Zum Hauptinhalt springenZum Seitenfuß springen

CYBER- & SOFTWARE-SECURITY

Durchdachte Sicherheitskonzepte von Entwicklung bis Betrieb.

Unsere Welt vernetzt sich immer mehr und immer feiner und die sichere Entwicklung von Software steht immer mehr im Fokus. Mit Maßnahmen wie NIS2 und dem Cyber Resilience Act reagiert die Europäische Union auf die erkannten Risiken für die Wirtschaft. Das Ziel: Industrie und Softwarehersteller sollen in Sachen Cyber- und Softwaresicherheit aufholen. Die in den Medien immer wieder thematisierten Hackerangriffe zeigen klar, dass bei der Entwicklung von Software von Anfang bis Ende auf Sicherheit geachtet werden muss.

Sichere Software. Von der Idee bis zum Betrieb.

Öffentliche Medien berichten vermehrt über Hackerangriffe und Datenlecks, die zu langanhaltenden Produktionsausfällen und Kundenforderungen nach hohen Schadensersatzsummen führen. Ein Imageverlust nach einem solchen Angriff bedeutet für Unternehmen erhebliche finanzielle Verluste. Um das Risiko zu minimieren, ist es entscheidend, Sicherheit nicht nur als zusätzliches Feature zu betrachten, sondern sie von Anfang bis Ende des Softwarelebenszyklus durch einen sicheren Entwicklungsprozess zu gewährleisten.

Sicherheit muss in allen Phasen der Softwareentwicklung – und darüber hinaus - eine zentrale Rolle spielen:

01

Sichere Anforderungen und Ideen.

Bereits in der Anforderungsphase muss die Sicherheit bedacht werden. Dazu gehört ein genau definiertes Sicherheitsumfeld ebenso wie Threat Models und die Begleitung durch einen Sicherheitsexperten zur Pflicht.

02

Sichere Implementierung.

Jede Zeile Code beinhaltet ein potenzielles Risiko. Nur durch sichere Implementierungsverfahren, Security Guidelines und geschulte Entwickler:innen kann eine sichere Lösung überhaupt entstehen.

03

Verwendung von sicheren Drittkomponenten.

Nicht nur eigener Code führt zu Sicherheitslücken. Nicht selten sind es auch Open-Source oder Zukaufkomponenten, die eine Schwachstelle verursachen. Daher ist auch die Auswahl und Prüfung von Drittkomponenten unerlässlich. Auch die Dokumentation in Form einer Software-Bill-of-Materials (SBOM) gehört zur Pflicht.

04

Sicherheitstests.

Durchgängiges Testen der Software ist Pflicht. Automatisiert muss die Softwaresicherheit bei jeder Änderung durch eigene Tests, genauso wie durch Sicherheitstools überprüft werden. Ein Penetration Test durch einen externen und damit unabhängigen Dienstleister rundet die Maßnahme ab.

05

Sichere Auslieferung und Betrieb.

Die sichere Auslieferung, ob in die Cloud, auf Smartphone, Desktop oder ein IoT-Gerät, muss in jedem Fall sichergestellt werden. Hierzu sind sichere Mechanismen zur Erstellung und Verteilung der Software, inklusive sicherer Updates und Überwachung von Cloud-Systemen notwendig.

06

Schwachstellenmanagement.

100%ige Sicherheit kann nicht erreicht werden. Diesem Umstand muss Rechnung getragen werden und Vorkehrungen getroffen sein. Eigene Prozesse und technische Vorbereitungen für schnelle Reaktionsfähigkeit gehören hier ebenso dazu, wie die Überwachung und das Management von Schwachstellen in verwendeten Drittkomponenten.

EU Cyber Resilience Act (CRA), NIS2 Umsetzungsgesetz, IT-Sicherheitsgesetz 2.0, KRITIS-Dachgesetz

Sowohl die deutschen als auch die europäischen Gesetzgeber wollen die IT-Sicherheit in der Wirtschaft und bei Privatanwendern stärken und fairen Wettbewerb gewährleisten, der sich an gleichen Mindeststandards orientiert. Dabei werden Anforderungen an Produkte (Hard- und Software) sowie Unternehmensinfrastrukturen gestellt. Bei Nichteinhaltung drohen Verkaufsverbote, hohe Geldstrafen und sogar persönliche Haftung für Geschäftsführer.

