engineering the
embedded world

Product Security Incident Response Team (PSIRT)

In vernetzten Produkten werden insbesondere zur Implementierung von Schnittstellen Open-Source- und kommerzielle 3rd-Party-Bibliotheken integriert. Sicherheitslücken in diesen Bibliotheken wirken sich auf Grund ihrer hohen Verbreitung im Feld in einer großen Anzahl von Produkten aus und werden daher von Angreifern konsequent ausgenutzt. Um die Cybersecurity dieser Produkte über den Produktlebenszyklus sicherzustellen, ist es somit zwingend notwendig, Meldungen über potentielle Sicherheitslücken zeitnah zu verfolgen und zu bewerten. So kann das PSIRT auf die potentiellen Sicherheitslücken zeitnah mit geeigneten Maßnahmen reagieren. Für diese Teams sind mitunter auch die Bezeichnungen CERT und CIRT geläufig.

Webpräsenz der Allianz für Cybersicherheit

embeX ist Teil der Allianz für Cyber-Sicherheit unter Führung des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), berät bei dem Aufbau von PSIRT-Prozessen und unterstützt die Teams umfassend durch Monitoring, Bewertung und das Schließen von Sicherheitslücken.

Dienstleistungen

embeX bietet auf einem unerreichten Sicherheitsniveau die folgende Dienstleistungen für das PSIRT im Kundenauftrag an:

  • Beratung zum Aufbau von Prozessen für PSIRT
  • Automatisierte Beobachtung von Sicherheitslücken in 3rd-Party-Bibliotheken
  • Benachrichtigung über potentielle Sicherheitslücken in Produkten
  • Bewertung der Sicherheitslücken auf Relevanz und Kritikalität für Produkte
  • Beseitigung von Schwachstellen - sofern der Code vorliegt

Service Level (SLA) für die Produktpflege

SLA 1: Standard Monitoring

  • CVE-Monitoring
  • Automatisierte Meldung

SLA 2: Advanced Monitoring

  • CVE-Monitoring gemäß SLA 1
  • Analyse des Monitoring-Ergebnisses durch Experten
  • Filterung nach Relevanz und Produktzugehörigkeit
  • Meldung mit qualifizierter Einschätzung zu möglichen Auswirkungen der Schwachstelle

SLA 3: Supported Product, auch gemäß IEC 81001-5-1

  • CVE-Monitoring, Analyse und Filterung gemäß SLA 1-2
  • Bewertung nach CVSS
  • Analyse auf Basis des Quellcodes und der Systembeschreibungen, optional auch der Safety (SLA 3S)
  • Filterung nach Relevanz und Produktzugehörigkeit
  • Qualifizierte Meldung zu möglichen Auswirkungen der Schwachstelle

SLA 4: Maintained Product, auch gemäß IEC 81001-5-1

  • CVE-Monitoring, Analyse, Filterung und Bewertung gemäß SLA 1-3
  • Optional für Safety-Anwendungen (SLA 4S)
  • Schließen der Sicherheitslücke durch Überarbeitung des Quellcodes
  • Sofern erforderlich: Überarbeitung der Produktdokumentation wie z.B. der Risikoanalyse

Ihre Vorteile

  • Sie entlasten Ihr Entwicklungsteam von zeitraubenden Routinetätigkeiten.
  • Sie greifen auf die Kompetenz der embeX-Experten zurück.
  • Aus Sicherheitsgründen wird auf eine Cloud-Lösung, die Code und Schwachstelle gemeinsam speichert, verzichtet.
  • Reaktionszeiten und Umfang der Meldungen werden in individuellen Kundenvereinbarungen geregelt.
  • Optionales Black- / Whitelisting
  • Die Kommunikation erfolgt stets verschlüsselt auf zwei möglichen Wegen.

Richtlinien und Normen

Wir arbeiten u.a. nach folgenden Richtlinien und Normen

  • IEC 62443: „IT-Sicherheit für industrielle Automatisierungssysteme”
  • IEC 29147: „Informationstechnik - Sicherheitstechnik - Offenlegung von Schwachstellen”
  • BSI: „Empfehlung zur Handhabung von Schwachstellen”
  • Richtlinie der Medical Device Certification Group MDCG 2019-16: „Guidance on Cybersecurity”
  • IMDRF: „Principles and Practices for the Cybersecurity of Legacy Medical Devices” (2023)
  • Richtlinie der FDA: „Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”
  • Richtlinie der FDA: „Postmarket Management of Cybersecurity in Medical Devices”
  • IEC 81001-5-1: „Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten ...”

Weiterführende Informationen

Fachartikel

Ihr Ansprechpartner

psirt(at)embex.de

Wenn Sie eine gesicherte Verbindung nutzen möchten, können Sie folgenden Open-PGP-Public Key verwenden.

Fingerabdruck: 578F D231 14D7 2BE8 DCD2 B41E 706A 46B6 38F2 7C2E

Hashwert SHA256: 5d95b0e5de56b2ef37d182df120b5f2fdc9e5bb95887c07632330d626cf16205

 

Kontakt

Tel.: +49 761 479799-0
psirt(at)embex.de