Beratung für Produkt-Hersteller

Prüfung der IT-Sicherheit von Produktherstellern

Hersteller von IT-Produkten werden häufig von Ihren Kunden nach einer Sicherheitsprüfung gefragt. Welche Sicherheitsprüfung exakt gemeint ist, wird dabei häufig offen gelassen.

Es können die unterschiedlichsten Aspekte eines Produkts geprüft werden:

  • das ganze Produkt?
  • zentrale Eigenschaften des Produkts?
  • eine spezielle Eigenschaft des Produkts?
  • die Entwicklung des Produkts?
  • der Supportprozess des Produkts?
  • die ganze Entwicklungsfirma?

Kunden sind im Regelfall an einer unabhängigen Prüfung der Sicherheitsmerkmale der verwendeten Produkte interessiert. Für den Weg dorthin können verschiedene Prüfungen durchgeführt werden.

Im Geschäftsbereich der Prüfstelle, werden Produkte geprüft. In der Sicherheitsberatung die Organisation.

Unser Whitepaper Whitepaper Sicherheitsprüfungen für Produkthersteller stellt die Möglichkeiten detailliert und differenziert dar.

Um ein IT-Produkte mit IT-Sicherheits-Eigenschaft anbieten zu können, müssen eine Reihe von Aspekten beachtet werden. Der Startpunkt einer Produkt-Entwicklung kann auf öffentlichen und etablierten Konzepten basieren, alternativ können auch innovative Verfahren eingesetzt werden, für welche noch keine allgemeingültigen Bewertungen vorhanden sind. Eventuell werden auch beide Prinzipien in einer Produktentwicklung herangezogen.

secuvera besitzt Expertise im Bereich IT-Sicherheit seit 1988 und baut dies sukzessive aus. Als dienstälteste Prüfstelle sind wir vom BSI (Bundesamt für Sicherheit in der Informationstechnik) anerkannt und pflegen ein vertrauensvollen Verhältnis in unterschiedlichen Bereichen. Ihren als Produkthersteller bieten wir folgende Dienstleistungen für Ihren Entwicklungsprozess an:

  • Schulungen zu grundlegenden Mechanismen der IT-Sicherheit
  • Unterstützung bei Dokumentation vorhandener Sicherheitsmaßnahmen
  • Bewertung von Mechanismen auf Effektivität
  • Bewertung von Mechanismen mit formalen Methoden (formal methods)
  • Bewertung von Algorithmen auf Konformität
  • Bewertung von Algorithmen auf bekannte Schwachstellen in Design und Implementierung
  • Sensibilisierung von Entwicklungsabteilungen

Alle zuvor genannten Dienstleistungen unterstützen Sie dabei, eine mögliche geplante Produktzertifizierung positiv erreichen zu können. Unsere Berater sind alle als Evaluatoren vom BSI im Bereich Common Certeria/ITSEC ausgebildet und besitzen tiefgehende technische Expertise.

Was ist der passende Nachweis?

Zertifizierung (Common Criteria)

Die Common Criteria ist der internationale Prüfstandard für die Ermittlung von Vertrauenswürdigkeit von IT-Produkten. Dieser Standard ist als ISO 15408 normiert. Ausgestellte Produkt-Zertifikate werden europa- und weltweit akzeptiert. Die Common Criteria sind der klassische Standard zur Produkt-Zertifizierung. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) führt Zertifizierungen nach Common Criteria in Deutschland durch. Die eigentliche Prüfung, die Evaluierung, erfolgt durch eine Prüfstelle.

Weitere Details

Zertifizierung (BSZ, Beschleunigte Sicherheitszertifizierung)

Die Beschleunigte Sicherheitszertifizierung (BSZ) ist eine Vorgehensweise, die durch das BSI aufgesetzt wurde. Die BSZ ist eine alternative Zertifizierung von Produkten ebenfalls angeboten durch das BSI, in welcher eine Penetrationstests getriebene Sicherheitsanalyse durchführt wird. Dabei wacht das BSI über das Verfahren. Die eigentliche Prüfung erfolgt durch eine geeignete Prüfstelle.

Weitere Details

Zulassung

Des Weiteren existiert die Möglichkeit einer speziellen Zulassung von Sicherheitsprodukten für Einsatzzwecke im VS-Bereich. Dies kann nur durch das BSI erfolgen und ist speziell reguliert. Wir können Sie bei der Vorbereitung einer Zulassung unterstützen.

Weitere Details

Produkt-Testat

Ein Produkt-Testat enthält ist im Gegensatz zu einem Zertifikat die Aussage einer Prüfstelle ohne unabhängige Zertifizierungsinstanz. Testate sind im Regelfall im Vergleich zu einer Zertifizierung weniger aufwändig. Neben einem Testat wird ein detaillierter Prüfbericht übergeben, der zudem auch Hinweise für zukünftige Produkt-Verbesserungen enthält.

Weitere Details

Penetrationstest

Ein Penetrationstest ist eine Prüfung aus Sicht eines Angreifers. Meist werden Penetrationstests „Time-Boxed“ durchgeführt. Sie sind also eine zeitlich beschränkte Sicherheitsanalyse, in der Schwachstellen gesucht werden. Hierbei handelt es sich um eine rein technische Analyse eines Produkts, welche sich in einer definierten Konfiguration befindet. Der Auftraggeber erhält nach der Analyse einen Bericht, der alle gefundenen Schwachstellen enthält, sowie transparent die Beschreibung zur Ausnutzung der Schwachstelle beinhaltet.

Weitere Details

Download Whitepaper und Einführungs-Workshop

Informieren Sie sich über alle Möglichkeiten für Hersteller in unserem Whitepaper Sicherheitsprüfungen für Produkthersteller . Darüber hinaus vereinbaren Sie mit uns gerne einen unverbindlichen und kostenfreien Termin in Form eines fachlichen Workshops. Hier erfahren Sie auch alles über mögliche Unterstützung durch unser Haus. Weiteres finden Sie unter Workshop.