Für das Teilen und Nutzen von Daten sind der gegen Missbrauch gesicherte Zugang, die sichere Verarbeitung, die Speicherung und Handhabung von Daten sowie die Erhaltung ihrer Integrität und Vertraulichkeit eine Grundvoraussetzung. Die Unternehmen der Elektroindustrie treten daher dafür ein, Sicherheit so umfassend wie möglich durch einen ganzheitlichen Ansatz zu fördern. Dies umfasst sowohl Security by Design in der Entwicklungsphase als auch Security-Lifecycle-Management über den gesamten Produkt- und Datenlebenszyklus hinweg.
Auf nicht autorisierte bzw. unberechtigte Zugriffe muss schnellstmöglich reagiert werden.
Lesen Sie hier Fallbeispiele aus der Praxis
Fallbeispiel 1: Befund24
Befund24 hat einen Marktplatz zur Vermittlung von Ferndiagnoseleistungen im Gesundheitsbereich eingerichtet. Zum Schutz personenbezogener Daten arbeitet die Plattform nach dem Grundprinzip „Privacy by design and by default“ gemäß Artikel 25 der Datenschutzgrundverordnung (DSGVO). Die Entwicklung der Befund24- Markplatzlösung erfolgt dabei gemäß dem Cybersecurity-Entwicklungsprozess von Siemens Healthineers, der unter anderem eine Threat-and-Risk-Analyse (TRA), die Implementierung von Sicherheitsstandards sowie Sicherheitsprüfungen umfasst. Zusätzlich werden regelmäßig externe Penetrationstests durchgeführt. Patientendaten liegen immer verschlüsselt in der Befund24-Cloud. Patienten können etwaige Auskunftsansprüche gegenüber dem Krankenhaus oder Ersteller des Befunds geltend machen.
Weitere Informationen
Fallbeispiel 2: Eaton
Bei Eaton wird jedes digital steuerbare oder vernetze Produkt oder System bereits bei der Entwicklung im Rahmen eines cybersecurity-orientierten Lebenszyklus durch ein globales Center of Excellence (CoE) für Produktcybersicherheit getestet. Vor einer finalen Vermarktung dieser Produkte und Systeme muss dieses Verfahren erfolgreich bestanden werden. Das CoE fungiert, gemeinsam mit den Produktverantwortlichen, als Genehmigungsgremium.
Weitere Informationen
https://www.eaton.com/us/en-us/markets/innovation-stories/Managing-Cybersecurity-Risks.html
Fallbeispiel 3: Infineon
Die hohen Sicherheitsanforderungen an automatisierte und vernetzte Fahrzeuge haben großen Einfluss auf das Design von Infineon-Chips als kleinste elektronische Elemente im Fahrzeug. In modernen Fahrzeugen mit 100 und mehr Steuergeräten schützen sogenannte Sicherheitsanker gegen Manipulation oder Diebstahl von Daten. Diese Halbleiterchips mit hochsicheren Verschlüsselungsmechanismen sind entweder direkt in die zahlreichen Mikrocontroller integriert oder als diskrete Sicherheitscontroller eingebaut. Diese Chips schützen gegen Manipulations- und Eindringversuche, so dass eine Verletzung der Datensicherheit abgewehrt werden kann.
Weitere Informationen
https://www.infineon.com/cms/de/discoveries/Fahrzeugsicherheit/?redirId=38066
Fallbeispiel 4: Phoenix Contact
Phoenix Contact berücksichtigt bereits während der Entwicklungsphase eines Produkts Sicherheitsanforderungen an Soft- und Hardware. Für Automatisierungslösungen wird ein Sicherheitskonzept mit den erforderlichen Schutzmaßnahmen erarbeitet. Beides erfolgt gemäß internationaler Normenreihe IEC 62443. Phoenix Contact hat zudem ein Team als Ansprechpartner für Anwender etabliert, die Sicherheitslücken entdecken, und aktiv über bekannt gewordene Sicherheitslücken informiert. Das Product Security Incident Response Team (PSIRT) hält sich bei der Bearbeitung, Bewertung und Veröffentlichung von Reports und Updates an die Prozesskette der Normenreihe.
Weitere Informationen
Fallbeispiel 5: Siemens
Siemens hat in seiner „Charter of Trust“ zehn Prinzipien für Cybersicherheit aufgestellt. Dazu gehört auch das Prinzip „Verantwortung in der digitalen Lieferkette übernehmen“. Das bedeutet zum Beispiel Security auch im Wertschöpfungsnetzwerk mit Lieferanten zu verankern. Um dieses zu gewährleisten, wurde ein Roll-out gestartet, das entsprechende Terms&Conditions in allen Einkaufsverträgen sowie die Qualifizierung von 300 Pilot-Zulieferern vorsieht. Siemens unterstützt Geschäftspartner und Lieferanten bei der Umsetzung der „Roadmap to Compliance“ mit den notwendigen Sicherheitsstufen bis hin zu externer Zertifizierung.
