Security is our promise
01
Sicherheit ist eine Frage des Bewusstseins
Welche Sicherheitsrisiken bestehen in der industriellen Kommunikation? Diese Frage stellen wir uns bei allen Entwicklungsschritten. Sichere Systeme und Geräte setzen einen sicheren Entwicklungsprozess voraus. Die Entwicklungs-Ingenieure von MB connect line sind entsprechend zertifiziert.
Dafür setzen wir auf ein TÜV Experten-Zertifizierungsprogramm im Bereich der sicheren Softwareentwicklung und auf Expertenwissen auf dem Gebiet der IT-Sicherheit (Teletrust T.P.S.S.E.).
02
Security by design
Unser Ziel ist es, die Arbeitsabläufe und die Anwendungsfälle in denen unsere Produkte zum Einsatz kommen, so sicher wie möglich zu machen und IT-Sicherheit von Anfang an in der Entwicklung zu betrachten.
Auf diese Weise bestimmt der Blick auf mögliche Angriffsflächen den Arbeitsablauf der Entwickler. Ein weiterer Kernpunkt ist die Benutzerfreundlichkeit. Ziel ist es, die Komplexität so weit zu reduzieren, dass der Anwender möglichst keine Fehler machen kann. Dabei wird der gesamte Lebenszyklus betrachtet. Auch aus einem am Ende zur Verschrottung bereitstehenden Geräts können keine Daten ausgelesen werden.
03
Sicherheit als gemeinschaftliches Ziel
Um das Sicherheitsversprechen an unsere Kunden garantieren zu können, arbeitet MB connect line mit externen IT-Sicherheitsunternehmen zusammen, um Entwicklungen zu validieren.
Wir engagieren uns aktiv in der Industrial-Security Arbeitsgruppe bei Teletrust und daraus ist die Evaluierungsmethode für IEC62443-4-2 entwickelt worden, an der wir unsere Produktsicherheit messen und prüfen.
Die breite Erfahrung und die verschiedenen Sichtweisen sind entscheidende Faktoren für die sichere Gestaltung unserer Produkte – ohne dabei den Blick auf die Nutzerfreundlichkeit zu verlieren.
04
Sicherheit als Prozess
Wir sehen Penetrationstests eher als wichtige Schritte der Produktpflege und nicht als den letzten Schritt der Produktentstehung. Für uns beginnt die eigentliche Sicherheitsprüfung, bevor das Produkt formell freigegeben wird.
Wir auditieren und validieren die F&E-Entscheidungen, führen regelmäßige Pen-Tests durch, überwachen neu auftretende Bedrohungen und deren Auswirkungen, erstellen systematische Updates und Patches – wir leben Sicherheit als einen Prozess während der gesamten Lebensdauer unserer Produkte.
05
Sicherheit als Kultur
TÜV-zertifizierte Schulungen zur sicheren Entwicklung für unsere F&E-Mitarbeiter, aktives Product Security Incident Response Team (PSIRT) im Unternehmen – IT-Sicherheit ist in unserer DNA verwurzelt.
Wir streben danach, kontinuierlich „State of the art“ sichere Produkte zu liefern und tragen auf diese Weise zu Ihrer Umsetzung „Security by Design“ bei.
06
Security certified - IEC 62443-4-1
Wir sind stolz, dass wir offiziell IEC 62443-4-1 zertifiziert sind. Diese Zertifizierung unterstreicht unser Engagement für höchste Standards in der Cybersicherheit und den Schutz industrieller Steuerungssysteme.
Mit dieser Anerkennung setzen wir ein starkes Zeichen für Qualität, Sicherheit und Vertrauen in unsere Entwicklungsprozesse und Produkte.
Unsere DNA: 100% IT-Security seit mehr als 25 Jahren.
Hier können Sie unsere IEC 62443-4-1 Zertifizierung als PDF herunterladen.
