symmedia ist IEC 62443 zertifiziert
-
15.09.2023Marius Burger
Als eines der ersten Unternehmen in Deutschland wurde symmedia vom TÜV Nord nach dem Standard IEC 62443 (Industrial Communication Networks – Networks and System Security) zertifiziert, dem wichtigsten internationalen Standard für OT (Operation Technology) Security im industriellen Bereich. Damit wird formal bestätigt, dass symmedia in der Lage ist, Software und Lösungen nach dem Secure-By-Design-Prinzip zu entwickeln, zu bauen und zu betreiben. Der TÜViT (TÜV Informationstechnik GmbH) hat die symmedia SP/1 Lösung bereits seit mehreren Jahren als „Trusted Product“ verifiziert. Mit der IEC 62443-4-1 Zertifizierung für den Secure Software Development Lifecycle untermauern wir unser Alleinstellungsmerkmal als Hersteller besonders sicherer Lösungen für die Industrie und insbesondere den Maschinenbau und erweisen uns als zuverlässiger Partner für unsere Kunden. Was genau hinter dieser Zertifizierung steckt und wie sie unseren Kunden zugute kommt, erfahren Sie im Folgenden.
Secure-By-Design, Defense-In-Depth und Secure-Coding – das ist Teil unserer DNA
Das Risiko von Cyberangriffen steigt von Tag zu Tag, und der verantwortungsvolle Umgang mit Daten ist wichtiger denn je. Daten sind ein wertvolles Gut und ihr Verlust oder ihre Manipulation kann große Auswirkungen für unsere Kunden haben. Die IEC 62443 hat sich zu einem weltweit anerkannten Standard für den Nachweis der Konformität in der Prozess- und Automatisierungsindustrie entwickelt. Die Norm IEC 62443-4-1 fordert die Übernahme und Einhaltung von acht so genannten Praktiken. Werden diese Praktiken kombiniert, entsteht ein Secure Software Development Lifecycle, der als Grundlage für die ganzheitliche Erstellung und den Betrieb von sicheren Softwareprodukten und -lösungen dient. Konkret handelt es sich bei den acht Praktiken um:
- Sicherheitsmanagement
- Spezifikation von Sicherheitsanforderungen
- Sicherer Produktentwurf
- Sichere Implementierung
- Sicherheitsüberprüfung und Validierungstests
- Verwaltung von Sicherheitsproblemen
- Freigabe von Sicherheitsupdates
- Bereitstellung einer sicheren Benutzerdokumentation
Die Praktiken sind weiter in 47 verschiedene Anforderungen unterteilt, die erfüllt werden müssen. Im Gegensatz zu vielen gängigen Normen, die darauf drängen, Prozesse und Kriterien so genau wie möglich zu beschreiben, verfolgt die IEC 62443 einen weitaus praktischeren Ansatz. Ziel ist es, sicherheitsrelevante Elemente in allen Phasen des Lebenszyklus der Produktentwicklung zu berücksichtigen und zu integrieren. Diese Merkmale leiten sich aus den drei unten aufgeführten Prinzipien ab:
- Secure-By-Design: Die Berücksichtigung von Sicherheitsanforderungen an Software und Hardware bereits in der Entwicklungsphase eines Produkts, um spätere Sicherheitslücken zu vermeiden.
- Tiefe-in-Tiefe: Das Konzept, das für IT/OT-Architekturen verwendet wird, bei denen mehrere Schichten von Sicherheitskontrollen (Verteidigung) über das gesamte System gelegt werden.
- Sichere Kodierung: Eine Praxis, die eine Verlagerung der Verantwortung demonstriert, indem sie buchstäblich den Entwickler als Verantwortlichen für die Codesicherheit benennt und nicht ein Sicherheitsteam. Dieser auch Shift-Left-Security genannten Ansatz, welcher sich seit Jahren im Markt als Best-Practice etabliert hat, ist ein weiterer wichtiger Baustein, um sichere Software von der Basis aus zu entwickeln.
Im Rahmen des Zertifizierungsprozesses haben wir unsere ganze Erfahrung und die neuesten Erkenntnisse der Cybersicherheit auf den Prüfstand gestellt und unseren symmedia Secure Product Development Lifecycle optimiert. Der Lifecycle dient der Entwicklung von symmedia-Produkten unter einem agilen Prozessmodell wie SCRUM oder Kanban, wobei die Sicherheit während des gesamten Prozesses im Auge behalten wird. Der Ansatz basiert auf dem 2004 von Microsoft veröffentlichten und ständig weiterentwickelten Security Development Lifecycle, der als Referenzmodell im Markt dient.
Die Methode umfasst verschiedene Phasen der bewährten agilen Softwareentwicklung, die um entsprechende Sicherheitsaspekte ergänzt werden. Als End-to-End (E2E)-Prozess ist der Prozess in der symmedia-Organisation verankert und umfasst somit alle Aspekte und Phasen der Produktentstehung von der Konzeption über die Auslieferung bis hin zur Weiterentwicklung / Wartung.
Damit haben wir eine solide Basis geschaffen, um unseren Kunden maximalen Schutz vor Cyberbedrohungen zu bieten und eine kontinuierliche Weiterentwicklung zu gewährleisten. Das Thema Cybersecurity ist und bleibt allgegenwärtig und dient somit als starkes Alleinstellungsmerkmal für alle unsere Produkte.
Bitte kontaktieren Sie uns, wenn Sie mehr erfahren möchten. Wir geben Ihnen gerne weitere Informationen über unsere Produkte und die IEC 62443-4-1-Zertifizierung.