Informationsschutz und Cybersicherheit. Moderne digitale Grundlagen für die Sicherheit
CYBERSICHERHEIT UND DATENSCHUTZ

Cybersicherheit bei ZEISS Medical Technology

Schutz für Produkte und Daten

ZEISS Cybersicherheits- und Datenschutz-Governance-Programm

Die Digitalisierung im Gesundheitswesen nimmt weiter zu. Und damit auch die Bedrohung der Cybersicherheit. Umso wichtiger ist der zuverlässige Schutz von Produkten und Daten in der vernetzten Pflegeumgebung.

Innovationen waren schon immer ein fester Bestandteil der DNA von ZEISS Medical Technology – dazu gehört es auch, cybersicher aufgestellt zu sein. Wir konzipieren und produzieren unsere Produkte mit integrierter Sicherheit. Um das zu gewährleisten, wurde unser ZEISS Cybersicherheits- und Datenschutz-Governance-Programm ins Leben gerufen. Damit wird der gesamte Produktlebenszyklus auf Sicherheitsrisiken und mögliche Schwachstellen überwacht und das digitale Umfeld beobachtet, um unsere Produkte vor neuen Bedrohungen zu schützen.

  • Cybersicherheitsexperten

  • Rundum sichere Produktlebenszyklen

  • Sichere Prozesse im Entwicklungslebenszyklus

ZEISS Cybersicherheits- und Datenschutz-Governance-Programm

ZEISS Cybersicherheitsexperten

Hinter jedem Produkt

Innerhalb unseres Unternehmens und in enger Zusammenarbeit mit Partnern und Kunden schützt ein global agierendes Team aus Datensicherheitsexperten Ihre Produkte und Daten.

Ihre Fachkenntnis sichert Entwicklungsprozesse im Produktlebenszyklus und hilft, Cybergefahren vorzubeugen, Bedrohungen zu erkennen und darauf zu reagieren. Sie tragen dazu bei, die Qualitätsstandards unserer Produkte einzuhalten. 

Die Sicherheitsexperten sorgen in enger Zusammenarbeit mit dem Unternehmens- und Produktmanagement dafür, dass Informationssicherheit und Datenschutz in den gesamten Produktlebenszyklus eingebunden sind: Ziel ist es, die Grundsätze und Prozesse „Secure by Design“ und „Privacy by Design“ im Verlauf des gesamten Produktlebenszyklus umzusetzen. Zusammen mit unseren Entwicklern und Anbietern trägt das Team zur Sicherheit unserer Produkte bei und beobachtet den Produktlebenszyklus und das Cybersicherheitsumfeld auf potenzielle Risiken, mögliche Schwachstellen und Bedrohungen und greift sofort ein, um diese zu beheben.

Rundum sichere Produktlebenszyklen – Management und Minimierung von Sicherheitsrisiken

Rundum sichere Produktlebenszyklen

Management und Minimierung von Sicherheitsrisiken

Um das Management von Sicherheitsrisiken während des gesamten Produktlebenszyklus zu gewährleisten, unterliegen unsere Produkte den branchenüblichen Standards und Best Practices für Entwicklung, Testing und Instandhaltung. Unsere Produkte verfügen über integrierte Sicherheitsfunktionen und ‑kontrollen, um den Normen und Vorschriften der jeweiligen Arbeitsumgebung zu entsprechen (beispielsweise HIPAA, DSGVO und ISO 27001). Das gilt von der Installation und ersten Inbetriebnahme über das laufende Geräte-Management bis hin zur täglichen Nutzung und Bedienung. In den Produktgenerierungs- und Produktlebenszyklusprozessen legen wir einige Schwerpunkte:

  • Authentifizierung und Autorisierung
  • Zugriffskontrollen
  • Auditierung und Protokollierung
  • Datensicherung und ‑wiederherstellung
  • Datenverschlüsselung (im Speicherzustand und bei der Übertragung)
  • Malware-Erkennung/‑Schutz
  • Sichere Konfiguration und Hardening

Die 360°-Prozesse für die Cybersicherheit unserer Produkte versetzen uns in die Lage, die immer neuen Risiken durch digitale Bedrohungen rechtzeitig zu erkennen, einzuschätzen und bei Bedarf zu entschärfen: konsequentes, effektives Cyber-Risikomanagement eben.

Dediziertes Cybersicherheitsteam

Sichere Prozesse im Entwicklungslebenszyklus

Sicherheit und Datenschutz bestimmen alle unsere Produktentwicklungslebenszyklen. Diese Sicherheit wird bei jedem Design-Schritt in die Prozesse eingebunden.

  • Planung und Anforderungen

    Anforderungen an die Sicherheit

    Grundlegende Vorgaben

    Die Anforderungen an die Cybersicherheit und den Datenschutz werden schon in den ersten Schritten des Produkterstellungsprozesses definiert.

