Leistungen und Lösungen

admeritia steht für systematische und machbare Security.

„Systematisch“, das bedeutet: Egal, was wir tun, wir folgen einer nachvollziehbaren Methodik, die alle unsere Berater verinnerlichen, die sich in einer Vielzahl von Projekten bewährt hat und stetig an aktuelle internationalen und nationale Standards und den Stand von Wissenschaft und Technik angepasst wird. Unsere Methoden sind destillierte Security-Erfahrung – und in der Zusammenarbeit wird so unser Wissen zu Ihrem Wissen.

„Machbar“, das bedeutet: Für Sie machbar. Wir kommen zu Ihnen, da wo Sie stehen, nehmen Sie an die Hand und zeigen Ihnen, dass Sie selbst Ihr wichtigster Security-Experte sind. Wir möchten Sie befähigen, Verantwortung für die Security Ihrer Systeme selbst in die Hand zu nehmen und Sie nicht von uns abhängig machen. Aber wenn Sie uns brauchen, sind wir da – für viele Kunden über Jahre hinweg. "Machbar" bedeutet auch, Security gleichermaßen technisch wirksam, also effektiv, und betriebswirksam, also mit Ihrem Betriebsregime vereinbar, umzusetzen.

Aus unseren Lösungsbausteinen aus dem Security Engineering, Security Management, Security Testing, Conformity Assessments und Incident Response stellen wir für Sie eine Vorgehensweise zusammen, die ihre Security-Bauchschmerzen lindert.

divider 1 divider 2
#

Security Engineering

Risiko Assessment, Security Konzepte, Security for Safety, Anlaufkonzepte

Security Engineering ist für uns der Weg, wie Sie von einem Security-Problem zur Lösung (also zum Security-Konzept) kommen.

Der erste Schritt ist immer derselbe: Gemeinsam mit Ihnen verstehen und modellieren wir Ihre Systeme, und was Sie damit tun. So entsteht ein gemeinsames Bild Ihrer wichtigsten Funktionen. Dieses Modell wird für viele unserer Kunden so wichtig, dass sie es jahrelang immer wieder herausholen und aktualisieren, auch lange nach Projektabschluss.

Für Ihre Funktionen überlegen wir in einer Risikoanalyse, was schief gehen kann. Unsere Risikoanalysemethodik ist flexibel und an alle regulatorischen Anforderungen anpassbar – ob bei Ihnen oder extern. Wir können die Risikoanalyse vorbereiten oder mit Ihnen gemeinsame machen, aber lieber haben wir Sie, die Systemexperten, dabei. Angenehmer Nebeneffekt: Workshops zur Risikoidentifikation sind wunderbares Awareness-Training!

Wie das Ergebnis aussieht, hängt ganz von Ihrem individuellen Problem ab. Vielleicht brauchen Sie ein umfassendes Security-Konzept für Ihr Netzwerk, wollen Security in das Lastenheft einer neuen Anlage integrieren, ein bestehendes Konzept reviewen lassen, Anforderungen an Ihre Lieferanten gemäß einem Standard festlegen oder wollen nur eine Risikoanalyse für Ihre Safety-Systeme durchführen – wir kriegen das hin.

Lesen Sie mehr über unsere Security-Engineering-Lösungen im Info-Center.

Security Management

ISMS, Vorfall Management, Risiko Management, Business Continuity Management, Datenschutz

Ein Security-Managementsystem (Informationssicherheitsmanagementsystem, ISMS) ist mehr als ein Stapel Papier. Wir beginnen klein und legen mit Ihnen Ziele fest: Muss Ihr Managementsystem ein Audit oder einen Nachweis bestehen (siehe Regularien)? In einer Gap-Analyse besprechen wir mit Ihnen, was Sie schon haben – denn oft ist das mehr, als Sie denken. Ein Security-Managementsystem sollte nämlich nicht als komplett neue Organisationsinsel bei Ihnen aufgebaut werden, sondern sich in Ihre heutige Arbeitsweise integrieren.

Unser Ziel ist, dass Ihr Managementsystem so früh wie möglich beginnt zu leben – und dann als etwas bereits Lebendiges weiter wächst. Das funktioniert schon nach wenigen Wochen mit unserer Unterstützung – und je sicherer Sie werden, desto mehr ziehen wir uns zurück, wenn Sie das wollen.

Das gleiche gilt für die Betriebswirksamkeit Ihres Security-Managements: Ein Security Management, das sich nicht in Ihre Aufbau- und Ablauforganisation integriert, hat den Namen nicht verdient. Zusammen mit Ihnen flechten wir Ihr Security Management nahtlos in Ihre Hierarchien und Abläufe; informell wie formell. Nur so schaffen Sie es, ein lebendes Security Management zu etablieren und keinen Papiertiger.

