2-2022

Weitere Magazine

Empfehlungen

Info

IT-Sicherheit Sichere Programmierstandards CWE und CERT für embedded Cybersecurity © shutterstock_SW-Programmierg-776545783 Parasoft www.parasoft.com Angetrieben durch die Digitalisierung und zunehmende Vernetzung von Software ist Cybersicherheit heute in aller Munde. Um vorzubeugen und Software zu programmieren, die sicherer ist, sollten Standards wie CWE und CERT berücksichtigt werden. Beide beruhen auf Forschungsergebnissen, die zeigen, dass das Testen von Software alleine nicht ausreicht, um die Aufgabe zu erfüllen. Oft wird gefragt „Was soll ich verwenden? Ist da eine besser als das andere?“ Beide ergänzen sich gegenseitig und jedes hat eine etwas andere Ausrichtung: Bei CWE handelt es sich um eine Liste von Schwachstellen, über die ein Softwaresystem angegriffen werden kann, während CERT ein Programmierstandard ist, der helfen soll, Schwachstellen zu verhindern, indem fehleranfällige Konstrukte und Muster vermieden werden. Bei Software-Sicherheitsverletzungen werden Schwachstellen in der Software (CWE) ausgenutzt, und entsprechende Richtlinien und bewährte Verfahren (CERT) weisen darauf hin, dass man solche Schwachstellen in seinem System vermeiden muss. Ein Vergleich mit einem Verkehrsunfall macht es deutlich: CWE bezeichnet die Unfallursache(n), z. B. schlechte Sicht an einer Kreuzung, schlechte Bremsen, Ablenkung des Fahrers, zu dichtes Auffahren. CERT sind Vermeidungssysteme, wie z. B. Spiegel an unübersichtlichen Ecken, dritte Bremslichter in Autos, ABS-Bremsen. Risikoverständnis und Priorisierung Ein interessanter und oft übersehener Aspekt von CWE und CERT ist: Beide Standards verfügen über Daten zum Risikoverständnis und zur Priorisierung der gefundenen Sicherheitsmängel. Im Fall von CWE heißen diese Daten CWSS und Technical Impact. Sie helfen zu verstehen, dass die in CWE beschriebenen grundlegenden Code-Probleme (wie Pufferüberlauf) zu spezifischen Problemen führen, wenn sie ausgenutzt werden. Weiß man, welche Probleme auftreten können, lässt sich besser entscheiden, welche Probleme im Zusammenhang mit der eigenen Anwendung oder dem Gerät am wichtigsten sind. Bei CERT gibt es für jede Regel eine Bewertung und eine Empfehlung, die angibt, wie wahrscheinlich es ist, dass das Problem in der Realität auftritt, wie schwierig es zu entschärfen ist und wie schwerwiegend es ist, wenn es tatsächlich auftritt. Zusammen ergeben sie eine Prio- 24 2/<strong>2022</strong>
IT-Sicherheit CERT-CWE Landscape ritätsstufe, die dabei hilft, um sich auf die wichtigsten Probleme zu konzentrieren. Was ist also der erste Schritt? Hat man beschlossen, das Sicherheitsproblem mit Hilfe der statischen Codeanalyse in den Griff zu bekommen, muss man sich für ein Tool entscheiden. Es sollte: • alle erforderlichen Sicherheitsstandards und mehr als die CW Tops 25 unterstützen, • mit gegebenen Code-Editoren und IDEs sowie Build- und CI- Tools zusammenarbeiten, • ein flexibles und umfassendes Berichtswesen beinhalten, • sowohl Erkennungsregeln (Fluss/ Verfälschung) als auch Präventionsregeln (Standards/Muster) enthalten, • Risikobewertungsalgorithmen in CWE und CERT enthalten, um vorliegende Sicherheitsmängel zu priorisieren und • selektiv auf der