Banner Avatar
Lösung

Security Evaluation and Testing

Verified Security zur Abwehr von Hacker-Angriffen

Kontakt
Robert Hammelrath
Robert Hammelrath

Experte für Security Analysis and Testing

Evaluierungen und Zertifizierungen signalisieren den Kunden in Zeiten zunehmender Cyber-Gefahren, dass ein Unternehmen die Risiken in puncto Datensicherheit ernst nimmt und sie minimiert – das ist Verified Security.
Evaluierungen stellen in Laborprüfungen fest, ob ein IT-Produkt oder -System angemessene Sicherheitsmaßnahmen zur Verfügung stellt und in einer korrekten und effektiven Weise individuelle Sicherheitsanforderungen des Nutzers erfüllt. Ist dies der Fall, kann auf Basis der Testergebnisse eine Zertifizierung vergeben werden. Für viele Anwendungen ist eine solche erfolgreiche Verified Security sogar eine Voraussetzung für ihre Freigabe oder Bauartgenehmigung. Die Verifizierung der Vertrauenswürdigkeit von Sicherheitsaspekten wird in der Regel an einen unabhängigen und qualifizierten Dienstleister wie die lizensierte Prüfstelle von T-Systems ausgelagert.

Für alle Fälle Verified Security

Die von T-Systems durchgeführten Evaluierungen basieren auf international anerkannten Sicherheitsstandards wie ITSEC oder den Common Criteria for Information Technology Security Evaluation – kurz Common Criteria (CC). Dieser allgemein und weltweit anerkannte Standard für Verified Security definiert die Kriterien, die die Sicherheit von Computersystemen ausmachen. Sie sind eingeflossen in den International Standard ISO/IEC 15408. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat T-Systems für CC-Evaluierungen bis hin zu EAL7 ohne technologische Einschränkungen anerkannt.

Aber auch branchenspezifische Verifizierungen von T-Systems werden weltweit von verschiedenen Standards und Organisationen akzeptiert: Im Finanzsektor beispielsweise gehören in die Kategorie Verified Security unter anderem die Kriterien für Bezahlkomponenten und Netzwerke
  •  der Deutschen Kreditwirtschaft, von EMVCo, MasterCard, Visa und PCI (Payment Card Industry),
  • im Bereich Pay-TV die Standards Irdeto’s Secure Chip Security Robustness Evaluation Specification, Viaccess-Orca und Nagra’s NOCS3.0 Programme und
  • im Bereich Datenschutz EuroPrise (anerkannt in der EU).
Verified Security von T-Systems
  • Allgemeine Schemata und Kriterien (Common Criteria, ITSEC)
  • Standards für den Finanzsektor (u. a.Deutsche Kreditwirtschaft, EMVCo, CAST, Visa Smart Card Programme, PCI,) )
  • Standards im Bereich Pay-TV (Irdeto, Viaccess-Orca und Nagra)
  • Evaluierungen im Bereich Datenschutz (EuroPrise)
  • Security Integrated Circuits inkl. Kryptobibliotheken, Frimware und Betriebssysteme (z.B. Smart Cards, System-on-Chip (SoC), embedded Controllers)
  • Hardware Security Modules (HSM; z. B. für PKI oder Banking, Zufallszahlengeneratoren)
  • Embedded Systeme und Terminals (z. B. Smart Phones/Tablets, M2M (Machine To Machine) devices, Bezahlterminals, digitale Tachographen, Automotive, Avionic and Satellite Embedded Security Hardware und Software, Set Top Boxen, E-Health Connectors)
  • Applications (z. B. Obfuscated Software, Hard Disk Encryption Software, Elektronische Unterschrift, Middleware für E-Government Electronic Transactions)
  • Mehr als 20 Jahre Expertise im Bereich weltweit anerkannter Evaluierungen von sicherheitskritischen Produkten
  • Know-how in unterschiedlichen Untersuchungsmethoden wie Reverse Engineering, Physical Manipulations und Probing, Fehlfunktionen und Forced Leakage Attacks, Inherent Leakage Attacks (Seitenkanalanalyse), Möglichkeit der schadhaften Ausnutzung von Eigenschaften. kryptographische Attacken (Protokolle, Algorithmen), Software-Attacken und deren Analyse sowie Erstellung von Sicherheitsrichtlinien (Schutzprofile), die die Sicherheitsanforderungen der Kunden zu 100% erfüllen.
  • Hochqualifiziertes Personal: Mathematiker/Kryptologen, Physiker, Ingenieure, Informatiker
  • Labor mit hochentwickelter und aktueller Ausstattung für die Evaluierung von Hard- und Software
  • Offizielle Schulung für Common Criteria im deutschen Schema des BSI
  • Common Criteria-Entwicklung und Management-Workshops, Unterstützung bei der Erstellung der Sicherheitsvorgaben und bei der Vorbereitung der Dokumentation, Pre-Evaluierung
  • CCDB/JIL Composite Evaluation for Smart Cards and Similar Devices (mandatory CC document, major contribution, editor)
  • JHAS (JIL Hardware Attacks Subgroup)
  • AIS36 Composite evaluation methodology (co-author)
  • AIS20 and AIS31 random number generator evaluation methodology (co-author)
  • AIS34 evaluation methodology for CC Assurance Classes for EAL5+ und EAL6 (major contribution, editor)
  • AIS14 Guidelines for Evaluation Reports (co-author)
  • Elliptic Curve Cryptography security evaluation guide (part of BSI scheme)

Unabhängige und objektive Evaluierungen = Verified Security

T-Systems ist bereits seit 1991 als lizensierte Prüfstelle tätig. Essentiell hierfür ist Unabhängigkeit und Objektivität. Zusammen mit technischer und methodischer Kompetenz ist dies die Basis für die Anerkennung als Prüfstelle. T-Systems verfügt über ein eigenes Labor mit hochentwickelter und aktueller Ausstattung für die Evaluierung von Hard- und Software.
Zu den Kunden zählen zum Beispiel internationale Hersteller von Sicherheitsprodukten. Die T-Systems Consultants helfen, den Evaluierungsprozess für Verified Security zu planen und aufzusetzen. Sie informieren die Kunden über bestehende Schwachstellen sowie aktuellste Angriffsmethoden und Angriffsszenarien. Dies bildet die Grundlage für die nachhaltige Entwicklung von Sicherheitsmaßnahmen und den Aufstieg zu einem Hauptlieferanten für Sicherheitstechnologie.
Mehr zum Thema
Immer up-to-date bleiben
Bitte geben Sie eine gültige E-Mail-Adresse ein.
Thema abonnieren