Cybersicherheit bei ZEISS Medical Technology

Grundlegende Vorgaben

Die Anforderungen an die Cybersicherheit und den Datenschutz werden schon in den ersten Schritten des Produkterstellungsprozesses definiert.

ZEISS geht über die einschlägigen internationalen Normen, Gesetze und Vorschriften noch hinaus: Das Unternehmen hat zusätzlich eigene Standards aufgestellt, die für modernste Cybersicherheit in unserem gesamten Produktportfolio sorgen. Diese Standards beruhen auf Best Practices, aktuellen Bedrohungen, internationalen Rahmenwerken zur Sicherheit und auf anderen Quellen, von Kundenvorgaben bis hin zu produktspezifischen Sicherheitszielen.

Erstellen von Bedrohungsmodellen

Als wichtiger Bestandteil des Produktdesigns und der Produktarchitektur werden Bedrohungsmodelle schon früh in den Produktionsprozess eingebunden, um Sicherheitsbedrohungen, Risiken und potenzielle Schwachstellen rechtzeitig aufzudecken.

Anhand von Bedrohungsmodellen analysieren wir systematisch die relevanten Bedrohungen für ein Produkt und beurteilen, wie kritisch diese Bedrohungen für das Produkt sind. Diese Einstufung dient in Kombination mit bekannten Schwächen und Schwachstellen als Grundlage, auf der das Design und/oder die Architektur des Produkts entsprechend überarbeitet wird, damit Bedrohungen schon frühzeitig begegnet wird, bevor sie sich zu Risiken auswachsen.

Als wichtiger Teil unseres Konzepts „Security by Design“ werden Produktdesign und ‑architektur zusätzlich von dedizierten Sicherheitsexperten geprüft.

Sichere Programmierung

Der Programmcode wird während des gesamten Produktentwicklungsprozesses mit Blick auf die Sicherheit getestet, um Sicherheitslücken oder potenzielle Schwachstellen schon frühzeitig im Lebenszyklus zu erkennen.

Als feste Mitglieder der Produktentwicklungsteams haben speziell geschulte Sicherheitstechniker zudem ein Auge darauf, dass Best Practices und modernste Cybersicherheit bei der Programmierung umgesetzt werden. Bei allen Fragen zur Sicherheit steht zusätzlich ein Team hochqualifizierter Sicherheitsexperten bereit.

Statische und dynamische Anwendungssicherheitstests (SAST/DAST)

Während des gesamten Entwicklungsprozesses werden statische Anwendungssicherheitstests mit White-Box-Ansatz und Schwerpunkt auf dem Quellcodeinhalt ebenso wie dynamische Anwendungssicherheitstests mit Black-Box-Ansatz und Schwerpunkt auf Schwachstellen durchgeführt, um potenzielle Schwachstellen und Fehler aufzudecken, die sich auf die Qualität der Software auswirken könnten.

Analyse der Softwarezusammensetzung (SCA)

Softwarekomponenten von Drittanbietern werden im gesamten Lebenszyklus auf bekannte Schwachstellen überwacht, um Risiken durch Open-Source-Software zu minimieren.

Schwachstellentests

Die Produkte werden während des gesamten Lebenszyklus gescannt, um Schwachstellen, die möglicherweise ein Risiko darstellen, proaktiv zu beheben.

Penetrationstests

Produkte werden in Penetrationstests durch vertrauenswürdige Drittanbieter geprüft, um potenzielle Bedrohungen oder Schwachstellen zu identifizieren.
 

Fortlaufendes Bedrohungs- und Schwachstellenmanagement

Wir überwachen die Software und führen Beurteilungen durch, um Bedrohungen und Risiken unserer unterstützten Produkte am Markt zu erkennen, zu identifizieren und zu priorisieren. Die Ergebnisse aus Bedrohungs- und Schwachstellenscans liefern die Grundlage für Beurteilungen, um neue Bedrohungen und Risiken zu ermitteln. Anschließend werden Maßnahmen definiert, die eine angemessene Cybersicherheit aufrechterhalten, je nach Kritikalität.

Sicherheits-Patch-Management

Je nach Kritikalität werden Sicherheits-Patches entwickelt, getestet und veröffentlicht, um die Risiken für Produkte und Infrastruktur der Kunden zu minimieren.