Leistungen und Lösungen

admeritia steht für systematische und machbare Security.

„Systematisch“, das bedeutet: Egal, was wir tun, wir folgen einer nachvollziehbaren Methodik, die alle unsere Berater verinnerlichen, die sich in einer Vielzahl von Projekten bewährt hat und stetig an aktuelle internationalen und nationale Standards und den Stand von Wissenschaft und Technik angepasst wird. Unsere Methoden sind destillierte Security-Erfahrung – und in der Zusammenarbeit wird so unser Wissen zu Ihrem Wissen.

„Machbar“, das bedeutet: Für Sie machbar. Wir kommen zu Ihnen, da wo Sie stehen, nehmen Sie an die Hand und zeigen Ihnen, dass Sie selbst Ihr wichtigster Security-Experte sind. Wir möchten Sie befähigen, Verantwortung für die Security Ihrer Systeme selbst in die Hand zu nehmen und Sie nicht von uns abhängig machen. Aber wenn Sie uns brauchen, sind wir da – für viele Kunden über Jahre hinweg. "Machbar" bedeutet auch, Security gleichermaßen technisch wirksam, also effektiv, und betriebswirksam, also mit Ihrem Betriebsregime vereinbar, umzusetzen.

Aus unseren Lösungsbausteinen aus dem Security Engineering, Security Management, Security Testing, Conformity Assessments und Incident Response stellen wir für Sie eine Vorgehensweise zusammen, die ihre Security-Bauchschmerzen lindert.

Security Engineering

Security Management

Security Test

Incident Response

Security Engineering Tool (SET)

Conformity Assessment

Forschungs- und Förderprojekte

IDEAS Projekt

Security Engineering

Risiko Assessment, Security Konzepte, Security for Safety, Requirements Engineering, Threat Modeling

Security Engineering ist der systematische Weg vom Security-Problem zu seiner Lösung. Dafür verwenden wir unsere jahrelang erprobte Layered Blueprints-Vorgehensweise, unterstützt von unserem Security Engineering Tool.

Der erste Schritt ist immer derselbe: Gemeinsam mit Ihnen verstehen und modellieren wir Ihre Systeme und Funktionen. Eine Funktion zeigt die Interaktionen von Menschen und technischen Komponenten, um einen bestimmten Zweck zu erreichen - zum Beispiel das Programmieren einer SPS.

So entsteht ein visuelles Modell, das jeder versteht: Ingenieure, IT, Management und Auditoren. Dieses Modell wird für viele unserer Kunden so wichtig, dass sie es jahrelang immer wieder herausholen und aktualisieren.

Für Ihre Funktionen überlegen wir in einer Risikoanalyse, was schief gehen kann. Um keine Zeit zu verschwenden, gehen wir dabei immer auswirkungsbasiert vor (Cyber-Informed Engineering), beginnen also mit Ihren High Consequence Events. Unsere Risikoanalysemethodik ist flexibel und an alle regulatorischen Anforderungen anpassbar. Wir können die Risikoanalyse vorbereiten oder mit Ihnen gemeinsame machen, aber lieber haben wir Sie, die Systemexperten, dabei. Angenehmer Nebeneffekt: Workshops zur Risikoidentifikation sind wunderbares Awareness-Training! Sie möchten lieber so viel wie möglich selbst machen? Dann helfen Ihnen unsere Bibliotheken für Assets, Protokolle, Funktionen, Risikoszenarien und Security-Anforderungen, damit Sie nie ratlos auf ein weißes Blatt Papier starren müssen.

Wie das Ergebnis aussieht, hängt ganz von Ihrem individuellen Problem ab. Vielleicht brauchen Sie ein umfassendes Security-Konzept für Ihr Netzwerk, wollen Security in das Lastenheft einer neuen Anlage integrieren, ein bestehendes Konzept reviewen lassen, müssen die Anforderungen des Cyber Resilience Act für Ihre Produkte interpretieren, Anforderungen an Ihre Lieferanten gemäß einem Standard festlegen oder wollen nur eine Risikoanalyse für Ihre Safety-Systeme durchführen – wir kriegen das hin.

