sicherheitsanforderungen des Unter- der vorgeschriebenen Vorgaben oder der Verwendung
von Risiken der Cybersicherheit im Zusammenhang nehmens. Wann immer möglich, sollten diese Tests gefälschter Softwareprodukte oder -komponenten.
mit der Verwendung ihrer Software verfügen. Dazu automatisiert werden, um die mit dem menschlichen
zählen auch regelmäßige Follow-up-Audits. Eingreifen verbundenen Risiken zu verringern.
Beschaffungsrichtlinie Track&Trace-Programme Mitarbeiterschulung
Eine Beschaffungsrichtlinie, die eine unabhängige Implementierung von Track&Trace-Programmen zur Fortlaufende Schulung der Mitarbeiter zur Schärfung
Validierung der Software von Drittanbietern auf einen Erfassung und Überwachung der Quellen aller Soft- und Aufrechterhaltung des Bewusstseins für effektive
ausreichenden Schutz vor Sicherheitsmängeln und wareprodukte, -komponenten und -codes, um einen Sicherheitspraktiken im Rahmen der Software-Lieferkette,
-lücken für alle Softwareanwendungen fordert, um effizienten Zugriff auf Updates und Sicherheits- die Auswahl von Softwareprodukten und -komponenten
potenzielle Schwachstellen zu identifizieren, die zu Patches zu ermöglichen und den laufenden Support von Drittanbietern und die Überwachung von Software
einem Sicherheitsvorfall führen könnten. von älteren Produkten sicherzustellen. systemen auf potenzielle Schwachstellen.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Das UL Cybersecurity Assurance Program (CAP)
und die Normenreihe UL 2900
Es gibt derzeit eine Reihe von Normen, die sich den Mit Einführung seines Cybersecurity Assurance Program
wichtigsten Aspekten des Schutzes und der Sicherheit (CAP) will UL diese Lücke schließen. Das UL CAP verfolgt
von netzwerkfähigen Produkten und Systemen widmen. einen ganzheitlichen Ansatz zur Risikominimierung,
Diese Normen können zwar bei der Beseitigung allge- der sowohl die produktspezifische als auch die system-
meiner potenzieller Schwachstellen hilfreich sein, sie bedingte Immunität gegenüber Cyberbedrohungen
befassen sich jedoch nicht direkt mit den Cyberbe beurteilt. Dieser Ansatz kann eine umfassendere Ab-
drohungen, die sich im Zusammenhang mit Software sicherung hinsichtlich der Sicherheit von Softwarepro-
ergeben können. Zudem liefern diese Normen keine dukten und -komponenten von Drittanbietern bieten.
eindeutigen und objektiven Kriterien zur Beurteilung
der tatsächlichen Wirksamkeit von Softwaredesign
oder -funktionen, die auf die Software gerichtete
Cyberangriffe verhindern sollen.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Ganzheitlicher Ansatz umfasst Produkte und Prozesse
Grundlage des UL CAP sind verschiedene UL-Prüfungs- UL 2900 „Standard for Software Cybersecurity of
übersichten (UL Outlines of Investigations), die nach- Network-Connectable Devices“ (Norm für Software-
prüfbare Kriterien für die Bewertung von Schwachstellen Cybersicherheit von netzwerkfähigen Geräten) ist auf
der Cybersicherheit von netzwerkfähigen Produkten eine Vielzahl miteinander verbundener Geräte und
und Systemen liefern. Besonders die Normenreiche Systeme anwendbar.
Industrielle
Steuerungssysteme
Netzwerkfähige Produkte und Systeme
Roboter
Die Normenreihe UL 2900 umfasst derzeit Normen in den folgenden Kategorien:
Medizinische Geräte
Automobile
Heizung/Klima
Industrielle Organisations- &
Beleuchtung Produkttests
Produkttests Prozesstests
UL 2900-1
Smart Home UL 2900-2X UL 2900-3
Hausgeräte
Alarmsysteme
Brandschutzsysteme
Gebäudeautomation
Intelligente Zähler
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)IHR VERNETZBARES UL 2900 CAP IHR BERICHT
PRODUKT Leistungsspektrum UND/ODER
UND/ODER SYSTEM IHRE ZERTIFIZIERUNG
Prüfung
Bewertung bestimmter Abschnitte der Norm
oder der gesamten Norm.
