OPC UA

Systeme von Beginn an absichern

6. September 2018, 0:00 Uhr | Dr. Matthias Meyer, Dr. Uwe Pohlmann, Sven Merschjohann

Fortsetzung des Artikels von Teil 1

Klar definierte Vorgehensweisen

Auswirkungen des SDL, Fraunhofer
Bild 1. Die Auswirkungen des Security Development Lifecycle (SDL) von Microsoft auf die IT-Sicherheit ihrer Anwendungssoftware.
© Fraunhofer IEM

Der Einsatz von klar definierten Vorgehensweisen für die sichere Entwicklung von Software kann die Angriffsanfälligkeit dabei drastisch senken, wie Microsoft durch eine Studie für den Einsatz seines Security Development Lifecycles (SDL) zeigt (siehe Bild 1). Dazu wurden die Schwachstellen in zwei Produkten (Windows und SQL-Server) jeweils vor und nach der Einführung des SDL miteinander verglichen. Im Fall des SQL-Servers ist hier sogar eine Reduzierung der Schwachstellen von mehr als 90 % zu verzeichnen. In den frühen Phasen des SDL ist eine systematische Erfassung möglicher Be­drohungen vorgesehen, zum Beispiel mit Microsofts ‚Stride‘-Methode und dem zugehörigen Softwarewerkzeug. Stride unterstützt die systematische, in Teilen automatisierte Analyse von Bedrohungen anhand eines Datenflussmodells des Systems.

SDL und Stride sind nicht nur für reine IT-, sondern ebenso für IT/OT-Systeme anwendbar. Um den Aufwand dafür zu verringern, können die Methoden an die Spezifika von OT-Systemen angepasst werden. Für die Bedrohungsanalyse mit Stride und OPC UA hat das Fraunhofer IEM genau das getan: Über einen Erweiterungsmechanismus von Stride wurden für OPC UA spezifische Bedrohungen zur automatischen Betrachtung ergänzt, welche anhand einer sicher und einer unsicher konfigurierten OPC-UA-Verbindung evaluiert wurden. Im Folgenden werden die Stride-Methode sowie die erstellte Erweiterung vorgestellt.

Anbieter zum Thema

zu Matchmaker+

  1. Systeme von Beginn an absichern
  2. Klar definierte Vorgehensweisen
  3. Die ‚Stride‘-Methodik
  4. Gefahren bei der OPC-UA-Kommunikation
  5. Zugewinn an Sicherheit

Verwandte Artikel

Fraunhofer IEM Institut für Entwurfstechnik Mechatronik, OPC Foundation

Safety & Security

TSN & OPC UA