CYBER SECURITY FÜR KOMPONENTENHERSTELLER SICHER NACH ALLEN REGELN

AUF EINEN BLICK:

Cloud-Anbindung und die Vernetzung über das Internet der Dinge (IoT) schaffen für Ihre OT-Produkte neue Möglichkeiten – aber auch neue Risiken.

Allein 2022 haben die Ransomware-Attacken auf die OT in Produktion und Infrastruktur um 87% zugenommen.

Schützen Sie Ihre Produkte von Anfang an durch sichere Software – auch mit Blick auf zunehmende regulatorische Anforderungen, z.B. den künftigen EU Cyber Resilience Act.

WAS SIE BEWEGT:

Ihre OT-Produkte erfüllen längst mehr als nur die definierte Steuerungs-, Sensorik- oder Aktuatorik-Funktion: Sie kommunizieren in Produktions-, Infrastruktur- und Zugnetzwerken – und deshalb müssen sie gegen missbräuchlichen Zugriff geschützt werden. Security-Maßnahmen des Anlagenbetreibers wie Defense in Depth oder Zero Trust sind das eine. Aber auch Sie als Hersteller sind nach dem IT-Sicherheitsgesetz 2.0, dem künftigen EU Cyber Resilience Act oder den neuen EU-Maschinenverordnungen 2023/1230 auf konkrete Sicherheitsmaßnahmen verpflichtet. Relevant sind hier auch die Normen IEEE 62443 und TS 50701. Aber wie können Sie Schwachstellen und Risiken in Ihren OT-Komponenten und -Systemen erkennen und bekämpfen?

CYBER SECURITY FÜR IHRE OT-PRODUKTE –
FRAGEN SIE UNS!

Sie wollen Ihr Produkt cybersicher machen? Lassen Sie sich durch unsere Experten beraten! Schützen Sie Ihre OT vor den gefährlichen Folgen von Software-Fehlern und -Schwachstellen.

WAS FÜR SIE MEHRWERT SCHAFFT:

Codewerk hilft Ihnen, die Embedded Software in Ihren OT-Produkten cybersicher zu machen – auf zwei entscheidenden Gebieten:

  • Zum einen, Schwachstellen schon in der Produktentwicklung originär auszuschalten.
    Dies bietet die beste Gewähr, Security-Incidents im Feld zu minimieren und damit weniger Security-Updates und -Patches erforderlich zu machen. Gerade in Bereichen wie dem Schienenverkehr ist das wichtig für den Betriebsfluss.

  • Und genauso wichtig: Software-Produkte sollten über den gesamten Produktlebenszyklus auf Schwachstellen überwacht werden. Kontinuierliches Security-Vulnerability-Monitoring macht dies möglich. Es umfasst nicht nur die Überwachung, sondern auch die Bewertung der Schwachstellen und darauf aufbauende Handlungsempfehlungen.

DIE CODEWERK LEISTUNGEN FÜR SICHERE SOFTWARE

ENTWICKLUNGSPHASE
Secure Coding und Code Review

TESTPHASE
Penetration Testing und Fuzzing

BETRIEBSPHASE
Vulnerability Management

WAS WIR ANDERS MACHEN:

Codewerk ist Partner u.a. von großen Industrie- und Schienenfahrzeugausrüstern und Komponentenherstellern, ferner aktiv in Forschungs- und Entwicklungsprojekten der Bahnindustrie. Aus der Kenntnis komplexer Systeme und mit unseren eigenen Wurzeln im Software-Engineering können wir typische Risiken gezielt kontern. Drei Beispiele von vielen:

  • Unsichere Standardkonfiguration
    Ein schnelles und dankbares Ziel für Hacker, aber nach wie vor weit verbreitet. Hier greift unter anderem unser Fuzzing – also der bewusste Versuch, mit zufällig generierten Inputdaten das System zum Absturz zu bringen. Auf Basis dieser Erkenntnisse optimieren wir dann mit unserem Software-Know-how den Source Code.

  • Code-Schwachstellen
    Software wird zum überwiegenden Teil extern eingekauft – und entzieht sich damit dem Einblick des Produktherstellers. Unser kontinuierliches Vulnerability Monitoring und Management legt Sicherheitslücken z.B. in Bibliotheken oder Frameworks offen und bewertet ihre möglichen Auswirkungen.

