Leistungen und Lösungen

admeritia steht für systematische und machbare Security.

„Systematisch“, das bedeutet: Egal, was wir tun, wir folgen einer nachvollziehbaren Methodik, die alle unsere Berater verinnerlichen, die sich in einer Vielzahl von Projekten bewährt hat und stetig an aktuelle internationalen und nationale Standards und den Stand von Wissenschaft und Technik angepasst wird. Unsere Methoden sind destillierte Security-Erfahrung – und in der Zusammenarbeit wird so unser Wissen zu Ihrem Wissen.

„Machbar“, das bedeutet: Für Sie machbar. Wir kommen zu Ihnen, da wo Sie stehen, nehmen Sie an die Hand und zeigen Ihnen, dass Sie selbst Ihr wichtigster Security-Experte sind. Wir möchten Sie befähigen, Verantwortung für die Security Ihrer Systeme selbst in die Hand zu nehmen und Sie nicht von uns abhängig machen. Aber wenn Sie uns brauchen, sind wir da – für viele Kunden über Jahre hinweg. "Machbar" bedeutet auch, Security gleichermaßen technisch wirksam, also effektiv, und betriebswirksam, also mit Ihrem Betriebsregime vereinbar, umzusetzen.

Aus unseren Lösungsbausteinen aus dem Security Engineering, Security Management, Security Testing, Conformity Assessments und Incident Response stellen wir für Sie eine Vorgehensweise zusammen, die ihre Security-Bauchschmerzen lindert.

Security Engineering

Security Management

Security Test

Incident Response

Security Engineering Tool (SET)

Conformity Assessment

Forschungs- und Förderprojekte

IDEAS Projekt

Security Engineering

Risiko Assessment, Security Konzepte, Security for Safety, Anlaufkonzepte

Security Engineering ist für uns der Weg, wie Sie von einem Security-Problem zur Lösung (also zum Security-Konzept) kommen.

Der erste Schritt ist immer derselbe: Gemeinsam mit Ihnen verstehen und modellieren wir Ihre Systeme, und was Sie damit tun. So entsteht ein gemeinsames Bild Ihrer wichtigsten Funktionen. Dieses Modell wird für viele unserer Kunden so wichtig, dass sie es jahrelang immer wieder herausholen und aktualisieren, auch lange nach Projektabschluss.

Für Ihre Funktionen überlegen wir in einer Risikoanalyse, was schief gehen kann. Unsere Risikoanalysemethodik ist flexibel und an alle regulatorischen Anforderungen anpassbar – ob bei Ihnen oder extern. Wir können die Risikoanalyse vorbereiten oder mit Ihnen gemeinsame machen, aber lieber haben wir Sie, die Systemexperten, dabei. Angenehmer Nebeneffekt: Workshops zur Risikoidentifikation sind wunderbares Awareness-Training!

Wie das Ergebnis aussieht, hängt ganz von Ihrem individuellen Problem ab. Vielleicht brauchen Sie ein umfassendes Security-Konzept für Ihr Netzwerk, wollen Security in das Lastenheft einer neuen Anlage integrieren, ein bestehendes Konzept reviewen lassen, Anforderungen an Ihre Lieferanten gemäß einem Standard festlegen oder wollen nur eine Risikoanalyse für Ihre Safety-Systeme durchführen – wir kriegen das hin.

Lesen Sie mehr über unsere Security-Engineering-Lösungen im Info-Center.

Security Management

ISMS, Vorfallmanagement, Risiko Management, Business Continuity Management, Datenschutz

Ein Security-Managementsystem (Informationssicherheitsmanagementsystem, ISMS) ist mehr als ein Stapel Papier. Wir beginnen klein und legen mit Ihnen Ziele fest: Muss Ihr Managementsystem ein Audit oder einen Nachweis bestehen (siehe Regularien)? In einer Gap-Analyse besprechen wir mit Ihnen, was Sie schon haben – denn oft ist das mehr, als Sie denken. Ein Security-Managementsystem sollte nämlich nicht als komplett neue Organisationsinsel bei Ihnen aufgebaut werden, sondern sich in Ihre heutige Arbeitsweise integrieren.