    ZEISS geht über die einschlägigen internationalen Normen, Gesetze und Vorschriften noch hinaus: Das Unternehmen hat zusätzlich eigene Standards aufgestellt, die für modernste Cybersicherheit in unserem gesamten Produktportfolio sorgen. Diese Standards beruhen auf Best Practices, aktuellen Bedrohungen, internationalen Rahmenwerken zur Sicherheit und auf anderen Quellen, von Kundenvorgaben bis hin zu produktspezifischen Sicherheitszielen.

  • Architektur und Design

    Sicheres Design

    Erstellen von Bedrohungsmodellen

    Als wichtiger Bestandteil des Produktdesigns und der Produktarchitektur werden Bedrohungsmodelle schon früh in den Produktionsprozess eingebunden, um Sicherheitsbedrohungen, Risiken und potenzielle Schwachstellen rechtzeitig aufzudecken.

    Anhand von Bedrohungsmodellen analysieren wir systematisch die relevanten Bedrohungen für ein Produkt und beurteilen, wie kritisch diese Bedrohungen für das Produkt sind. Diese Einstufung dient in Kombination mit bekannten Schwächen und Schwachstellen als Grundlage, auf der das Design und/oder die Architektur des Produkts entsprechend überarbeitet wird, damit Bedrohungen schon frühzeitig begegnet wird, bevor sie sich zu Risiken auswachsen.

    Als wichtiger Teil unseres Konzepts „Security by Design“ werden Produktdesign und ‑architektur zusätzlich von dedizierten Sicherheitsexperten geprüft.

  • Entwicklung

    Sichere Entwicklung

    Sichere Programmierung

    Der Programmcode wird während des gesamten Produktentwicklungsprozesses mit Blick auf die Sicherheit getestet, um Sicherheitslücken oder potenzielle Schwachstellen schon frühzeitig im Lebenszyklus zu erkennen.

    Als feste Mitglieder der Produktentwicklungsteams haben speziell geschulte Sicherheitstechniker zudem ein Auge darauf, dass Best Practices und modernste Cybersicherheit bei der Programmierung umgesetzt werden. Bei allen Fragen zur Sicherheit steht zusätzlich ein Team hochqualifizierter Sicherheitsexperten bereit.

  • Tests

    Sicherheitstests

    Statische und dynamische Anwendungssicherheitstests (SAST/DAST)

    Während des gesamten Entwicklungsprozesses werden statische Anwendungssicherheitstests mit White-Box-Ansatz und Schwerpunkt auf dem Quellcodeinhalt ebenso wie dynamische Anwendungssicherheitstests mit Black-Box-Ansatz und Schwerpunkt auf Schwachstellen durchgeführt, um potenzielle Schwachstellen und Fehler aufzudecken, die sich auf die Qualität der Software auswirken könnten.

    Analyse der Softwarezusammensetzung (SCA)

    Softwarekomponenten von Drittanbietern werden im gesamten Lebenszyklus auf bekannte Schwachstellen überwacht, um Risiken durch Open-Source-Software zu minimieren.

    Schwachstellentests

    Die Produkte werden während des gesamten Lebenszyklus gescannt, um Schwachstellen, die möglicherweise ein Risiko darstellen, proaktiv zu beheben.

    Penetrationstests

    Produkte werden in Penetrationstests durch vertrauenswürdige Drittanbieter geprüft, um potenzielle Bedrohungen oder Schwachstellen zu identifizieren.
     

  • Überwachung und Wartung

    Sicherheitsüberwachung und ‑wahrung

    Fortlaufendes Bedrohungs- und Schwachstellenmanagement

    Wir überwachen die Software und führen Beurteilungen durch, um Bedrohungen und Risiken unserer unterstützten Produkte am Markt zu erkennen, zu identifizieren und zu priorisieren. Die Ergebnisse aus Bedrohungs- und Schwachstellenscans liefern die Grundlage für Beurteilungen, um neue Bedrohungen und Risiken zu ermitteln. Anschließend werden Maßnahmen definiert, die eine angemessene Cybersicherheit aufrechterhalten, je nach Kritikalität.

    Sicherheits-Patch-Management

    Je nach Kritikalität werden Sicherheits-Patches entwickelt, getestet und veröffentlicht, um die Risiken für Produkte und Infrastruktur der Kunden zu minimieren.

ZEISS Cybersicherheit – Häufig gestellte Fragen

  • Ja. Das ZEISS Cybersicherheits- und Datenschutz-Governance-Programm soll unsere Produkte und Dienstleistungen unterstützen und schützen sowie die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Systeme unserer Kunden gewährleisten.