  • Unsichere Datenvalidierung und Eingabeüberprüfung
    Wenn Eingaben nicht ordnungsgemäß validiert werden, können Angreifer schadhaften Code (z. B. SQL-Injection oder Cross-Site Scripting) ins System einschleusen und ausführen. Durch Security by Design begegnen wir diesem Risiko schon in der Entwicklungs- und Testphase.

PRODUKT FERTIG – JETZT NOCH EIN BISSCHEN SECURITY ON TOP? WARUM SICH SECURITY BY DESIGN NACH IEEE 62443 AUSZAHLT

In vielen Fällen wird Cyber Security immer noch als Produktfeature angesehen – und genauso behandelt: Sind die Grundfunktionen erst einmal definiert und programmiert, kommt Security als Pflichtbestandteil on top.

Es ist Zeit, dieses Denken umzudrehen: Wie muss eine Funktion umgesetzt sein, damit sie sicher ist? Gerade Fehler im Systemdesign – z.B. unsichere Fall-Back-Mechanismen oder Fehler im Schlüsselmanagement – lassen sich nur durch Security by Design vermeiden. Die Fehlerkorrektur schon in der Entwicklungsphase macht diesen Ansatz nicht nur sicherer, sondern auch deutlich wirtschaftlicher.

WELCHE FUZZING-LÖSUNG EMPFIEHLT SICH? WAS FÜR SECURITY TESTING SPRICHT

Grundsätzlich sind wir flexibel. Klare praktische Vorteile bietet es aus unserer Sicht, den Quellcode von Beginn der Entwicklung an kontinuierlich mit einem Fuzzer auf Sicherheitslücken zu prüfen. Die Fuzzing-Tests lassen sich problemlos in eine CI/CD-Pipeline bauen. Abgesehen davon steigert Fuzzing die Code-Qualität maßgeblich. Sehr gute Erfahrungen haben wir hier mit libFuzzer, aber auch mit AFL++ gemacht.

WELCHE SECURITY-MONITORING-LÖSUNG SOLL ES SEIN? WAS FÜR EFFIZIENTES SCHWACHSTELLEN-MANAGEMENT SPRICHT

Unser Vulnerability-Management umfasst:

  • Das Tracking von Drittanbieter-Software und verwendeten Software-Versionen

  • Die kontinuierliche Überwachung, ob neue Schwachstellen für Ihre gefundene Software existieren

  • Die Bewertung der gefundenen Schwachstellen und Prüfung, ob die Schwachstelle ausnutzbar ist.


Für selbstgeschriebene oder proprietäre Software führen wir für Sie auch ein umfassendes Assessment durch.

Fazit: Wir überwachen ihr Produkt im Produktlebenszyklus auf Schwachstellen und geben Ihnen Handlungsempfehlungen für Ihren konkreten Anwendungsfall.

LESEN SIE AUCH

Augen zu gilt nicht mehr

Wie Unternehmen auf den Cyber Resilience Act der EU reagieren sollten

NORMENKONFORME CYBER SECURITY FÜR IHRE OT –
FRAGEN SIE UNS!

Sie wollen Ihre OT vor den Folgen von Software-Fehlern und -Schwachstellen schützen? Kontaktieren Sie unsere Experten!
Ihr erster Schritt zur wirksamen Cybersicherheit.

DER CODE ZU IHREM ERFOLG ÜBER CODEWERK

Wir bei Codewerk wollen zu einer besser geschützten OT-Welt beitragen. Dabei ist Cybersecurity für uns mehr als ein Wachstumsfeld. Wir treiben das Thema aus echter Leidenschaft und Identifikation mit der Welt unserer Kunden voran.

Als langjähriger Software-Entwicklungspartner für Prozessindustrie, Fertigungsindustrie und Schienenverkehr wissen wir, wie komplex die Systeme sind – und wie lange der Weg ist, hier ähnlich hohe Sicherheit zu etablieren wie in der IT. Doch zum langsamen Hochlauf einer Cybersecurity-Kultur bleibt keine Zeit. Der Moment zum Handeln ist jetzt.

  • Ein Jahrzehnt Erfahrung als eigenständiger Softwareentwickler und -dienstleister
  • Vier Standorte in Deutschland
  • Partner in nationalen und internationalen Forschungs- und Entwicklungsprojekten sowie im offenen Ökosystem Siemens Xcelerator
  • Zertifiziert nach ISO 27001 bereits seit 2020

Modellbasiertes Software-Engineering für die Fahrzeugsteuerung

SCHNELLER ANS ZIEL

Die Entwicklung und Validierung von Fahrzeugsteuerungssoftware beschleunigen wir auf Grundlage des modellbasierten Software-Engineerings.