Unser Ziel ist, dass Ihr Managementsystem so früh wie möglich beginnt zu leben – und dann als etwas bereits Lebendiges weiter wächst. Das funktioniert schon nach wenigen Wochen mit unserer Unterstützung – und je sicherer Sie werden, desto mehr ziehen wir uns zurück, wenn Sie das wollen.

Das gleiche gilt für die Betriebswirksamkeit Ihres Security-Managements: Ein Security Management, das sich nicht in Ihre Aufbau- und Ablauforganisation integriert, hat den Namen nicht verdient. Zusammen mit Ihnen flechten wir Ihr Security Management nahtlos in Ihre Hierarchien und Abläufe; informell wie formell. Nur so schaffen Sie es, ein lebendes Security Management zu etablieren und keinen Papiertiger.

Security-Management, das nicht technisch wirksam ist, gibt es für uns nicht. Darum ist Security Management bei uns auch eng mit dem Security Engineering verzahnt. Sie werden Prozesse und Werkzeuge kennen lernen, die Ihnen helfen, wirklich sicherer zu werden, und nicht nur auf dem Papier: Risikomanagement, Vorfallsmanagement, Business Continuity Management, Änderungsmanagement, Schulungen.

Und wenn Sie mögen, integrieren wir auch den Datenschutz im Rahmen eines Datenschutzmanagementsystems oder wie es im Standard der ISO/IEC 27701:2020 heißt: Privacy Information Management System (PIMS) in Ihr ISMS.

Lesen Sie mehr über unsere Security-Management-Lösungen im Info-Center.

Security Test

Penetrationstest, Systeme, Netzwerk, Web-Applikationen, OT, MITRE ATT&CK®

Wirken Ihre Security-Maßnahmen? Ein Security Test kann Klarheit bringen. Während eines Tests erstellen wir modellbasiert Security-Charakteristiken Ihrer Zielsysteme, die sowohl wirkende Maßnahmen als auch Sicherheitslücken beinhalten. Dabei gehen wir systematisch vor, basierend auf OpenSource-Standards und –Methoden wie OSSTMM und OWASP.

Dabei schauen wir auf Ihr Netzwerk als Ganzes, einzelne Systeme oder sogar einzelne Applikationen, auch Web-Applikationen. Wenn Sie mögen, beziehen wir auch Ihre OT in die Security-Tests mit ein – aber behutsam. Wir wissen, wie wichtig Ihre Automatisierungssysteme für Sie sind und wie wir mit ihnen umgehen müssen, um die Verfügbarkeit nicht zu gefährden. Wenn Sie nicht sicher sind, was ein sinnvoller Scope für Ihren Security-Test ist, finden wir das mit Ihnen gemeinsam auf Basis von Netzwerkmodellierungen und Angriffsmodellierungen (z.B. auf Basis von MITRE ATT&CK®) heraus.

Damit Sie mit Ihren Testergebnissen auch etwas anfangen können, bereiten wir Sie so auf, wie es Ihnen hilft. Zu jedem Testergebnis gehört eine Einordnung, was es für Ihren Kontext bedeuten könnte. Neben Sofortmaßnahmen, die Sicherheitslücken kurzfristig abstellen, machen wir immer auch Empfehlungen für Verbesserungen, um ähnliche Lücken langfristig zu vermeiden. Und wenn es Ihnen hilft, transformieren wir Ihre Testergebnisse direkt so, dass Sie sie in Ihrem Informationssicherheitsmanagement verwenden können.

Lesen Sie mehr über unsere Security-Test-Lösungen im Info-Center.

Incident Response

Vorfall, Playbook, First Response, Incident Response Team, PSIRT

Was tun, wenn ein Security-Vorfall passiert? Damit im Falle eines Falles keine Zeit verlorengeht und keine Fehler passieren, hilft es möglichst viel schon „vorzudenken“.

Wir haben ein Team, das dies bereits getan hat – unser Incident Response Team (IRT) steht Ihnen bei, hilft Ihnen Hands-On bei der Vorfallsbewältigung, behält einen kühlen Kopf und die Fäden in der Hand und kümmert sich nebenbei Meldungen und Formalitäten, die bei Vorfällen zu beachten sind. Unser IRT sieht seine Arbeit erst als erledigt an, wenn Sie wieder normal arbeiten können und wissen, was zu tun ist, damit ein Security-Vorfall in dieser Form nicht wieder passiert.

