IT-Sicherheit und Software Security

Sicher­heit oder Secu­ri­ty betrifft heu­te jede Appli­ka­ti­on, da nahe­zu jede Appli­ka­ti­on, jeder Ser­vice oder jedes Fea­ture aus dem Inter­net erreich­bar ist. Somit ist jedes Sys­tem ein poten­zi­el­les Ein­falls­tor und damit ein poten­zi­el­les Sicherheitsrisiko.

Seit gut 30 Jah­ren unter­stüt­zen wir unse­re Kun­den mit unse­rem Know-how im regu­la­to­ri­schen Umfeld auf dem Gebiet der Cyber­se­cu­ri­ty. Pro­fi­tie­ren Sie von unse­rer Exper­ti­se, die dafür not­wen­di­gen Nor­men, Regel­wer­ke und Pro­zes­se ver­ste­hen und ein­hal­ten zu kön­nen. Wir bie­ten für Ihr Busi­ness ein eta­blier­tes und stan­dar­di­sier­tes Ver­fah­ren, die IT-Sicher­heit und Soft­ware Secu­ri­ty Ihrer Sys­te­me fest­zu­stel­len, Lücken zu schlie­ßen und zuver­läs­sig aufrechtzuerhalten.

IT-Sicherheit und Software Security

Sicher­heit oder Secu­ri­ty betrifft heu­te jede Appli­ka­ti­on, da nahe­zu jede Appli­ka­ti­on, jeder Ser­vice oder jedes Fea­ture aus dem Inter­net erreich­bar ist. Somit ist jedes Sys­tem ein poten­zi­el­les Ein­falls­tor und damit ein poten­zi­el­les Sicherheitsrisiko.

it sicherheit und software security header mobil 1

Seit gut 30 Jah­ren unter­stüt­zen wir unse­re Kun­den mit unse­rem Know-how im regu­la­to­ri­schen Umfeld auf dem Gebiet der Cyber­se­cu­ri­ty. Pro­fi­tie­ren Sie von unse­rer Exper­ti­se, die dafür not­wen­di­gen Nor­men, Regel­wer­ke und Pro­zes­se ver­ste­hen und ein­hal­ten zu kön­nen. Wir bie­ten für Ihr Busi­ness ein eta­blier­tes und stan­dar­di­sier­tes Ver­fah­ren, die IT-Sicher­heit und Soft­ware Secu­ri­ty Ihrer Sys­te­me fest­zu­stel­len, Lücken zu schlie­ßen und zuver­läs­sig aufrechtzuerhalten.

c i a prinzip

Das C.I.A.-Prinzip:
Worum geht es bei der IT-Sicherheit?

  • C – Con­fi­den­tia­li­ty (Ver­trau­lich­keit)
    Infor­ma­tio­nen dür­fen nur von auto­ri­sier­ten Benut­zern ein­ge­se­hen werden
  • I – Inte­gri­ty (Inte­gri­tät)
    Daten dür­fen nicht uner­laubt oder unbe­merkt ver­än­dert werden.
  • A – Avai­la­bi­li­ty (Ver­füg­bar­keit)
    Die Daten müs­sen jeder­zeit ver­füg­bar sein.

Software Security im Entwicklungsprozess

Wor­um geht es vor allem im Entwick­lungs­prozess? Secu­ri­ty & Safe­ty muss von Anfang an im gesam­ten Entwick­lungs­prozess sicher­ge­stellt werden.

Dabei kommt es vor allem dar­auf an:

  • Zu schüt­zen­de Assets bestimmen

  • Thre­at Model­lie­rung durchführen
  • Siche­res Design entwerfen
  • Sta­ti­sche und dyna­mi­sche Secu­ri­ty-Tests durchführen
it security dritter absatz

Normen und Standards (Auszug)