IEC 62443

M&M Software zertifiziert nach IEC 62443: Höchste IT-Sicherheitsstandards

Bei uns hat Sicherheit im Entwicklungsprozess schon lange vor den jüngsten gesetzlichen Maßnahmen höchste Priorität. Die Einhaltung der IEC 62443 Standards und des EU Cyber Resilience Act ist für uns selbstverständlich.

Mit der Zertifizierung nach IEC 62443 bekräftigen wir unsere hohen Cyber-Sicherheitsstandards in der Industrie und bieten unseren Kunden umfassenden Schutz vor Bedrohungen.

Ralf King

Ralf King ist Security Experte und Leiter unseres Competence Centers „Cyber- und Software-Security”. Als studierter Software-Engineer hat er die Aufgaben und Herausforderungen in den verschiedenen Projektphasen vom Softwareentwickler bis hin zum Projektmanager persönlich kennen gelernt, während er das Thema Software Security frühzeitig etabliert hat. Heute unterstützt er mit seinem Security-Team die Projektteams in jeder Phase und kümmert sich um den Security Development Lifecycle nach IEC 62443. 

„Die Art und Weise, wie in den meisten Unternehmen Software entwickelt wird, muss grundlegend umgedacht werden. Sicherheit darf nicht erst zum Projektende unter Release-Zeitdruck nachträglich in ein Projekt gezwängt werden, wie ein letztes nice-to-have Feature. Neben Sicherheitsrisiken sind sonst auch unternehmerische Risiken die Folge. Nicht nur in der klassischen IT-Welt, sondern auch der immer weiter vernetzten OT-Welt, also den Systemen der Produktion, muss Sicherheit dringend ankommen, wenn die Wirtschaft immer größere Schäden in den Lieferketten und Unternehmen vermeiden will.“ 

Presse

Die Future of Industrial Usability 2024 brachte Expert:innen aus der Industrie zusammen, um über eine nutzerfreundliche Zukunft zu diskutieren. Unser UX…

Weiterlesen
Blog

In der Welt des (industriellen) Internet of Things ist es häufig notwendig, Daten sicher auf einem Gerät abzuspeichern, um diese vor unbefugtem Zugriff zu…

Weiterlesen
Workshops

Möchten Sie ein klares Verständnis der Ziele Ihrer Nutzenden in jedem Schritt, um präzise Anforderungen zu definieren? In unserem zweitägigen Design Thinking…

Weiterlesen
Blog

Unsere digitale Arbeitswelt erfordert zunehmend die Fähigkeit zum Multitasking. Doch ist das überhaupt möglich? Und ist es nicht überfordernd? Die Antwort: Es…

Weiterlesen
Blog

In der modernen digitalen Produktentwicklung ist die Zusammenarbeit zwischen UX/UI-DesignerInnen und Software-EntwicklerInnen entscheidend. Unser…

Weiterlesen
Presse

Zum ersten Mal haben wir am AI & Data Summit in Berlin teilgenommen. Vom 25. bis 26. September standen hochkarätige Vorträge, wissenschaftliche Diskussionen und…

Weiterlesen
Blog

Industrial Edge Computing optimiert die Datenverarbeitung direkt an der Quelle. Für maximale Effizienz sind angepasste Speicherstrategien für verschiedene…

Weiterlesen
Blog

Predictive Maintenance analysiert Maschinendaten, um Ausfälle gezielt vorherzusagen und Wartungen bedarfsgerecht zu planen, wodurch unnötige Stillstände und…

Weiterlesen
Presse

Unser Tochterunternehmen M&M Software (Suzhou) GmbH ist umgezogen. Die neue Adresse lautet: GLP I-Park C305, 112 Su Tong Road, Suzhou Industrial Park.

Weiterlesen
Volker Herbst

Ich beantworte Ihre Fragen. 

Volker Herbst

Group Leader Sales