accessec IT Security

Healthcare / Device Security

Das wissen die meisten Krankenhäuser längst!

Krankenhäuser jeglicher Größe streben danach, die Anforderungen an den Schutz der sensiblen Patientendaten aufrecht zu erhalten beziehungsweise mit den Anforderungen eines zuverlässigen 24/7 Betriebs der hausinternen Informations- und Kommunikationstechnologien zu harmonisieren. Bezieht man die Medizintechnik für Diagnostik und Behandlung in die Gleichung ein, bekommt der Schutz des Patienten und seiner Gesundheit dabei den höchsten Stellenwert. Insbesondere Geräte wie beispielsweise Defibrillatoren und Insulinpumpen gilt es daher vor Missbrauch und Manipulation zu schützen.

 

Doch wie und wo sollen sie anfangen? Und wenn der Anfang geschafft ist, wie soll das Sicherheitsniveau aufrechterhalten werden? Professionelle Berater bei uns im Hause kennen die Antworten auf diese Fragen und begleiten Sie Schritt für Schritt auf dem Weg hin zu einer sicheren Gesundheitseinrichtung.

Unsere Beratungsleistungen umfassen folgende Themenschwerpunkte:

– Technische IT-Sicherheitsanalysen im Krankenhaus nach HC3I®

– Analyse medizintechnischer Geräte auf Sicherheitsschwachstellen

– Unterstützung bei der Absicherung von Medizintechnik Netzen und Geräten

– Sichere Entwicklung von Softwarekomponenten für die Medizintechnik

Unsere Beratungsleistungen umfassen folgende Themenschwerpunkte:

 

– Risikoanalyse und Evaluierung der Bedrohungslage in der Fahrzeug-IT

– Konzepte für die Absicherung der Bordnetz Kommunikation

– Einsatz von Zertifikaten, PKI und Key-Management in der Automotive IT

– Sicherheit für die Car-2-X Backend Infrastruktur

– APIs und API Management für die sichere Kommunikation mit Systemen Dritter

 

So profitieren Sie von unserer Zusammenarbeit:

 

– Aufdecken von Sicherheitsrisiken in Produktionsumfeld und Fahrzeug IT

– Schutz vor Datenlecks im Fahrzeug und im Car-2-X Netz

– Entwicklung einer Gesamtstrategie für heterogene Systeme

Automotive Security

Angriffsziel: Vernetze Fahrzeuge – Automotive Security

Moderne Fahrzeuge der Mittel- und Oberklasse gleichen rollenden Rechenzentren. Nahezu 100 vernetzte Steuergeräte und dazugehörende Sensoren und Aktoren sind mittels mehrerer Kilometer Kabel verbunden. Dadurch tauschen sie in Sekundbruchteilen Informationen zu Straßenlage, Beschleunigung sowie Abgaswerten aus. Dass diese Kommunikation weitgehend ungeschützt und offen erfolgt war lange Zeit kein Problem. Das Auto an sich war ein autarkes Ganzes. Seit Einzug des Mobiltelefons in das Fahrzeug birgt die zunehmende Nutzung von Online- und Telematik-Diensten jedoch auch Gefahren. Neben den integrierten Mobilfunk Empfängern bieten sich den potenziellen Angreifern noch weitere Zugangspunkte.

 

On-Board Diagnose

 

Das wohl prominentestes Beispiel ist die On-Board Diagnose (OBD) Schnittstelle, die einen direkten Zugang zu den Steuergeräten und den darin gespeicherten Informationen gewährt. Viele der hier abfragbaren Daten liefert der Fahrer, soweit geeignete Hardware vorhanden ist stets mit. Moderne Transponderschlüssel der Premiummarken speichern die wichtigsten Informationen über das Fahrzeug während jeder Fahrt und erlauben somit die Diagnose von Fehlermeldungen. Zusätzlich sind die Fahrzeuge oft mit USB-Schnittstellen für Media-Player, Speicherkarten im SD/MMC Format oder SIM-Karten ausgestattet und erlauben den Datenaustausch per Bluetooth oder WLAN.

 

Sicherheit fährt vor

 

„Nicht alles was geht, sollte auch gemacht werden“. Nach diesem Motto findet unsere Beratung in der Automobilindustrie statt. Wir unterstützen Fahrzeugbauer, Zulieferer sowie Elektronik- und Software Entwickler bei der sicheren Gestaltung von Systemen und Komponenten der Bord-Kommunikation. Dabei sind wir ebenfalls in der Telematik und Online-Diensten für Fahrer und Fahrzeug spezialisiert.

