Leistungsangebot Cyber Resilience

Software und technische Systeme von Anfang an sicher entwickeln

Cyberangriffe sind im digitalen Zeitalter eine der größten Bedrohungen für Unternehmen jeder Größe. Organisationen wie Bitkom, VDMA und das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigen diesen Trend. Die EU reagiert darauf unter anderem mit der Einführung des Cyber Resilience Act (CRA): Insbesondere als Hersteller von Produkten mit Software werden Sie ab 2027 in die Verantwortung genommen, die Cybersicherheit entlang des gesamten Produktlebenszyklus auf einem hohen Niveau zu halten.

Parallel dazu hat die EU weitere Branchen bereits reguliert oder überarbeitet die Regulierung. Im Finanzsektor gilt z.B. der Digital Operation Resilience Act (DORA), der die Widerstandsfähigkeit gegenüber Cyberangriffen in dieser Branche steigern soll. Die neue Maschinenverordnung (eine Überarbeitung der bisherigen Maschinenrichtlinie) bekommt ebenfalls einen neuen Fokus: Neben der traditionellen Betriebssicherheit (Safety) rückt nun auch die Angriffssicherheit (Security) in den Fokus. Die klare Botschaft: Funktionale Sicherheit und Schutz vor Cyberangriffen sind untrennbar und müssen Hand in Hand gehen.

Gemeinsam mit uns verschaffen Sie sich Orientierung im Dickicht der Regularien und Normen. Sie stellen geeignete Gegenmaßnahmen auf und steigern Schritt für Schritt Ihre Produktsicherheit.

 

Lassen Sie sich jetzt unverbindlich von uns beraten!

Cyber Resilience Assessment

Ein blaues Schloss.
© Adobe Stock / Saima

Wie gut sind Sie für den Cyber Resilience Act und weitere Security-Regularien gerüstet? Wir analysieren Ihre Produkte und Prozesse, finden Optimierungspotenziale und erstellen eine bedarfsgerechte Roadmap – für Ihren Weg hin zu mehr Cyber Resilience!

Unsere Leistungen

  • Analyse und Bewertung der Entwicklungs- und Betriebsprozesse Ihrer Produkte mit digitalen Elementen und Softwareanteil
  • Analyse und Bewertung Ihrer Produkte
  • Berücksichtigung aller relevanten Regularien (z. B. Cyber Resilience Act, NIS-2, UNECE R155, DORA) und Normen (z. B. IEC 62443, ISO 21434, ISO 27034)
  • Handlungsempfehlungen und Roadmaps auf Basis erarbeiteter Optimierungspotenziale

Ihr Nutzen

  • Überblick über den Status Quo Ihrer Cyber Resilience
  • Aufwandsabschätzung und Priorisierung für ergänzende Security-Maßnahmen
  • Planungssicherheit für die Umsetzung zusätzlicher Security-Maßnahmen

Einführung Secure Development Lifecycle (SDLC)

Eine Person tippt auf einen Laptop.
© Adobe Stock / Stelena

Hersteller müssen die Cybersicherheit ihrer Produkte nicht nur bei Auslieferung, sondern über ihren gesamten Lebenszyklus nachweisen können! Wir unterstützen Sie bei der Etablierung und Optimierung langfristig sicherer Entwicklungs- und Betriebsprozesse für Ihre Produkte.

Unsere Leistungen

  • Aufstellen einer Roadmap für den angestrebten Secure Development Lifecycle (z. B. in Bezug auf den Cyber Resilience Act (CRA), den Digital Operational Resilience Act (DORA) oder die IEC 62443-4-1)
  • Entwicklung von maßgeschneiderten Methoden und Prozessen
  • Einführungsbegleitung durch Coaching-on-the-Job

Ihr Nutzen

  • Aufbau von Security-Kompetenz im eigenen Team
  • Entwicklung cybersicherer Produkte über den gesamten Lebenszyklus
  • Rechtzeitiges Erfüllen von EU-Regularien zur Cybersicherheit

Bedrohungs- und Risikoanalyse

Zwei Hände die etwas auf einer Tastatur abtippen.
© Adobe Stock / Pungu x

Wer Bedrohungen und Risiken transparent macht, schärft das eigene Sicherheitsbewusstsein und kann gezielte Maßnahmen für eine höhere Cyber Resilience aufstellen. Bewerten Sie mit uns systematisch die Angriffssicherheit Ihrer Produkte und lernen Sie dabei effektive Methoden und Tools zur Bedrohungs- und Risikoanalyse kennen.

Unsere Leistungen

  • Moderation von Bedrohungsanalyse-Workshops
  • Entwicklung eines Bedrohungsmodells für Ihre Produkte
  • Systematische Risikobewertung und Maßnahmenableitung
  • Entwicklung maßgeschneiderter Bedrohungsanalyse-Methoden für Ihr Unternehmen

Ihr Nutzen

  • Dokumentierter Risikostatus Ihrer Produkte
  • Verbessertes Sicherheitsniveau und Sicherheitsbewusstsein im Unternehmen
  • Risikobewertung nach rechtlichen Vorgaben (Cyber Resilience Act, IEC 62443, DORA o.ä.)

Safety-Security-Abhängigkeitsanalyse

Ein Mann inspiziert ein Paperwork.
© Adobe Stock / ipuwadol

Kein Safety ohne Security! Mit automatisierten Analysewerkzeugen aus unserer Forschung ermitteln wir, inwiefern sich Security-Bedrohungen auch auf die Safety Ihrer Produkte auswirken. So adressieren wir z.B. wichtige Neuerungen in der Maschinenverordnung.