ISO/IEC
  • ISO/IEC 27001 und ISO/IEC 27002
  • IEC 62443–3‑3
  • DIN EN ISO 13485 und DIN EN ISO 14971
  • ISO/SAE DIS 21434
FDA
  • FDA 21 CFR 820, FDA – Gene­ral Prin­ci­ples of Soft­ware Validation
  • FDA – Con­tent of Pre­mar­ket Sub­mis­si­ons for Manage­ment of Cyber­se­cu­ri­ty in Medi­cal Devices (Draft)
Automotive
  • UNECE WP.29
  • ISO/SAE DIS 21434
  • Auto­mo­ti­ve SPICE for Cybersecurity
Sonstige
  • ANSI/UL 2900–1, UL 2900–2‑1
  • Cobit 5
  • CVSS

Schwer­punkt ist hier­bei das Manage­ment und der Nach­weis von voll­stän­di­ger Sicher­heit: Doku­men­ta­tio­nen, Pro­zes­s­treue und Sicher­stel­lung durch Testabdeckung.

Die Qua­li­fi­zie­rung und Vali­die­rung von Ent­wick­lungs­um­ge­bun­gen und Werk­zeug­ket­ten – spe­zi­ell für Con­ti­nuous Inte­gra­ti­on / Con­ti­nuous Deploy­ment – erleich­tern wir Ihnen durch einen Metho­den­kof­fer sowie durch Auto­ma­ti­sie­rung und Tool-Unterstützung.

andreas spillner
„Die Koope­ra­ti­on mit Uni­ver­si­tä­ten und Hoch­schu­len und das Enga­ge­ment in der For­schung gehö­ren […] zum Erfolgs­kon­zept von sepp.med. ‚Berüh­rungs­ängs­te‘ sind dabei erfreu­li­cher­wei­se nicht vor­han­den. In den meis­ten Fäl­len füh­ren die Koope­ra­tio­nen zu Win-win-Situa­tio­nen auf bei­den Seiten.“
Prof. Dr. Andre­as Spill­ner, ehem. Pro­fes­sor für Infor­ma­tik an der Hoch­schule Bremen

Wir machen Digitalisierung – aber sicher!

Pro­fi­tie­ren Sie von unse­rer Exper­ti­se in IT-Sicher­heit und Soft­ware Security.

Sie benötigen eine Beratung?

Wir haben den pas­sen­den Exper­ten für Ihr Pro­jekt, der Sie mit Spe­zi­al-Know-how und Exper­ti­se auf dem Gebiet Cybersecurity.

Sie ste­hen kurz vor einem Audit?

Wir unter­stüt­zen Sie und sind für Sie da – fle­xi­bel in der Zusam­men­ar­beit und indi­vi­du­ell auf Ihre Anfor­de­run­gen abgestimmt.

Blei­ben Sie zu IT-Sicher­heit und Soft­ware Secu­ri­ty auf dem Lau­fen­den – mit span­nen­den Ein­bli­cken und hilf­rei­chen Exper­ten-Tipps im sepp.med Newsletter.

IT-Sicherheit und Software Security Step by Step

Wie gehen wir vor und was kön­nen Sie von uns erwar­ten? Unser Vor­ge­hen besteht aus vier Schritten:

Schritt 1
Security Requirements

(Regu­la­to­ri­sche Maßnahmen)

  • Ana­ly­se der Stakeholder
  • Ana­ly­se der Schnittstellen
  • Ana­ly­se rele­van­ter Nor­men und Gesetze
Schritt 2
Threat Detection

(Kon­struk­ti­ve Maßnahmen)

  • Sys­tem-Ana­ly­se/-Design
  • Pro­zess-Ana­ly­se/-Design
  • Thre­at-Ana­ly­se/-Design
Schritt 3
Security Testing

(Destruk­ti­ve Maßnahmen)

  • Code Inspec­tion
  • Pene­tra­ti­on Testing
  • Sys­tem Hacking
Schritt 4
Threat Avoidance

(Opti­mie­ren­de Maßnahmen)

  • Sys­tem Hardening
  • Sup­p­ly Chain Manage­ment und 3rd Par­ty Software

Proving the sepp.med Product Cybersecurity

Cyber­se­cu­ri­ty Assessment:

  • Secu­ri­ty Requirements
  • Thre­at Detection
  • Secu­ri­ty Testing
  • Thre­at avoidance