Grundlage von aktuellem / neuem / geändertem und altem Code ausgeführt werden. Das passende Tool auswählen Laut Forschern verschiedener Institute sind die aktuellen Open- Source-Tools für die statische Analyse nicht so umfassend wie die kommerziellen Tools. Darum sollte man sicherstellen, dass das eingesetzte Tool die für das eigene Unternehmen wichtigen Punkte abdeckt. Ist die Entscheidung für ein Tool gefallen, muss man es so konfigurieren, dass es die gewünschten Regeln ausführt. Man sollte nicht einfach alle Sicherheitsregeln aktivieren - das zerstört die langfristige Rentabilität der statischen Analyse, weil mehr sicherheitsrelevante Erkenntnisse gewonnen werden, als man sinnvoll verwalten kann. Es ist also lohnenswert, die Anzahl der Regeln zu Beginn zu begrenzen und sie dann zu erhöhen, wenn man den Code in Übereinstimmung mit den Vorschriften bringt. Ein einfacher Ausgangspunkt ist die CWE Top 25, um sich auf die wichtigsten Probleme zu beschränken. Setzt man CERT ein, sollte man nur die Regeln verwenden, die auf die höchste Prioritätsstufe eingestellt sind. Es ist hilfreich, die Entwickler daran zu gewöhnen, sich mit den Problemen zu befassen, und sicherzustellen, dass sie die Beziehung zwischen Regeln, die zur Fehlervermeidung beitragen, und Regeln zur Fehlererkennung verstehen. Wenn der Code sauberer wird, kann man weitere Regeln hinzufügen. Nicht zu vergessen: In einem breit gefächerten Bereich wie der Cybersicherheit wird man nicht alles, was man braucht, bei einem einzigen Anbieter finden. Daher ist es sowohl für die Effizienz als auch für die Einhaltung von Vorschriften wichtig, eine Möglichkeit zu haben, alle Tools in einen einzigen Prozess mit einem umfassenden Bericht zu integrieren, der alle Sicherheitsaktivitäten berücksichtigt. Fazit Angesichts der ansteigenden Zahl von Vorfällen im Bereich der Cybersicherheit müssen sich die Verbraucher (notgedrungen) zunehmend um die Sicherheit von Software und Geräten kümmern. Es ist gut vorstellbar, wenn sich Regierungen mit verschiedenen Formen der Regulierung einmischen, indem sie z. B. die Einhaltung von CWE und/oder CERT vorschreiben. Unabhängig davon, wo die Software ausgeführt wird, ob auf einem Desktop, einem mobilen Gerät, einem IoT- Gerät oder in der Fabrikautomatisierung, kann die Software sicherheit durch einen strengen, auf Standards basierenden Entwicklungsprozess erreicht werden. ◄ 2/<strong>2022</strong> 25
Seite 1: Mai/Juni/Juli 2/2022 Jahrgang 16 Fa
Seite 4 und 5: Inhalt 3 Editorial 4 Inhalt 6 Aktue
Seite 6 und 7: Aktuelles Highlights auf der SMTcon
Seite 8 und 9: Aktuelles PCB Design Award 2022: FE
Seite 10 und 11: Aktuelles Digitale Transformation u
Seite 12 und 13: Aktuelles Think Green - Act Respons
Seite 14 und 15: Aktuelles Digital Twin: Keine Kette
Seite 16 und 17: Titelstory Erweiterte Software nimm
Seite 18 und 19: Schützen Sie Ihre Produktion! Die
Seite 20 und 21: Cybersecurity -sichtbarkeit, da kei
Seite 22 und 23: Cybersecurity Endpoint Security hat
Seite 26 und 27: IT-Sicherheit Sichere Datenübertra
Seite 28 und 29: IT-Sicherheit Proaktiver Schutz ind
Seite 30 und 31: IT-Sicherheit Bild 4: Virtuelles Pa
Seite 32 und 33: Dienstleistungen 3D-Druck/Additive
Seite 34 und 35: Produkte & Lieferanten Dienstleistu
