Sicherheit im Fokus

Source Code & Firmware Lösungen

Software kontrolliert heute alle wichtigen Maschinen- und Geschäftsprozesse

Informationstechnisch und funktional sichere Software und Firmware ist Grundvoraussetzung für zuverlässige, sichere und effiziente Nutzung von Geschäftsprozessen, Maschinen und Geräten.

Individuelles Angebot anfordern

Eine Person sitzt am Schreibtisch und tippt am PC, auf den Bildschirmen sieht man Code.

Unverzichtbare Software

Ziele von Source Code & Firmware Lösungen

Die Kronjuwelen aller IT-Systeme

Die Softwareentwicklung beginnt mit Source Code - in Hochsprachen verfasster Text, der die Anweisungen eines Programms enthält. Source Code ist somit die Grundlage dafür, die Funktionalität eines Programms zu definieren und bildet die Basis für alle IT-Anwendungen und Systeme. Jedes digitale Tool, jede Anwendung und jedes System beginnt als Quellcode.

Ob Betriebssystem oder Anwendung, Software führt spezifische Aufgaben aus - von der Verwaltung von Systemressourcen bis zur Ausführung von Benutzeranwendungen. Auf Hardwareebene übernimmt sie als embedded Software oder Firmware die grundlegenden Funktionen eines Geräts.

Daraus ergeben sich drei Hauptziele, die bei der Programmierung typischerweise verfolgt werden:

Schreiben von fehlerfreiem Code
Umsetzen der Designspezifikation
Vermeidung von Sicherheitsproblemen

Jetzt kontaktieren

Code-Analyse für Qualitäts- und Sicherheitsmanagement

Ob Smart-Home-System, Enterprise-Applikation oder IoT-Device - Code-Analyse ist essenziell, um Fehler und Schwachstellen zu finden und zu beheben. Die Analyse kann sowohl auf Quellcode-Ebene als auch auf Binärcode-Ebene erfolgen, aber die Methoden haben unterschiedliche Stärken und Anwendungsgebiete. Quellcodeanalyse, sogenannte Statische Anwendungssicherheitstests (SAST) untersuchen den Quellcode einer Software, während bei der Binäranalyse der kompilierte Code untersucht wird.

Statische Softwareanalyse

Wenn der Quellcode verfügbar ist, ist eine statische Softwareanalyse der bevorzugte Ansatz, denn hiermit können potenzielle Sicherheitslücken frühzeitig schon in der Entwicklungsphase identifiziert werden. Außerdem wird sichergestellt, dass der Code nach bestimmten Sicherheitsstandards geschrieben wird. Deswegen ist die Quellcode Analyse auch Bestandteil von Hochsicherheitsprüfungen und Zertifizierung, wie z. B. Common Criteria. Mit der Binäranalyse lässt sich auch Software analysieren, deren Quellcode nicht verfügbar ist. So werden versteckte Bedrohungen in Drittanbieterkomponenten und proprietären Bibliotheken aufgedeckt.

Prüfung und Zertifizierung

Die automatisierte Quellcodeanalyse identifiziert Sicherheitslücken und Codefehler mithilfe von Tools. Sie bietet schnelle und konsistente Ergebnisse, hat jedoch Einschränkungen wegen begrenzter Fähigkeit zur Erkennung komplexer Fehler. Deswegen führen IT-Sicherheitsexperten manuelle Software-Reviews durch, die tiefgehende Überprüfungen und eine Bewertung der Code-Qualität im Kontext ermöglichen. Die Prüfung und Zertifizierung von Software bietet formale Bestätigung der Einhaltung von Standards. Das führt zu erhöhtem Vertrauen bei Kunden und Geschäftspartnern und weist die Einhaltung gesetzlicher und branchenspezifischer Anforderungen nach. Diese Ansätze ergänzen sich und bieten eine umfassende Strategie zur Gewährleistung der Softwarequalität und -sicherheit.

Welcher Weg passt zu mir?

Hersteller haben verschiedene Standards, um Ihre Software- und Firmware Updates prüfen zu lassen. So haben sie Gewissheit, gesetzliche Anforderungen zu erfüllen. Alle Ansätze setzen auf Vertrauenswürdigkeit, Integrität und Zuverlässigkeit, setzen in Teilen jedoch auf unterschiedliche Ansätze.

Trusted Product Security

TÜVIT-eigenes Prüf- & Zertifizierungsschema für die Sicherheit von IT-Produkten

Mehr erfahren

IEC 62443

Internationaler Standard im Umfeld der Prozess- und Automatisierungsindustrie

Mehr erfahren

Eine Person arbeitet an einem Schreibtisch am PC

Sicherheitstechnische Qualifizierung (SQ)

Prüfung und Zertifizierung von komplexen IT-Systemen und IT-Produkten

Mehr erfahren

Common Criteria

Common Criteria (CC) ist ein globaler IT-Sicherheitsstandard nach ISO/IEC 15408

Mehr erfahren

Wir helfen Ihnen weiter - so oder so

Endlich loslegen!

