Das US-amerikanische National Institute of Standards and Technology (NIST) veröffentlichte im Mai neue Guidelines für Ingenieure und Entwickler, wie Sicherheitsmaßnahmen in kritischen Systemen zu implementieren sind. Das Dokument umfasst 121 Seiten und beschreibt 11 technische Kernprozesse hinsichtlich der Entwicklung von Systemen und Software. Dabei wird auch auf die Zusammenarbeit mit Mitarbeitern als Nutzern sowie Design, Testläufe, Wartung und Bedienung bis hin zur Entsorgung eingegangen.

Das Dokument bezieht sich dabei auf einen Ansatz, der 2010 vom ersten staatlichen Chief Information Officer Vivek Kundra vorangetrieben wurde. Ron Ross, einer der Co-Autoren:

„Wir haben seit langem darüber geredet. Dies stellt nun einen disziplinierten und strukturierten Prozess zur Verfügung, um zu zeigen, wie man Sicherheit tatsächlich im Prozess verankern kann.“

2014 sollen die Guidelines fertiggestellt und mit zusätzlichen Anweisungen versehen werden. Ein Anhang wird zum Beispiel die Inklusion von System-Sicherheitsanforderungen in Verträgen behandeln. Ross gibt außerdem an, dass auch das Verteidigungsdepartment einen Pentagon-spezifischen Anhang mit beilegt.

Die Guidelines stehen nicht in Zusammenhang mit den freiwilligen Industriestandards, die Anfang des Jahres veröffentlicht wurden. Diese sind Ergebnis eines Präsidialerlasses vom Februar 2013. An dem Dokument wird bereits seit zwei Jahren gearbeitet.

„Es war ein Zufall, dass es zur gleichen Zeit wie die Bearbeitung des Präsidialerlasses stattfand“,

so Ross.

„Die Guidelines zur Systementwicklung können an verschiedenen Stellen des Lebenszyklus‘ angewandt werden, sodass besser geschützte Software entwickelt werden kann. Ziel ist die Reduktion von Schwachstellen im System.“

Die Guidelines wurden am University of Minnesota Technological Leadership Institute vorgestellt. Ross gibt zu, dass die Umsetzung des Dokuments in der Praxis ein wenig Überzeugungsarbeit benötigen wird. IT-Beauftragte müssen die Konzepte den Führungskräften in verständlicher Weise nahe bringen.

„Man muss einen Dialog schaffen und sagen: ‚Hier sind einige Dinge, die wir bisher tun, welche nicht ausreichen, um derartige kostspielige Attacken zu vermeiden.‘“,

so Ross. Die Guidelines können eben dabei helfen,

„Systeme zu liefern, die einbruchssicherer und widerstandsfähiger gegen Cyberattacken sind.“

Artikel von scmagazine.com, 14.05.2014: NIST standard puts security at start of critical systems development
Artikel von nextgov.com, 13.05.2014: New NIST Guidance: Don’t Make Security an Afterthought

NIST Special Publication 800-160, Systems Security Engineering