Entwicklung bedrohungsgetriebener Sicherheitsanforderungen
In einer Welt der sich ändernden Bedrohungen erfordert die Verwaltung des digitalen Produktlebenszyklus eine kontinuierliche Bewertung der Bedrohungen und Risiken für den Entwicklungsprozess und das Endprodukt sowie einen Abgleich der ermittelten Sicherheitsanforderungen mit diesen. Mit wachsendem Produktverständnis können sich die für das Produkt und den Entwicklungsprozess ermittelten Anforderungen im Laufe des Lebenszyklus als qualitativ unzureichend oder lückenhaft erweisen. Die Bedrohungslandschaft verändert sich auch schneller als früher – die Merkmale, die heute für Cyber-Resilienz sorgen, garantieren nicht unbedingt Resilienz für morgen. Unterbrechungen, Langsamkeit oder Parallelität in der Wertschöpfungskette der Anforderungen erhöhen leicht die Entwicklungskosten, wenn Produkte in die Produktion gelangen, die bezüglich ihrer Cyber-Resilienz von schlechter Qualität sind.
Während des digitalen Lebenszyklus eines Produkts sollten die Anforderungen an die Informationssicherheit effizient nach links und rechts fließen: von der Konzeptionsphase über die Produktentwicklung bis hin zur Produktion und auch in umgekehrter Richtung. Wir können von einer Anforderungs-Wertschöpfungskette sprechen, die verschiedene Akteure innerhalb und außerhalb des Unternehmens während des Produktlebenszyklus einbezieht. So stellt beispielsweise ein auf die Wertschöpfungskette ausgerichteter Workshop zur Modellierung von Bedrohungen ein wirksames Instrument dar, mit dem man sicherstellen kann, dass die Anforderungen an die Informationssicherheit des Produkts und die bereits in der Produktion vorhandenen Sicherheitsmerkmale der aktuellen Bedrohungslage entsprechen.
Zusätzlich zur Bedrohungsmodellierung erhöht eine systematische Überprüfung der Informationssicherheit des Produkts zum Beispiel durch Penetrationstests die Gewissheit, dass die Cyber-Resilienz auf dem neuesten Stand ist. Bedrohungsmodellierung und Penetrationstests müssen als regelmäßige Aktivitäten mit der Entwicklung (DevSecOps) verknüpft und zumindest bei der Aktualisierung von Produktversionen wiederholt werden. Wie Harri Laukkanen von Gofore in seinem Blog schreibt, kann in der Produktionsphase noch vor der Herstellung des physischen Geräts ein digitaler Zwilling erstellt werden. Dies versetzt die Unternehmen in die Lage, die Produktion im Voraus digital zu simulieren. Die szenariobasierte Sicherheitsmodellierung in digitalen Zwillingen ermöglicht es, das Produkt selbst und die Gültigkeit der Sicherheitsanforderungen im Hinblick auf die vorherrschende bekannte Bedrohungslandschaft sicher und ohne Auswirkungen auf die physische Welt zu testen.
Auswirkungen der EU-Regulation auf die Produktentwicklung
In den letzten Jahren hat die Europäische Union zahlreiche Regulierungsprojekte auf den Weg gebracht, die darauf abzielen, die Cyber-Resilienz und die Umsetzung einer risiko- und bedrohungsbasierten Entwicklung in verschiedenen Sektoren rasch zu verbessern. Einer der wichtigsten vereinheitlichenden Faktoren für die einschlägigen Verordnungen ist die Verbesserung der Fähigkeit, Zwischenfälle im Bereich der Informationssicherheit zu managen und die Kontrolle über die Sicherheit der Lieferkette zu übernehmen.
In Deutschland ziehlt die nationale Umsetzung der Richtlinie zur Netz- und Informationssicherheit (NIS2) darauf ab, ein ausreichendes Maß an Risiko- und Bedrohungsmanagement in den als kritisch eingestuften Sektoren zu gewährleisten. Der aktuelle Vorschlag sieht ein neues Gesetz mit der Bezeichnung „Gesetz über das Cyber-Sicherheitsrisikomanagement“ vor. Die Auswirkungen des kommenden Gesetzes werden sich auf die Wertschöpfungsketten kritischer Unternehmen erstrecken, das heißt, die Auswirkungen werden weitreichend sein. Andererseits wird das ebenfalls anstehende Gesetz über die Widerstandsfähigkeit gegenüber Cyberangriffen (Cyber Resilience Act, CRA) Anforderungen an die Hersteller von Produkten mit digitalen Elementen für die Sicherheit des Entwicklungsprozesses und der Produkte vorgeben. Die Verordnung über die Cyber-Resilienz wird die Hersteller unter anderem dazu verpflichten, während des gesamten erwarteten Produktlebenszyklus kostenlos Sicherheitsupdates bereitzustellen.
Kontinuierliche Verbesserung und Veränderung
Die Unternehmen verfügen bereits über die Technologie und das Know-how, die für die Nutzung des digitalen Produktlebenszyklus erforderlich sind, aber die Umsetzung des Wandels in traditionellen Fertigungsunternehmen stellt noch eine Herausforderung dar. Der Wandel ist nicht nur technologischer Natur, sondern betrifft auch das Organisationsmodell, die sich ändernden Rollen der Mitarbeitenden und die Änderung oder Kombination verschiedener Entwicklungs- und Fertigungsprozesse. Die Übernahme der Wertschöpfungskette der Informationssicherheitsanforderungen ist ebenfalls eine Veränderung, die einen systematischen Entwicklungsansatz und das Verständnis und Engagement der verschiedenen Akteure und ihrer Rollen erfordert. Um die Verantwortung für das Veränderungsmanagement zu klären, ist es wichtig, die Zuständigkeiten in der Wertschöpfungskette zu definieren.
Jetzt ist ein guter Zeitpunkt, um darüber nachzudenken, wie die Anforderungen Deines Unternehmens an die Informationssicherheit während des digitalen Produktlebenszyklus entwickelt und aktualisiert werden. Wird die Wertschöpfungskette der Informationssicherheitsanforderungen verwaltet? Fließen die Anforderungen im Alltag Deines Unternehmens in verschiedene Richtungen?
Auch wenn die neuen Anforderungen an die Cyber-Resilienz, die mit der neuen Regulierung einhergehen, bereits an die Tür klopfen, ist es noch Zeit, die Dinge richtig zu machen.