Sys­tem Engi­nee­ring Quality:

  • Test­de­sign
  • Tes­ter­stel­lung
  • Test­durch­füh­rung

Nor­men und Regularien:

  • Full­fill­ment of Docu­men­ta­ti­on & Tra­cing Requirements
  • Vali­die­rung der Secu­ri­ty & Deve­lo­p­ment Toolchain
  • Unab­hän­gig vom Ent­wick­lungs­mo­dell nach­wei­sen und nachhalten

Secure Development Lifecycle (SDLC)

Her­aus­for­de­rung: Ände­rung der Secu­ri­ty-Anfor­de­run­gen, wäh­rend das Pro­dukt ent­wi­ckelt wird und am Markt ist.

secure development lifecycle

Es gibt sechs Kategorien von Risiken für die IT-Sicherheit

  • Spoo­fing – Dieb­stahl der Identität
  • Tam­pe­ring – Ver­fäl­schung von Daten
  • Repu­dia­ti­on – Abstrei­ten einer Aktion
  • Infor­ma­ti­on Dis­clo­sure – Ver­öf­fent­li­chung von Informationen
  • Deni­al of Ser­vice – Blo­cka­de des Dienstes
  • Ele­va­ti­on of Pri­vi­le­ge – Erschlei­chen von höhe­ren Rechten

Um bei all die­sen Fach­be­grif­fen, regu­la­to­ri­schen Vor­ga­ben und Gefah­ren für Ihr Unter­neh­men den Über­blick zu behal­ten, beglei­ten wir Sie ger­ne bis zum Audit oder der Zer­ti­fi­zie­rung. Mit unse­ren Schu­lun­gen und Trai­nings sor­gen wir dafür, dass Sie die pas­sen­den Ant­wor­ten auf alle Fra­gen haben:

  • Zer­ti­fi­zier­te Schulungen
  • Pass­ge­naue Workshops
  • Bera­tung und Training

Profitieren Sie von unseren Experten und einer Auswahl der Best Practices für die Umsetzung

  • OWASP (Open Web Appli­ca­ti­on Secu­ri­ty Project)

    • Top 10
    • Secu­ri­ty Test­ing Guide
  • STIGs (Secu­ri­ty Tech­ni­cal Imple­men­ta­ti­on Guides)
  • NIST Spe­cial Publi­ca­ti­on 800–53:
    Secu­ri­ty and Pri­va­cy Con­trols for Fede­ral Infor­ma­ti­on Sys­tems and Organizations

  • ANSI/NEMA HN 1–2019:
    Manu­fac­tu­rer Dis­clo­sure State­ment for Medi­cal Device Security

  • Secu­ri­ty-Anfor­de­run­gen nach DoD

it security best practices 1

sepp.med Security Pathways – Product Cybersecurity

Cybersecurity und Medizinprodukte

  • Cyber­se­cu­ri­ty ist gesetz­lich gefordert.
  • Es gibt nicht die EINE Norm, die es zu erfül­len gilt.
  • Dafür gibt es zuneh­mend mehr Leitlinien.
  • Die FDA ist Vor­rei­ter in die­sem Thema.

Die US-ame­ri­ka­ni­sche Food and Drug Admi­nis­tra­ti­on (FDA) stellt einen Leit­fa­den zur Ver­fü­gung mit Emp­feh­lun­gen zum Umgang mit Cyber­se­cu­ri­ty-Schwach­stel­len bei Medi­zin­pro­duk­ten. Her­stel­ler wer­den dazu ange­hal­ten, sich wäh­rend des gesam­ten Pro­dukt­le­bens­zy­klus mit dem The­ma Cyber­si­cher­heit zu befas­sen. Dies resul­tiert dar­aus, dass bereits eine gro­ße Anzahl an medi­zi­ni­schen Pro­duk­ten ver­netzt sind und somit anfäl­lig für Cyber­se­cu­ri­ty-Bedro­hun­gen sein können.