Lesen Sie mehr über unsere Security-Engineering-Lösungen im Info-Center.

Security Management

ISMS, Vorfallmanagement, Risiko Management, Business Continuity Management, Datenschutz

Ein Security-Managementsystem (Informationssicherheitsmanagementsystem, ISMS) ist mehr als ein Stapel Papier. Wir beginnen klein und legen mit Ihnen Ziele fest: Muss Ihr Managementsystem ein Audit oder einen Nachweis bestehen (siehe Regularien)? In einer Gap-Analyse besprechen wir mit Ihnen, was Sie schon haben – denn oft ist das mehr, als Sie denken. Ein Security-Managementsystem sollte nämlich nicht als komplett neue Organisationsinsel bei Ihnen aufgebaut werden, sondern sich in Ihre heutige Arbeitsweise integrieren.

Unser Ziel ist, dass Ihr Managementsystem so früh wie möglich beginnt zu leben – und dann als etwas bereits Lebendiges weiter wächst. Das funktioniert schon nach wenigen Wochen mit unserer Unterstützung – und je sicherer Sie werden, desto mehr ziehen wir uns zurück, wenn Sie das wollen.

Das gleiche gilt für die Betriebswirksamkeit Ihres Security-Managements: Ein Security Management, das sich nicht in Ihre Aufbau- und Ablauforganisation integriert, hat den Namen nicht verdient. Zusammen mit Ihnen flechten wir Ihr Security Management nahtlos in Ihre Hierarchien und Abläufe; informell wie formell. Nur so schaffen Sie es, ein lebendes Security Management zu etablieren und keinen Papiertiger.

Security-Management, das nicht technisch wirksam ist, gibt es für uns nicht. Darum ist Security Management bei uns auch eng mit dem Security Engineering verzahnt. Sie werden Prozesse und Werkzeuge kennen lernen, die Ihnen helfen, wirklich sicherer zu werden, und nicht nur auf dem Papier: Risikomanagement, Vorfallsmanagement, Business Continuity Management, Änderungsmanagement, Schulungen.

Und wenn Sie mögen, integrieren wir auch den Datenschutz im Rahmen eines Datenschutzmanagementsystems oder wie es im Standard der ISO/IEC 27701:2020 heißt: Privacy Information Management System (PIMS) in Ihr ISMS.

Lesen Sie mehr über unsere Security-Management-Lösungen im Info-Center.

Security Test

Penetrationstest, Systeme, Netzwerk, Web-Applikationen, Embedded Systems, OT, MITRE ATT&CK®, SAT, FAT

Wirken Ihre Security-Maßnahmen? Ein Security Test kann Klarheit bringen. Während eines Tests erstellen wir modellbasiert Security-Charakteristiken Ihrer Zielsysteme, die sowohl wirkende Maßnahmen als auch Sicherheitslücken beinhalten. Dabei gehen wir systematisch vor, basierend auf anerkannten Standards wie OSSTMM, OWASP und MITRE ATT&CK® – erweitert um spezielle Verfahren für Produktionsumgebungen.

Dabei schauen wir auf Ihr Netzwerk als Ganzes, einzelne Systeme oder sogar einzelne Applikationen, auch Web-Applikationen. Wenn Sie mögen, beziehen wir auch Ihre OT in die Security-Tests mit ein – aber behutsam. Wir wissen, wie wichtig Ihre Automatisierungssysteme für Sie sind und wie wir mit ihnen umgehen müssen, um die Verfügbarkeit nicht zu gefährden. So stellen wir sicher, dass Ihre geschäftskritischen OT-Systeme während des Tests jederzeit verfügbar bleiben.
Embedded- und IoT-Komponenten können wir auch in unserem eigenen 17025 zertifizierten Prüflabor testen - auch als Konformitätsprüfungen für Zertifikate, zum Beispiel gemäß IEC 62443 . Oder vielleicht brauchen Sie Unterstützung, um Security in Ihre Site- oder Factory Acceptance Tests (SAT / FAT) zu integrieren?