Seite 36 und 37: WEPTECH elektronik GmbH...........7
Seite 38 und 39: Digital Systems - Secu 3000........
Seite 40 und 41: RAFI Group ........................
Seite 42 und 43: PEMATECH GmbH ....................7
Seite 44 und 45: TBK - Techn.Büro Kullik GmbH .....
Seite 46 und 47: Helmut Hund GmbH .................6
Seite 48 und 49: ml&s GmbH & Co. KG ................
Seite 50 und 51: mmt gmbh ..........................
Seite 52 und 53: TechnoLab GmbH ....................
Seite 54 und 55: 3onedata Co. Ltd., C ELMACON GmbH A
Seite 56 und 57: ITECH Electronics, TW LXinstruments
Seite 58 und 59: System General Ltd., TW HT-Eurep Gm
Seite 60 und 61: Antalis Verpackungen GmbH Tel.: 078
Seite 62 und 63: CeramOptec GmbH Siemensstr. 44, 531
Seite 64 und 65: Elektrotechnik Weber Nasting 9, 934
Seite 66 und 67: GTL KNÖDEL GmbH Böblinger Str. 13
Seite 68 und 69: IVD GmbH May-Eyth-Str. 10, 74405 Ga
Seite 70 und 71: Micropsi Industries GmbH Karl-Marx-
Seite 72 und 73: PFARR Stanztechnik GmbH Am kleinen
Seite 74 und 75:
SCHNEEBERGER GmbH Gräfenau, 75339
Seite 76 und 77:
Vision & Motion Ing. Ges. Graben 10
Seite 78 und 79:
Dienstleistung Bauteil-Jammer hausg
Seite 80 und 81:
Dienstleistung Stellenwert des Zwis
Seite 82 und 83:
Dienstleistung Step by Step zur Sma
Seite 84 und 85:
Dienstleistung Abgeschlossen wird d
Seite 86 und 87:
Dienstleistung Die Elektronikfertig
Seite 88:
Dienstleistung Über die TQ-Group:
Seite 91 und 92:
Dienstleistung ganzheitliche modula
Seite 93 und 94:
Dienstleistung Krisensichere Liefer
Seite 95 und 96:
Qualitätssicherung Bild 2: Optisch
Seite 97 und 98:
Qualitätssicherung Volle Kontrolle
Seite 99 und 100:
Qualitätssicherung Das mikroskopba
Seite 101 und 102:
Anzeige Der Ablauf ist nun wie folg
Seite 103 und 104:
Qualitätssicherung Void in einer T
Seite 105 und 106:
Qualitätssicherung Der Phoenix Spe
Seite 107 und 108:
Qualitätssicherung tronik-Inspekti
Seite 109 und 110:
Qualitätssicherung SCALEREO Desk -
Seite 111 und 112:
Qualitätssicherung Neue Generation
Seite 113 und 114:
Löt- und Verbindungstechnik Vapor
Seite 115 und 116:
SPIRFLAME® PATENTIERTE MULTIZELLEN
Seite 117 und 118:
15 Jahre Hightech! Technologie des
Seite 119 und 120:
Löt- und Verbindungstechnik 2K-Epo
Seite 121 und 122:
Dosiertechnik Klebstoffe und Vergus
Seite 123 und 124:
Dosierroboter bietet Qualität und
Seite 125 und 126:
Rund um die Leiterplatte Klimaneutr
Seite 127 und 128:
Rund um die Leiterplatte Multilayer
Seite 129 und 130:
Laser-Nutzentrennen in der DACH-Reg
Seite 131 und 132:
Produktionsausstattung Neue Rezeptu
Seite 133 und 134:
Produktionsausstattung Abstand vs.
Seite 135 und 136:
Produktionsausstattung Absaug- und
Seite 137 und 138:
Produktion COMPLETE AND FLEXIBLE SM
Seite 139 und 140:
Lasertechnik Microscan-Extension f
Seite 141 und 142:
Komponenten Mehrfach-Transistorhalt
Seite 143 und 144:
EMV Bild 3: Beispielkurve einer Mes
Seite 145 und 146:
Aktuelles SMTconnect: Herzschlag de
Seite 147 und 148:
IoT/Industrie 4.0 Bild 2: Mit Hilfe
Seite 149 und 150:
Aktuelles Einmalige QS-Business-Pla
Seite 151 und 152:
IoT/Industrie 4.0 IIoT resultieren:
Seite 153:
Qualitätssicherung Bild 2: Überga
Alle anzeigen

2-2022

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?