Zum Inhalt springen

Security Workshop

Definierte Informationssicherheit für die Entwicklung von Neuprodukten

Informationssicherheit für vernetzte Industrieprodukte entwickelt sich zu einem obligatorischen Designziel der Entwicklung. IT- und Systemsicherheit oder die sichere M2M-Kommunikation sowie die Datenanbindung in ERP- oder Cloud-Anwendungen müssen als Produkteigenschaft definiert, wirtschaftlich sinnvoll implementiert und über den Lebenszyklus erhalten werden.

Der emlix Security Requirements Workshop bildet die Grundlage für die Planung und wirtschaftliche Umsetzung einer Informationssicherheit für vernetzte Geräte, Maschinen und Anlagen auf der Grundlage von Linux und Android. Er bildet den Rahmen für die Bewertung der Risiken eines Produktes, die Festlegung von ökonomisch sinnvollen und handhabbaren Schutzmaßnahmen sowie die grundlegende Definition der Systemarchitektur und Umsetzungsmaßnahmen.

Wettbewerbsvorteile mit definierter Security

Security-Eigenschaften sowie Sicherheits-Updates (Patch-Management) über den Lebenszyklus zählen zu nachgefragten Produkteigenschaften. Dies bietet im Umkehrschluss die Chance, durch nachhaltige Informationssicherheit Wettbewerbsvorteile zu erzielen. Hierfür müssen entsprechende Merkmale nicht nur beim Produktdesign und dem geplanten Einsatzkontext berücksichtigt werden. Es gilt auch, Prozesse und Mechanismen für das Security Lifecycle Management vorzusehen.

Schutzziele können beispielsweise die Manipulationssicherheit und damit Verfügbarkeit des Gerätes, der Schutz personenbezogener oder wettbewerbsrelevanter Daten (z.B. Maschinendaten) sowie des Intellectual Property des Herstellers oder auch die Integrität etwa von Sensordaten sein. Das Erreichen dieser Ziele muss nicht selten in Lieferanten- und IT-Compliance-Erklärungen zugesichert oder über Audits (z.B. ISO 27001 oder TISAX) nachgewiesen werden.

Wesentliches Ziel des emlix Security Requirements Workshops ist die Entwicklung einer sich am konkreten Produkt („Device under Construction“) und seinem Einsatzkontext orientierenden Security-Strategie gemeinsam mit Entwicklung, Produktmanagement, Marketing und Vertrieb des Auftraggebers.

Im Rahmen des Workshops wird zunächst eine Analyse der Anforderungen des zu schützenden Produktes an die IT-Systemsicherheit durchgeführt. Dazu werden nach der Vorstellung des Gerätes oder der Anlage die zu schützenden „Assets“ (Daten, IP und/oder Funktionen) des Systems bewertet und ihr jeweiliger Schutzbedarf festgelegt. Auf dieser Basis werden schließlich Angriffsszenarien und -vektoren („Attack Vectors“) ermittelt und grundsätzliche Schutzmaßnahmen definiert.

Wichtige Themenbereiche sind beispielsweise:

  • Vorstellung des Device under Construction
  • Sicherheitsbetrachtung des Device under Construction
  • Betrachtung von Angriffsszenarion auf das Produkt
  • Auswahl und Bewertung von Schutzmaßnahmen
  • Wartung des Systems / Security Monitoring
  • Bewertung von möglichen Projektrisiken
  • Formulierung von Eckpunkten der Umsetzungsstrategie

Gemeinsam mit dem Team des Kunden erfolgt eine erste Bewertung von möglichen Schutzmaßnahmen für die definierten Assets vor dem Hintergrund der Wirksamkeit, dem Aufwand der Implementierung sowie der Handhabbarkeit und Wartbarkeit der Schutzmaßnahme. Hierbei fließen auch langfristige wirtschaftliche und marktliche Aspekte in die Betrachtung ein. Ziel ist es, zu versuchen eine technisch valide und wirtschaftlich sinnvolle Systemsicherheit zu definieren.

