Direkt zur Hauptnavigation springen Direkt zum Inhalt springen Jump to sub navigation

Veraltete und damit unsichere Softwarekomponenten in Industrieprodukten oder kritischer Infrastruktur sind für Cyber-Angriffe einer der wesentlichen Risikofaktoren. Normen wie beispielsweise die IEC 62304 für Medical Device Software sowie die Compliance-Abteilungen der Kunden erwarten daher vermehrt IT-Security-Management Prozesse und eine differenzierte Risikobewertung.

Bewertung von CVE Relevanz durch Experten

Bekannte Schwachstellen und Anfälligkeiten werden weltweit als Common Vulnerabilities and Exposures (CVE) gesammelt und sind Ausgangspunkt für die Risikobewertung. Zielsetzung ist es, produktrelevante Security-Findings zeitnah zu identifizieren und zu prüfen, ob und wann sie durch ein Update in das Produktivsystem übernommen werden können oder sollten.

Das emlix CVE Security Monitoring umfasst folgende Leistungen:

  • Analyse der im Produkt enthaltenen Softwarekomponenten
  • Bewerten des Einsatz- und Betriebskontextes sowie der Risikostruktur
  • Datenbank-basierte Aggregation von Informationen und Monitoring 
  • Analyse und Bewertung der Verfügbarkeit von Updates
  • Regelmäßiges Erstellen eines produktspezifischen Security-Reports
  • Kontextspezifische Bewertung durch unsere Experten
  • Bewerten der Risiken und Empfehlungen mit dem Kunden
  • Planung und Freigabe von Sicherheits-Updates
  • Optional: Anwendung Sicherheits-Patches (Security Patch Management) 

Das emlix CVE Security Monitoring dient damit der kontinuierlichen Aktualitätsprüfung der Open Source-Komponenten in Geräten, Maschinen und Anlagen. Dies ist Voraussetzung für die Aufrechterhaltung eines definierten Cyber Security-Status und ermöglicht gleichzeitig ein wirtschaftliches Embedded Security Lifecycle Management.

Security Audit

Das emlix Security Audit für Linux- und Open Source-basierte Produkte hat die Funktion einer produktspezifischen Standortbestimmung und umfasst unter anderem die folgenden Leistungen:

                                                                 
  • Gemeinsame Definition des Analysefokus
  • Anforderungen und Funktionen des Device under Construction
  • Sicherheitsbetrachtung des Device under Constructrion
  • Betrachtung von Angriffszenarien auf das Produkt
  • Auswahl und Bewertung von Schutzmaßnahmen
  • Anforderungen an die Wartunhg des Systems / Security Monitoring
  • Bewerten möglicher Projektrisiken
  • Formulieren von Eckpunkten der Umsetzungsstrategie
                                                                                  

Das technische Audit orientiert sich dabei am Maßstab industrieller Best Practices und dem Grundschutz für Design, Entwicklung, Test, Betrieb und Wartung von Embedded Linux Board Support Packages (BSP). Es wird mit einer manuellen Inspektion sowie dem Einsatz gängiger Analysewerkzeuge durchgeführt.

Die Ergebnisse des Reviews und konkrete Handlungsempfehlungen werden in einem ausführlichen schriftlichen Bericht zusammengefasst und nachvollziehbar als Grundlage für Entscheider kommentiert.

  Weitere Informationen

Ihr Ansprechpartner     

   Melden Sie sich gerne bei uns. In einem ersten Gespräch klären wir,
   wie wir Sie angepasst auf Ihre Bedürfnisse unterstützen können.                                         

Dr. Uwe Kracke
Tel. +49 551 304460
solutions@emlix.com