Security Engineering

IT-Sicherheit ist eine wichtige Anforderung für Unternehmen, die von Informationstechnologie abhängen, und Benutzer verlassen sich immer stärker darauf, dass bei IT-fähigen Produkten und Services die Sicherheit vor Angriffen und der Datenschutz gewährleistet sind. Allerdings stellen die zunehmende Ausgereiftheit, Komplexität und Mobilität von Software und Systemen ein Hindernis dar, wenn es darum geht, das Design eines Systems beweisbar abzusichern und Sicherheitsbedürfnisse mit anderen, ebenso wichtigen Systemqualitäten in Einklang zu bringen.

Sicherheit einbauen

Die Sicherheit vor Angriffen ist keine isolierte Qualität, die man im Nachhinein in ein System integrieren kann. Sie erfordert sorgfältige Überlegungen direkt zu Beginn des Entwicklungsprozesses und verlangt kontinuierliche Aufmerksamkeit und Handlungen während des gesamten Lebenszyklus eines Systems. Um einen angemessenen Grad an Sicherheit zu akzeptablen Kosten zu gewährleisten, müssen analytische und konstruktive Fähigkeiten umsichtig und auf verschiedenen Abstraktionsebenen kombiniert werden.

Unsere Richtlinien für sichere Softwareentwürfe und -implementierung helfen Ihnen, Sicherheitsschwachstellen zu vermeiden und in allen Phasen der Entwicklung und des Betriebs angemessene technische und organisatorische Sicherheitsmaßnahmen zu ergreifen. Unsere Certified Professionals for Secure Software Engineering (CPSSE) können Ihre Mitarbeiter anleiten, die Prinzipien und Praktiken des sicheren Software Engineerings qualitativ hochwertig umzusetzen.

Wir inspizieren Ihre existierenden Systeme in Bezug auf Sicherheitsschwachstellen, wobei wir auch die Solidität Ihres Sicherheitsentwurfs und seiner Implementierung überprüfen. Wir evaluieren die Adäquatheit und Korrektheit Ihrer Sicherheitsalgorithmen und testen, ob der Schutz Ihrer Benutzerschnittstellen überwindbar ist.

Konkurrierende Qualitätseigenschaften berücksichtigen

Sicherheit— so wichtig sie auch sein mag — ist jedoch nur eine von mehreren Qualitäten eines Systems. In den meisten Fällen ist sie nicht das Hauptziel der Systementwicklung, sondern nur von sekundärem Belang. Der Nutzen einer IT-Infrastruktur hängt von vielen Qualitätsfaktoren ab, und IT-Sicherheit befindet sich mit anderen Qualitätsfaktoren oftmals in Konflikt. Daher ist ein integrierter Qualitätssicherungsansatz äußerst wichtig, um ein optimales Gleichgewicht zwischen Betriebssicherheit (Safety) und Informationssicherheit (Security) auf der einen, Nützlichkeit, Anwenderfreundlichkeit und Kosteneffizienz auf der anderen Seite zu erzielen. Unsere themenübergreifend erfahrenen Experten setzen in unserem Streben nach diesem Optimum unsere ganzheitlichen Software-Engineering-Fähigkeiten für Sie ein.

Beispielsweise evaluieren wir die Benutzerfreundlichkeit Ihres Sicherheitsentwurfs und bewerten, wie Security-Risiken die Betriebssicherheit Ihres safetykritischen Systems beeinflussen können.

Wir bündeln die Kernkompetenzen unseres Instituts in den Bereichen, um unterschiedliche Anforderungen miteinander zu versöhnen:

Komplexität beherrschen

Entwickler sind oft mit sehr großen und komplexen IT-Infrastrukturen, Softwaresystemen oder Servicearchitekturen konfrontiert. Sich beim Security Engineering auf einige wenige, wirklich wichtige Aspekte des Entwurfs und der Implementierung zu konzentrieren bedeutet zwar eine Herausforderung, ist aber unerlässlich für Erfolg und Kosteneffizienz.

Unsere Analysemethoden unterstützen ein modulares Vorgehen und ermöglichen es, Teilergebnisse für einzelne Systemkomponenten schrittweise zu aggregieren, um Sicherheitsanforderungen für das Gesamtsystem nachvollziehbar abzuleiten.

Standardkonformität erreichen und nachweisen

In Umgebungen, in denen domänenspezifische Sicherheitsstandards und -bestimmungen gelten, reicht es nicht aus, ein sicheres System bereitzustellen: Die Herausforderung liegt auch darin, spezifische normative Anforderungen zu erfüllen und nachzuweisen, dass alle Regularien in den entsprechenden Softwaresystemen korrekt umgesetzt sind.

Wir helfen Ihnen, die Anforderungen zu ermitteln, die Sicherheitsstandards wie zum Beispiel 21 CFR Part 11 oder das auf ISO/IEC15408 basierende Protection Profile for the Gateway of a Smart Metering System für Ihr individuelles Produkt fordern. Wir überprüfen Ihre Produkte, um deren Konformität mit einem bestimmten Sicherheitsstandard zu bewerten und um vorhandene Konformitätsmängel zu identifizieren. Bei der Beseitigung der Mängel werden Sie von unseren Experten unterstützt. Wir helfen Ihnen darüber hinaus, die Ergebnisse Ihrer Bedrohungs- und Risikoanalysen so darzustellen, dass damit ein Nachweis der Standardkonformität einfach und überzeugend erbracht werden kann.

Sichere IT-Infrastruktur

Kein Unternehmen kann heute auf Informationstechnik verzichten, auch wenn das Kerngeschäft wenig mit Software oder IT zu tun hat. Datenschutz und Datensicherheit sind wesentliche Voraussetzungen, um Prozesse und Betriebsgeheimnisse zu schützen und eine verlässliche IT-Unterstützung zu gewährleisten.

Wir analysieren Ihre IT-Infrastruktur in Bezug auf grundlegende Sicherheitsanforderungen und allgemein anerkannte Best Practices, zum Beispiel gemäß den IT-Grundschutz¬katalogen. Wir helfen Ihnen dabei, Ihre größten IT-Risikopotenziale zu identifizieren und Ihre lokalen IP-Netzwerke abzusichern.

Wir unterstützen Sie im Einklang mit etablierten Sicherheitsprinzipien:

  • beim Entwurf einer sicheren LAN-Architektur
  • bei der Konfiguration Ihrer Router, Switches und Firewalls.