Prüfung & Pentests
In regelmäßigen Abständen werden unsere Produkte durch unabhängige IT-Sicherheitsunternehmen geprüft. Sowohl automatisierte als auch manuelle Penetrationstests werden hier angewendet. Im Wesentlichen werden folgende Standards und Leitfäden herangezogen:
✓ Leitfaden Penetrationstests des Bundesamts für Sicherheit in der Informationstechnik
✓ OWASP Testing Guide Version 4
✓ OWASP Application Security Verification Standard v.3 – level 2
Wichtig ist uns dabei, dass ein Dialog zwischen Entwicklern und Pentestern entsteht. Deswegen besteht ein Penetrationstest bei uns immer aus dem Test an sich und einem intensiven Dialog zwischen Pentester und Entwickler im Nachgang. Seither gibt es etablierte Zertifizierungsverfahren für IT-Sicherheitsprodukte für kritische Anwendungen (z.B. Militär, Behörden, etc.). Für die klassische industrielle Anwendung sind verschiedene Zertifizierungsmöglichkeiten vorhanden, wie z.B. der Standard IEC62443. In Zusammenarbeit mit TeleTrusT wurde hierfür ein Prüfkatalog entwickelt, welcher für unsere Produkte angewendet wird. Zudem ist der publizierte „Stand der Technik“ von TeleTrusT ein wichtiges Werkzeug für unsere Produktentwicklung.
Sicherheitsstrategie im Überblick
Das Dokument „Stand der Technik“ von TeleTrusT stellt eine der IT-Sicherheits-Richtlinien bei Entwicklungen und Produktpflege für uns dar.
Wir engagieren uns aktiv in der Industrial-Security Arbeitsgruppe bei Teletrust und daraus ist die Evaluierungsmethode für IEC62443-4-2 entwickelt worden, an der wir unsere Produktsicherheit messen und prüfen.
Unser Product Security Incident Response Team (PSIRT) überwacht, wie sich neue Gefahren und neu entdeckte Technologie-Schwachstellen auf unsere Produkte auswirken können. Sie sind bereit, auf Security-Meldungen, Berichte oder Test-Reports sofort zu reagieren.
Unsere Mitgliedschaften
TELETRUST – IT SICHERHEITSVERBAND DEUTSCHLAND
Wir sind Mitglied im TeleTrusT – Bundesverband IT-Sicherheit e.V. und entwickeln unsere Produkte nach den definierten Richtlinien dieser Organisation. TeleTrusT ist ein Kompetenznetzwerk, das in- und ausländische Mitglieder aus Industrie, Verwaltung und Wissenschaft sowie thematisch verwandte Partnerorganisationen umfasst. Unser CEO und CTO vertritt Teletrust bei der European Cyber Security Organization (ECSO), wo er in mehreren Arbeitsgruppen tätig ist.
ALLIANZ FÜR CYBER-SICHERHEIT
Weiterhin ist MB connect line Mitglied in der Allianz für Cybersicherheit und wir arbeiten aktiv mit dem Bundesamt für Sicherheit und Informationstechnik zusammen. Dies ermöglicht unseren Entwicklungsingenieuren schnellstmöglich, Sicherheitsbedrohungen nicht nur reaktiv, sondern vor allem präventiv entgegen zu wirken.
CERT@VDE
Gemeinsam erfolgreich gegen Cyber-Angriffe im Umfeld der industriellen Produktion vorgehen – das ist das Ziel von CERT@VDE, der IT-Sicherheitsplattform des VDE.
Mit der ersten Plattform zur Koordination von IT-Security-Problemen bietet CERT@VDE Herstellern, Integratoren, Anlagenbauern, und Betreibern aus dem Bereich Industrieautomation die Möglichkeit zum Informationsaustausch und Unterstützung zum Thema Cyber-Security.
Unser Security Whitepaper
Sie möchten mehr über unsere industriellen Sicherheitsstandards erfahren? Fordern Sie gleich jetzt unser Security-Whitepaper an.