Industrial IT-Security

Vernetzung von Maschinenanlagen und Produktionsstätten

Sowohl Konzerne mit Produktionsstätten als auch KMU im produzierenden Gewerbe sind zunehmender Bedrohungen ihrer cyberphysischen Systeme ausgesetzt. Die in den letzten Jahren voranschreitende Vernetzung von Maschinenanlagen und Produktionsstätten wird durch den Trend Industrie 4.0 noch beschleunigt. Mit der Vernetzung wächst die Angriffsfläche für Cyberattacken einmal mehr. Um gezielte Investitionen in IT-Sicherheit zu tätigen und die Industrie 4.0 Entwicklungen nicht zu behindern, müssen sowohl bestehende Anlagen als auch neu zu planende Produktionslinien an zukünftige Sicherheitsanforderungen angepasst werden. Die Experten der accessec helfen Ihnen nicht nur bestehende Risiken zu lokalisieren, sie beraten Sie Schritt für Schritt für mehr Schutz Ihrer IT.

Unsere Beratungsleistungen umfassen folgende Themenschwerpunkte:

 

– IT-Sicherheit von Produktionsanlagen und Netzen
– Analyse und Absicherung des Datenverkehrs in der Produktion
– Ertüchtigung von Bestandsanlagen für mehr IT-Sicherheit
– Planung und Konzeption für sichere Industrie 4.0 und Cloud-Anbindung
– Einsatz und Management von Zertifikaten, PKI und Cryptofunktionen

Die accessec GmbH unterstützt Ihr Unternehmen bei der Analyse der möglichen Bedrohungen, der Identifikation von Schwachstellen innerhalb des Systems und bei der Ableitung des tatsächlichen Schutzbedarfs. Basierend auf dem Risikoappetit Ihres Unternehmens stellen wir passgenaue Lösungen zusammen und helfen bei der Auswahl des richtigen Implementierungspartners.

ID Centric Security

Identity and Access Management

In der digitalen Welt dreht sich nahezu alles um Identitäten. Im Bereich Identity & Access Management steht der Mensch im Fokus. Doch längst haben auch Geräte oder Werkstücke eine eigene ID. Das Thema Identitätsmanagement berührt also nahezu alle Bereiche in unserem Alltag. Sei es ein modernes Ausweismanagement für die Einwohner eines Landes oder der identitätsgesteuerte Nutzen von Car Services.

 

Das Consumer Identity & Access Management (CIAM) ist die logische Weiterentwicklung klassischer IAM Konzepte und deren Erweiterung auf das Business-to-Consumer Beziehung. Unter dem Begriff „Know Your Customer“ (KYC) angesiedelte Kampagnen zielen darauf ab, die Kunden zielgerichteter und individueller ansprechen genauso wie bedienen zu können. Als Basis hierfür ist eine eindeutige Identifikation der Kunden notwendig, und um die entsprechenden Profile auch sicher verwalten zu können, sind ebenso umfassende Maßnahmen für den Schutz dieser sensiblen Daten notwendig. 

Privileged Access Management – PAM

The Keys To The Kingdom

Von Tag zu Tag nimmt die Bedrohung, Opfer eines Cyber-Angriffes zu werden zu. Allein im Jahr 2018 hat das Bundesamt für Informationssicherheit (BSI) vor über 800 Millionen Schadprogrammen gewarnt. Die meistgenutzte Angriffsmethode ist weiter die altbekannte DDoS-Attacke, dicht gefolgt von SQL-Injection oder einfache Überflutung mit SPAM Emails – als Ziel dieser Angriffe werden privilegierte Konten immer beliebter! Das Ziel der Hacker (seien es verärgerte interne Mitarbeiter oder professionelle externer Angreifer) ist es meistens, die Credentials (also oft Benutzername und Passwort) der Konten zu stehlen und mithilfe dieser Zugriff auf geschäftskritische Daten zu erlangen um diese für ihre Zwecke zu missbrauchen.

 

Doch wie sollen sich Unternehmen vor solchen Angriffsszenarien schützen? Welche Maßnahmen sind erforderlich? Der Schutz Ihrer privilegierten Konten liegt uns am Herzen – kontaktieren Sie uns, wir helfen Ihnen gerne weiter!