IoT- und Edge-Applikationsentwicklung

FÜR SMARTEN BAHNBETRIEB

Gesundheitszustände monitoren, Optimierungsmöglichkeiten im Netz erkennen, vorausschauende Wartung ermöglichen – unsere Applikationsentwicklung macht Wissen aus Ihren Daten.

Subsystem-Integration für Fahrzeugsteuerung und Betreibernetz

DAMIT DAS GANZE FUNKTIONIERT

Multi-Vendor-Architekturen zu einem funktionierenden Ganzen zusammenzufügen – dafür übernehmen wir die volle Verantwortung bei der Subsystem-Integration für Fahrzeugsteuerung und Betreibernetz.

Innovationen

ZUKUNFT GESTALTEN

Um Schienenfahrzeugtechnik an den Herausforderungen der zukünftigen Jahrzehnte auszurichten, arbeiten wir intensiv an internationalen Forschungsprojekten mit.

Basissystem-Entwicklung

BASIS FÜR DIE ZUKUNFT

Leistungsfähig und modular erweiterbar – wir leisten in internationalen Standardisierungsprojekten unseren Beitrag zu einem künftigen Basissystem.

Geräteintegration für SIMATIC PCS 7 / SIMATIC PCS neo

IHRE KOMPONENTEN IN LEITENDER POSITION

Die Leitsysteme von Siemens SIMATIC PCS 7 und SIMATIC PCS neo sind führend in der Prozessindustrie. Wir übernehmen für Sie die reibungslose, systemkonforme Integration Ihrer eigenen Produkte oder Third-Party-Komponenten.

PROFINET Stack Integration

WIR SPRECHEN FÜR SIE PROFINET

Sie wollen PROFINET in Ihre Chips oder Geräte integrieren. Wir übernehmen die Adaption des geeigneten Stacks als Sorglos-Paket für Sie – bis hin zur Zertifizierung.

Systemintegration für industrielle Kommunikation

DAMIT KEIN DATENPUNKT VERLORENGEHT

Ob PROFINET, OPC UA oder MQTT und darauf basierende Anwendungen – wir übernehmen für Sie die komplette Integration von Produkten in Ihre Systemlandschaft der industriellen Kommunikation.

IoT- und Edge-Applikationsentwicklung

AUS DATEN WERDEN ENTSCHEIDUNGSGRUNDLAGEN

Sie wollen aus Big Data Smart Data machen – wir bauen Ihre Anwendung: von der Datenerfassung (Konnektivität) über die Datenübertragung bis zur Datenevaluierung und -nutzung.

MINDSPHERE® EFFICIENCY SUITE

Sie wollen Ihre komplette Produktionsanlage in die IoT-Cloud bringen? Dann bringt Sie unsere eigens entwickelte MindSphere® Efficiency Suite weiter. Mit ihr modellieren und strukturieren wir Ihre Anlage in der Cloud – effizient, sicher und mit viel weniger Aufwand, als Sie denken.

IO-LINK-BIBLIOTHEK FÜR SIMATIC PCS 7 / SIMATIC PCS NEO

Sichere Punkt-zu-Punkt-Verbindungen in der Industrie lassen sich relativ einfach mit den entsprechenden IO-Links realisieren. Damit die Integration systemkonform läuft, bieten wir Ihnen die passenden Treiber.

TURCK Remote IO FÜR SIMATIC PCS 7

Die systemkonforme Anbindung von TURCK-Systemen an das Prozessleitsystem SIMATIC PCS 7 muss kein Zeitfresser sein. Unsere Baustein-Bibliothek sorgt für maximalen Komfort auf der Anwenderseite.

Cyber Security für Komponentenhersteller:

VON ANFANG AN SICHER

Wie wir Ihnen helfen, mögliche Schwachstellen in Ihren Produkten zu eliminieren – von der Produktentwicklung über den gesamten Lebenszyklus hinweg.

Cyber Security für Anlagenbetreiber:

MEHR SCHUTZ FÜR IHRE WERTE

Wie Sie mit uns Risiken im Betrieb monitoren und mitigieren können – unterstützt durch unsere Kombination aus System-, Software- und Security-Know-how.