Wenn Sie nicht sicher sind, was ein sinnvoller Scope für Ihren Security-Test ist, finden wir das mit Ihnen gemeinsam auf Basis eines einfachen Systemmodells und Threat Modeling (z.B. auf Basis von MITRE ATT&CK®) heraus - damit der Test Ihnen auch wirklich die Erkenntnisse bringt, die Sie brauchen.

Damit Sie mit Ihren Testergebnissen auch etwas anfangen können, bereiten wir Sie so auf, wie es Ihnen hilft. Zu jedem Testergebnis gehört eine Einordnung, was es für Ihren Kontext bedeuten könnte. Neben Sofortmaßnahmen, die Sicherheitslücken kurzfristig abstellen, machen wir immer auch Empfehlungen für Verbesserungen, um ähnliche Lücken langfristig zu vermeiden. Und wenn es Ihnen hilft, transformieren wir Ihre Testergebnisse direkt so, dass Sie sie in Ihrer Risikoanalyse und Ihrem Informationssicherheitsmanagement verwenden können.

Lesen Sie mehr über unsere Security-Test-Lösungen im Info-Center.

Incident Response

Vorfall, Playbook, First Response, Incident Response Team, PSIRT

Was tun, wenn ein Security-Vorfall passiert? Damit im Falle eines Falles keine Zeit verlorengeht und keine Fehler passieren, hilft es möglichst viel schon „vorzudenken“.

Wir haben ein Team, das dies bereits getan hat – unser Incident Response Team (IRT) steht Ihnen bei, hilft Ihnen Hands-On bei der Vorfallsbewältigung, behält einen kühlen Kopf und die Fäden in der Hand und kümmert sich nebenbei Meldungen und Formalitäten, die bei Vorfällen zu beachten sind. Unser IRT sieht seine Arbeit erst als erledigt an, wenn Sie wieder normal arbeiten können und wissen, was zu tun ist, damit ein Security-Vorfall in dieser Form nicht wieder passiert.

Um möglichst viel vorzudenken, haben wir eine Vorgehensweise, bei der wir auf die Konzepte der Layered Blueprints [REF SE] und Cyber Informed Engineering (CIE) [REF INL] zurückgreifen, um auf Ihre High Consequence Events (HCE), also Ihre etwaigen Vorfälle mit den schlimmstmöglichen Konsequenzen abzustellen, mögliche Schwachstellen und Bedrohungsszenarien zu durchdenken und zu überwachen.

Mit unserer jahrzehntelangen Erfahrung und der darin gewachsenen Expertise in der Sicherheit von Automatisierungssystemen und der OT-Security verstehen wir Ihre Anlagen, die Komponenten und Systeme, um die schlimmstmöglichen Folgen für Sie möglichst zu verhindern.

Unser Wissen als First Responder geben wir auch gern an Sie weiter. Mit Ihnen gemeinsam und basierend auf unseren Erfahrungen erledigen wir „Vordenken“ speziell für Ihre Organisation und machen Ihre Mitarbeiter IRT-fit. Gemeinsam mit Ihnen entwickeln wir Konzepte für Security-Vorfälle, Notfälle und Business Continuity, schreiben Wiederanlaufpläne und Playbooks und üben in TableTop-Übungen mit Ihnen, all diese Konzepte im Falle eines Falles auch anzuwenden. Wenn Sie Hersteller von Automatisierungslösungen sind, bauen wir mit Ihnen eine abgewandelte Form des IRT, ein Product Security Incident Response Team (PSIRT) auf: Was tun, wenn in Ihren Produkten Schwachstellen gefunden werden? Was brauchen Ihre Kunden nun von Ihnen?