ProduKt System
• Fuzz Prüfung Prüf Zertifi
bericht zierung
• Bekannte Sicherheitslücken
• Code- und Binäranalyse
• Zugriffskontrolle und Authentifizierung
• Kryptografie
• Fernkommunikation
• Software-Updates
• Strukturierter Penetrationstest
Beratung
… zur Unterstützung der UL 2900
Schulung
… für die Risikobewertung
(Threat Modeling, Risikobewertung, Quellcode-
Analyse, Schwachstellenbewertung)
GAP-Bewertung
… zur Einhaltung der UL 2900
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Das UL Cybersecurity Assurance Program (CAP)
und die Normenreihe UL 2900
UL 2900-1 UL 2900-2 UL 2900-3
Allgemeine Produktanforderungen Branchenspezifische Anforderungen Allgemeine Prozessanforderungen
Die Normen in dieser Kategorie umfassen UL 2900-1, Derzeit gibt es zwei Normen in dieser Kategorie. Dies sind Die Norm UL 2900-3 wird derzeit noch entwickelt,
Prüfungsübersicht für Software-Cybersicherheit von die Norm UL 2900-2-1, Prüfungsübersicht für Software- Prüfungsübersicht für Softwaresicherheit von netzwerk-
netzwerkfähigen Produkten, Teil 1: Allgemeine Anforde- Cybersicherheit von netzwerkfähigen Produkten, Teil 2-1: fähigen Produkten, Teil 3: Allgemeine Anforderungen.
rungen. Die Norm UL 2900-1 bewertet Software auf das Besondere Anforderungen für netzwerkfähige Kompo- Berücksichtigung finden sollen in dieser Normenreihe
Vorhandensein von Kontrollvorrichtungen für Sicherheits- nenten von Gesundheitssystemen, und die Norm die allgemeinen Tests von organisatorischen Systemen
risiken in ihrer Architektur und ihrem Design und ver- UL 2900-2-2, Prüfungsübersicht für Software-Cybersicher- und Prozessen für die Durchführung der Risikobewer-
wendet vorgeschriebene Testmethoden, um Schwach- heit von netzwerkfähigen Produkten, Teil 2-2: Besondere tung, die zur Ermittlung möglicher softwarebasierter
stellen, Softwaremängel und Malware zu bewerten. Anforderungen für industrielle Steuerungssysteme. Diese Cyberbedrohungen erforderlich ist, und die Fähigkeit
Normen bewerten Schwachstellen von Software, die von Teams, Sicherheitsaspekte in den Produktentwick-
Geräte und Systeme unterstützen, die in der angege lungsprozess einfließen zu lassen.
benen Branchenumgebung eingesetzt werden. Derzeit
werden weitere Normen für diese Kategorie entwickelt.
Zusammengenommen bieten die Normen der Normen- Die Normenreihe gibt damit Unternehmen, die Teil der
reihe UL 2900 einen effektiven und effizienten Rahmen kritischen Infrastruktur sind, die erforderlichen Kriterien
für die Beurteilung des Gesamtkonzepts eines Unterneh- an die Hand, die sie zur Messung und Bewertung der
mens für die Softwaresicherheit sowie der spezifischen Sicherheitsmerkmale von Produkten, der eingesetzten
Schwachstellen einzelner Softwareprodukte und Technologien und der Wahrscheinlichkeit, dass Schwach-
-komponenten von Drittanbietern. stellen ausgenutzt werden könnten, benötigen.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Wie UL 2900-Standards Cybersecurity in industriellen
Steuerungssystemen (ICS) sichern
Das UL Programm für Cybersicherheit (UL CAP) für Industriesteuerungssysteme (ICS)
nutzt die neue Norm UL 2900-2-2, um nachprüfbare Kriterien für die Cybersicherheit
zu bieten. Damit lassen sich Softwareschwachstellen und -schwächen beurteilen,
deren Ausnutzung minimieren und Sicherheitsmechanismen überprüfen.
UL CAP bietet vertrauenswürdige Unterstützung durch Dritte und die Möglichkeit,
die Sicherheit von Produkten, die an das Netzwerk und die Systeme angeschlossen
werden, wie auch von Anbieterprozessen für die Entwicklung und Pflege von Produkten
und Systemen im Hinblick auf ihre Sicherheit zu bewerten. Das Programm ermöglicht
es Anbietern, sich mit neuen Technologien und Fähigkeiten auf Produktinnovationen
zu konzentrieren, um den laufenden Anforderungen des Marktes gerecht zu werden.
Unternehmen können aus Prüfung von Sicherheits- Prüfung mit dem Ziel der Beurteilung und Schulung für
kriterien auf Basis der Zertifizierung auf der Risikobewertung von Sicherheitsbewusstsein
folgenden UL CAP-Dienstleistungen Norm UL 2900-2-2 Grundlage der Norm Lieferantenprozessen beim Produktentwurf
für Fabrikautomations- und für Cybersicherheit oder UL 2900-2-2 für für die Entwicklung und und bei der Beschaffung
Industriesteuerungssysteme anhand spezifizierter Cybersicherheit Aufrechterhaltung von von Komponenten bei
auswählen: Anforderungen Sicherheitsprodukten Drittanbietern
und -systemen
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)
• Prüfung von Sicherheitskriterien auf Basis der Norm UL 2900-2-2 für Cybersicherheit oder anhand spezifizierterWie UL 2900-Standards Cyber Security in industriellen Steuerungssystemen (ICS) sichern
Zur Prüfung und Validierung der Produktsicherheit ist Markendifferenzierung schaffen und die Präferenz der
die Normenreihe UL 2900-2-2 dafür vorgesehen, die Produkte mit den skalierbaren UL Beratungs-, Prüf- und
angepassten Sicherheitskriterien der IEC 62443 auf Zertifizierungslösungen für Cyber-Sicherheit steigern.