Unser Wissen als First Responder geben wir auch gern an Sie weiter. Mit Ihnen gemeinsam und basierend auf unseren Erfahrungen erledigen wir „Vordenken“ speziell für Ihre Organisation und machen Ihre Mitarbeiter IRT-fit. Gemeinsam mit Ihnen entwickeln wir Konzepte für Security-Vorfälle, Notfälle und Business Continuity, schreiben Wiederanlaufpläne und Playbooks und üben in TableTop-Übungen mit Ihnen, all diese Konzepte im Falle eines Falles auch anzuwenden. Wenn Sie Hersteller von Automatisierungslösungen sind, bauen wir mit Ihnen eine abgewandelte Form des IRT, ein Product Security Incident Response Team (PSIRT) auf: Was tun, wenn in Ihren Produkten Schwachstellen gefunden werden? Was brauchen Ihre Kunden nun von Ihnen?

Lesen Sie mehr über unsere Incident-Response-Lösungen im Info-Center.

Security Engineering Tool (SET)

Security Engineering, Model-based Engineering, Visualization, Database

Security-Engineering und Risikoanalysen enden bei Ihnen in ellenlangen Excel-Tabellen und Visio-Zeichnungen, die niemand pflegt? Sie müssen jedes Mal wieder von vorn nachdenken, wie Ihre komplizierte Risikoanalysetabelle noch mal funktioniert? Ihre Security-Dokumente veralten schon in dem Moment, in dem Sie sie erstellen?
Wir kennen das. Unser Security-Engineering-Tool ist entstanden, weil unsere Berater und Kunden es sich gleichermaßen gewünscht haben - und sie sind es auch, die jedes Detail im Alltag mit viel Liebe feintunen, denn SET entwickelt sich laufend weiter.
Die Basis des Tools ist die modellbasierte Herangehensweise unseres Security-Engineerings: Sie beginnen mit "ihrem Netzwerk auf einem Blatt". Mit SET ist es ganz einfach, verschiedene Sichten auf diese Informationen zu erzeugen, zu analysieren - und sie jederzeit in ein gewohntes MS-Office-Format zu bringen, sollte das notwendig sein.
Wenn Sie mit dem Modellieren fertig sind, nimmt SET Sie an die Hand und Sie erklimmen angeleitet unseren "Leuchtturm": Auf Basis Ihres Netzmodells identifizierten und modellieren Sie Ihre kritischsten Funktionen (damit Sie das Rad nicht neu erfinden müssen, helfen Bibliotheken). Dann ermitteln Sie anhand von klaren Fragen und Standards als Inspirationshilfe Ihre wichtigsten Risiken, und im nächsten Schritt Anforderungen, die gegen die Risiken helfen - wenn Sie mögen, basierend auf Ihrem Lieblingsstandard.
Auch beim Planen und Tracken der Umsetzung hilft Ihnen SET mit seiner klaren Struktur; und vor allem dann, wenn Sie all das mal einem Prüfer oder Auditor erklären müssen - oder auch Ihrem Chef.

Security Engineering und Risikoanalyse, das sagen unserer Kunden, wirken plötzlich viel einfacher, wenn SET im Spiel ist. Dabei machen Sie noch genau dasselbe wie mit Excel und Visio. SET nimmt Ihnen nur die Fleißarbeit ab und sorgt dafür, dass Ihre security-relevanten Informationen alle an einem Ort sind und Sie jederzeit alle wichtigen Sichten auf diese Daten erzeugen können.

Security-Engineering braucht Menschen, die ihre Systeme kennen. Diese Menschen sind die Zielgruppe von SET. Sie müssen nur denken - SET macht den ganzen lästigen Rest.

