IT-Sicherheit – ein Must-have bei Entwicklung und Einsatz von vernetzter Technologie.
Die Auswirkungen bei Ausnutzung bestehenden Sicherheitslücken können sowohl aus Sicht der IT-Sicherheit als auch aus Sicht des Datenschutzes gravierend sein. Schadenersatzansprüche, beispielweise seitens betroffener Kunden und/oder hohe Bußgelder seitens der Datenschutzaufsichtsbehörden inklusive des damit einhergehenden Imageschaden für betroffene Unternehmen ist – mit zum Teil unabsehbaren Folgen für die künftige Geschäftsentwicklung – sind nicht auszuschließen.
Deshalb ist es ratsam, bereits bei der Konzeption und der Entwicklung smarter Produkte das Thema IT-Sicherheit einzubinden (security by design), und diese auch während des gesamten Product-Life-Cycles durch regelmäßige Tests und Updates zu gewährleisten.
Wir von VTRUST unterstützen Hersteller und Betreiber vernetzter Technologie sowie generell Unternehmen im Bereich IT, Automatisierung und vernetzter Technologie bei der Herstellung und Gewährleistung der IT-Sicherheit (Hardware und Software) und bringen dabei sowohl die Entwickler- als auch Hacker-Perspektive ein.
VTRUST-Standard
VTRUST-Service-Portfolio
VTRUST bietet folgende Projektdienstleistungen und Inhalte im Bereich „IT-Security“ an:
Grundsätzliche Beurteilung der Gefährdungslage
- Erarbeitung von potentiellen Angriffsvektoren und Szenarien
- Klassifizierung der Angriffspunkte nach Kategorien der Eintrittswahrscheinlichkeit, vorhersehbare Komplexität, Auswirkung, Schaden, …
Produkt-/ Fehleranalyse
- Initiale Grund-Analyse des Produkts oder zu untersuchenden Systems
- Reverse Engineering des Produkts / Systems:
- Hardware
- Software
- Produktanalyse (je nach Anforderung), z.B.:
- Untersuchung Kommunikationsmechanismen / Netzwerkverkehr (WAN / LAN / Cloud)
- Untersuchung Firmware-Update-Mechanismen
- Hardware-Analyse (Flash, etc.)
- Gezieltes Evaluieren bis hin zum „proof of concept“ der einzelnen Angriffsszenarien
- Einschätzung des Sicherheitsstandes des untersuchten Systems
- Entwicklung von reproduzierbaren Prozessen zur Demonstration von etwaig gefundenen Sicherheitslücken und Erstellung einer ausführlichen Dokumentation
- Dokumentation der Vorgehensweise und Ergebnisse in einem Security-Report
Mobile App Inspection
- App Inspection Environment
- Statische Analyse von mobile apps
- Dynamische Analyse von mobile apps
- Dokumentation der Vorgehensweise und Ergebnisse in einem Security-Report
Erstellen von Sicherheitsstrategien zum Verhindern möglicher Angriffsszenarien
- für bereits verkaufte Geräte im Feld
- für die “aktuelle” Gerätegeneration im Verkauf
- für zukünftige Gerätegenerationen
- Maßnahmen für die Sicherstellung der Informationssicherheit (Standard und darüber hinaus)
- Strategien für Know-How-Schutz
Praktische Umsetzung von Sicherheitsmaßnahmen
- Coaching und Begleitung der Implementierung der Sicherheitsfeatures
- Begleitung und Unterstützung der Produktentwicklung (HW & SW & Apps)
- Konzeptentwicklung für Produkte (HW & SW & Apps) auch im Bereich Security und Privacy
- Schulung (Workshop) des Entwicklungsteams
- Unterstützung der Implementierung der Sicherheitsfeatures
- Code Review
Finale Evaluierung der Implementierung der Maßnahmen
- Abschlusstests (Sicherheits-Audits) der implementierten Maßnahmen
- Einschätzung des gewonnenen Sicherheitsstandes
- Begleitung des Product-Life-Cycles (Test von Updates, Patches, etc.)