- Microsoft\’s Secure Development Life Cycle [2]: Das Vorgehen von Microsoft bietet viele Anhaltspunkte, ist aber zum Teil auf Microsoft-Technologien und -Produkte fokussiert.
- BSIMM [3]: Erstellt durch die Analyse der Securityprogramme verschiedener Softwareentwicklungsfirmen
- Opensamm [4]: Guide erstellt durch eine offene Community
- Draft IEC62443-4-1 Product Development Requirements [5]: Anforderungen an den Entwicklungsprozess aus Sicht eines Industriestandards
- ISASecure [6]: Fokussiert auf Embedded Geräte. Stellt neben Securityanforderungen an den Entwicklungsprozess auch technische Anforderungen im Bereich Securityfunktionalität und Netzwerkrobustheit
- Security by Design with CMMI-DEV 1.34 [7]: von Siemens entwickeltes und durch CMMI Partnerunternehmen veröffentlichtes Modell für die Entwicklung sicherer Produkte
Um als Hersteller eine Security-Initiative innerhalb der Entwicklung anzustoßen, eignen sich alle der genannten Guidelines bzw. Standards. Wird zusätzlich eine Auditierung/Zertifizierung angestrebt, ist dies voraussichtlich nur bei den drei letztgenannten Dokumenten IEC62443-4-1, ISASecure und Security by Design with CMMI-Dev möglich. Für die Erstellung von Anforderungskatalogen von Betreibern an die Hersteller ist es wichtig, dass nicht einfach eines der Dokumente als Ganzes referenziert wird, sondern bestimmte, gewünschte Inhalte (bzw. in Zukunft Zertifizierungen der Entwicklungsprozesse) verlangt werden.
Möglichkeiten für Anlagenbetreiber
Was können Betreiber nun tun, um die Cyber Security voranzutreiben? Jeder Hersteller hat bildlich gesprochen einen Stapel von Betreiberanforderungen auf dem Tisch liegen, die er mit den zur Verfügung stehenden Mitteln nach und nach umsetzt. Wenn Industrieanlagenbetreiber vor allem neue Feature-Anforderungen auf diesen Stapel legen und Security nur impliziert erwarten, anstatt explizit zu verlangen, wird der Hersteller und Integrator dieses Thema weiter niedrig priorisieren. Einige Hersteller haben bereits begonnen, Security sehr aktiv zu bearbeiten und zu treiben. Um sichere Gesamtlösungen zu erhalten, die mitunter aus Produkten unterschiedlichster Hersteller bestehen, müssen jedoch alle Lieferanten ihren technischen Teil der Security-Verantwortung beitragen, inklusive des Integrators. Den Schlüssel zu sicheren Industriekomponenten halten damit letztendlich die Betreiber in der Hand: Sie können explizite Anforderungen an die sicheren Softwareentwicklungsprozesse ihrer Lieferanten stellen. Auf welche existierenden technischen Security-Zertifizierungen von Industriekomponenten Betreiber achten können und was technisch dahintersteckt, wird in der nächsten Ausgabe vorgestellt.
