Managament , Fachartikel, (ISC)²

Connected Car Security: Müssen wir die Qualifikationslücke in der Cybersicherheit neu definieren?

Connected Car Security: Müssen wir die Qualifikationslücke in der Cybersicherheit neu definieren?

Adrian Davis, Managing Director EMEA bei (ISC)²

Der Tesla-Hack zeigt, warum wir neu definieren müssen, was wir unter einer Qualifikationslücke in der Cybersicherheit verstehen, wenn wir die Verbreitung von Schwachstellen stoppen wollen. Die Nachricht letzte Woche, dass ein Tesla Model S aus einer Entfernung von 12 Meilen gehackt wurde[1], deutet darauf hin, dass das explosive Wachstum automotive getriebener Konnektivität die sogenannten Connected Car-Sicherheit schnell überholen könnte.

Diese Geschichte steht beispielhaft für zwei anhaltende Probleme, die vielen Branchen beim Thema Digitalsierung zusetzen: die kontinuierliche Verbreitung von Schwachstellen in neuer Software und die falsche Vorstellung, dass Cybersicherheit von Konzept, Entwicklung, Engineering und Produktion losgelöst zu betrachten ist.

Das führt zu einem Cybersicherheitsansatz nach der „Feuerwehr“-Methode, bei der Sicherheit weder bei Hardware noch bei Software in die Planungsphase ‚eingebrannt‘ wird, sondern erst hinzukommt, wenn Schwachstellen von Cybersicherheitsspezialisten entdeckt wurden, nachdem das Produkt bereits auf dem Markt ist. Diese zweifache Problematik spiegelt sich perfekt in der Tatsache wider, dass BMW, Tesla und andere Unternehmen kürzlich über eine Reihe von Schwachstellen in neuen Straßenfahrzeugen informiert wurden. Die einzelnen Hersteller mussten dann einen langwierigen und teuren Flottenrückruf durchführen oder Aktualisierungen ‚im Netz‘ durchführen. Autobauer verlassen sich bei der Suche und Behebung von Fehlern und Schwachstellen scheinbar eher auf externe Sicherheitsforscher, anstatt von vornherein robuste und stabile Software zu entwickeln und zu testen.

Sicherheitslücken by Design

Schlimmer noch, diese Probleme stammen in zunehmendem Maße von alten und bekannten Software-Schwachstellen, die in der neuen Technologie immer wieder auftauchen; unlängst wurden bei 100 Millionen Volkswagen 20 Jahre alte Softwarefehler gefunden[2]. Das hängt mit dem gleichen Problem zusammen: Wenn sich die Cybersicherheits- und Softwareentwicklungs-Communities weiterhin als separate Kompetenz-Inseln betrachten, werden die in der Cybersicherheit erlangten Kenntnisse nicht an die Software-Entwicklung weitergegeben und Fehler werden ständig kopiert. Das ist ein altbekanntes Problem; seit mehr als 10 Jahren befragt (ISC)2 weltweit Beschäftigte der Informationssicherheit, und Schwachstellen in Alltagssoftware stehen auf der Liste der 10 größten Sicherheitsbedenken noch immer an erster Stelle.

Wenn wir dieses Problem lösen wollen, müssen wir wohl neu definieren, was wir unter einer ‚Qualifikationslücke in der Cyber-Sicherheit‘ verstehen. Viele Cybersicherheitsprobleme resultieren nicht nur aus einem Mangel an spezialisiertem Informationssicherheitspersonal, sondern auch aus einem Mangel an fehlender Schulung und Wahrnehmung im Bereich der Informationssicherheit in anderen Berufssparten, wie dem Software-Design.

Wir müssen nicht nur verstärkt neue Cybersicherheitsfachkräfte einsetzen, wir müssen auch allen Entwicklern, Ingenieuren und Herstellen von Produkten, die sich mit dem Internet verbinden, eine „Security-by-Design“-Kultur beibringen. Durch den Schritt in Richtung autonome Fahrzeuge wird es noch zwingender, Cybersicherheit bereits in die Entwicklungsphase zu bedenken und entsprechende Maßnahmen und Funktionen zu implementieren.

