Dienstleistung:
Security Engineering

Unsere Richtlinien für sichere Softwareentwürfe und -implementierung helfen Ihnen, Sicherheitsschwachstellen zu vermeiden und in allen Phasen der Entwicklung und des Betriebs angemessene technische und organisatorische Sicherheitsmaßnahmen zu ergreifen.

360° Security Engineering für Ihr IT-Sicherheitskonzept

Im Security Engineering bieten Ihnen unsere Experten des Fraunhofer IESE einen umfassenden Service im Bereich IT-Sicherheit an. Wir blicken hierbei auf umfassende Erfahrungen in unterschiedlichen Projektkonstellationen zurück. Unsere Kompetenzen unterteilen sich hierbei in die nachfolgenden Bereiche:

  • Auditierung und Bewertung der IT-Sicherheit einschließlich Netzwerkpenetrationstests
  • Software Security Assessment and Compliance Checks
  • Unterstützung durch Lösungen zur (automatischen) Dokumentenklassifikation
  • Mediation zwischen Business, Usability und Security

Auditierung und Bewertung der IT-Sicherheit einschließlich Netzwerkpenetrationstests

Wir führen seit 2002 die IT-Sicherheitsüberprüfungen innerhalb der Fraunhofer-Gesellschaft durch und beraten die IT-Sicherheitskoordination. Hierbei werden sowohl Fraunhofer-Einrichtungen als auch zentrale Dienste der Fraunhofer-Gesellschaft überprüft. Unser Security Engineering und die regelmäßigen Überprüfungen werden hierbei kontinuierlich weiterentwickelt und orientieren sich an der ISO27000-Reihe. Der aktuelle Prüfkatalog umfasst hierbei u.a. das Internetverbindungskonzept mit Perimeter-Router und Firewall, die Kommunikationsdienste und Core Network Services, Netzwerk, Virtualisierung, Datenspeicherung und Datensicherung, Client-Sicherheit und mobile Geräte und physische Sicherheit.

Neben diesen Punkten führen wir Netzwerkpenetrationstests durch. Hierzu wurde eine professionelle Tool Suite zum Scannen von Netzwerken und Diensten (Read-Team-Aktivitäten) aufgebaut. Dies umfasst neben der Identifizierung von Schwachstellen auch Vorschläge für geeignete Gegenmaßnahmen und die Härtung von Systemen und Diensten. Weiterhin haben wir Projekterfahrungen im Bereich »WebExploits«, Verwendung spezieller Suchmaschinen (Shodan, PunkSpider) und die Überprüfung hinsichtlich der Verwendung von SSL/TLS (inkl. X.509v2-Zertifikaten).

Software Security Assessment and Compliance Checks

Im Bereich Security Assessment und Compliance Checks bewerten wir Produkte und Komponenten hinsichtlich Standardkonformität und Erfüllung von Sicherheitsanforderungen. Hierzu zählen bspw. die Erfüllung domänenspezifischer Sicherheitsstandards wie 21 CFR Part 11 oder der Nachweis ausreichender Resistenz gegen IT-Sicherheitsbedrohungen bis hin zur Einhaltung von Best Practices der IT-Sicherheit und Vermeidung bekannter Schwachstellen.

Zudem führen wir im Kundenauftrag Bedrohungsanalysen durch und unterstützen Kunden bei der Erhebung von Sicherheitsanforderungen. Hierzu stellen wir eine strukturierte und systematische Methode zur Erhebung von IT-Sicherheitsanforderungen zur Verfügung und begleiten den Prozess.

Weiterhin bewerten wir Technologien für bestimmte Anwendungskontexte (bspw. Einsatz in Cloud-Umgebungen) und unterstützen die Risikobewertung.

Unterstützung durch Lösungen zur (automatischen) Dokumentenklassifikation

Daten und Dokumente (Kundendaten, IP, Personaldaten etc.) müssen adäquat geschützt werden. Dazu müssen diese klassifiziert werden, damit die richtigen Sicherheitsmaßnahmen greifen können. Klassifizierungsregeln sind festgelegt durch interne Regelungen (bspw. ISMS, Konzernvorgaben, Organisationsanweisungen) sowie durch externe Vorgaben (bspw. Gesetze).

Wir bieten Werkzeugunterstützung bei der Klassifikation Ihrer Dokumente durch die MYDATA-Erweiterungen für Microsoft Office. Unsere Komponenten unterstützen Sie bei der Dokumentenklassifizierung entsprechend den Unternehmensrichtlinien und automatisieren die Einhaltung von vorgeschriebenen Maßnahmen. Unsere MYDATA-Erweiterungen unterstützen Microsoft Word, Excel, PowerPoint und Outlook.

Lösungsalternativen mit unseren Mediatoren finden für Business, Usability und Security

Das Ziel, ein professionelles Security Engineering durchzuführen und ein IT-Sicherheitskonzept zu etablieren, ist nicht nur mit technischen Herausforderungen konfrontiert. In der Praxis gibt es immer wieder Spannungen zwischen Security und (der Optimierung von) Geschäftsprozessen. Dies liegt daran, dass nicht alle durch das Business oder den Anwender gewünschten Funktionen ohne weiteres umgesetzt werden können, da Sicherheitsbedenken oder -problematiken bestehen. Zum Beispiel ist eine umfassende Datenerhebung zur Prozessoptimierung sinnvoll, gefährdet aber ggf. die Privatsphäre der Mitarbeiter oder Nutzer.

Unsere Experten vermitteln im genannten Spannungsfeld. Sie erheben dazu die Anforderungen und Bedenken beider Seiten. Sie erarbeiten Lösungsalternativen als nachvollziehbare Entscheidungsgrundlage und vermitteln zwischen den Parteien. Wir verfügen über umfassende Kompetenzen bspw. in den Bereichen User Experience und Security aus mehr als 15 Jahren gemeinsamer Projektarbeit.

Projekte und Referenzen

  • Sicherheits- und Konformitätsbewertung bei Testo AG
  • Secure Software Engineering für eingebettete Systeme mit John Deere
  • Konformitätsbewertung bei Roche Diagnostics
  • Auditierung der IT-Sicherheit und Beratung der Fraunhofer-Gesellschaft