Weitere Informationen
3. Datensicherheit durch Security by Design und Security-Lifecycle-Management fördern
Für das Teilen und Nutzen von Daten sind der gegen Missbrauch gesicherte Zugang, die sichere Verarbeitung, die Speicherung und Handhabung von Daten sowie die Erhaltung ihrer Integrität und Vertraulichkeit eine Grundvoraussetzung. Die Unternehmen der Elektroindustrie treten daher dafür ein, Sicherheit so umfassend wie möglich durch einen ganzheitlichen Ansatz zu fördern. Dies umfasst sowohl Security by Design in der Entwicklungsphase als auch Security-Lifecycle-Management über den gesamten Produkt- und Datenlebenszyklus hinweg.
Auf nicht autorisierte bzw. unberechtigte Zugriffe muss schnellstmöglich reagiert werden.
Lesen Sie hier Fallbeispiele aus der Praxis
Fallbeispiel 1: Befund24
Befund24 hat einen Marktplatz zur Vermittlung von Ferndiagnoseleistungen im Gesundheitsbereich eingerichtet. Zum Schutz personenbezogener Daten arbeitet die Plattform nach dem Grundprinzip „Privacy by design and by default“ gemäß Artikel 25 der Datenschutzgrundverordnung (DSGVO). Die Entwicklung der Befund24- Markplatzlösung erfolgt dabei gemäß dem Cybersecurity-Entwicklungsprozess von Siemens Healthineers, der unter anderem eine Threat-and-Risk-Analyse (TRA), die Implementierung von Sicherheitsstandards sowie Sicherheitsprüfungen umfasst. Zusätzlich werden regelmäßig externe Penetrationstests durchgeführt. Patientendaten liegen immer verschlüsselt in der Befund24-Cloud. Patienten können etwaige Auskunftsansprüche gegenüber dem Krankenhaus oder Ersteller des Befunds geltend machen.
Weitere Informationen
Fallbeispiel 2: Eaton
Bei Eaton wird jedes digital steuerbare oder vernetze Produkt oder System bereits bei der Entwicklung im Rahmen eines cybersecurity-orientierten Lebenszyklus durch ein globales Center of Excellence (CoE) für Produktcybersicherheit getestet. Vor einer finalen Vermarktung dieser Produkte und Systeme muss dieses Verfahren erfolgreich bestanden werden. Das CoE fungiert, gemeinsam mit den Produktverantwortlichen, als Genehmigungsgremium.
Weitere Informationen
https://www.eaton.com/us/en-us/markets/innovation-stories/Managing-Cybersecurity-Risks.html
Fallbeispiel 3: Infineon
Die hohen Sicherheitsanforderungen an automatisierte und vernetzte Fahrzeuge haben großen Einfluss auf das Design von Infineon-Chips als kleinste elektronische Elemente im Fahrzeug. In modernen Fahrzeugen mit 100 und mehr Steuergeräten schützen sogenannte Sicherheitsanker gegen Manipulation oder Diebstahl von Daten. Diese Halbleiterchips mit hochsicheren Verschlüsselungsmechanismen sind entweder direkt in die zahlreichen Mikrocontroller integriert oder als diskrete Sicherheitscontroller eingebaut. Diese Chips schützen gegen Manipulations- und Eindringversuche, so dass eine Verletzung der Datensicherheit abgewehrt werden kann.
Weitere Informationen
https://www.infineon.com/cms/de/discoveries/Fahrzeugsicherheit/?redirId=38066
Fallbeispiel 4: Phoenix Contact
Phoenix Contact berücksichtigt bereits während der Entwicklungsphase eines Produkts Sicherheitsanforderungen an Soft- und Hardware. Für Automatisierungslösungen wird ein Sicherheitskonzept mit den erforderlichen Schutzmaßnahmen erarbeitet. Beides erfolgt gemäß internationaler Normenreihe IEC 62443. Phoenix Contact hat zudem ein Team als Ansprechpartner für Anwender etabliert, die Sicherheitslücken entdecken, und aktiv über bekannt gewordene Sicherheitslücken informiert. Das Product Security Incident Response Team (PSIRT) hält sich bei der Bearbeitung, Bewertung und Veröffentlichung von Reports und Updates an die Prozesskette der Normenreihe.
Weitere Informationen
Fallbeispiel 5: Siemens
Siemens hat in seiner „Charter of Trust“ zehn Prinzipien für Cybersicherheit aufgestellt. Dazu gehört auch das Prinzip „Verantwortung in der digitalen Lieferkette übernehmen“. Das bedeutet zum Beispiel Security auch im Wertschöpfungsnetzwerk mit Lieferanten zu verankern. Um dieses zu gewährleisten, wurde ein Roll-out gestartet, das entsprechende Terms&Conditions in allen Einkaufsverträgen sowie die Qualifizierung von 300 Pilot-Zulieferern vorsieht. Siemens unterstützt Geschäftspartner und Lieferanten bei der Umsetzung der „Roadmap to Compliance“ mit den notwendigen Sicherheitsstufen bis hin zu externer Zertifizierung.
Weitere Informationen