Features:

Modellierung Ihrer Systeme aus Security-Perspektive
Intuitive Durchführung von modellbasierten Risikoanalysen
Erzeugung von verschiedenen, übersichtlichen Diagrammtypen wie Netzpläne und Datenflussdiagramme mit einem Klick
Abbildung aller gängigen Security-Standards
Methodenneutral: Flexible Parametrierung ermöglicht Nutzung jeder Risikoanalysemethode
Klare Trennung von Anforderungen und Umsetzung
Zuweisung von Aufgaben und Tracken des Fortschritts
Audit-Sicht für fundierte Antworten bei Audits und Nachweisen
Export aller Modelle, Daten und Reports in editierbaren MS-Office-Formaten
Anbindung an existierende Asset- oder Konfigurationsdatenbanken möglich
Webbasiert - keine Softwareinstallation notwendig
Software as a service oder On-premise bei Ihnen? Sie entscheiden, wo Ihre Daten liegen

Um SET auf ihrem Endgerät zu betreiben, benötigen Sie eine aktive Lizenz und einen aktuellen Internetbrowser.
Unterstützte Internetbrowser: Chrome, Firefox, Opera & Edge.

Lesen Sie mehr über SET im Info-Center.

Conformity Assessment

Produktzertifizierungen, BSZ, 62443, Readiness, Common Criteria

Schon im Namen unserer Tochtergesellschaft adfidetia steckt, woraus es uns bei der Zertifizierung Ihrer Produktsicherheit ankommt. „Fides“ ist lateinisch für Vertrauen – und eine Produktzertifizierung schafft dann Wert, wenn sie das Vertrauen Ihrer Kunden in Ihr Produkt erhöht.

Damit ein Zertifikat tatsächlich Vertrauen schafft, muss dahinter eine reproduzierbare und technisch fundierte Prüfung der zertifizierten Eigenschaften stecken. Genau das leistet adfidetia als akkreditiertes Prüflabor des TÜV NORD.

Vor jeder Zertifizierung prüfen wir mit Ihnen, wo auf dem Weg zur Zertifizierungsreife Sie sich befinden, ob es Ihnen erst einmal nur um die „Readiness“ für eine Zertifizierung geht oder ob Sie bis zum Zertifikat gehen wollen, und falls ja, welcher Standard und welches Zertifizierungsschema für Sie in Frage kommen. Wir helfen Ihnen auf Ihrem Weg durch den Dschungel aus Common Criteria, Beschleunigter Sicherheitszertifizierung (BSZ), ISA/IEC 62443 und gesetzlichen Anforderungen.

Und wenn das alles noch Zukunftsmusik für Sie ist, verbessern wir mit Ihnen erst einmal die Security in ihrem Produktentwicklungsprozess – Security Engineering kann die admeritia nämlich ganz gut.

Ihr Ansprechpartner

Andreas Eichmann
Senior Account Manager

Tel.: +49 2173 20363-0
Email: info-at-admeritia.de

Aus Ihrem Security‑Problem eine Security‑Lösung machen!

Forschungs- und Förderprojekte

Regelmäßig übernehmen wir die Konsortialführerschaft in Forschungs‑ und Förderprojekten, die OT‑Security in den Fokus rücken. Durch von Bundesministerien geförderte Forschungsprojekte prägen wir zukünftige Entwicklungen und stehen im ständigen Austausch mit Institutionen aus Bildung und Forschung.

Und natürlich fließen alle Ergebnisse zurück in unsere Beratungslösungen.

IDEAS – Integrated Data Models for the Engineering of Automation Security

2021-2023

Motivation

Automatisierte Industrieanlagen sind mit der zunehmenden Vernetzung ihrer Komponenten in Industrie 4.0-Umgebungen zu attraktiven Angriffszielen für IT-Angriffe und Schadcode geworden. Sie sollten darum möglichst im laufenden Betrieb auf sich ändernde Bedrohungsszenarien reagieren können. Sinnvoll wäre es, IT-Sicherheitsmaßnahmen schon bei der Entwicklung der Anlagen zu integrieren und sie nicht erst, wie bisher üblich, im Anschluss an die Automatisierungsplanung aufzusetzen. Die Ingenieurinnen und Ingenieure benötigen dafür Werkzeuge, die es ihnen ermöglichen Sicherheitsaspekte effizient in den bestehenden Entwurfsprozess zu integrieren.