 

Für betroffen Unternehmen sind die Folgen der Übernahme eines (oder mehrerer) privilegierter Konten mit einem enorm großen Schaden verbunden. Angefangen über eingeschränkte IT-Funktionalitäten, manipulierte Datensätze, falsche Rechnungen bis hin zu vollkommen ausgedachten Lieferanten, denen ebenso fiktive Rechnungen ausgezahlt werden – alles Vorgänge, die die Reputation des Unternehmens beschädigen und das Vertrauen der Anwender in die internen IT-Systeme zutiefst erschüttern. Hinzu kommen in vielen Fällen die gesetzlichen Meldepflichten (Reporting Requirments), die – insbesondere bei Zugriff auf oder Verlust der Kontrolle über Persondaten – zu einer Haftung nach Datenschutzgrundverordnung (DSGVO/GDPR) führen. Ist das Unternehmen gezwungen über solche „Breaches“ zu berichten, ist das Vertrauen der Kunden dahin – und man sieht Strafzahlungen in Höhe von bis zu 4% des Jahresumsatzes entgegen. Verlust der Kunden und des öffentlichen Ansehens können dann schnell das generelle Aus für das Unternehmen bedeuten – bevor so ein „Dooms-Day Szenario“ eintritt gilt es die Schlüssel zu Ihren Daten (also die „Keys To The Kingdom“) umfassend zu schützen.

Analyse – Planung – Umsetzung

Frei nach dem Motto „eine Unze Prävention ist besser als ein Pfund Heilmittel“ sollten Unternehmen heute insbesondere die Mitarbeiter schützen, die für den Erhalt und den Ausbau der IT-Infrastruktur zuständig sind. Gehen Sie die Extrameile und sorgen Sie dafür, dass die Sicherheit Ihrer IT-Infrastruktur langfristig erhalten bleibt! Erfassen Sie die die kritischen Applikationen, Systeme und Datenspeicher sowie Datenflüsse in Ihrem Unternehmen – nutzen Sie unsere Expertise bei der Risiko-Analysis (Risk Analysis), der Bedrohungs-Modellierung (Threat Modeling) und Erfahrung im Bereich „Advanced Threat Analytics“ um die wirklich kritischen Zugänge und Konten in Ihrer IT zu bestimmen. Vermeiden Sie bereits in der Planung, dass Mitarbeiter zu umfangreiche Zugriffsrechte auf Ihre Systeme und Anwendungen erghalten und nutzen Sie unsere Erkenntnisse aus unzähligen Projekten der Rollen- und Rechtemodellierung bei unseren Kunden. Setzen Sie neue Werkzeuge und Prozesse sinnvoll, zielführend und nachhaltig um, damit Login Anfragen aus fremden Orten oder zu ungewöhnlichen Zeiten sofort erkannt und gesperrt werden können. Sorgen Sie gemeinsam mit unseren PAM-Experten dafür, dass kritische Zugriffsrechte bis ins Detail gesichert werden, ohne die Administratoren mit bürokratischen Lasten zu erdrücken. Sorgen Sie für sicheres Single-Sign On und starke Mutlifaktotr Authentisierung sowie Automatisierung einfacherer administrativer Zugriffe, damit Effizienz und Effektivität auch in Kombination mit hohem Sicherheitsniveau möglich bleiben. Wir helfen Ihnen dabei, Ihr Unternehmen vor möglichen Angriffen auf privilegierte Konten zu schützen!

Der nachfolgende Report ist aus Analysen einer Vielzahl an Anwendungen und Programmen entstanden, die in aller Welt zum Einsatz kommen. Die betreffenden Unternehmen konnten ihre Produktivität durch den Einsatz automatisierter Werkzeuge steigern und die Qualität ihrer Produkte verbessern.

 

Hier gibt es die Kurfassung des Berichts State of Software Security (Kurzfassung)

 

Wollen Sie mehr Details? Dann holen Sie sich den vollen Bericht kostenlos indem Sie uns kontaktieren.

Software Developement Lifecycle

Software Security - Behebung der Sicherheitslücken

Im Entstehens-Zyklus einer Software wird die Testphase mit ungefähr 20 % der gesamten Zeit einkalkuliert – und zumeist ganz am Ende! Zudem werden hierbei meist nur Funktionstests ausgeführt. Leider schmilzt dieser Zeitblock oftmals dramatisch, da in frühen Phasen wie z. B. Entwurf und Implementierung, deutlich mehr Zeit benötigt wird als geplant. Die Folgen sind nachvollziehbar: zu kurze Testzyklen mit falschem Fokus führen zu schnell dazu, dass implementierte Sicherheitslücken übersehen und nicht wahrgenommen werden – sie enden im produktiven Einsatz und der Anwender hat das Problem, im Betrieb befindliche Software nachträglich zu patchen!

