Secure Development

ISO 27034 – Sicherheit mit System

arbeitet auf Basis der ISO 27034 und dem Microsoft Security Development Lifecycle (SDL) mit massiv Tool-gestützten Methoden. Damit ist (nach Patchen) die von uns Security getestete Software und Firmware tatsächlich sicher – sie ist nicht mehr angreifbar. Unser europaweiter USP ist der ganzheitliche – ISO 27034 basierte – Security Testing Process mit den folgenden 5 Methoden:

  1. Security Requirements Analysis:
  2. Threat Modeling: Überprüfung der Sicherheitsarchitektur auf Sicherheitslücken
  3. Static Source Code Analysis: Formale Prüfung des Source Codes (Code Reading)
  4. Penetration Testing: Simulated Attacks u.a. zur Überprüfung auf bereits bekannte Sicherheitslücken inklusive Explorative Testing und manuellem Code Auditing
  5. Dynamic Analysis – Fuzzing as a Service®: Blackbox-Test mit erfahrungsgemäß erfolgreichen Angriffsdaten zur Identifizierung der Sicherheitslücken in der Implementierung und Laufzeit-Umgebung.
ISO 27034 & SASM

Weiterhin setzen wir die folgenden Methoden und Untersuchungen ein:

  • Explorative Testing und manuelles Code Auditing
  • Identifizierung und Analyse von Covert Functions – undokumentierte, verdeckte Funktionen – u.a. auch auf Smartphones und mobile Devices
  • und letztlich führen wir Konformitätsprüfungen an Software durch – gegen jede Art Requirements – auch gegen Richtlinien und Protection Profiles.

Zum Nachweis von Sicherheitslücken programmieren unsere Security Experten auch die (Sicherheitslücken ausnutzenden) Exploits und beheben (fixen) die identifizierten Sicherheitslücken: Fehlerkorrekturen im Quellcode. Dadurch wird Ihr Software-Entwicklerteam in die Lage versetzt, sehr zeitnah einen Patch zu veröffentlichen.
Die Identifizierung bislang nicht-erkannter Sicherheitslücken erspart dem Hersteller und den Anwendern der eingesetzten Software

  • bis zu 99% der Wartungs- und Fehlerbehebungskosten (Patchkosten) [NIST, Gartner]. Darüber hinaus sind die beiden von uns favorisierten Verfahren
  • Threat Modeling und Fuzzing von den Zertifizierungsinstitutionen (z.B. Bundesamt für Sicherheit in der Informationstechnik – BSI für Common Criteria) vorgeschrieben

Das Alleinstellungsmerkmal ist seit Jahren die kostengünstige und sehr erfolgreiche Durchführung von Security Tests inklusive der Identifizierung bislang nicht-erkannter Sicherheitslücken in jeder Art Software wie in Protokollen, Anwendungssoftware: Webapplications, ERP, ERM, CRM, SCM, E-Business etc. und Embedded Systems und Industrial Control Systems (ICS), Manufacturing Execution Systems (MES), Produktionsleitsysteme, SCADA (Leittechnik und –systeme), SPS bis zur Feldebene, im Smart Grid (Smart Meter Gateway – SMGW, Energy Management Systeme – EMS), Cyber Physical Systems (CPS), M2M, Industrie 4.0, in Apps und Applets für smart and mobile Devices, im Cloud Computing und auch in Hardware.

Mit den von uns sowohl Tool-gestützt als auch mit Manual Auditing eingesetzten Methoden sind wir sehr erfolgreich. In den Projekten der letzten 10 Jahre haben wir insgesamt 143 bislang nicht-erkannte Sicherheitslücken identifiziert.