“Cyber Security by Design” ist ein Gamechanger und reflektiert System-Anforderungen, wie wir sie heute im sicherheitskritischen IoT Umfeld antreffen. Als Grundlage dafür wird «Threat Modelling» als Methodik verwendet. Sie erkennt und analysiert potenzielle Gefahren bei der Entwicklung von komplexen Systemen durch Modellierung. In der Praxis ist diese Analyse oft umfangreich: Es stellt sich die schwierige Frage der Relevanz und Priorisierung der erkannten Schwachstellen. Ebenso sind branchenspezifische Regulatorien und Normen zu erfüllen.

Damit Security im vernetzten IoT Umfeld umsetzbar und in der Folge wirksam wird, muss sie Teil der gesamten Funktionalität werden. Es geht nicht nur um die Analyse potenzieller Schwachstellen einzelner Elemente im Systemmodell, sondern auch um das Erkennen möglicher Angriffspunkte und -pfade. Die Frage ist: Welche Ziele verfolgen Angreifer im System und welche Schritte auf welchem Pfad führen sie dorthin? Letztlich sind diese Pfade der Nerv jedes Systemmodells!

Das AIT Austrian Institute of Technology hat mit «ThreatGet» eine einzigartige Methodik für «Cyber Security by Design» entwickelt. Einerseits überprüft sie Systemmodelle und deren Elemente bei der Entwicklung und erspart damit teure Anpassungen zu einem späteren Zeitpunkt. Die wesentliche Grundlage dafür sind die von der AIT entwickelten Wissensdatenbanken und Gefahrenkataloge. Sie stehen aktuell für die Bereiche Automotive und Industrie zur Verfügung und berücksichtigen auch regulatorische Anforderungen. Andererseits erkennt ThreatGet auch potenzielle Angriffspunkte und -pfade. Jetzt ist es durch die Verbindung und gleichzeitige Visualisierung von Schwachstelle und Angriffspfad in der Systemarchitektur möglich, die Komplexität von Cyber Security zu reduzieren. Davon profitiert das gesamte Ökosystems des Unternehmens, weil Systeme über Organisationsgrenzen hinweg vor Angriff und Angreifer geschützt sind.