In Großbritannien ist man da schon ein bisschen weiter. Das britische Bildungssystem hat diesen wachsenden Bedarf erkannt. Das BCS - The Chartered Institute for IT - nahm kürzlich erstmals Cybersicherheitsrichtlinien und Lernergebnisse in die offiziellen Zulassungskriterien für seine IT-Abschlüsse auf. Das bedeutet, dass Cybersicherheit nicht länger als einzelnes Fach unterrichtet, sondern bald Teil aller IT-Abschlüsse sein wird, so dass alle, vom Software-Ingenieur bis zum Spiele-Entwickler, auf gemeinsames Basiswissen in der Cybersicherheit zurückgreifen können. Darüber hinaus nimmt das britische Engineering Council jetzt Cybersicherheit in seine Kompetenzanforderungen UK-SPEC für Entwicklungsfachleute auf. Nun muss die Branche einen Schritt weitergehen und dafür sorgen, dass Personalvermittler bei den Einstellungskriterien für viele Jobs in unserer vernetzten Wirtschaft Kenntnisse im Bereich Cybersicherheit priorisieren.

Fazit

Letzten Endes müssen wir insgesamt davon loskommen, Software-Entwicklung und Informationssicherheit als separate Fachrichtungen zu betrachten und auf eine gemeinsame Kultur zusteuern, bei der Sicherheit ein zentraler Bestandteil aller technologischen Innovationen ist. Diese Herangehensweise müssen wir über die Industrie hinaus auch in den Fort- und Bildungseinrichtungen in Deutschland, Österreich und der Schweiz integrieren.


[1] http://teslamag.de/news/tesla-gibt-weitere-informationen-ueber-den-kuerzlich-stattgefundenen-hack-aus-der-ferne-bekannt-9680  aufgerufen am 29.09.2016 

Tesla gibt weitere Informationen über den kürzlich stattgefundenen Hack aus der Ferne bekannt

[2] http://www.theinquirer.net/inquirer/news/2467793/100-million-volkswagen-cars-vulnerable-to-wireless-hack-due-to-20-year-old-flaw aufgerufen am 29.09.2016

100 million Volkswagen cars vulnerable to wireless hack due to 20-year-old flaw

YouTube - https://www.youtube.com/watch?v=c1XyhReNcHY

 

Diesen Artikel empfehlen

Autor: Adrian Davis, Managing Director EMEA bei (ISC)²

SonicWall spaltet sich von der Dell-Software-Gruppe ab

Das vor mehr als 25 Jahren gegründete Unternehmen SonicWall war seit 2012 als Geschäftseinheit von Dell tätig. Mit seinen innovativen IT-Sicherheitslösungen schützt es weltweit mehr als eine Million Netzwerke. Präsident und CEO von SonicWall wird der Cybersecurity- und Netzwerk-Experte Bill Conner,...

Verbreitung von Cryptowall-Ransomware in Deutschland nimmt zu

Check Point veröffentlicht die Ergebnisse seiner monatlichen Gefahrenanalyse für den Monat September mit einer Überraschung, denn zum ersten Mal befindet sich mit Locky eine Ransomware unter den Top 3 der weltweit am meisten verbreiteten Schadsoftware. In Deutschland liegt Locky inzwischen nur noch...

Datenschutz bleibt weitgehend Aufgabe der Mitgliedsstaaten

Mit der Europäischen Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Insbesondere drei große Ziele sind an die Grundverordnung geknüpft: Diese soll zum einen zu...

Studie: Sicherheitslücken in der Smart Factory

Die Studie unterstreicht, dass IT-Sicherheit die elementare Voraussetzung für die Umsetzung und den Erfolg von Industrie 4.0 ist. Allerdings stünden die Unternehmen den Bedrohungen derzeit noch orientierungslos gegenüber: Es fehlten klare gesetzliche Regularien und ein technisches Gesamtkonzept zum...

Neues Cybersecurity-Regelwerk

Tenable Network Security stellt als neuen Einsatzbereich für seine Lösungen sein Cybersecurity-Regelwerk vor. Dank dieses neuen Einsatzbereichs können Unternehmen den weitverbreiteten Sicherheitsstandard “Framework for Improving Critical Infrastructure Cybersecurity” (Cybersecurity Framework) des...

Das entgeht den Analyse-Tools

Statische und dynamische Tools sind ohne Frage innovativ. Sie helfen Unternehmen dabei, allgemeine Codierungsfehler und damit potentielle Sicherheitslücken zu identifizieren. Bugs, wie sie Tag täglich in Open Source-Komponenten zu finden sind, können sie jedoch nicht aufzuspüren. Open Source...