Ein Angriff auf medi­zi­ni­sche Gerä­te kann für Pati­en­ten ein Gesund­heits­ri­si­ko dar­stel­len. Des­halb ist es erfor­der­lich einen ange­mes­se­nen Schutz vor sol­chen Angrif­fen zu gewähr­leis­ten. Hier­für wer­den rou­ti­ne­mä­ßig „Rou­ti­ne-Updates und Patches“ zur Behe­bung der­je­ni­gen Schwach­stel­len, die mit für Pati­en­ten­schä­den ver­bun­den sind, zur Ver­fü­gung gestellt.

Bausteine für FDA-konforme Zulassung
  • Cyber­se­cu­ri­ty Assessment

    • Secu­ri­ty Requirements
    • Thre­at Detection
    • Secu­ri­ty Testing
    • Thre­at Avoidance
  • Sys­tem Engi­nee­ring Quality

    • Test­de­sign
    • Tes­ter­stel­lung
    • Test­durch­füh­rung
  • Sup­p­ly Chain Assessment
    • Fremd-Code und Zulieferer-Management
  • Full­fill­ment of Docu­men­ta­ti­on & Tra­cing Requirements
  • Vali­die­rung der Secu­ri­ty & Deve­lo­p­ment Toolchain
  • Unab­hän­gig vom Entwicklungsmodell

Cybersecurity und Automotive

Ein Fahr­zeug ist heut­zu­ta­ge im Prin­zip ein „Kon­glo­me­rat von per­ma­nent mit dem Inter­net ver­bun­de­nen Gerä­ten auf Rädern“ und somit anfäl­lig für Cyber­se­cu­ri­ty-Bedro­hun­gen. Ein Angriff auf Steu­er­ge­rä­te und Soft­ware im Fahr­zeug stellt für die Insas­sen und das Umfeld ein (Gesundheits-)Risiko dar. Daher sind OEMs und Zulie­fe­rer dazu ver­pflich­tet, sich wäh­rend des gesam­ten Pro­dukt­le­bens­zy­klus mit die­sem The­ma zu befassen.

  • Die maß­geb­li­chen Nor­men und Stan­dards in die­sem Kon­text sind die UNECE WP.29 und die ISO/SAE DIS 21434.
  • Die Arbeits­grup­pe der WP.29 befasst sich neben ande­ren The­men mit der Fahr­zeug­si­cher­heit. Die Ein­hal­tung der UNECE WP.29 ist hier­bei ver­bind­lich für die inter­na­tio­na­le Zulas­sung von Fahrzeugen.
  • Die ISO/SAE DIS 21434 fokus­siert dar­auf, die Mini­mal­kri­te­ri­en für Cyber­se­cu­ri­ty Engi­nee­ring im Auto­mo­ti­ve-Bereich – über den gesam­ten Pro­dukt­le­bens­zy­klus – zu definieren.
  • Ana­log zu A- und M‑SPICE ist ein Pro­zess-Assess­ment-Modell im Ent­wurf ver­füg­bar, das die The­men Risi­ko­ma­nage­ment und Pro­dukt­ent­wick­lung aus der ISO 21434 adressiert.
Bausteine für SPICE-konforme Zulassung
  • Cyber­se­cu­ri­ty Assessment

    • Risk Manage­ment
  • Sys­tem Engi­nee­ring Assessment
    • Cyber­se­cu­ri­ty Engineering
  • Sup­p­ly Chain Assessment
    • Fremd-Code und Zulieferer-Management
  • Full­fill­ment of Docu­men­ta­ti­on & Tra­cing Requirements
  • Vali­die­rung der Secu­ri­ty & Deve­lo­p­ment Toolchain
  • Unab­hän­gig vom Entwicklungsmodell

Wir betreuen Kunden aus vielzähligen Bereichen

Wobei dürfen wir Sie unterstützen?

Pro­fi­tie­ren Sie von der Exper­ti­se unse­rer Experten.

Kon­takt­for­mu­lar Felix Win­ter (→ BD)
* Pflicht­feld
Felix Winter 2 Pr

„Der ers­te Schritt ist der Wichtigste.
Spre­chen Sie mich an!“

Tel.: +49 9195 931–253

Felix Win­ter, Busi­ness Deve­lo­p­ment Consultant