Sie wollen sicherstellen, dass die Prozesse und Produkte in Ihrem Unternehmen sicher vor Angreifern sind?
Mit unseren Cyber Security Audits erhalten Sie sowohl einen Überblick über technische Schwachstellen in Ihren Produkten als Teil unseres Komponenten-Audits, als auch eine Bewertung dieser nach einschlägigen Bewertungskriterien, wie die Erfüllung kommender EU-Vorgaben und etablierten Cyber Security-Normen innerhalb unseres Konzept-Audits.
Durch unseren bestandenen Audit bestätigen wir Ihnen die Cybersicherheit Ihrer Produkte und Prozesse mit unserem Zertifikat.
Komponenten-Audit
Unser Komponenten-Audit ist ein klassischer Penetration-Test mit dem Ziel Ihnen einen Überblick über technische Schwachstellen Ihrer Produkte zu geben. Egal ob Sie potenzielle Schwachstellen einer einzelnen Komponente finden oder Empfehlungen zur Verbesserung von größeren Anteile der Infrastruktur in Ihrem Unternehmen brauchen, wir helfen Ihnen gerne weiter.
Wir wissen, dass sich OT stark von IT unterscheidet. Nicht alle Tests, die bei IT-Komponenten sinnvoll sind, können bei reinen OT-Komponenten durchgeführt werden. Besonders dann, wenn diese im Aktiv-System getestet werden. Bei unserem Komponenten-Audit handelt es sich um einen Grey-Box-Test. Das heißt wir holen uns Insider-Informationen bei Ihnen ein, um zum einen die Test-Zeit und damit die Kosten zu verringern und zum anderen noch genauere Ergebnisse liefern zu können.
Der Scope des Komponenten-Audits wird ganz flexibel in Kooperation mit Ihnen vereinbart, um genau die Punkte abzudecken, die Sie interessieren. Wir beraten Sie auch gerne, welche Tests nach unserer langjährigen Erfahrung bei welchen Produkten sinnvoll sind, und nehmen diese in den Audit auf. Ob Aktiv-System oder Testgerät, wir passen unsere Tests an Ihre Ansprüche an.
Nach unserem Audit erhalten Sie einen Bericht über die erkannten Schwachstellen, sowie eine detaillierte Analyse dieser und deren Auswirkung. Auf Anfrage erhalten Sie von uns gerne einen Beispiel-Bericht, sowie eine Liste der von uns häufig durchgeführten Tests und eingesetzten Tools.
Konzept-Audit
Während der Komponenten-Audit rein technische Schwachstellen abdeckt, gibt unser Konzept-Audit eine Übersicht darüber, welche Anforderungen Ihr Produkt bei einer Vielzahl von Standards, Normen und EU-Vorgaben erfüllt.
Insbesondere testen wir Ihre Produkte auf die Einhaltung von Vorschriften, wie:
- BSI IT-Grundschutz-Kompendium: Elementare Gefährdungen
- BSI IT-Grundschutz-Kompendium: IT-Grundschutz-Bausteine
- Maschinenverordnung - 2023/1230/EU
- EN 18031-1 (Radio Equipment Directive - 2022/30/EU)
- IEC 62443-4-2
Einen Beispiel-Bericht erhalten Sie gerne auf Anfrage.
BSI IT-Grundschutz-Kompendium
Das IT-Grundschutz-Kompendium ist eine Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik. Darin beschrieben sind Anforderungen für die Erfüllung des IT-Grundschutzes. Grundsätzlich werden beim Konzept-Audit zwei Teile betrachtet:
1. Elementare Gefährdungen: Die hierin aufgeführten Anforderungen umfassen nicht nur klassische Cyber Security Gefahren wie Schadprogramme und Denial of Service (DoS), sondern umfassen auch Themen wie Naturkatastrophen und Korrosion der Bauteile. Im Konzept-Audit wird auf eine Bewertung dieser nicht unmittelbar Security-relevanten Thematiken verzichtet.
2. IT-Grundschutz-Bausteine: Das IT-Grundschutz-Kompendium gibt unterschiedliche Anforderungen für verschiedene Arten von Komponenten vor. Diese Bausteine stellen die Bewertungsgrundlage für diesen Abschnitt des Konzept-Audits vor. Aufgrund der Spezifität der Bausteine werden hier die passenden Anforderungen für unsere Tests ausgewählt.
Maschinenverordnung
In der neuen Maschinenverordnung ist Cyber Security ein neues Bewertungskriterium. Diese Ansprüche haben wir in unseren Konzept-Audit aufgenommen, sodass Sie durch unsere Bewertung eine externe Einschätzung haben, ob ihr Produkt den Cyber Security-Anteil der Maschinenverordnung erfüllt. Details zur Maschinenverordnung finden Sie hier: <Link Maschinenverordnung>
EN 18031-1: Radio Equipment Directive
Die neuen Cyber Security-Ansprüche der Radio Equipment Directive (RED) können durch die Anwendung der harmonisierten Norm EN 18031 abgedeckt werden. Wir testen den Erfüllungsgrad Ihrer Produkte anhand dieser Norm. Details zur RED finden Sie hier: <Link RED>
IEC 62443-4-2
Der Normenteil IEC 62443-4-2 enthält Cyber Security-Anforderungen an Komponenten. Während eine Zertifizierung Ihrer Produkte nach der IEC 62443-4-2 nur dann möglich sind, wenn Sie schon Ihren sicheren Entwicklungsprozess nach der IEC 62443-4-1 zertifizieren haben lassen, können Sie sich dennoch von uns bezüglich der 4-2 auditieren lassen. Dadurch erhalten Sie einen Überblick, welche Anforderungen Ihr Produkt zu welchem Security Level erfüllt.
Weiterhin erhalten Sie von uns eine Gap-Analyse, die Ihnen die spezifischen Schritte vorgibt, durch deren Umsetzung Sie die nächsten Security-Levels erreichen. Über unser Zertifikat bestätigen wir Ihnen, dass Ihr Produkt Security-Level 2 erfüllt. Dies ist ein guter Schritt um Kunden Ihre Industrial Cyber Security beweisen oder eine erfolgreiche Zertifizierung anstreben zu können.
