Sieben Regeln für sicherheitsorientiertes Software Engineering

27.02.2019
Von: Dr. Matthias Kampmann

Beim „1. Internet of Things und Industrial Internet of Things-Kongress Regensburg“, der Anfang Februar 2019 in der TechBase stattfand, beschrieb Prof. Dr. Jürgen Mottok Wege zu mehr Safety und Security.

Prof. Dr. Jürgen Mottok bei seinem Vortrag auf dem 1. Regensburger IoT- und IIot-Kongress an der TechBase in Regensburg.

Prof. Dr. Jürgen Mottok bei seinem Vortrag auf dem 1. Regensburger IoT- und IIot-Kongress an der TechBase in Regensburg. Foto: Sandra Wiesbeck/Bayerischer IT-Sicherheitscluster

Im Rahmen des „1. Regensburger IoT und IIot-Kongresses“, zu dem der Bayerische IT-Security-Cluster am 5. Februar 2019 in die Regensburger TechBase geladen hatte, präsentierte Prof. Dr. Jürgen Mottok, wissenschaftlicher Laborleiter des Software Engineering Laboratory for Safe and Secure Systems (LaS3) an der Fakultät Elektro- und Informationstechnik der Ostbayerischen Technischen Hochschule Regensburg (OTH Regensburg), seine Erkenntnisse über den Weg zu mehr Safety und Security im Software Engineering für eine zunehmend vernetzte Gesellschaft. Für seine Keynote entwickelte er sieben klare Regeln, deren Beherzigung zu mehr Sicherheit in der digitalisierten Gesellschaft beitragen könne.

Der Kongress, an dem 95 Interessierte teilnahmen, widmete sich zudem den Möglichkeiten, aber auch den Gefahren des Internet oft Things (IoT) und dem Bruder aus der Wirtschaft: dem Industrial Internet of Things (IIoT). IoT und IIoT werden von eingebetteten Systemen angetrieben. Bis vor wenigen Jahren waren weder Fernsehgeräte daheim noch Werkzeugkästen einer Fabrik mit dem Internet vernetzt. Da sich sowohl die Notwendigkeiten und Bedingungen in der Industrie als auch in Privathaushalten verändern, halten immer mehr vernetzte Geräte in Fabrikhallen und Wohnungen Einzug.

Damit sind viele Vorteile verbunden: Per App lassen sich Heizung oder Jalousien steuern. Maschinen sorgen selbsttätig für Nachschub, wenn Werkstoffe ausgehen. Und vernetzte Mobilität erzeugt das, was Prof. Dr. Mottok als „Cyber Physical System“ (CPS) bezeichnet: Automobile bilden Ad-hoc-Netzwerke auf der Autobahn, um sich gegenseitig zu kontrollieren. Kraftwerke kommunizieren ihre Leistungsabgabe, damit Rechner das Stromnetz ausbalancieren.

Mit der zunehmenden Zahl von Netzteilnehmerinnen und -teilnehmern steigt allerdings die Varietät an Geräten und damit notwendig die Anzahl an Steuerungssoftware. Das führt gegebenenfalls zu höherer Fehlerhäufigkeit und Schwachstellen. Hier kommt das Software Engineering ins Spiel, wie es Prof. Dr. Mottok an der OTH Regensburg unterrichtet: „Software muss von Beginn an unter der Ägide von funktionaler und IT-Sicherheit sowie Datensicherheit, Datenschutz und Zuverlässigkeit programmiert werden.“ Hierzu definierte er sieben „Habits of Very Successful Secure Software Engineers“, so auch der Titel seiner Keynote beim Regensburger Kongress. 

Sieben „Habits“ für mehr Sicherheit

Die sieben „Habits“ lauten im Einzelnen:

  • Mache die wechselseitige Abhängigkeit von IT-Security und Functional Safety bewusst.
  • Nutze hochqualitative Zufallsgeneratoren.
  • Nutze angemessene Kryptografie.
  • Stütze dich auf Safe and Secure Design sowie auf Coding Guidelines.
  • Nutze aktuelle Empfehlungen und Informationsquellen über Angriffe und Schwachstellen, um Systeme zu härten.
  • Führe mächtige Security-Tests ein.
  • Führe eine ausgereifte Sicherheitskultur ein.

„Wenn diese Regeln beherzigt werden, lassen sich Risiken minimieren und sowohl mehr funktionale Sicherheit als auch IT-Sicherheit durchsetzen“, postuliert Prof. Dr. Mottok. Dies sei gerade in der vernetzten Infrastruktur notwendig, um zu vermeiden, dass kritische Systeme kollabieren. Eine der wichtigsten Bedingungen sei hierzu eine kulturelle. Prof. Dr. Mottok zieht Fazit: „Es ist nur dann möglich, Informationssicherheit innerhalb einer Institution erfolgreich und effizient zu verwirklichen, wenn alle Mitarbeiter erkennen und akzeptieren, dass sie ein bedeutender und notwendiger Faktor für den Erfolg der Institution ist, und wenn sie bereit sind, Sicherheitsmaßnahmen wirkungsvoll zu unterstützen.“

Mit diesem ersten Kongress zum Thema IoT und IIoT rückten die Organisatoren des Kongresses, der Bayerische IT-Sicherheitscluster e. V. und die Digitale Gründerinitiative Oberpfalz (DGO), sowie als Kooperationspartner das Zentrum Digitalisierung Bayern (ZD.B) eines der wesentlichen Themen der Digitalisierung ins Blickfeld. Unter den Teilnehmenden waren Vertreterinnen und Vertreter von Großkonzernen, solche aus dem regionalen Mittelstand sowie akademische Gäste und Studierende.

Im Bayerischen IT-Sicherheitscluster e. V. bündeln Unternehmen der IT-Wirtschaft, Unternehmen, die IT-Sicherheitstechnologien nutzen, Hochschulen, andere Forschungs- und Weiterbildungseinrichtungen sowie Juristinnen und Juristen Kräfte und Know-how in den Schwerpunktthemen IT-Security und Functional Safety.

Über das Laboratory for Safe and Secure Systems (LaS3)

Das Laboratory for Safe and Secure Systems (LaS3) ist ein gemeinsames Kompetenzzentrum der Ostbayerischen Technischen Hochschule: ein Verbund zwischen den Hochschulen Amberg-Weiden und Regensburg. Es wurde 2005 gegründet und wurde initial durch die Projektförderung „FHprofUnt“ der Bundesrepublik Deutschland sowie durch das Programm „Strukturimpuls“ des Bayerischen Staatsministeriums für Wissenschaft, Forschung und Kunst – heute: Bayerisches Staatsministerium für Wissenschaft und Kunst – unterstützt. Das LaS3 sieht sich als Mediator zwischen Wissenschaft und Anwendung: Ziel ist die Verzahnung von anwendungsorientierter Forschung im Bereich der Softwareentwicklung, mit den Anforderungen sowohl mittelständischer Unternehmen als auch der Industrie im ostbayerischen Wirtschaftsraum.

Zurück