Wir beraten Sie

TÜV NORD IT Secure Communication I Berlin

Zu den Beratungsleistungen Kontakt aufnehmen

Ziel erreicht?

Wir prüfen das

TÜV Informationstechnik I Essen

Zu den Prüfangeboten Kontakt aufnehmen

Relevante Gesetze und Gesetzesvorhaben

Cyber Resilience Act (CRA)

Cyber Security Act

Häufig gestellte Fragen (FAQ)

Was Sie über Firmware Lösungen wissen müssen

Derzeit gibt es verschiedene Evaluierungs- und Zertifizierungssysteme, die alle das Ziel haben, die Sicherheit zu erhöhen, dass Komponenten und Systeme einen angemessenen Schutz gegen Cybersecurity-Angriffe bieten. Allerdings kann eine Zertifizierung nur Angriffe adressieren, die heute bekannt sind, mit einem begrenzten Ausblick in die Zukunft. Bei der Untersuchung heutiger Zertifizierungssysteme lässt sich eine Gemeinsamkeit zur Abmilderung dieser Einschränkung erkennen: die Anforderung an das Produkt, Mittel zur Verfügung zu stellen, um eine Sicherheitslücke jederzeit zu beheben, auch nach erfolgreicher Zertifizierung. Dies mag auf den ersten Blick wie ein Widerspruch zur Sicherheitszertifizierung klingen, ist aber eher ein Spiegelbild dessen, woran Verbraucher bereits gewöhnt sind: häufige Patches, die an gut geplanten, regelmäßigen Patch-Tagen auf unsere Personal Computer verteilt werden.

Eine weitere Beobachtung, die man machen kann, wenn man die heutigen Zertifizierungssysteme vergleicht, ist, dass sie die Sicherheit der produkt- oder branchenspezifischen Funktionalitäten der Komponente oder des Systems adressieren und die Anforderung eines (sicheren) Patch-Mechanismus hinzufügen.

Die Realität sieht jedoch oft anders aus, insbesondere wenn man eingebettete Geräte wie integrierte Schaltkreise (ICs) oder System-on-Chips (SoCs) betrachtet. Hier wird im Gegensatz zur reinen Software-Entwicklung die Durchlaufzeit für die Wafer-Produktion und den Wafer-Test zu einem entscheidenden Faktor und bildet oft den Flaschenhals für Time-to-Market-Überlegungen. Daher ist es von Vorteil, diese zeitaufwendigen Schritte vorzuziehen und eine lösungsagnostische, universelle Hardware, gepaart mit einem universellen Firmware-Loader, bereits vor Beginn der lösungsspezifischen Firmware-Entwicklung zur Verfügung zu haben. Gleichzeitig vereinfacht die Entkopplung dieser Schritte auch die Logistik auf der Seite des Herstellers.

Um diesen Industrieansatz zu adressieren, bewertet das hier vorgestellte Firmware-Update-Evaluierungskonzept von TÜVIT ausschließlich den Patch- oder Firmware-Update-Mechanismus unabhängig von den Funktionalitäten, für die die Komponente oder das System letztendlich eingesetzt wird.

Das Zertifikat hat eine Gültigkeit von zwei Jahren.

Die Zertifizierung durch TÜVIT bietet einen Vertrauens- und Sicherheitsnachweis gegenüber Geschäftspartnern und Kunden, obwohl, oder gerade wenn, der letztendliche Use-Case noch nicht feststeht.

Ja, insbesondere gibt es die Möglichkeit, die Evaluationstiefe, und somit Zeit und Kosten der Prüfung, auf das erwartete Angriffspotenzial hin anzupassen. Weitere Details hierzu finden Sie im Zertifizierungskonzept.

Unbedingt! Das Konzept sieht Penetrationstest nach vorausgehendem Design- und Codereview vor. Entdecken die TÜVIT-Experten bereits in dieser Phase Schwachstellen, so werden diese an den Hersteller adressiert. Somit können sowohl das Produkt als auch die Chancen auf eine erfolgreiche Zertifizierung verbessert werden.

Grundsätzlich ja. Ein sicherer FW-Loader ist die Basis eines jeden sicheren IT-Produktes. Zertifizierungsmethodiken wie z. B. nach den Common Criteria oder IEC 62443 fordern daher berechtigterweise eine Sicherheitsprüfung dieser Funktionalitäten. Daher haben wir bei der Entwicklung des Kriterienwerkes speziell auf die Möglichkeit zur Wiederverwendung für unterschiedlichste Anwendungsfälle geachtet.