Der technische Lösungsbaukasten reicht von einfachen Möglichkeiten zur Härtung der Betriebssystemebene und entsprechende Berechtigungskonzepte über die abgesicherte Netzwerkintegration und Verschlüsselung bis hin zur strikten Software-Separation und einem vollständigen Secure Boot. Die resultierende Grobarchitektur des Systems bildet die Grundlage für die Implementierung der Security-Features und der dafür notwendigen (zusätzlichen) Softwarekomponenten.

In diesem Kontext gehört auch die Implementierung von Prozessen mit entsprechender technischer Unterstützung, die von nahezu allen Compliance-Richtlinien gefordert wird, sowie die Anforderungen und Zyklen für das Security Lifecycle Monitoring.

Abschließend kann eine grobe Umsetzungsstrategie mit Technologieentscheidungen und Priorisierung der einzelnen Tasks skizziert werden. Auch mögliche Risiken der Implementierung von Security-Features können identifiziert und bewertet werden.

Das Ergebnis des Workshops ist eine erste Maßnahmenplanung und resultierende Grobarchitektur für die Entwicklung der definierten Systemsicherheit Ihres Produktes. Darüber hinaus können im Anschluss Anforderungen und Zyklen für das Security Lifecycle Monitoring zur Erhaltung der Sicherheit der im Produkt enthaltenen Softwarekomponenten abgeleitet werden.

Auf Wunsch können weitere Themen wie beispielsweise die Gestaltung des Patch- und Releasemanagements, Produktions- und Update-Konzepte sowie die Umsetzung von Zertifizierungsvorgaben Gegenstand einer kundenindividuell angepassten Workshop Agenda sein.

Der Workshop richtet sich insbesondere an Projektleiter, Entwickler sowie angesichts der strategischen Bedeutung von Entscheidungen auch das Produktmanagement sowie die Entwicklungsleitung.

Mit unserem Security Requirements Workshop gewinnen Sie:

  • Einen schnellen und produktbezogenen Überblick im Thema Cyber Security und wirtschaftliche Abwehrmaßnahmen
  • Valide definierte Designziele und Umsetzungshinweise zur IT- und Systemsicherheit
  • Informationen für Lieferantenerklärungen und Nachweise zur Cyber-Security als strategischen Wettbewerbsvorteil
  • Schnellen Zugang zu entscheidungsrelevantem Praxiswissen und den fundierten Einschätzungen unserer Experten
  • Verständliche und konkrete Vorschläge zur langfristigen Erhöhung der IT-Sicherheit von neu zu entwickelnden Produkten
  • Konkrete technische Hinweise für die Architektur und zur Härtung von Produkten
  • Produktspezifischen Kriterien und Eigenschaften für die Neuentwicklung als Grundlage für die Marketingkommunikation

Gerne stimmen wir mit Ihnen in einem ersten Telefonat Ausgangssituation, Gegenstand und Zielsetzung unseres Security Requirements Workshop ab. Auf dieser Grundlage erstellen wir dann umgehend ein individuelles Angebot.

Ihr Ansprechpartner

emlix Solutions-Team
Tel +49 (0) 551 / 306 64 - 0
solutions [at] emlix.com

Security Monitoring

Das emlix Security Monitoring unterstützt Sie in der Betriebs- und Wartungsphase von Embedded Linux-basierten Industrieprodukten (Industrial Control System - ICS) bei der Aufrechterhaltung eines definierten Sicherheitsstatus. Wir überwachen Informationsquellen und bewerten mögliche Risiken vor dem Hintergrund des produktspezifischen Einsatzkontextes Ihres Produktes. Das emlix Security Monitoring gibt Ihnen monatlich oder ad hoc konkrete Empfehlungen für Sicherheits-Patches und Updates.