 

Die hierbei entstehenden Kosten für den Softwarehersteller (etwa die nachgehende Analyse der Ursache, das Auffinden der betroffenen Code-Sequenz und die Behebung der Sicherheitslücken durch neue Code-Segmente sind enorm hoch und mit einem großen Zeitaufwand verbunden. Werden diese Fehler jedoch früh im Entstehungsprozess erkannt, können Kosten und Zeit gespart sowie Qualität und Kundenzufriedenheit gesteigert werden.

IOTA

The Next Generation of Distributed Ledger Technology

Die Arbeitslandschaft in Deutschland befindet sich mit der einkehrenden Hochvernetzung und Automatisierung zunehmend im Umbruch. In Zeiten hochkonnektiver Cyber-Physikalischer-Systeme sind Unternehmen gefordert, ihre klassischen Produktarchitekturen, Prozesse, Services und Geschäftsmodelle in jeglicher Hinsicht zu überdenken. Dabei zeichnet sich ab, dass Daten zunehmend erfolgskritisch im Kampf um die strategische Marktplatzierung werden. Um den Anschluss nicht zu verpassen und in der Nokia-Falle zu landen, muss gehandelt werden.

Die Vision: Maschinen und netzwerkfähige Geräte, kostengünstig, effizient und hochautomatisiert nutzen, ohne unberechtigten Dritten Tür und Tor für Cyberattacken zu öffnen, scheint angesichts der Herausforderung unmöglich, zumal die etablierten Technologien an ihre Grenzen stoßen.

Dabei stehen vor allem zwei wesentlichen Fragen im Raum:

Wie soll ein derartiges Vorhaben finanziert werden, ohne mein Unternehmen massiv zu belasten? Und wie lassen sich die dafür fundamentalen Anforderungen an die IT-Sicherheit abbilden?

IOTA`s DLT 3.0 liefert die Antwort!

Das Internet der Dinge entwickelt sich prächtig: Schon für das Jahr 2025 wird eine Gesamtzahl von 75 Milliarden internetfähiger Geräte prognostiziert. Sichere Echtzeitkommunikation entwickelt sich mit steigender Anzahl an vernetzten Geräten allerdings zunehmend zu einem Problem: Klassische Server-Client-Architekturen überlasten massiv die vorhandene Netzwerk-Infrastruktur, und der Ausbau derselben schreitet zu langsam voran, um der Datenflut Herr zu werden.

IOTA als “Rückgrad des Internets der Dinge” löst dieses Problem mittels skalierender Disintermediation – Durch kostenlose Transaktionen in einem dezentralen Netzwerk werden Geräte dazu befähigt, technische Resourcen wie Daten, Bandbreite, Speicher und Rechenleistung in Echtzeit miteinander zu teilen. Mögliche Ausfallrisiken durch Single Point-of-Failures werden minimiert, Datensicherheit, Authentifizierung und Transparenz gewährleistet.

Durch aktive Forschung sowie der Entwicklung von Proof-of-Concepts unterstützt die accessec GmbH den Ausbau dieser jungen Technologie zu einem globalen Standard.

 

Unsere Leistungen:

 

– Beratung, Identifikation und Anforderungen an eine DLT-Lösung

– DLT Projektbegleitung und Projektunterstützung

– Review, Konzeptionierung und Customizing einer spezifischen DLT-Lösung

DLT in Industrie 4.0 & der Automobilindustrie

Die hohe Datenintegrität öffnet neue Geschäftsmodelle, denn Prozesse können dadurch in nahezu allen Wirtschaftsbereichen vereinfacht und automatisiert werden. Beispielsweise können Verwaltungsprozesse, wie der Abschluss von Verträgen, mit Hilfe von Ricardian Contracts ohne eine zentrale Instanz umgesetzt werden. Beglaubigungen, Abstimmungen bei Wahlen, Patientenakten oder eine transparente Lieferkette können mit Hilfe von DLT problemlos abgebildet werden. Heutige Lieferketten ermöglichen kaum Einsicht und können meist nicht den gesamten Produktweg verfolgen. Durch DLT können unter anderem Standort und Zustand von Produkten innerhalb der Lieferkette erfasst werden. Dadurch finden DLT vor allem in der Automobilindustrie immer mehr Anklang. Darüber hinaus können Zahlungsprozesse durch eine Car Wallet vollautomatisiert in einem Fahrzeug realisiert werden, wodurch beispielsweise der Ladeprozess bezahlt werden kann. Außerdem können Tacho-, Serviceheft- und Fahrzeugdaten fälschungsfrei und sicher gespeichert werden.