Embedded Product Security

Security-Anforderungen sind heutzutage bei der Entwicklung von vernetzten Produkten als unerlässliches Designziel zu berücksichtigen, um so den zuverlässigen und störungsfreien Betrieb von Anlagen zu gewährleisten. Für renommierte Hersteller ist es unabdingbar, durch ein hohes Maß an Produktsicherheit zu verhindern, dass ihre Markenprodukte zum Einfallstor von Malware im Feld werden. Bei der Kritischen Infrastruktur (KRITIS) sind sogar gesetzlich Maßnahmen gefordert, die die Versorgungswirtschaft, den Gesundheitssektor und die Transportbranche betreffen. embeX bietet für diese Branchen und die Industrieautomation OT-Cybersecurity von Produkten bis auf das höchste Niveau: SL 4 gemäß der IEC 62443.

Die Herausforderung für die Entwicklung von embedded oder auch OT-Komponenten liegt dabei in den im Vergleich zur IT eingeschränkten Ressourcen und der oftmals fehlenden physischen Zugangkontrolle. embeX ist der führende Entwicklungsdienstleister für die OT-Security und bietet ein umfassendes Dienstleistungsangebot: Von der Idee bis zum Ende des Produktlebenszyklus inklusive umfassender Dienstleistungen für PSIRT-Teams.

embeX ist Teil der Allianz für Cyber-Sicherheit unter Führung des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).

Zertifizierte Produkte von zertifizierten Mitarbeitern

Unsere Mitarbeiter sind nach den folgenden Security Normen und Standards zertifiziert:

  • CySec Specialist (TÜV Rheinland)
  • ISO 31000 „Risikomanagement” (TÜV Rheinland)
  • Certified Ethical Hacker CEHv11 (EC Council)

Entwicklungsdienstleistungen

Für die konsequente Umsetzung des Konzepts Security-by-Design arbeitet embeX systematisch nach einem bewährten Entwicklungsprozess, der auch Kunden zur Übernahme zur Verfügung steht. Unser Angebot umfaßt alle Aspekte der Produktentwicklung und des Produktlebenszyklus:

Security Risikoanalysen

  • Nach dem CIA-Modell
    • Vertraulichkeit (Confidentiality)
    • Integrität der Daten (Integrity)
    • Verfügbarkeit der Funktion (Availablity)
  • Nach dem AAA-Modell
    • Authentifizierung
    • Autorisierung
    • Abrechnung (der Aktivitäten)
  • Bevorzugt verwenden wir das STRIDE-Modell
    • Spoofing (Identitätsverschleierung)
    • Tampering (Manipulation)
    • Repudiation (Verleugnung)
    • Information disclosure (Verletzung der Privatsphäre oder Datenpanne)
    • Denial of service (Verweigerung des Dienstes)
    • Elevation of privilege (Rechteausweitung)

Sichere Kommunikation

  • OPC UA
  • MQTT als Basis
  • Modbus TCP als Basis
  • Bluetooth
  • WiFi
  • ProfiNet als Basis
  • Kundenspezifische Lösungen

Services über den Produktlebenszyklus

  • Pen Tests
  • Product Security Incident Response Team (PSIRT)

 

Absicherung der funktionalen Sicherheit durch Cybersecurity

Referenzprojekt

Zertifizierung gemäß IEC 62443 SL-3

Richtlinien und Normen

Wir arbeiten u.a. nach folgenden Richtlinien und Normen:

  • ISO 31000: „Risikomanagement - Leitlinien”
  • ISO 27033: „Informationstechnik - IT Sicherheitsverfahren - Netzwerksicherheit”
  • ISO 27034: „Informationstechnik - IT Sicherheitsverfahren - Sicherheit von Anwendungen”
  • IEC 15408: „Common criteria”
  • IEC 62443: „IT-Sicherheit für industrielle Automatisierungssysteme”
  • NIST SP 800: „Cybersecurity framework”
  • ETSI Cyber Security Technical Committee (ETSI TC)
  • Bundesamt für Sicherheit in der Informationstechnologie (BSI)
    • Standard 200-3: „Risikoanalyse auf der Basis von IT Grundschutz”
    • „ICS Security Kompendium”
    • „Anforderungen an netzwerkfähige Industriekomponenten v2.0”
  • PNO: „PROFINET Security Class 1 Guideline”
  • TS 50701: „Bahnanwendungen - Cybersecurity”

Ihr Ansprechpartner

Lukas Fey

Fachbereichsleiter Cybersecurity

Fon:   +49 761 479799-301

lukas.fey(at)embeX.de

Download vCard

Für eine gesicherte Verbindung nutzen Sie bitte folgenden Open-PGP-Public Key

Hashwert SHA1: 15AD15CE1FCA1B2ECFD3A7B8CA251835CFF0B071

 

Kontakt

Tel.: +49 761 479799-301
lukas.fey(at)embeX.de