Lesen Sie mehr über unsere Incident-Response-Lösungen im Info-Center.

Security Engineering Tool (SET)

Security Engineering, Risk Assessment, Threat Modeling, Model-based Engineering, Cyber-Informed Engineering, Visualization, GRC

Risikoanalysen enden bei Ihnen in Excel-Monstern und Visio-Ungetümen, die niemand pflegt? Sie müssen jedes Mal wieder von vorn nachdenken, wie Ihre komplizierte Risikoanalysetabelle noch mal funktioniert? Sie bekommen das Wissen Ihrer Systemexperten aus der OT einfach nicht in die Risikoanalyse? Ihre Risikoanalyse hilft Ihnen nicht, auch mal klare Entscheidungen gegen Maßnahmen zu treffen, weil alles wichtig erscheint?

Wir kennen das. Unser Security-Engineering-Tool (SET) ist entstanden, weil unsere Berater und Kunden es sich gleichermaßen gewünscht haben - und sie sind es auch, die jedes Detail im Alltag mit viel Liebe feintunen, denn SET entwickelt sich laufend weiter. SET erweckt unsere Layered-Blueprints-Vorgehensweise zum Leben und ist das Risikoanalyse-Tool, mit dem Sie endlich alle relevanten Wissensträger und Entscheider an einen Tisch bekommen. Security Engineering und Risikoanalyse, das sagen unserer Kunden, werden plötzlich viel leichter, wenn SET im Spiel ist. Denn Sie müssen nur noch denken - SET macht den ganzen lästigen Rest.

Features:

Effiziente Modellierung Ihrer Systeme aus Security-Perspektive
Bibliotheken für Assets, Protokolle, Funktionen, Risikoszenarien (basierend auf MITRE ATT&CK) und Security Anforderungen
Abbildung aller gängigen Cybersecurity-Standards
Angeleitete Risikoanalysen basierend auf unserer Layered-Blueprints-Vorgehensweise und den integrierten Bibliotheken
Erzeugung passgenauer Dokumentation für Cybersecurity-Regularien, z.B. Sicherheitsbericht für KAS-51 / Seveso-III, Risikoanalysedokumentation für NIS-2, Technische Dokumentation und Nutzerinformationen für den Cyber Resilience Act (CRA)
Methodenneutral: Nutzung jeder Risikoanalysemethode durch flexible Parametrisierung von Risikomatrix und verwendeten Standards
Zuweisung von Aufgaben und Tracken des Fortschritts
Audit-Sicht für fundierte Antworten bei Audits und Nachweisen
Export aller Modelle, Daten und Reports in editierbare MS-Office-Formate (docx, xlsx, vsdx)
Schnittstellen für die Anbindung an Ihre Toollandschaft
Webbasiert - keine Softwareinstallation notwendig
Verfügbar als Software as a Service (SaaS) oder On-Premise-Version

Um SET auf ihrem Endgerät zu betreiben, benötigen Sie eine aktive Lizenz und einen aktuellen Internetbrowser.
Unterstützte Internetbrowser: Chrome, Firefox, Opera & Edge.

Conformity Assessment

Produktzertifizierungen, BSZ, 62443, Readiness, Common Criteria

Schon im Namen unserer Tochtergesellschaft adfidetia steckt, woraus es uns bei der Zertifizierung Ihrer Produktsicherheit ankommt. „Fides“ ist lateinisch für Vertrauen – und eine Produktzertifizierung schafft dann Wert, wenn sie das Vertrauen Ihrer Kunden in Ihr Produkt erhöht.

Damit ein Zertifikat tatsächlich Vertrauen schafft, muss dahinter eine reproduzierbare und technisch fundierte Prüfung der zertifizierten Eigenschaften stecken. Genau das leistet adfidetia als akkreditiertes Prüflabor des TÜV NORD.

