Beschreibung
Das Produktaudit nach IEC 62443 dokumentiert den Stand der Technik hinsichtlich Cyber-Security für Ihr Automatisierungsprodukt. Das Audit umfasst ein einzelnes Produkt oder eine Produktfamilie mit mehreren Varianten. Für ein Einzelprodukt erfolgt die Auditierung maßgeblich nach der IEC 62443-4-2. Bei Produkten, die aus mehreren funktional unabhängigen Komponenten bestehen, wird auch ein Systemaudit nach IEC 62443-3-3 durchgeführt. Weitere Standards wie OWASP Top 10, BSI Grundschutzkatalog sowie weitere, auch branchenspezifische, kommen zur Anwendung. Beim Erstaudit erfolgt eine Begleitung der erforderlichen Nachbesserungsmaßnahmen bis zur Erfüllung der Anforderungen. Diese wird mit einem Zertifikat bestätigt. Ein ausführlicher Report in zwei Versionen, einer für Sie und einer für Ihre Kunden, dokumentiert alle durchgeführten Untersuchungen und Ergebnisse. Nach der Erstzertifizierung bieten wir Ihnen einen Wartungsvertrag zur regelmäßigen Produktüberwachung und Aktualisierung des Zertifikats an. Im Gegensatz zu anderen Produktaudits beinhaltet unser Vorgehen immer auch rigorose Labortests. Dieses Penetration-Testing bieten wir auch ohne Audit an.
Nutzen
Ihre Vorteile auf einen Blick:
|
 Wettbewerbsvorteil:
Ihre Kunden können Cybersecurity für ihre Produkte am einfachsten mit zertifizierten Automaitisierungskomponenten erreichen. Heben Sie sich durch ein Security-Zertifikat vom Wettbewerb ab.
|
|
Aufbau von eigener Security-Kompetenz:
Durch die gemeinsame Aufarbeitung bestehender Security-Lücken bauen Ihre Mitarbeiter eigene Security-Kompetenz auf. Damit erreichen Sie schnell einen internen Security-Standard für alle neuen Produkte.
|
|
Höhere Zuverlässigkeit und Robustheit Ihrer Produkte:
Das Security-Audit beinhaltet die umfassende Prüfung der Kommunikationsschnittstellen in unserem Security-Labor. Dieses Penetration-Testing deckt nicht nur Security-Schwachstellen auf, sondern auch Anfälligkeiten gegen "malformed packages" (fehlerhafte Kommunikationsmuster) und ungewöhnliche Zustände. Werden solche Schwachstellen aufgedeckt, können Sie dies beheben. Ihr Produkt wird robuster und zuverlässiger.
|
Zielgruppe
Wer kann das Produktaudit nutzen?
- Hersteller von Automaitisierungsprodukten wie Steuerungen, Routern, HMIs, Antrieben, Fernwartungslösungen u.a.
- Hersteller von Produkten, die aus mehreren Einzelkomponenten bestehen, die miteinander kommunizieren.
- Hersteller von Maschinen und Anlagen, siehe hier.
- Betreiber von Maschinen und Anlagen, siehe hier.
Fragen und Antworten
Fragen
- Wie lange dauert eine Erstaudit?
Ein Erstaudit für eine typisches Automatisierungsprodukt mit Varianten dauert in der Regel bis zu 6 Monaten von Auftragserteilung bis zur Ausstellung des Zertifikats. Davon sind 4 Monate für die Behebung der gefundenen Security-Lücken durch den Auftraggeber eingerechnet.
- Welcher Security-Level wird zertifiziert?
Beim Erstaudit wird in aller Regel Security Level 2 gemäß IEC 62443 angestrebt. Im Auditreport werden die erreichten Security Level differenziert dargelegt. Welcher Security Level für welche Eigenschaft angestrebt werden sollte, kann in einer Risikobewertung ermittelt werden.
- Ist das Audit akkreditiert?
Eine Akkreditierung würde jegliche Beratung ausschließen. Unser Ziel ist, mit Ihnen gemeinsam die Security Ihres Produkts nachhaltig zu verbessern. Darum begleiten wir Sie bei der Erreichung der Ziele und gehen im Umfang der technischen Prüfung weit über das hinaus, was die Norm fordert und überhaupt akkreditierbar ist. Der ausführliche Auditreport in einer Version für Ihre Kunden zum detaillierten Nachweis aller Prüfungen und Ergebnisse und in einer Version für Sie mit weitergehenden Hinweisen und Empfehlungen geben zusammen mit dem Zertifikat umfassend Zeugnis vom erreichten Standard Ihres Produkts.
