Zum Hauptinhalt springenZum Seitenfuß springen

CYBER- & SOFTWARE-SECURITY

Durchdachte Sicherheitskonzepte von Entwicklung bis Betrieb.

Unsere Welt vernetzt sich immer mehr und immer feiner und die sichere Entwicklung von Software steht immer mehr im Fokus. Mit Maßnahmen wie NIS2 und dem Cyber Resilience Act reagiert die Europäische Union auf die erkannten Risiken für die Wirtschaft. Das Ziel: Industrie und Softwarehersteller sollen in Sachen Cyber- und Softwaresicherheit aufholen. Die in den Medien immer wieder thematisierten Hackerangriffe zeigen klar, dass bei der Entwicklung von Software von Anfang bis Ende auf Sicherheit geachtet werden muss.

Sichere Software. Von der Idee bis zum Betrieb.

Öffentliche Medien berichten vermehrt über Hackerangriffe und Datenlecks, die zu langanhaltenden Produktionsausfällen und Kundenforderungen nach hohen Schadensersatzsummen führen. Ein Imageverlust nach einem solchen Angriff bedeutet für Unternehmen erhebliche finanzielle Verluste. Um das Risiko zu minimieren, ist es entscheidend, Sicherheit nicht nur als zusätzliches Feature zu betrachten, sondern sie von Anfang bis Ende des Softwarelebenszyklus durch einen sicheren Entwicklungsprozess zu gewährleisten.

Sicherheit muss in allen Phasen der Softwareentwicklung – und darüber hinaus - eine zentrale Rolle spielen:

01

Sichere Anforderungen und Ideen.

Bereits in der Anforderungsphase muss die Sicherheit bedacht werden. Dazu gehört ein genau definiertes Sicherheitsumfeld ebenso wie Threat Models und die Begleitung durch einen Sicherheitsexperten zur Pflicht.

02

Sichere Implementierung.

Jede Zeile Code beinhaltet ein potenzielles Risiko. Nur durch sichere Implementierungsverfahren, Security Guidelines und geschulte Entwickler:innen kann eine sichere Lösung überhaupt entstehen.

03

Verwendung von sicheren Drittkomponenten.

Nicht nur eigener Code führt zu Sicherheitslücken. Nicht selten sind es auch Open-Source oder Zukaufkomponenten, die eine Schwachstelle verursachen. Daher ist auch die Auswahl und Prüfung von Drittkomponenten unerlässlich. Auch die Dokumentation in Form einer Software-Bill-of-Materials (SBOM) gehört zur Pflicht.

04

Sicherheitstests.

Durchgängiges Testen der Software ist Pflicht. Automatisiert muss die Softwaresicherheit bei jeder Änderung durch eigene Tests, genauso wie durch Sicherheitstools überprüft werden. Ein Penetration Test durch einen externen und damit unabhängigen Dienstleister rundet die Maßnahme ab.

05

Sichere Auslieferung und Betrieb.

Die sichere Auslieferung, ob in die Cloud, auf Smartphone, Desktop oder ein IoT-Gerät, muss in jedem Fall sichergestellt werden. Hierzu sind sichere Mechanismen zur Erstellung und Verteilung der Software, inklusive sicherer Updates und Überwachung von Cloud-Systemen notwendig.

06

Schwachstellenmanagement.

100%ige Sicherheit kann nicht erreicht werden. Diesem Umstand muss Rechnung getragen werden und Vorkehrungen getroffen sein. Eigene Prozesse und technische Vorbereitungen für schnelle Reaktionsfähigkeit gehören hier ebenso dazu, wie die Überwachung und das Management von Schwachstellen in verwendeten Drittkomponenten.