Vor jeder Zertifizierung prüfen wir mit Ihnen, wo auf dem Weg zur Zertifizierungsreife Sie sich befinden, ob es Ihnen erst einmal nur um die „Readiness“ für eine Zertifizierung geht oder ob Sie bis zum Zertifikat gehen wollen, und falls ja, welcher Standard und welches Zertifizierungsschema für Sie in Frage kommen. Wir helfen Ihnen auf Ihrem Weg durch den Dschungel aus Common Criteria, Beschleunigter Sicherheitszertifizierung (BSZ), ISA/IEC 62443 und gesetzlichen Anforderungen.

Und wenn das alles noch Zukunftsmusik für Sie ist, verbessern wir mit Ihnen erst einmal die Security in ihrem Produktentwicklungsprozess – Security Engineering kann die admeritia nämlich ganz gut.

Ihr Ansprechpartner

Andreas Eichmann
Senior Account Manager

Tel.: +49 2173 20363-0
Email: email_info

Aus Ihrem Security‑Problem eine Security‑Lösung machen!

Forschungs- und Förderprojekte

Regelmäßig übernehmen wir die Konsortialführerschaft in Forschungs‑ und Förderprojekten, die OT‑Security in den Fokus rücken. Durch von Bundesministerien geförderte Forschungsprojekte prägen wir zukünftige Entwicklungen und stehen im ständigen Austausch mit Institutionen aus Bildung und Forschung.

Und natürlich fließen alle Ergebnisse zurück in unsere Beratungslösungen.

IDEAS – Integrated Data Models for the Engineering of Automation Security

2021-2023

Motivation

Automatisierte Industrieanlagen sind mit der zunehmenden Vernetzung ihrer Komponenten in Industrie 4.0-Umgebungen zu attraktiven Angriffszielen für IT-Angriffe und Schadcode geworden. Sie sollten darum möglichst im laufenden Betrieb auf sich ändernde Bedrohungsszenarien reagieren können. Sinnvoll wäre es, IT-Sicherheitsmaßnahmen schon bei der Entwicklung der Anlagen zu integrieren und sie nicht erst, wie bisher üblich, im Anschluss an die Automatisierungsplanung aufzusetzen. Die Ingenieurinnen und Ingenieure benötigen dafür Werkzeuge, die es ihnen ermöglichen Sicherheitsaspekte effizient in den bestehenden Entwurfsprozess zu integrieren.

Ziele und Vorgehen

Im Projekt wird daher ein Datenmodell entwickelt, das als digitaler Zwilling alle sicherheitsrelevanten Informationen einer Komponente abbildet und einen systematischen Umgang mit den Sicherheitsinformationen ermöglicht. Zudem wird ein integrierter technischer Ablaufplan konzipiert, mit dem Sicherheit frühestmöglich in den bestehenden Entwicklungsprozess eingegliedert werden kann. Schließlich wird ein Softwarewerkzeug erarbeitet, das es den Entwicklungsingenieurinnen und -ingenieuren ermöglicht, die Datenmodelle und den Ablaufplan optimal in ihre bestehenden Arbeitsabläufe zu integrieren. Um die Praktikabilität der Projektergebnisse sicher zu stellen, unterstützen Hersteller und Betreiber von Automatisierungslösungen als Anwendungspartner das Projekt.

Innovationen und Perspektiven

Die Hersteller können mit dem neuen Datenmodell Sicherheitskonfigurationen für ihre Komponenten hinterlegen und diese automatisch ausrollen. Die Betreiber können sicherheitsrelevante Einstellungen und dadurch behandelte Risiken auslesen. Das Wissen über Schwachstellen und Risiken wird somit besser geteilt.

