Wir kümmern uns um die Sicherheitsprüfung Ihrer Hard- und Software.

Das Product-Placement und der Betrieb sicherer Produkte werden immer wichtiger. Die Sicherheit eines Produkts ist immer auch eine Consumer-Kaufentscheidung.

„Wir bieten unseren Kunden spezielle Hardware- und Software-Sicherheitsprüfungen.“

Hardwaresicherheit

Unter Embedded Systems (ES) versteht man Computersysteme, die in Geräten, Anlagen und Maschinen eingebettet sind und spezielle Anwendungen abarbeiten. Bedingt durch die vielfältigen Einsatzmöglichkeiten bei der Umsetzung unterschiedlichster Anforderungen sind Embedded Systems in sämtlichen Lebensbereichen vertreten.

Embedded Systems existieren schon sehr lange, erleben jedoch durch das sog. Internet der Dinge (IoT) eine Art technische Evolution. Das Internet der Dinge (IoT) beschreibt hierbei die Vernetzung von Geräten aller Art. Mehr als eine Million IoT-Geräte werden täglich neu mit einem Netzwerk bzw. dem Internet verbunden und dieser Prozess beschleunigt sich weiter.

Experten sagen voraus, dass in naher Zukunft eine extrem große Anzahl (viele Milliarden) neuer IP-fähiger IoT-Geräte bereitgestellt und mit unterschiedlichsten Anwendungen online sein werden. Durch das rasante Wachstum und die vollständige Vernetzung unterschiedlichster Gerätetypen ändert sich die Gefährdungslage gegenüber den Embedded Systems und deren Anwendungen. Neuartige Bedrohungen, welche die Ausfall- und Manipulationssicherheit beeinflussen, führen zu bisher nicht vorhandenen Sicherheitsrisiken.

Embedded Security Services (ESS) befasst sich mit der Analyse und Bewertung der Sicherheit von hardwarebasierten Produktlösungen bzw. eingebetteten Systemen
(Embedded Systems).

Hardwaresysteme, wie z. B. mikroprozessor- und mikrocontrollerbasierte Systeme, werden durch Anwendung von Maßnahmen gegen unbefugte Manipulationen bei der Beschaffung, Übertragung, Bearbeitung und Speicherung von Informationen auf Schwachstellen geprüft. Dabei werden vorhandene Schnittstellen identifiziert und analysiert. Und hier kommt die Secumba GmbH ins Spiel. Neben Analysen mit Geräten, werden bei Bedarf Komponenten von der Platine/Leiterplatte gelötet, um tiefergehende Angriffe fahren zu können. Verbindungen zwischen einzelnen Komponenten auf einer Platine oder auch die Kommunikation zu einem Back-End-Server, sind ebenfalls Ziel solcher Untersuchung.

Auf Hardwarekomponenten werden häufig sensible Informationen wie Zugangsdaten für ein Back-End-System, Client-Zertifikate oder Passwörter hinterlegt. Dadurch, dass die Geräte in der Regel der physischen Kontrolle des Herstellers entzogen sind, können Dritte durch Angriffe versuchen, hinterlegte Daten zu extrahieren oder das Gerät anderweitig zu manipulieren.

Um Schwachstellen direkt in den Hardwarekomponenten zu identifizieren, werden modernste Analysegeräte in einer eigens dafür eingerichteten Laborumgebung eingesetzt.

Softwaresicherheit

Hersteller entwickeln heute vielfältige Anwendungen die beim Endkunden zum Einsatz kommen. Die Endkunden verlangen heute mehr denn je das ein Softwarehersteller einen Nachweis erbringt, dass die Anwendung einer IT Sicherheitsprüfung unterzogen wurde. Damit die Anwendung bereits vor der Auslieferung keine Schwachstellen mehr enthält, bietet die Secumba GmbH bereits im frühen Stadium einen begleitenden IT Sicherheitsprozess für den Hersteller an.

Dies kann bereits bei der Konzeption der Anwendung beginnen um eine sichere Architektur an den Start zu bringen bis hin zu regelmäßigen Sourcecodeanlaysen während der Entwicklung der Anwendung (secure SDLC). Nach Fertigstellung der Programmierung wird die Gesamtapplikation einer finalen Abnahmeprüfung unterzogen um noch eventuell vorhandene Schwachstellen zu erkennen und zu beseitigen.

Somit ist gewährleistet das die Anwendung bzw. das Produkt bei Auslieferung an den Endkunden einen sicheren Zustand aufweist und dies auch dem Endkunden nachgewiesen werden kann.

Das Thema Produktsicherheit ist zusammen mit den Penetrationstests nur ein Bereich voll umfänglicher Sicherheitsaudits. Mit unserem Full Managed Audits-Service kümmert sich die Secumba GmbH zusätzlich um die gesamten technischen, koordinierenden, formalen, organisatorischen und kaufmännischen Tätigkeiten bei der Auditkoordinierung Ihrer IT-Landschaft.