Security by Design

Wenn bei der Entwicklung von Hard- wie Software bereits von Anfang an darauf geachtet wird, die Systeme so frei von Schwachstellen wie möglich und so unempfindlich gegen Angriffe wie möglich zu konzipieren, dann spricht man auch von Security by Design. Meist bezieht sich der Begriff auf die Software oder bei Geräten auch auf die Firmware. Dies kann durch kontinuierliche Tests während der Entwicklung, bestimmte Programmierverfahren, sichere Authentifizierungen und vieles mehr erreicht werden. Sicherheit ist damit eine Anforderung, die ausdrücklich in den Entwicklungsablauf eingebunden wird. Und Sicherheit sollte über den gesamten Lebenszyklus des Produktes eine Rolle spielen.

Das nachträgliche Aufspüren von Sicherheitslücken und das Flicken derselben über Sicherheitsupdates und Patches, ist niemals so effektiv, wie die in der Entwicklung berücksichtigte Sicherheit von Anfang an.

Insbesondere für den Bereich IoT-Geräte (Internet of Things) ist das Thema Security by Design entscheidend. Da nahezu jedes mögliche Gerät eine eindeutige Kennung (UID) erhalten kann und über das Internet adressierbar ist, ist Sicherheit ein entscheidender Faktor. Der Punkt Netzwerksicherheit ist bei vielen Geräten dieser Kategorie traditionell nicht berücksichtigt worden, da sie bislang nicht vernetzt waren. Das Pendant in Sachen Datenschutz heißt Privacy by Design und wurde auch in der EU-Datenschutz-Grundverordnung (DSGVO) in Hinblick auf die Voreinstellungen von Software verankert. Security by Design ist inhaltlich in vielen Verordnungen oder Vorgaben neueren Datums berücksichtigt.

Der Ansatz Security by Design steht im Gegensatz zu weniger strengen Modellen wie Security through Obscurity (Sicherheit durch Unklarheit), Security through Minority (Sicherheit durch selten genutzten Code) und Security through Obsolescence (Sicherheit durch veraltete Technologien).