Ziele und Vorgehen

Im Projekt wird daher ein Datenmodell entwickelt, das als digitaler Zwilling alle sicherheitsrelevanten Informationen einer Komponente abbildet und einen systematischen Umgang mit den Sicherheitsinformationen ermöglicht. Zudem wird ein integrierter technischer Ablaufplan konzipiert, mit dem Sicherheit frühestmöglich in den bestehenden Entwicklungsprozess eingegliedert werden kann. Schließlich wird ein Softwarewerkzeug erarbeitet, das es den Entwicklungsingenieurinnen und -ingenieuren ermöglicht, die Datenmodelle und den Ablaufplan optimal in ihre bestehenden Arbeitsabläufe zu integrieren. Um die Praktikabilität der Projektergebnisse sicher zu stellen, unterstützen Hersteller und Betreiber von Automatisierungslösungen als Anwendungspartner das Projekt.

Innovationen und Perspektiven

Die Hersteller können mit dem neuen Datenmodell Sicherheitskonfigurationen für ihre Komponenten hinterlegen und diese automatisch ausrollen. Die Betreiber können sicherheitsrelevante Einstellungen und dadurch behandelte Risiken auslesen. Das Wissen über Schwachstellen und Risiken wird somit besser geteilt.

Im Gegensatz zu vielen bisher verbreiteten Methoden, die darauf abzielen, Sicherheitsvorfälle in Industrieanlagen frühzeitig zu erkennen, setzt man im Projekt IDEAS auf Prävention. Durch diese proaktive Absicherung werden wirtschaftliche Schäden durch IT-Sicherheitsvorfälle in Unternehmen vermieden. Davon profitieren insbesondere KMU, denen oft das nötige Know-how für nachträgliche Sicherheitsmaßnahmen fehlt.

IDEAS-Publikationen

(blau = peer-reviewed)

