CYBER SECURITY FÜR KOMPONENTENHERSTELLER
SICHER NACH ALLEN REGELN
AUF EINEN BLICK:
Cloud-Anbindung und die Vernetzung über das Internet der Dinge (IoT) schaffen für Ihre OT-Produkte neue Möglichkeiten – aber auch neue Risiken.
Allein 2022 haben die Ransomware-Attacken auf die OT in Produktion und Infrastruktur um 87% zugenommen.
Schützen Sie Ihre Produkte von Anfang an durch sichere Software – auch mit Blick auf zunehmende regulatorische Anforderungen, z.B. den künftigen EU Cyber Resilience Act.
WAS SIE BEWEGT:
Ihre OT-Produkte erfüllen längst mehr als nur die definierte Steuerungs-, Sensorik- oder Aktuatorik-Funktion: Sie kommunizieren in Produktions-, Infrastruktur- und Zugnetzwerken – und deshalb müssen sie gegen missbräuchlichen Zugriff geschützt werden. Security-Maßnahmen des Anlagenbetreibers wie Defense in Depth oder Zero Trust sind das eine. Aber auch Sie als Hersteller sind nach dem IT-Sicherheitsgesetz 2.0, dem künftigen EU Cyber Resilience Act oder den neuen EU-Maschinenverordnungen 2023/1230 auf konkrete Sicherheitsmaßnahmen verpflichtet. Relevant sind hier auch die Normen IEEE 62443 und TS 50701. Aber wie können Sie Schwachstellen und Risiken in Ihren OT-Komponenten und -Systemen erkennen und bekämpfen?
CYBER SECURITY FÜR IHRE OT-PRODUKTE –
FRAGEN SIE UNS!
FRAGEN SIE UNS!
Sie wollen Ihr Produkt cybersicher machen? Lassen Sie sich durch unsere Experten beraten! Schützen Sie Ihre OT vor den gefährlichen Folgen von Software-Fehlern und -Schwachstellen.
Telefon
+49 721 9841 4678
E-Mail
sales@codewerk.de
WAS FÜR SIE MEHRWERT SCHAFFT:
Codewerk hilft Ihnen, die Embedded Software in Ihren OT-Produkten cybersicher zu machen – auf zwei entscheidenden Gebieten:
- Zum einen, Schwachstellen schon in der Produktentwicklung originär auszuschalten.
Dies bietet die beste Gewähr, Security-Incidents im Feld zu minimieren und damit weniger Security-Updates und -Patches erforderlich zu machen. Gerade in Bereichen wie dem Schienenverkehr ist das wichtig für den Betriebsfluss. - Und genauso wichtig: Software-Produkte sollten über den gesamten Produktlebenszyklus auf Schwachstellen überwacht werden. Kontinuierliches Security-Vulnerability-Monitoring macht dies möglich. Es umfasst nicht nur die Überwachung, sondern auch die Bewertung der Schwachstellen und darauf aufbauende Handlungsempfehlungen.
DIE CODEWERK LEISTUNGEN FÜR
SICHERE SOFTWARE
ENTWICKLUNGSPHASE
Secure Coding und Code Review
TESTPHASE
Penetration Testing und Fuzzing
BETRIEBSPHASE
Vulnerability Management
WAS WIR ANDERS MACHEN:
Codewerk ist Partner u.a. von großen Industrie- und Schienenfahrzeugausrüstern und Komponentenherstellern, ferner aktiv in Forschungs- und Entwicklungsprojekten der Bahnindustrie. Aus der Kenntnis komplexer Systeme und mit unseren eigenen Wurzeln im Software-Engineering können wir typische Risiken gezielt kontern. Drei Beispiele von vielen:
- Unsichere Standardkonfiguration
Ein schnelles und dankbares Ziel für Hacker, aber nach wie vor weit verbreitet. Hier greift unter anderem unser Fuzzing – also der bewusste Versuch, mit zufällig generierten Inputdaten das System zum Absturz zu bringen. Auf Basis dieser Erkenntnisse optimieren wir dann mit unserem Software-Know-how den Source Code. - Code-Schwachstellen
Software wird zum überwiegenden Teil extern eingekauft – und entzieht sich damit dem Einblick des Produktherstellers. Unser kontinuierliches Vulnerability Monitoring und Management legt Sicherheitslücken z.B. in Bibliotheken oder Frameworks offen und bewertet ihre möglichen Auswirkungen. - Unsichere Datenvalidierung und Eingabeüberprüfung
Wenn Eingaben nicht ordnungsgemäß validiert werden, können Angreifer schadhaften Code (z. B. SQL-Injection oder Cross-Site Scripting) ins System einschleusen und ausführen. Durch Security by Design begegnen wir diesem Risiko schon in der Entwicklungs- und Testphase.