Security-Management, das nicht technisch wirksam ist, gibt es für uns nicht. Darum ist Security Management bei uns auch eng mit dem Security Engineering verzahnt. Sie werden Prozesse und Werkzeuge kennen lernen, die Ihnen helfen, wirklich sicherer zu werden, und nicht nur auf dem Papier: Risikomanagement, Vorfallsmanagement, Business Continuity Management, Änderungsmanagement, Schulungen.

Und wenn Sie mögen, integrieren wir auch den Datenschutz im Rahmen eines Datenschutzmanagementsystems oder wie es im Standard der ISO/IEC 27701:2020 heißt: Privacy Information Management System (PIMS) in Ihr ISMS.

Lesen Sie mehr über unsere Security-Management-Lösungen im Info-Center.

#
#

Security Test

Penetrationstest, Systeme, Netzwerk, Web-Applikationen, OT, ATT&CK®

Wirken Ihre Security-Maßnahmen? Ein Security Test kann Klarheit bringen. Während eines Tests erstellen wir modellbasiert Security-Charakteristiken Ihrer Zielsysteme, die sowohl wirkende Maßnahmen als auch Sicherheitslücken beinhalten. Dabei gehen wir systematisch vor, basierend auf OpenSource-Standards und –Methoden wie OSSTMM und OWASP.

Dabei schauen wir auf Ihr Netzwerk als Ganzes, einzelne Systeme oder sogar einzelne Applikationen, auch Web-Applikationen. Wenn Sie mögen, beziehen wir auch Ihre OT in die Security-Tests mit ein – aber behutsam. Wir wissen, wie wichtig Ihre Automatisierungssysteme für Sie sind und wie wir mit ihnen umgehen müssen, um die Verfügbarkeit nicht zu gefährden. Wenn Sie nicht sicher sind, was ein sinnvoller Scope für Ihren Security-Test ist, finden wir das mit Ihnen gemeinsam auf Basis von Netzwerkmodellierungen und Angriffsmodellierungen (z.B. auf Basis von MITRE ATT&CK®) heraus.

Damit Sie mit Ihren Testergebnissen auch etwas anfangen können, bereiten wir Sie so auf, wie es Ihnen hilft. Zu jedem Testergebnis gehört eine Einordnung, was es für Ihren Kontext bedeuten könnte. Neben Sofortmaßnahmen, die Sicherheitslücken kurzfristig abstellen, machen wir immer auch Empfehlungen für Verbesserungen, um ähnliche Lücken langfristig zu vermeiden. Und wenn es Ihnen hilft, transformieren wir Ihre Testergebnisse direkt so, dass Sie sie in Ihrem Informationssicherheitsmanagement verwenden können.

Lesen Sie mehr über unsere Security-Test-Lösungen im Info-Center.

Incident Response

Vorfall, Playbook, First Response, Incident Response Team, PSIRT

Was tun, wenn ein Security-Vorfall passiert? Damit im Falle eines Falles keine Zeit verlorengeht und keine Fehler passieren, hilft es möglichst viel schon „vorzudenken“.

Wir haben ein Team, das dies bereits getan hat – unser Incident Response Team (IRT) steht Ihnen bei, hilft Ihnen Hands-On bei der Vorfallsbewältigung, behält einen kühlen Kopf und die Fäden in der Hand und kümmert sich nebenbei Meldungen und Formalitäten, die bei Vorfällen zu beachten sind. Unser IRT sieht seine Arbeit erst als erledigt an, wenn Sie wieder normal arbeiten können und wissen, was zu tun ist, damit ein Security-Vorfall in dieser Form nicht wieder passiert.

Unser Wissen als First Responder geben wir auch gern an Sie weiter. Mit Ihnen gemeinsam und basierend auf unseren Erfahrungen erledigen wir „Vordenken“ speziell für Ihre Organisation und machen Ihre Mitarbeiter IRT-fit. Gemeinsam mit Ihnen entwickeln wir Konzepte für Security-Vorfälle, Notfälle und Business Continuity, schreiben Wiederanlaufpläne und Playbooks und üben in TableTop-Übungen mit Ihnen, all diese Konzepte im Falle eines Falles auch anzuwenden. Wenn Sie Hersteller von Automatisierungslösungen sind, bauen wir mit Ihnen eine abgewandelte Form des IRT, ein Product Security Incident Response Team (PSIRT) auf: Was tun, wenn in Ihren Produkten Schwachstellen gefunden werden? Was brauchen Ihre Kunden nun von Ihnen?

Lesen Sie mehr über unsere Incident-Response-Lösungen im Info-Center.

#
#

Conformity Assessment

ProZert, Produktzertifizierungen, BSZ, 62443, Readiness, Common Criteria

Schon im Namen unserer Tochtergesellschaft adfidetia steckt, woraus es uns bei der Zertifizierung Ihrer Produktsicherheit ankommt. „Fides“ ist lateinisch für Vertrauen – und eine Produktzertifizierung schafft dann Wert, wenn sie das Vertrauen Ihrer Kunden in Ihr Produkt erhöht.