Im Gegensatz zu vielen bisher verbreiteten Methoden, die darauf abzielen, Sicherheitsvorfälle in Industrieanlagen frühzeitig zu erkennen, setzt man im Projekt IDEAS auf Prävention. Durch diese proaktive Absicherung werden wirtschaftliche Schäden durch IT-Sicherheitsvorfälle in Unternehmen vermieden. Davon profitieren insbesondere KMU, denen oft das nötige Know-how für nachträgliche Sicherheitsmaßnahmen fehlt.

IDEAS-Publikationen

(blau = peer-reviewed)

Datum	Publikation
2021-04	atp: Projektvorstellung IDEAS
2021-04	HSPF Konturen: Projektvorstellung IDEAS
2021-04	Pforzheimer Zeitung: Projektvorstellung IDEAS
2021-05	Blog: Ein Security-Engineering-Werkzeug für Automatisierer
2021-05	Blog: A security enginering tool for automation engineers
2021-08	HSPF News: IDEAS: Integrated Data Models for the Engineering of Automation Security
2022-03	AALE: Warum wir ein Security-Engineering Informationsmodell brauchen E. Taştan, S. Fluchs, and R. Drath, ‘Warum wir ein Security-Engineering-Informationsmodell brauchen’, in Wissenstransfer im Spannungsfeld von Autonomisierung und Fachkräftemangel, Jan. 2022 DOI: 10.33968/2022.25
2022-04	Blog: Generationen von Security-by-Design-Methoden
2022-04	Blog: Generations of security by design methods
2022-06	AUTOMATION: Security-Entscheidungen „by Design“ in das Engineering prozesstechnischer Anlagen integrieren. Konzept der „Automation Security by Design Decisions“ S. Fluchs et al., ‘Security-Entscheidungen „by Design“ in das Engineering prozesstechnischer Anlagen integrieren. Konzept der “Automation Security by Design Decisions”’, presented at the AUTOMATION 2022 (23. Leitkongress der Mess- und Automatisierungstechnik), Baden-Baden, Germany, Jun. 2022.
2022-06	AUTOMATION: AutomationML-basierte Modellierungsansätze für ein Security-Engineering-Informationsmodell E. Taştan, S. Fluchs, and R. Drath, ‘AutomationML-basierte Modellierungsansätze für ein Security-Engineering-Informationsmodell’, presented at the AUTOMATION 2022 (23. Leitkongress der Mess- und Automatisierungstechnik), Baden-Baden, Germany, Jun. 2022.
2022-06	EKA: A Security Decision Base: How to Prepare Security by Design Decisions for Industrial Control Systems S. Fluchs, R. Drath, and A. Fay, ‘A Security Decision Base: How to Prepare Security by Design Decisions for Industrial Control Systems’, presented at the EKA (17. Fachtagung ‘Entwurf Komplexer Automatisierungssysteme’), Magdeburg, Germany, Jun. 2022.
2022-06	Blog: Security by Design Decisions
2022-06	Blog: Security by Design Decisions
2022-08	Blog: Die vier Pfade zu einer Security-Entscheidung
2022-08	Blog: The four paths to a security decision
2022-09	atp: Security by Design für Automatisierungssysteme. Teil 1: Begriffsklärung und Analyse existierender Ansätze S. Fluchs et al., ‘Security by Design für Automatisierungssysteme. Teil 1: Begriffsklärung und Analyse existierender Ansätze’, atp magazin, vol. 63, no. 9/2022, Sep. 2022, DOI: https://doi.org/10.17560/atp.v63i9.2620
2022-09	atp: AutomationML: Ansätze für ein Security-Engineering-Informationsmodell
2022-10	IECON: Security by Design Integration Mechanisms for Industrial Control Systems S. Fluchs, E. Taştan, M. Mertens, A. Horch, R. Drath, and A. Fay, ‘Security by Design Integration Mechanisms for Industrial Control Systems’, in Proceedings of the 48th Annual Conference of the IEEE Industrial Electronics Society (IECON 2022), Brussels, Belgium, Oct. 2022, DOI: https://doi.org/10.1109/IECON49645.2022.9968406
