06. Dezember 2012

Optimierter Lifecycle hochsicherer Industrial Control Systems

Am Beispiel von Smart Meter Gateways wurden von softScheck und OpenLimit auf der SPS IPC Drives in Nürnberg erstmals Methoden zur Identifizierung bisher nicht-erkannter Sicherheitslücken (Zero-Day-Vulnerabilities) in Industrial Control Systems präsentiert.

Die OpenLimit SignCubes AG und softScheck haben eine Partnerschaft im Bereich sicherer Verfahren und Technologien für industrielle Anwendungen abgeschlossen. Ein Beispiel hierfür ist der Smart Grid Be-reich, in dem OpenLimit als Lieferant von Sicherheitstechnologien am Markt agiert. Allein in Deutschland gibt es ein Marktpotenzial von rund 47 Millionen Stromzählern, die in den nächsten Jahren komplett ausgetauscht oder nachgerüstet werden müssen.

Angesichts der beiden Fakten, dass Software nicht fehlerfrei erstellt werden kann und Angreifer genau diese unbekannten Sicherheitslücken ausnutzen, identifiziert softScheck die bisher nicht-erkannten Sicherheitslücken.

Zur Identifizierung wird Tool-gestützt mit den vom BSI unterstützten 7 Verfahren gearbeitet:

  1. Security by Design: Entwicklung von Sicherheitsarchitekturen für Software
  2. Threat Modeling: Überprüfung der Sicherheitsarchitektur
  3. Dynamic Analysis – Fuzzing: Test der ausführbaren, kompilierten Datei – kein Quellcode nö-tig. Wir setzen im Einzelfall über 50 Tools aus den weltweit mehr als 300 verfügbaren ein: Jedes Fuzzing-Tool identifiziert andere Sicherheitslücken!
  4. Static Source Code Analysis: Überprüfung von Implementierungsfehlern
  5. Penetration Testing: Zur Überprüfung auf bereits bekannte Sicherheitslücken
  6. Explorative Testing und manuelles Code Auditing.
  7. Und letztlich identifizieren und analysieren wir auch Covert Functions – undokumentierte, ver-deckte Funktionen – u.a. auch auf Smartphones und mobile Devices

Das gemeinsame Angebot von softScheck und OpenLimit richtet sich dabei von der Designphase industrieller Anwendungen bis hin zum Management der Geräte im Feld.

Über softScheck
Die softScheck GmbH mit Sitz in Sankt Augustin/Köln hat sich im Bereich Informationssicherheit – spe-ziell Identifizierung von bisher nicht-erkannten Sicherheitslücken in Software (und auch Hardware) neue, attraktive Wachstumsfelder erschlossen. softScheck führt regelmäßig Sicherheitsprüfungen von kommerzieller und technischer Software und Hardware durch.

softScheck bietet herstellerunabhängig hochqualifizierte Beratungsleistungen (kein Produktverkauf!) im Bereich Informationssicherheit an. softScheck identifiziert als Alleinstellungsmerkmal in Europa kosten-günstig bisher nicht-erkannte Sicherheitslücken in jeder Art Software wie Anwendungssoftware (Webapplications, ERM, CRM, SCM, ERP, E-Business, CIM etc.) und in Netzwerk-Protokollen, Machine-to-Machine (M2M) Communication, Cyber Physical Systems, Embedded Systems und Industrie 4.0 Steuerungssoftware (proprietärer Systeme), SCADA, Leittechnik und –systeme, im Smart Grid (z.B. im Smart Meter Gateway, Energie-Management System), in Apps und Applets für smart and mobile Devi-ces und auch in Hardware etc.

Erfolgreich angeboten wird "Security Testing as a Service" als vollständiger, modularisierter Prozess, um das Sicherheitsniveau der Software unserer Kunden zu steigern; angeboten wird auch, die Verfahren in den Kunden-spezifischen Software-Entwicklungsprozess zu integrieren inkl. Programmierrichtlinien, Abnahmeverfahren und Schulungen. Daneben bieten wir selbstverständlich auch die klassische IT-Sicherheitsberatung an vom Grundschutz (ISO 27000-Familie) bis hin zur Hochsicherheit in der Infor-mationsverarbeitung (Redundanz und Diversität).

Kontakt:
Anja Wallikewitz                                   softScheck GmbH
Tel.: 02241 –  255 43 –   11                Bonner Straße 108
Fax: 02241 –  255 43 –   29                53757 Sankt Augustin
anja.wallikewitz@softScheck.com    www.softScheck.com

Über OpenLimit
Die OpenLimit SignCubes AG ist ein international führender Anbieter zertifizierter Software für elektro-nische Signaturen und Identitäten. Mit Niederlassungen in der Schweiz sowie in Deutschland arbeitet die Unternehmens-Gruppe daran, Kunden technologisch ausgereifte und praxisgerechte Lösungen für ein rechtssicheres und effizientes Dokumenten- und Identitätsmanagement in allen Geschäftsfeldern zu ermöglichen sowie Technologien für die sichere Datenkommunikation anzubieten. Die OpenLimit Signa-turtechnologien unterstützen neben den gängigsten Signaturkarten des deutschsprachigen Markts auch viele internationale Smartcards. Die Zertifizierung nach dem Sicherheitsstandard für Software-Produkte Common Criteria EAL4+ bürgt für ein Maximum an Sicherheit der OpenLimit Software-Lösungen.

Optimierter Lifecycle hochsicherer Industrial Control Systems

Kontakt

 OpenLimit
 
<script>