EU Cyber Resilience Act (CRA), NIS2 Umsetzungsgesetz, IT-Sicherheitsgesetz 2.0, KRITIS-Dachgesetz

Sowohl die deutschen als auch die europäischen Gesetzgeber wollen die IT-Sicherheit in der Wirtschaft und bei Privatanwendern stärken und fairen Wettbewerb gewährleisten, der sich an gleichen Mindeststandards orientiert. Dabei werden Anforderungen an Produkte (Hard- und Software) sowie Unternehmensinfrastrukturen gestellt. Bei Nichteinhaltung drohen Verkaufsverbote, hohe Geldstrafen und sogar persönliche Haftung für Geschäftsführer.

IEC 62443

Bei uns hat Sicherheit im Entwicklungsprozess schon lange vor den jüngsten gesetzlichen Maßnahmen höchste Priorität. Die Einhaltung der IEC 62443 Standards und des EU Cyber Resilience Act ist für uns selbstverständlich.

Ralf King

Ralf King ist Security Experte und Leiter unseres Competence Centers „Cyber- und Software-Security”. Als studierter Software-Engineer hat er die Aufgaben und Herausforderungen in den verschiedenen Projektphasen vom Softwareentwickler bis hin zum Projektmanager persönlich kennen gelernt, während er das Thema Software Security frühzeitig etabliert hat. Heute unterstützt er mit seinem Security-Team die Projektteams in jeder Phase und kümmert sich um den Security Development Lifecycle nach IEC 62443. 

„Die Art und Weise, wie in den meisten Unternehmen Software entwickelt wird, muss grundlegend umgedacht werden. Sicherheit darf nicht erst zum Projektende unter Release-Zeitdruck nachträglich in ein Projekt gezwängt werden, wie ein letztes nice-to-have Feature. Neben Sicherheitsrisiken sind sonst auch unternehmerische Risiken die Folge. Nicht nur in der klassischen IT-Welt, sondern auch der immer weiter vernetzten OT-Welt, also den Systemen der Produktion, muss Sicherheit dringend ankommen, wenn die Wirtschaft immer größere Schäden in den Lieferketten und Unternehmen vermeiden will.“ 

Blog

Entdecken Sie die Möglichkeiten von Playwright: Die Zukunft der Browser-Automatisierung. Es unterstützt mehrere Browser, bietet eine einheitliche API und…

Weiterlesen
Blog

Daten sind der Treibstoff für erfolgreiche Unternehmen. Hochwertige Daten sind unerlässlich für fundierte Entscheidungen. Deshalb ist ein starkes…

Weiterlesen
Blog

Früher mussten Softwareentwickler individuelle Lösungen für komplexe verteilte Systeme entwickeln, was zeit- und kostenintensiv war. Dapr bietet…

Weiterlesen
Blog

Eine der bedeutendsten Programmiersprachen für Data Science Projekte ist zweifellos Python. Mit seiner einfachen Syntax und der umfangreichen…

Weiterlesen
Blog

Edge AI wird immer bekannter, aber was steckt genau dahinter? Anfänglich war die Vision, KI-Modelle, die in der Cloud entwickelt wurden, auf die sogenannte Edge…

Weiterlesen
Blog

Die Verbindung von IT-Systemen (zum Beispiel ERP- oder MES-Systemen) und OT-Systemen (wie Sensoren, PLC und SCADA) nimmt zu. Es werden mehr Daten aus den…

Weiterlesen
Whitepaper

Im Kontext des IIoT spielt das Thema Sicherheit eine besonders große Rolle. Zu den Folgen eines Cyberangriffs können neben dem Diebstahl von…

Weiterlesen
Blog

In Produktionshallen werden heute unterschiedliche Protokolle mit jeweils spezifischen Eigenschaften eingesetzt. Die Herausforderung besteht darin, diese…

Weiterlesen
Blog

In einer Welt des rasanten technologischen Fortschritts und der zunehmenden Digitalisierung werden Innovationen im Alltag immer wichtiger. Es gibt neue…

Weiterlesen

Ich beantworte Ihre Fragen. 

Volker Herbst

Group Leader Sales