2022-11	NAMUR Hauptsitzung: Ein Informationsmodell für Security Engineering und warum wir das brauchen
2022-12	IAT-Winterkolloquium: Security im PLT-Engineering verankern: Konzept der Security-Parameter
2022-12	atp: Security by Design Decisions für Automatisierungssysteme. Teil 2: Konzept für die Integration von Security-Entscheidungen S. Fluchs et al., ‘Security by Design Decisions für Automatisierungssysteme. Teil 2: Konzept für die Integration von Security-Entscheidungen in das Engineering’, atp magazin, vol. 63, no. 11-12/2022, Dec. 2022, DOI: https://doi.org/10.17560/atp.v63i11-12.2643
2023-01	IEEE Access: Evaluation of visual notations as a basis for ICS security design decisions S. Fluchs, R. Drath and A. Fay, ‘Evaluation of visual notations as a basis for ICS security design decisions’, IEEE Access, Jan. 2023, DOI: https://doi.org/10.1109/ACCESS.2023.3238326
2023-02	S4x23: Security by Design Decisions
2023-02	Blog: Four security engineering simplifiers
2023-06	Sensors: Traceable Security-by-Design Decisions for Cyber-Physical Systems (CPSs) by Means of Function-Based Diagrams and Security Libraries S. Fluchs, E. Taştan, T. Trumpf, A. Horch, R. Drath, and A. Fay, ‘Traceable Security-by-Design Decisions for Cyber-Physical Systems (CPSs) by Means of Function-Based Diagrams and Security Libraries’, Sensors, Jun. 2023, DOI: https://doi.org/10.3390/s23125547
2023-07	Automation 2023: Security-Engineering mit AutomationML - Methodik zur Modellierung von Security-Entscheidungen, -Zielen, -Risiken und -Anforderungen Taştan, E., R. Drath, und S. Fluchs. ‘Security-Engineering mit AutomationML - Methodik zur Modellierung von Security-Entscheidungen, -Zielen, -Risiken und -Anforderungen’, In proceedings of AUTOMATION 2023, 413-28. VDI Verlag, 2023. https://doi.org/10.51202/9783181024195-413
2023-08	OTCEP Forum 2023: How to Turn Security by Design from Myth to Reality
2023-09	at - Automatisierungstechnik: Nachvollziehbare Security by Design-Entscheidungen für Automatisierungssysteme mittels funktionsbasierter Diagramme und Security-Bibliotheken S. Fluchs, E. Taştan, T. Trumpf, A. Horch, R. Drath, and A. Fay ‘Nachvollziehbare Security by Design-Entscheidungen für Automatisierungssysteme mittels funktionsbasierter Diagramme und Security-Bibliotheken’, at - Automatisierungstechnik, vol. 71, no. 9, pp. 759–778, Sep. 2023, DOI: https://doi.org/10.1515/auto-2023-0084
2024-07	NANMUR NE 193: An Information Model for Automation Security Engineering
2024-09	„Cybersecurity Decision Diagrams: A Visual, Model-Based Concept for Making, Documenting, and Communicating Cybersecurity Decisions during and after the (Re-)Design of Industrial Cyber-Physical Systems“. Helmut Schmidt Universität / Universität der Bundeswehr Hamburg, 2024. https://doi.org/10.24405/16760.
2025-09	„Communicating Cybersecurity Decisions and Their Rationales Explicitly during and after CPS Design“. Fluchs, S., Taştan, E., Mertens, M., Horch, A., Matraxia, F., Drath, R., Fay, A., 2025. Communicating Cybersecurity Decisions and Their Rationales Explicitly during and after CPS Design. IEEE Trans. Dependable and Secure Comput. 1–19, 2025. https://doi.org/10.1109/TDSC.2025.3613828