Produkte und Systeme anzuwenden. Sie können eine
Maßgeschneiderte Die Vorteile
Produktprüfung
Schutz Ihres Geschäfts
Nutzen Sie die Flexibilität durch sicherheitstechnische
der Lösungen von UL zur Grundlagen, Technologie und
Sicherstellung von Cybersicherheit, Know-how bei Software/Anwen-
die sich an den organisatorischen Strategien dungssicherheit. Grundlage der
Organisatorischer Prozess
und verfügbaren Ressourcen orientieren. Messungen sind Metriken der
ISO/IEC 62443-2-4
Weisen Sie organisatorische Sicherheit Sicherheitstechnik.
oder Cyber-Sicherheit der Systeme durch
eines oder mehrere der folgenden
Dokumente nach:
Zuversicht in Bezug auf Ihre
Bemühungen, Cyberrisiken so
im Griff zu behalten, dass Sie
einen Wettbewerbsvorteil
Produktprüfung und Validierung erlangen.
UL 2900-2-2
Zeit und Geld sparen
durch Konzentration auf
den Schutz wichtiger Teile
Produktentwicklung Systemanforderungen des Unternehmens.
ISO/IEC 62443-4-1 ISO/IEC 62443-3-3
Produktprüfung
und Validierung
UL 2900-2-2
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)Zusammenfassung und Fazit
Der verstärkte Einsatz von Softwareprodukten und -komponenten von Drittanbietern
hat dazu beigetragen, dass es zu immer mehr Cyberangriffen auf Branchen der kritischen
Infrastruktur und andere Einrichtungen kommt.
Doch diese Angriffe werden auch andere Konzepte gefährden – von der Smart Factory
über Smart Home bis hin zu Smart City. All diese Bereiche werden so umfassend
vernetzt, dass etwa die Hersteller von Smart Watches und Connected Home-Produkten
ebenso wie die Beleuchtungsindustrie gefordert sind, Sicherheit von Grund auf zu
betrachten.
Folglich ist es für Unternehmen extrem wichtig, robuste Strategien für das Risikoma-
nagement aufzustellen und aufrechtzuerhalten, mit denen sie ihre Anfälligkeit gegen-
über potenziellen Cyberbedrohungen aus der Software-Lieferkette verringern können.
Mit solchen Strategien lassen sich ungeplante Ausfallzeiten von unternehmenskritischen
Aktivitäten, der Verlust oder die Kompromittierung geschützter Daten sowie potenzielle
Schäden an anderen Assets eindämmen.
Das UL Cybersecurity Assurance Program (CAP) und die Normenreihe UL 2900 fußen auf
der umfassenden Erfahrung von UL in der Entwicklung von Normen, Systemen und
Protokollen zur Bewertung des Schutzes und der Sicherheit von vernetzten Technologien.
Mit beiden Bausteinen lassen sich die Risiken der Cybersicherheit verringern. Sie bilden
einen Rahmen, in dem Unternehmen im Bereich der kritischen Infrastruktur Sicherheits-
kriterien für Software von Drittanbietern festlegen und die Ansprüche der Softwarean-
bieter an die Sicherheit sorgfältig überprüfen können. Zudem bietet das UL CAP einen
effektiven Ansatz zur Verbesserung der gesamten „Cyberhygiene“ über sämtliche
Aktivitäten innerhalb der Lieferkette hinweg.
Einleitung Cyber Security Identifizieren von Minimieren von UL Cybersecurity Cyber Security in Zusammenfassung
und kritische Schwachstellen in der Schwachstellen in der Assurance Program und industriellen Steue
Infrastrukturen Software-Lieferkette Software-Lieferkette die UL 2900 Standards rungssystemen (ICS)UL International Germany GmbH Admiral-Rosendahl-Strasse 9 63263 Neu-Isenburg Telefon: +49.69.489810.0 Fax: +49.69.489810.161 E-Mail: CustomerService.de@ul.com germany.ul.com/industrie-4.0 This brochure is for information purposes only. All rights reserved. May not be copied or distributed without permission. UL and the UL Logo are trademarks of UL LLC © 2017.
Sie können auch lesen
