Embedded Security

Security-Anforderungen sind heutzutage bei der Entwicklung von vernetzten Geräten und Komponenten als unerlässliches Designziel zu berücksichtigen, um so den zuverlässigen und störungsfreien Betrieb von Anlagen zu gewährleisten. Bei der Kritischen Infrastruktur (KRITIS) sind sogar gesetzlich Maßnahmen gefordert, die die Versorgungswirtschaft, den Gesundheitssektor und die Transportbranche betreffen. Insbesondere in der industriellen IT bilden Spionage, gezielte Angriffe auf Daten sowie auf geistiges Eigentum neue Risiko- und Bedrohungsszenarien. embeX entspricht diesen Anforderungen durch ein umfassendes Dienstleistungsangebot für Security-by-Design.

embeX ist der Allianz für Cyber-Sicherheit unter Führung des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) beigetreten.

Unsere Mitarbeiter sind nach ONR 49003 („Risikomanagement für Organisationen und Systeme”) zertifiziert und sorgen für sichere Produkte von der Entwicklung bis zum Ende des Produktlebenszyklus.

Engineering Dienstleistungen

  • Risiko-Analysen
  • Risiko-Bewertungen
  • Bedrohungsmodellierung (Threat Modeling)
  • Beratung zur IT Security auf System- und Anlagenebene
  • Beratung zur Embedded Security auf Komponentenebene
  • Erstellung von Security-Konzepten
  • Beratung bei der Auswahl von Betriebssystemen
  • Secure Coding
  • Statische Code Analyse
  • Fuzzing Tests zur Robustness
  • Penetration Tests
  • Product Life Cycle Support

Risikoanalysen

  • Vertraulichkeit
  • Integrität der Daten
  • Verfügbarkeit der Funktion 
  • Authentizität
  • Rechtssicherheit
  • Persönlichkeitsrechte

Sichere Kommunikation

  • OPC-UA
  • MQTT als Basis
  • Modbus TCP als Basis
  • Bluetooth
  • WiFi
  • Kundenspezifische Lösungen

Richtlinien und Normen

Wir lassen uns aktuell nach ISO / IEC 27001 zertifizieren und arbeiten u.a. nach folgenden Richtlinien und Normen:

  • ISO 31000: „Risikomanagement - Leitlinien”
  • ISO 27033: „Informationstechnik - IT Sicherheitsverfahren - Netzwerksicherheit”
  • IEC 15408: „Common criteria”
  • IEC 62443: „IT-Sicherheit für industrielle Automatisierungssysteme”
  • IEC TR 63069: „Industrial-process measurement, control and automation- Framework for functional safety and security”
  • IEC 63074: „Maschinensicherheit - Sicherheitsaspekte in Verbindung mit der funktionalen Sicherheit von sicherheitsrelevanten Steuerungssystemen”
  • NIST SP 800 „Cybersecurity framework”
  • ETSI Cyber Security Technical Committee (ETSI TC)
  • Bundesamt für Sicherheit in der Informationstechnologie (BSI)
    • Standard 200-3 „Risikoanalyse auf der Basis von IT Grundschutz”
    • ICS Security Kompendium
    • Cybersecurity-Anforderungen für vernetzte Medizinprodukte
  • Guidances der FDA
    • „Premarket Submissions for Management of Cybersecurity in Medical Device”
    • „Postmarket Management of Cybersecurity in Medical Devices”
  • IEC 50159: „Bahnanwendungen – Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme – Sicherheitsrelevante Kommunikation in Übertragungssystemen”

Anmerkung: Die o.g. IEC Normen befinden sich teilweise noch im Entwurfsstadium. Dennoch ist ihre Berücksichtigung bei Entwicklungsprojekten im Hinblick auf die aktuellen Security-Anforderungen sehr angeraten. Wurde vor kurzem noch die Verantwortung für die Erfüllung der Security-Anforderungen den Betreibern von Anlagen zugeordnet (z.B. Konzepte wie „Defence in Depth”), so erwartet der Gesetzgeber aktuell auch substantielle Beiträge von den Komponentenherstellern.

Ihr Ansprechpartner

 

Lukas Fey

IT Security Consultant

Fon:   +49 761 479799-301

l.fey@embeX.de

 

 

Kontakt

Tel.: +49 761 479799-301
l.fey@embeX.de