Unsere Leistungen

  • Ermittlung von Security-Bedrohungen, die Gefahren auslösen könnten
  • Analyse des Zusammenspiels von Safety- und Security-Maßnahmen
  • Entwicklung maßgeschneiderter teilautomatisierter Methoden und Integration in den Entwicklungsprozess

Ihr Nutzen

  • Auswirkungen von Security-Bedrohungen und -Maßnahmen auf die Safety erkennen
  • Kritische Fehlerpfade und -kombinationen ermitteln
  • Umsetzung von Security-Anforderungen der Maschinenverordnung

Entwicklung und Review von Sicherheitskonzepten

Zwei Hände umformen einen virtuellen Kreis.
© Adobe Stock / Pakin

Ein wichtiges Merkmal von Sicherheitskonzepten ist die Defense in Depth: Sie beinhaltet vielschichtige und gut koordinierte Sicherheitsmaßnahmen, die Angriffsversuche erfolgreich abwehren. Nach diesen Prinzipien gestalten wir die Sicherheitsarchitektur Ihrer Produkte.

Unsere Leistungen

  • Analyse und Bewertung bestehender Sicherheitskonzepte
  • Entwicklung von Sicherheitskonzepten basierend auf Security-Anforderungen und -Bedrohungen
  • Anwendung des Paradigmas Defense in Depth
  • Handlungsempfehlungen zur Verbesserung der Sicherheitsarchitektur Ihrer Produkte

Ihr Nutzen

  • Unabhängig bewertete Sicherheitsarchitekturen
  • Bedarfsgerechte Maßnahmen für mehr Defense in depth
  • Roadmap zur Steigerung des Sicherheitsniveaus Ihrer Produkte

Secure Coding Coaching

Eine Mann und eine Frau arbeiten an einem Laptop.
© Adobe Stock / Nijat

Mit unserem Coaching befähigen wir Ihre Entwickler:innen, sichere Programmiermethoden langfristig erfolgreich einzusetzen. Dadurch gelingt es, Schwachstellen in Ihrer Software bereits früh in der Entwicklung zu verhindern.

Unsere Leistungen

  • Intensives Coaching durch Pair Programming mit unseren Expert:innen
  • Vermittlung von sicheren Programmiermethoden
  • Code Reviews und Verbesserungsvorschläge

Ihr Nutzen

  • Aufbau von Security-Knowhow in Ihrem Entwicklungsteam
  • Praxisnahes Lernen anhand eigener Projekte
  • Sicherer Programmcode für das eigene Unternehmen

Einführung von Intrusion Detection & Prevention Systems (IDPS)

Eine Kamera die Zahlen überwacht.
© Adobe Stock / Victor Bertrand

Schützen Sie Ihre Produkte mit KI-unterstützten Intrusion Detection & Prevention Systems (IDPS). Sie erkennen frühzeitig Anomalien im Betrieb Ihrer Produkte und decken so auch noch unbekannte Angriffe auf – bevor sie Schaden anrichten.

Unsere Leistungen

  • Erhebung der Anforderungen für den effektiven Einsatz von Intrusion Detection & Prevention Software
  • Unterstützung bei der Auswahl und Evaluation geeigneter Tools
  • Machbarkeitsuntersuchung für Machine-Learning-basierte Angriffserkennungssysteme

Ihr Nutzen

  • Auswahl geeigneter Intrusion Detection & Prevention Software
  • Erkennen und Verhindern von Angriffen auf Ihre Produkte
  • Zugriff auf Forschungserkenntnisse zu Machine-Learning-basierten, verteilten Angriffserkennungssystemen auf Ebene von Softwareanwendungen

Einführung und Optimierung von Product Security Incident Response Teams (PSIRT)

Drei Menschen vor Computern.
© Adobe Stock / Stock Pix

Erkennen Sie Schwachstellen in der Software Ihrer Produkte, müssen Sie schnell reagieren! Mit uns stellen Sie ein Product Security Incident Response Team (PSIRT) auf, das im Security-Ernstfall schnell handeln kann. Und auch in ruhigen Zeiten unterstützt das PSIRT dabei, die Sicherheit Ihrer Software Supply Chain im Blick zu behalten.

Unsere Leistungen

  • Analyse Ihrer Prozesse zum Managen von Schwachstellen oder Security-Vorfällen Ihrer Produkte
  • Coaching bei der Implementierung eines PSIRT in Ihrer Organisation
  • Coaching bei der Einführung von Prozessen wie Anlaufstelle für die Meldung von Schwachstellen, Monitoring von 3rd-Party Softwarekomponenten (z.B. mittels SBOM), Veröffentlichung von Sicherheitsinformationen (z.B. über CSAF), etc.
  • Orientierung am FIRST PSIRT Services Framework und der ISO 30111

Ihr Nutzen

  • Schnelle und systematische Reaktion auf Sicherheitsschwachstellen in Ihren Produkten
  • Schnelle Reaktion auf Schwachstellen in von Dritten zugelieferter Software
  • Erfüllung der Reporting-Pflichten im Cyber Resilience Act
Grafik mit Überschrift
© Fraunhofer IEM

Sie haben Interesse an einer Zusammenarbeit? Kontaktieren Sie uns gerne.

Markus Fockel

Contact Press / Media

Dr. Markus Fockel

stellv. Abteilungsleiter Sichere IoT-Systeme

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-120

Matthias Becker

Contact Press / Media

Dr. Matthias Becker

Abteilungsleiter Sichere Services & Apps

Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM
Zukunftsmeile 1
33102 Paderborn

Telefon +49 5251 5465-158