System-, Software- und Security-Know-how
Nur wer komplexe Systeme wie Prozessleittechnik oder Zugsteuerungen im Detail kennt, kann Security ganzheitlich einbetten.
Timon Eßlinger, Cyber Security-Experte bei Codewerk
PRODUKT FERTIG – JETZT NOCH EIN BISSCHEN SECURITY ON TOP?
WARUM SICH SECURITY BY DESIGN NACH IEEE 62443 AUSZAHLT
In vielen Fällen wird Cyber Security immer noch als Produktfeature angesehen – und genauso behandelt: Sind die Grundfunktionen erst einmal definiert und programmiert, kommt Security als Pflichtbestandteil on top.
Es ist Zeit, dieses Denken umzudrehen: Wie muss eine Funktion umgesetzt sein, damit sie sicher ist? Gerade Fehler im Systemdesign – z.B. unsichere Fall-Back-Mechanismen oder Fehler im Schlüsselmanagement – lassen sich nur durch Security by Design vermeiden. Die Fehlerkorrektur schon in der Entwicklungsphase macht diesen Ansatz nicht nur sicherer, sondern auch deutlich wirtschaftlicher.
WELCHE FUZZING-LÖSUNG EMPFIEHLT SICH?
WAS FÜR SECURITY TESTING SPRICHT
Grundsätzlich sind wir flexibel. Klare praktische Vorteile bietet es aus unserer Sicht, den Quellcode von Beginn der Entwicklung an kontinuierlich mit einem Fuzzer auf Sicherheitslücken zu prüfen. Die Fuzzing-Tests lassen sich problemlos in eine CI/CD-Pipeline bauen. Abgesehen davon steigert Fuzzing die Code-Qualität maßgeblich. Sehr gute Erfahrungen haben wir hier mit libFuzzer, aber auch mit AFL++ gemacht.
WELCHE SECURITY-MONITORING-LÖSUNG SOLL ES SEIN?
WAS FÜR EFFIZIENTES SCHWACHSTELLEN-MANAGEMENT SPRICHT
Unser Vulnerability-Management umfasst:
- Das Tracking von Drittanbieter-Software und verwendeten Software-Versionen
- Die kontinuierliche Überwachung, ob neue Schwachstellen für Ihre gefundene Software existieren
- Die Bewertung der gefundenen Schwachstellen und Prüfung, ob die Schwachstelle ausnutzbar ist.
Für selbstgeschriebene oder proprietäre Software führen wir für Sie auch ein umfassendes Assessment durch.
Fazit: Wir überwachen ihr Produkt im Produktlebenszyklus auf Schwachstellen und geben Ihnen Handlungsempfehlungen für Ihren konkreten Anwendungsfall.
LESEN SIE AUCH
Augen zu gilt nicht mehr
Wie Unternehmen auf den Cyber Resilience Act der EU reagieren sollten
NORMENKONFORME CYBER SECURITY FÜR IHRE OT –
FRAGEN SIE UNS!
FRAGEN SIE UNS!
Sie wollen Ihre OT vor den Folgen von Software-Fehlern und -Schwachstellen schützen? Kontaktieren Sie unsere Experten!
Ihr erster Schritt zur wirksamen Cybersicherheit.
Telefon
+49 721 9841 4678
E-Mail
sales@codewerk.de
DER CODE ZU IHREM ERFOLG
ÜBER CODEWERK
Wir bei Codewerk wollen zu einer besser geschützten OT-Welt beitragen. Dabei ist Cybersecurity für uns mehr als ein Wachstumsfeld. Wir treiben das Thema aus echter Leidenschaft und Identifikation mit der Welt unserer Kunden voran.