    Über das ZEISS Cybersicherheits- und Datenschutz-Governance-Programm bindet unser dediziertes Team von Sicherheitsexperten die Informationssicherheit und den Datenschutz im gesamten Unternehmen in unsere Produkte und in den gesamten Produktlebenszyklus ein. Informationssicherheit und Datenschutz stehen unter der Kontrolle, Aufsicht und Anleitung der Cybersicherheitsexperten. Sie entwickeln die entsprechenden Richtlinien, Prozesse und Verfahren und fördern eine Best-Practice-Kultur, mit der sichergestellt wird, dass unsere Produkte Qualitätsstandards einhalten und es ermöglichen, Cyberbedrohungen vorzubeugen sowie eintretende Bedrohungen zu erkennen und darauf zu reagieren.

    Unser Expertenteam für die Produktsicherheit im gesamten Produktlebenszyklus:

    • Beauftragte für die Unternehmensinformationssicherheit (BISOs)
    • Informationssicherheitsmanager (ISMs)
    • Informationssicherheitsbeauftragte (ISOs)
    • Produktsicherheitsbeauftragte (PSOs)
    • Sicherheitstechniker
    • Cloud-Sicherheits-Experten
    • Datenschutzexperten
    • Bedrohungs- und Schwachstellenmanager

    Diese Experten befassen sich mit Sicherheitsfragen in unserem Produktgenerierungsprozess, beispielsweise:

    • Authentifizierung und Autorisierung
    • Zugriffskontrollen
    • Auditierung und Protokollierung
    • Datensicherung und ‑wiederherstellung
    • Datenverschlüsselung (im Speicherzustand und bei der Übertragung)
    • Malware-Erkennung/‑Schutz
    • Sichere Konfiguration und Hardening
  • Ja. Wir prüfen unsere Richtlinien und Verfahren in regelmäßigen Abständen und aktualisieren sie je nach Bedarf.

  • Ja. Wir betreiben ein Anbietermanagementprogramm, zu dem eine gründliche Beurteilung der Cybersicherheitspraktiken gehört, bevor der betreffende Anbieter beauftragt wird. Wir beurteilen die Sicherheitskontrollen, führen Audits durch und fordern die Einhaltung unserer Cybersicherheitsrichtlinien ein.

  • Wir nutzen einen Risikobeurteilungsrahmen, der die potenziellen Auswirkungen ebenso wie die Ausnutzbarkeit und die Wahrscheinlichkeit verschiedener Cybersicherheitsrisiken berücksichtigt. Damit ist es leichter, die kritischsten Risiken zu priorisieren und diesen zuerst die entsprechenden Ressourcen zuzuweisen. Wir halten uns im Hinblick auf neu aufkommende Bedrohungen und Schwachstellen auf dem Laufenden, damit unsere Risikobeurteilungen auch in Zukunft so umfassend wie möglich bleiben.

  • Ja. Die Erstellung von Bedrohungsmodellen nach einer anerkannten Methode wird verlangt und wird für jeden einzelnen Prozess durchgeführt.

Kontaktieren Sie uns

Vertriebs- und Produktanfrage

Formular wird geladen ...

Hier können Sie weitere Informationen anfordern oder eine Vertriebsanfrage stellen.
Bitte geben Sie an, für welche Produkte Sie sich interessieren und welche Informationen Sie wünschen.

Die Angaben, die Sie in dieses Formular eintragen, werden von der Carl Zeiss Meditec AG und unseren örtlichen Carl Zeiss Meditec Vertriebsgesellschaften verarbeitet, um Ihre Anfrage per E-Mail oder Telefon zu beantworten. Weitere Informationen über die Datenverarbeitung bei ZEISS entnehmen Sie bitte unseren Datenschutzhinweisen.

Serviceanfrage

Formular wird geladen ...

Hier erhalten Sie Hilfe oder Antworten auf Ihre Fragen zu ZEISS Produkten.
Bitte füllen Sie dieses Formular aus, damit wir uns mit Ihnen in Verbindung setzen können.

Die Angaben, die Sie in dieses Formular eintragen, werden von der Carl Zeiss Meditec AG und unseren örtlichen Carl Zeiss Meditec Vertriebsgesellschaften verarbeitet, um Ihre Anfrage per E-Mail oder Telefon zu beantworten. Weitere Informationen über die Datenverarbeitung bei ZEISS entnehmen Sie bitte unseren Datenschutzhinweisen.

Allgemeine Anfrage

Formular wird geladen ...

Hier können Sie allgemeine Anfragen zu offenen Stellen, Pressematerial und Unternehmensinformationen stellen.
Bitte beschreiben Sie Ihre Anfrage möglichst ausführlich.

Die Angaben, die Sie in dieses Formular eintragen, werden von der Carl Zeiss Meditec AG und unseren örtlichen Carl Zeiss Meditec Vertriebsgesellschaften verarbeitet, um Ihre Anfrage per E-Mail oder Telefon zu beantworten. Weitere Informationen über die Datenverarbeitung bei ZEISS entnehmen Sie bitte unseren Datenschutzhinweisen.