SP/1 Version 12 TÜV zertifiziert als Trusted Product
-
16.07.2024Kay Andorf
Wie die bisherigen Hauptversionen von symmedia SP/1 wurde auch die Version 12.0.0 von TÜViT geprüft und mit dem „Trusted Product“ Zertifikat ausgezeichnet.
symmedia SP/1 erfüllt damit weiterhin die produktspezifischen Sicherheitsanforderungen sowie die Anforderungen nach Security Assurance Level SEAL-3. Die Gültigkeit des Zertifikats ist vom 18. Jan. 2024 bis 18. Jan. 2026 und für alle kommenden Minor-Versionen innerhalb der Hauptversion 12.
Die Prüfung enthält alle Kriterien nach SEAL-LEVEL 3 der „Trusted Product“ Prüfung
Hierzu gehören:
Technische Sicherheitsanforderungen:
Diese müssen klar dokumentiert und überprüfbar sein, basierend auf ISO/IEC 17007, und den spezifischen Produktanforderungen entsprechen.
Architektur und Design:
Das Produkt muss verständlich strukturiert sein, ohne konzeptionelle Schwachstellen, und angemessene Härtungs- und Schutzmaßnahmen implementieren.
Entwicklungsprozess:
Ein klar definierter Entwicklungszyklus wird verlangt, der die Phasen Planung, Implementierung und Wartung umfasst, mit besonderem Fokus auf Schwachstellenbehebung und Sicherheitstests.
Schwachstellenanalyse und Penetrationstest:
Das Produkt muss robust genug sein, um Penetrationstests zu bestehen und keine ausnutzbaren Schwachstellen aufzuweisen.
Über diese Prüfbereiche hinaus wurden weitere produktspezifische Sicherheitsanforderungen zugrunde gelegt und überprüft:
Identifizierung & Authentifizierung
Bei diesem Aspekt wird überprüft, ob das Produkt Mechanismen zur sicheren Identifizierung und Authentifizierung von Benutzern oder Entitäten bereitstellt.
Das bedeutet, dass nur autorisierte Benutzer auf das System zugreifen können und das vorgetäuschte Authentisierungsdaten erkannt und deren Missbrauch verhindert werden. Hiermit wird die Sicherheit und Integrität der Daten erhöht und unbefugte Zugriffe verhindert.
Eingeschränkte, Rollenbasierte (RBAC), Zugriffskontrolle
Role Based Access Control (RBAC) ist ein System zur Verwaltung von Zugriffsrechten, bei dem Benutzer auf Basis ihrer Rollen in der Organisation Zugriff auf Ressourcen erhalten. Es hilft, Sicherheitsrichtlinien durchzusetzen, indem es sicherstellt, dass nur autorisierte Benutzer auf bestimmte Daten oder Anwendungen zugreifen können. RBAC ist wichtig, da es die Verwaltung von Benutzerrechten vereinfacht, das Risiko unbefugten Zugriffs reduziert und die Einhaltung von Compliance-Anforderungen unterstützt.
Sichere Transportverschlüsselung
Diese Prüfung betrifft die Verschlüsselung von Daten während der Übertragung über Netzwerke, z.B. mittels SSL / TLS. Durch die Implementierung sicherer Transportverschlüsselung wird sichergestellt, dass sensible Informationen während der Übertragung vor Abhören und Manipulation geschützt sind.
Die SP/1 Version 12 setzt auf den neusten Stand der Transportverschlüsselung auf, der TLS Version 1.3.
Mit der Unterstützung der TLS Version 1.3 unterstützt das Produkt den Verschlüsselungsstandard nach IT Grundschutz und den Empfehlungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) für Kryptographische Verfahren (Vgl.: hier)
Unsere Kunden profitieren von erhöhter Vertraulichkeit und Integrität ihrer Daten während der Übertragung, was das Risiko von Datenmissbrauch oder -manipulation minimiert.
Datenflusskontrolle
Unter diesem Aspekt wird überprüft, ob das Produkt Mechanismen zur Kontrolle und Überwachung des Datenflusses implementiert hat. Dies umfassten beispielsweise die Überprüfung und Filterung eingehender und ausgehender Daten, um sicherzustellen, dass nur autorisierte Daten aus zugelassenen Verbindungen übertragen werden und potenziell schädliche oder unerwünschte Daten blockiert werden.
Der Vorteil für den Kunden liegt in der verbesserten Kontrolle über den Datenfluss, was die Sicherheit und Integrität der Daten erhöht und das Risiko von Datenschutzverletzungen reduziert.
Logging / Audit Trail
Diese Prüfung bezieht sich auf die Implementierung von Logging- und Audit-Trail-Mechanismen, die es ermöglichen, Aktivitäten im System zu protokollieren und zu überwachen.
Dadurch können Benutzeraktivitäten nachverfolgt und überwacht werden, was die Transparenz erhöht und bei der Erkennung von Sicherheitsvorfällen oder Compliance-Verstößen hilft.
Angewendet wird hierbei das Prologging, einem Verfahren, bei dem Log-Einträge mit Hash-Werten versehen werden, somit wird die Manipulation von Protokolldaten erschwert, was die Integrität erhöht und die Zuverlässigkeit der Systemüberwachung verbessert.
Kunden profitieren von einer verbesserten Nachvollziehbarkeit und können Sicherheitsvorfälle effektiv untersuchen und darauf reagieren, was die Gesamtsicherheit des Systems erhöht.
Gerne unterstützen wir Sie in Ihren Update Prozessen. Unser Consulting steht Ihnen dazu für weitere Fragen bereit.