Als langjähriger Software-Entwicklungspartner für Prozessindustrie, Fertigungsindustrie und Schienenverkehr wissen wir, wie komplex die Systeme sind – und wie lange der Weg ist, hier ähnlich hohe Sicherheit zu etablieren wie in der IT. Doch zum langsamen Hochlauf einer Cybersecurity-Kultur bleibt keine Zeit. Der Moment zum Handeln ist jetzt.
- Ein Jahrzehnt Erfahrung als eigenständiger Softwareentwickler und -dienstleister
- Vier Standorte in Deutschland
- Partner in nationalen und internationalen Forschungs- und Entwicklungsprojekten sowie im offenen Ökosystem Siemens Xcelerator
- Zertifiziert nach ISO 27001 bereits seit 2020
Modellbasiertes Software-Engineering für die Fahrzeugsteuerung
SCHNELLER ANS ZIEL
Die Entwicklung und Validierung von Fahrzeugsteuerungssoftware beschleunigen wir auf Grundlage des modellbasierten Software-Engineerings.
IoT- und Edge-Applikationsentwicklung
FÜR SMARTEN BAHNBETRIEB
Gesundheitszustände monitoren, Optimierungsmöglichkeiten im Netz erkennen, vorausschauende Wartung ermöglichen – unsere Applikationsentwicklung macht Wissen aus Ihren Daten.
Subsystem-Integration für Fahrzeugsteuerung und Betreibernetz
DAMIT DAS GANZE FUNKTIONIERT
Multi-Vendor-Architekturen zu einem funktionierenden Ganzen zusammenzufügen – dafür übernehmen wir die volle Verantwortung bei der Subsystem-Integration für Fahrzeugsteuerung und Betreibernetz.
Innovationen
ZUKUNFT GESTALTEN
Um Schienenfahrzeugtechnik an den Herausforderungen der zukünftigen Jahrzehnte auszurichten, arbeiten wir intensiv an internationalen Forschungsprojekten mit.
Basissystem-Entwicklung
BASIS FÜR DIE ZUKUNFT
Leistungsfähig und modular erweiterbar – wir leisten in internationalen Standardisierungsprojekten unseren Beitrag zu einem künftigen Basissystem.
Geräteintegration für SIMATIC PCS 7 / SIMATIC PCS neo
IHRE KOMPONENTEN IN LEITENDER POSITION
PROFINET Stack Integration
WIR SPRECHEN FÜR SIE PROFINET
Sie wollen PROFINET in Ihre Chips oder Geräte integrieren. Wir übernehmen die Adaption des geeigneten Stacks als Sorglos-Paket für Sie – bis hin zur Zertifizierung.
Systemintegration für industrielle Kommunikation
DAMIT KEIN DATENPUNKT VERLORENGEHT
Ob PROFINET, OPC UA oder MQTT und darauf basierende Anwendungen – wir übernehmen für Sie die komplette Integration von Produkten in Ihre Systemlandschaft der industriellen Kommunikation.
IoT- und Edge-Applikationsentwicklung
AUS DATEN WERDEN ENTSCHEIDUNGSGRUNDLAGEN
Sie wollen aus Big Data Smart Data machen – wir bauen Ihre Anwendung: von der Datenerfassung (Konnektivität) über die Datenübertragung bis zur Datenevaluierung und -nutzung.
MINDSPHERE® EFFICIENCY SUITE
IO-LINK-BIBLIOTHEK FÜR SIMATIC PCS 7 / SIMATIC PCS NEO
Sichere Punkt-zu-Punkt-Verbindungen in der Industrie lassen sich relativ einfach mit den entsprechenden IO-Links realisieren. Damit die Integration systemkonform läuft, bieten wir Ihnen die passenden Treiber.
TURCK Remote IO FÜR SIMATIC PCS 7
Cyber Security für Komponentenhersteller:
VON ANFANG AN SICHER
Wie wir Ihnen helfen, mögliche Schwachstellen in Ihren Produkten zu eliminieren – von der Produktentwicklung über den gesamten Lebenszyklus hinweg.
Cyber Security für Anlagenbetreiber:
MEHR SCHUTZ FÜR IHRE WERTE
Wie Sie mit uns Risiken im Betrieb monitoren und mitigieren können – unterstützt durch unsere Kombination aus System-, Software- und Security-Know-how.