Security für Systeme und Infrastrukturen

IT-Sicherheit für Systeme und Infrastrukturen erfordert einen ganzheitlichen Ansatz, der neben technischen Eigenschaften auch die organisatorischen und physikalischen Rahmenbedingungen berücksichtigt. Bei einer isolierten Betrachtung einzelner Aspekte werden schnell potentiell entscheidende Sicherheitslücken übersehen und die Chance zur frühzeitigen und effizienten Absicherung der Systeme verpasst.

Wir übernehmen für Sie das komplette Security Management, ob im Entwicklungsprojekt oder im Betrieb sicherheitsrelevanter Systeme. Entscheidend ist dabei ein vorausschauender und gut umsetzbarer Plan, eine detaillierte und systematische Risikoanalyse sowie ein vollständiger und aktueller IT-Sicherheitsnachweis.

Security Management Plan

Der IT-Sicherheitsplan ist die Basis für ein strukturiertes und effizientes Vorgehen beim Thema Cybersecurity. Über alle für Ihr Projekt relevanten Lebenszyklus-Phasen hinweg müssen die Aktivitäten, Zielstellungen und Abhängigkeiten von anderen Gewerken klar identifiziert und dokumentiert werden.

 

Sowohl die Anforderungen an eine IT-sichere Entwicklung von Systemen und Anlagen als auch die zahlreichen Aufgaben im Zusammenhang mit einem sicheren Betrieb werden zusammengestellt und mit Ihnen gemeinsam in effizienter und dem Stand der Technik entsprechender Weise umgesetzt.


Security Risk Assessment

Die IT-Sicherheits- Risikoanalyse steht im Zentrum eines ganzheitlichen Risikomanagements für Ihr System. Durch systematische und bewährte Methoden müssen Bedrohungen verschiedenster Art identifiziert und einheitlich bewertet werden. Die Basis für unsere Methoden ist dabei stets der Stand der Technik bezüglich IT Security: IEC 62443.

 

Durch eine detaillierte Angriffsbaumanalyse lassen sich sowohl technische Angriffe (z.B. diverse Man-in-the-Middle Varianten) abbilden als auch jene Methoden, die bewusst den Schutz des Systems umgehen und Lücken in der Infrastruktur oder Organisation ausnutzen (z.B. Social Engineering). Insbesondere die Abhängigkeiten bei komplexen Angriffen werden nachvollziehbar, sodass die Definition von Schutzmassnahmen vollständig aber dennoch effizient gestaltet werden kann.


Security Case

Die Vollständigkeit und Effektivität des IT-Sicherheits- Risikomanagements ist – zumeist vor der Inbetriebnahme - in einem Nachweisdokument zu dokumentieren. Auf Basis der umgesetzten Schutzmassnahmen sowie bestehender Anwendungsbedingungen muss gezeigt werden, wie identifizierte Bedrohungen gehandhabt und Risiken mitigiert werden.

 

Für sicherheitskritische Systeme ist dabei die Beziehung zum Sicherheitsnachweis für funktionale Sicherheit, der für eine bestehende Zulassung nicht durch IT-Sicherheitsaktivitäten beeinflusst werden darf. Wie auch das Security Risk Assessment, ist der Security Case regelmäßig zu überprüfen und bei Bedarf (z.B. nach Updates) zu aktualisieren.