Damit ein Zertifikat tatsächlich Vertrauen schafft, muss dahinter eine reproduzierbare und technisch fundierte Prüfung der zertifizierten Eigenschaften stecken. Genau das leistet adfidetia als akkreditiertes Prüflabor des TÜV NORD.

Vor jeder Zertifizierung prüfen wir mit Ihnen, wo auf dem Weg zur Zertifizierungsreife Sie sich befinden, ob es Ihnen erst einmal nur um die „Readiness“ für eine Zertifizierung geht oder ob Sie bis zum Zertifikat gehen wollen, und falls ja, welcher Standard und welches Zertifizierungsschema für Sie in Frage kommen. Wir helfen Ihnen auf Ihrem Weg durch den Dschungel aus Common Criteria, Beschleunigter Sicherheitszertifizierung (BSZ), ISA/IEC 62443 und gesetzlichen Anforderungen.

Und wenn das alles noch Zukunftsmusik für Sie ist, verbessern wir mit Ihnen erst einmal die Security in ihrem Produktentwicklungsprozess – Security Engineering kann die admeritia nämlich ganz gut.

Forschungs- und Förderprojekte

Regelmäßig übernehmen wir die Konsortialführerschaft in Forschungs‑ und Förderprojekten, die OT‑Security in den Fokus rücken. Durch von Bundesministerien geförderte Forschungsprojekte prägen wir zukünftige Entwicklungen und stehen im ständigen Austausch mit Institutionen aus Bildung und Forschung.

Und natürlich fließen alle Ergebnisse zurück in unsere Beratungslösungen.

IDEAS – Integrated Data Models for the Engineering of Automation Security

2021-2023

Motivation

Automatisierte Industrieanlagen sind mit der zunehmenden Vernetzung ihrer Komponenten in Industrie 4.0-Umgebungen zu attraktiven Angriffszielen für IT-Angriffe und Schadcode geworden. Sie sollten darum möglichst im laufenden Betrieb auf sich ändernde Bedrohungsszenarien reagieren können. Sinnvoll wäre es, IT-Sicherheitsmaßnahmen schon bei der Entwicklung der Anlagen zu integrieren und sie nicht erst, wie bisher üblich, im Anschluss an die Automatisierungsplanung aufzusetzen. Die Ingenieurinnen und Ingenieure benötigen dafür Werkzeuge, die es ihnen ermöglichen Sicherheitsaspekte effizient in den bestehenden Entwurfsprozess zu integrieren.

Ziele und Vorgehen

Im Projekt wird daher ein Datenmodell entwickelt, das als digitaler Zwilling alle sicherheitsrelevanten Informationen einer Komponente abbildet und einen systematischen Umgang mit den Sicherheitsinformationen ermöglicht. Zudem wird ein integrierter technischer Ablaufplan konzipiert, mit dem Sicherheit frühestmöglich in den bestehenden Entwicklungsprozess eingegliedert werden kann. Schließlich wird ein Softwarewerkzeug erarbeitet, das es den Entwicklungsingenieurinnen und -ingenieuren ermöglicht, die Datenmodelle und den Ablaufplan optimal in ihre bestehenden Arbeitsabläufe zu integrieren. Um die Praktikabilität der Projektergebnisse sicher zu stellen, unterstützen Hersteller und Betreiber von Automatisierungslösungen als Anwendungspartner das Projekt.

Innovationen und Perspektiven

Die Hersteller können mit dem neuen Datenmodell Sicherheitskonfigurationen für ihre Komponenten hinterlegen und diese automatisch ausrollen. Die Betreiber können sicherheitsrelevante Einstellungen und dadurch behandelte Risiken auslesen. Das Wissen über Schwachstellen und Risiken wird somit besser geteilt.

Im Gegensatz zu vielen bisher verbreiteten Methoden, die darauf abzielen, Sicherheitsvorfälle in Industrieanlagen frühzeitig zu erkennen, setzt man im Projekt IDEAS auf Prävention. Durch diese proaktive Absicherung werden wirtschaftliche Schäden durch IT-Sicherheitsvorfälle in Unternehmen vermieden. Davon profitieren insbesondere KMU, denen oft das nötige Know-how für nachträgliche Sicherheitsmaßnahmen fehlt.

Kombinierte Engineering-Methode für Security und Safety im eingebetteten System (KEM3S)

2013-2016

forschung KEM3S


Hardware-Sensorik für IT-Netzwerksicherheit

2012-2015

forschung BMWi

Secureclouds

2011-2014

forschung BMWi

Security Controlling Framework

2010-2012

forschung BMWi
kontaktperson-foto
Ihr Ansprechpartner

Andreas Eichmann
Senior Account Manager

Tel.: +49 2173 20363-0
Email: info-at-admeritia.de

Aus Ihrem Security‑Problem eine Security‑Lösung machen!