Datum	Publikation
2021-04	atp: Projektvorstellung IDEAS
2021-04	HSPF Konturen: Projektvorstellung IDEAS
2021-04	Pforzheimer Zeitung: Projektvorstellung IDEAS
2021-05	Blog: Ein Security-Engineering-Werkzeug für Automatisierer
2021-05	Blog: A security enginering tool for automation engineers
2021-08	HSPF News: IDEAS: Integrated Data Models for the Engineering of Automation Security
2022-03	AALE: Warum wir ein Security-Engineering Informationsmodell brauchen E. Taştan, S. Fluchs, and R. Drath, ‘Warum wir ein Security-Engineering-Informationsmodell brauchen’, in Wissenstransfer im Spannungsfeld von Autonomisierung und Fachkräftemangel, Jan. 2022 DOI: 10.33968/2022.25
2022-04	Blog: Generationen von Security-by-Design-Methoden
2022-04	Blog: Generations of security by design methods
2022-06	AUTOMATION: Security-Entscheidungen „by Design“ in das Engineering prozesstechnischer Anlagen integrieren. Konzept der „Automation Security by Design Decisions“ S. Fluchs et al., ‘Security-Entscheidungen „by Design“ in das Engineering prozesstechnischer Anlagen integrieren. Konzept der “Automation Security by Design Decisions”’, presented at the AUTOMATION 2022 (23. Leitkongress der Mess- und Automatisierungstechnik), Baden-Baden, Germany, Jun. 2022.
2022-06	AUTOMATION: AutomationML-basierte Modellierungsansätze für ein Security-Engineering-Informationsmodell E. Taştan, S. Fluchs, and R. Drath, ‘AutomationML-basierte Modellierungsansätze für ein Security-Engineering-Informationsmodell’, presented at the AUTOMATION 2022 (23. Leitkongress der Mess- und Automatisierungstechnik), Baden-Baden, Germany, Jun. 2022.
2022-06	EKA: A Security Decision Base: How to Prepare Security by Design Decisions for Industrial Control Systems S. Fluchs, R. Drath, and A. Fay, ‘A Security Decision Base: How to Prepare Security by Design Decisions for Industrial Control Systems’, presented at the EKA (17. Fachtagung ‘Entwurf Komplexer Automatisierungssysteme’), Magdeburg, Germany, Jun. 2022.
2022-06	Blog: Security by Design Decisions
2022-06	Blog: Security by Design Decisions
2022-08	Blog: Die vier Pfade zu einer Security-Entscheidung
2022-08	Blog: The four paths to a security decision
2022-09	atp: Security by Design für Automatisierungssysteme. Teil 1: Begriffsklärung und Analyse existierender Ansätze S. Fluchs et al., ‘Security by Design für Automatisierungssysteme. Teil 1: Begriffsklärung und Analyse existierender Ansätze’, atp magazin, vol. 63, no. 9/2022, Sep. 2022, DOI: https://doi.org/10.17560/atp.v63i9.2620
2022-09	atp: AutomationML: Ansätze für ein Security-Engineering-Informationsmodell
2022-10	IECON: Security by Design Integration Mechanisms for Industrial Control Systems S. Fluchs, E. Taştan, M. Mertens, A. Horch, R. Drath, and A. Fay, ‘Security by Design Integration Mechanisms for Industrial Control Systems’, in Proceedings of the 48th Annual Conference of the IEEE Industrial Electronics Society (IECON 2022), Brussels, Belgium, Oct. 2022, DOI: https://doi.org/10.1109/IECON49645.2022.9968406
2022-11	NAMUR Hauptsitzung: Ein Informationsmodell für Security Engineering und warum wir das brauchen
2022-12	IAT-Winterkolloquium: Security im PLT-Engineering verankern: Konzept der Security-Parameter
2022-12	atp: Security by Design Decisions für Automatisierungssysteme. Teil 2: Konzept für die Integration von Security-Entscheidungen S. Fluchs et al., ‘Security by Design Decisions für Automatisierungssysteme. Teil 2: Konzept für die Integration von Security-Entscheidungen in das Engineering’, atp magazin, vol. 63, no. 11-12/2022, Dec. 2022, DOI: https://doi.org/10.17560/atp.v63i11-12.2643
2023-01	IEEE Access: Evaluation of visual notations as a basis for ICS security design decisions S. Fluchs, R. Drath and A. Fay, ‘Evaluation of visual notations as a basis for ICS security design decisions’, IEEE Access, Jan. 2023, DOI: https://doi.org/10.1109/ACCESS.2023.3238326
2023-02	S4x23: Security by Design Decisions
2023-02	Blog: Four security engineering simplifiers
2023-06	Sensors: Traceable Security-by-Design Decisions for Cyber-Physical Systems (CPSs) by Means of Function-Based Diagrams and Security Libraries S. Fluchs, E. Taştan, T. Trumpf, A. Horch, R. Drath, and A. Fay, ‘Traceable Security-by-Design Decisions for Cyber-Physical Systems (CPSs) by Means of Function-Based Diagrams and Security Libraries’, Sensors, Jun. 2023, DOI: https://doi.org/10.3390/s23125547
2023-07	Automation 2023: Security-Engineering mit AutomationML - Methodik zur Modellierung von Security-Entscheidungen, -Zielen, -Risiken und -Anforderungen Taştan, E., R. Drath, und S. Fluchs. ‘Security-Engineering mit AutomationML - Methodik zur Modellierung von Security-Entscheidungen, -Zielen, -Risiken und -Anforderungen’, In proceedings of AUTOMATION 2023, 413-28. VDI Verlag, 2023. https://doi.org/10.51202/9783181024195-413
2023-08	OTCEP Forum 2023: How to Turn Security by Design from Myth to Reality
2023-09	at - Automatisierungstechnik: Nachvollziehbare Security by Design-Entscheidungen für Automatisierungssysteme mittels funktionsbasierter Diagramme und Security-Bibliotheken S. Fluchs, E. Taştan, T. Trumpf, A. Horch, R. Drath, and A. Fay ‘Nachvollziehbare Security by Design-Entscheidungen für Automatisierungssysteme mittels funktionsbasierter Diagramme und Security-Bibliotheken’, at - Automatisierungstechnik, vol. 71, no. 9, pp. 759–778, Sep. 2023, DOI: https://doi.org/10.1515/auto-2023-0084
2024-07	NANMUR NE 193: An Information Model for Automation Security Engineering
2024-09	NE 193: An Information Model for Automation Security Engineering, 2024.
2024-09	„Cybersecurity Decision Diagrams: A Visual, Model-Based Concept for Making, Documenting, and Communicating Cybersecurity Decisions during and after the (Re-)Design of Industrial Cyber-Physical Systems“. Helmut Schmidt Universität / Universität der Bundeswehr Hamburg, 2024. https://doi.org/10.24405/16760.