Cybersicherheit bei ZEISS Microscopy

Grundanforderungen

Cybersicherheit, Datenschutz, Responsible AI und Open-Source Software (FOSS) Compliance sind grundlegende Elemente unserer Produktentwicklung bei ZEISS Microscopy. Diese Anforderungen werden bereits in den frühesten Stadien des Produktentstehungsprozesses festgelegt und ziehen sich durch den gesamten Lebenszyklus.

ZEISS erfüllt nicht nur internationale Standards, Gesetze und Vorschriften, sondern hat auch ein einheitliches Governance-Framework geschaffen, das Schutz auf höchstem Niveau in unserem gesamten Portfolio gewährleistet. Dieses stützt sich auf bewährte Verfahren, sich entwickelnde Bedrohungslandschaften, regulatorische Entwicklungen wie das EU AI-Gesetz und spezifische Kunden- und Produktsicherheitsziele.

Unser Governance-Programm gewährleistet:

• Cybersicherheit und Datenschutz by Design: Sichere Konfigurationen, Zugangskontrollen, Verschlüsselung und kontinuierliche Überwachung von Bedrohungen sind integraler Bestandteil unserer Entwicklungs- und Bereitstellungsprozesse
• Responsible AI: KI-Systeme werden durch integrierte Workflows auf Risiken und Compliance geprüft, um eine ethische und gesetzeskonforme Nutzung im Einklang mit globalen Vorschriften sicherzustellen
• FOSS Compliance: Open-Source-Komponenten werden mit strengen Lizenzierungs- und Sicherheitskontrollen verwaltet, um Transparenz, Rückverfolgbarkeit und rechtliche Integrität zu gewährleisten.  

Dieser ganzheitliche Ansatz ermöglicht es ZEISS Microscopy, sichere, konforme und vertrauenswürdige Lösungen zu liefern, die unsere Kunden und Partner in einer vernetzten, datengesteuerten Welt unterstützen.

Bedrohungsmodellierung

Als wesentlicher Bestandteil des Produktdesigns und der Definition der Produktarchitektur wird die Bedrohungsmodellierung bereits in einer frühen Phase des Produktdesigns eingesetzt, um Sicherheitsbedrohungen, Risiken und potenzielle Schwachstellen zu identifizieren.

Bei der Bedrohungsmodellierung analysieren wir systematisch die für ein Produkt geltenden Bedrohungen und bewerten die Kritikalität für dieses Produkt. Auf der Grundlage dieser Kritikalitätseinstufung in Verbindung mit bekannten Schwachstellen und Anfälligkeiten wird das Design und/oder die Architektur eines Produkts entsprechend angepasst, um Bedrohungen zu bekämpfen, bevor sie zu Risiken werden.

Als wichtiger Teil unseres „Security by Design“-Ansatzes werden das Produktdesign und die Architektur von speziellen Sicherheitsexperten überprüft.

Sicheres Coding

Während des gesamten Produktentwicklungsprozesses werden Überprüfungen des sicheren Codes durchgeführt, um sicherzustellen, dass kritische Sicherheitsmängel oder potenzielle Schwachstellen frühzeitig während des Lebenszyklus erkannt werden.

Darüber hinaus sind speziell geschulte Sicherheitsingenieure obligatorische Mitglieder der Produktentwicklungsteams, um optimale Verfahren und modernste Cybersicherheit bei der Programmierung zu gewährleisten. Weiterhin steht ein dediziertes Team aus hochqualifizierten Sicherheitsexperten für die Beratung in allen Sicherheitsfragen zur Verfügung.

Statische und dynamische Anwendungssicherheitstests (SAST/DAST)

Statische Sicherheitstests für Anwendungen mit einem White-Box-Ansatz und Schwerpunkt auf dem Quellcode-Inhalt sowie dynamische Sicherheitstests für Anwendungen mit einem Black-Box-Ansatz und Schwerpunkt auf Schwachstellen werden während des gesamten Entwicklungsprozesses durchgeführt. Es werden potentielle Schwachstellen und Fehler ermittelt, die die Softwarequalität beeinträchtigen könnten.
 

Software-Zusammensetzungsanalyse (SCA)

Die Überwachung der Softwarekomponenten von Drittanbietern auf bekannte Schwachstellen erfolgt über den gesamten Lebenszyklus hinweg, um die Risiken von Open-Source-Software zu minimieren.
 

Schwachstellentests

Die Produkte werden während ihres gesamten Lebenszyklus auf Schwachstellen gescannt, um Schwachstellen, die ein Risiko darstellen könnten, proaktiv zu erkennen.

Penetrationstests

Die Produkte werden von vertrauenswürdigen Drittanbietern einem Penetrationstest unterzogen, um potenzielle Bedrohungen oder Schwachstellen zu ermitteln.

Kontinuierliches Bedrohungs- und Schwachstellenmanagement

Wir überwachen Software und führen Bewertungen durch, um Bedrohungen und Risiken der von uns unterstützten Produkte auf dem Markt zu erkennen, zu identifizieren und zu priorisieren. Es werden Bedrohungs- und Schwachstellen-Scans durchgeführt und auf der Grundlage der Ergebnisse werden Bewertungen vorgenommen, um neue Bedrohungen und Risiken zu ermitteln. Anschließend werden je nach Kritikalitätsgrad Maßnahmen zur Aufrechterhaltung eines angemessenen Niveaus der Cybersicherheit festgelegt.

Management von Sicherheitspatches

Je nach Kritikalität werden Sicherheitspatches entwickelt, getestet und freigegeben, um die Risiken für die Produkte und die Infrastruktur der Kunden zu verringern.