Cybersicherheit bei PROGNOST

Bei PROGNOST ist Cybersicherheit ein wesentlicher Bestandteil der Gestaltung, Entwicklung und Wartung unserer Produkte. Wir folgen anerkannten Cybersicherheitsstandards, integrieren Sicherheit im gesamten Produktlebenszyklus und verbessern kontinuierlich unsere Schutzmassnahmen, um den sich weiterentwickelnden Cyberbedrohungen in IT- und OT-Umgebungen gerecht zu werden.

Unsere Produktentwicklung folgt einem sicheren Entwicklungslebenszyklus, der nach IEC 62443-4-1 zertifiziert ist.

Diese internationale Norm definiert Cybersicherheitsanforderungen für die sichere Entwicklung von Produkten in industriellen Automatisierungs- und Steuerungssystemen. Die Zertifizierung zeigt, dass Sicherheit systematisch in allen Entwicklungsphasen berücksichtigt wird – von den Anforderungen und dem Design bis hin zur Implementierung, Prüfung und Wartung.

Wir beschäftigen ein engagiertes Team für Produktsicherheit, das für Cybersecurity-Governance, Schwachstellenmanagement und sichere Entwicklungsmethoden zuständig ist. Dies unterstützt eine klare Verantwortung für Sicherheitsthemen und eine kontinuierliche Überwachung unseres gesamten Produktportfolios.

Um Sicherheitsrisiken proaktiv zu erkennen und zu reduzieren, verwenden wir mehrere automatisierte und manuelle Sicherheitskontrollen, unter anderem:

• Wiederkehrende, automatisierte Schwachstellenscans, um bekannte Schwachstellen in Betriebssystemen, Anwendungen und Konfigurationen zu erkennen
• Static Application Security Testing (SAST)-Tools, die Quellcode analysieren, um Sicherheitslücken frühzeitig in der Entwicklung zu identifizieren
• Software Composition Analysis (SCA)-Tools, um Schwachstellen und Lizenzrisiken in Drittanbieter- und Open-Source-Komponenten zu erkennen

Wir führen auch eine Software Bill of Materials (SBOM), die ein strukturiertes Inventar aller in unseren Produkten enthaltenen Softwarekomponenten bereitstellt. Die SBOM verbessert die Transparenz und unterstützt eine schnellere Risikoabschätzung und Reaktion, wenn neue Schwachstellen bekannt werden.

Wir führen detaillierte Cyber-Risikoanalysen durch, um potenzielle Bedrohungen und Schwachstellen unserer Produkte zu identifizieren, zu analysieren und zu minimieren. Dies hilft sicherzustellen, dass angemessene Sicherheitskontrollen basierend auf realen Risiken angewendet werden.

Unser Personal erhält regelmässig Schulungen zu OT- und IT-Cybersicherheit, um das Bewusstsein für aktuelle Bedrohungen, sichere Praktiken bei der Entwicklung und Industriestandards zu gewährleisten. Diese Schulungen fördern eine starke Sicherheitskultur in den Bereichen Entwicklung, Betrieb und Supportfunktionen.

Unsere Produkte enthalten, abhängig vom Produkt, der Konfiguration und dem Einsatz, eine Reihe von Sicherheitsfunktionen und Gestaltungsprinzipien, um Daten zu schützen, Integrität zu gewährleisten und Verantwortlichkeit zu unterstützen:

• Verschlüsselung ruhender Daten (Festplattenverschlüsselung)
  Zum Schutz gespeicherter Daten vor unbefugtem Zugriff
• Verschlüsselung übertragener Daten
  Verwendung von branchenüblichen TLS zur Sicherung der Kommunikation
• Audit-Logging
  Zur Aufzeichnung sicherheitsrelevanter Ereignisse, die Nachvollziehbarkeit, Überwachung und Vorfalluntersuchung ermöglichen
• Minimale Funktionalität
  Unsere Produkte sind so gestaltet, dass sie nur die Funktionen und Dienste bereitstellen, die für den vorgesehenen Betrieb notwendig sind, um die potenzielle Angriffsfläche zu reduzieren
• Mehrschichtige Abwehr
  Wir implementieren mehrere, sich ergänzende Sicherheitsebenen (wie Authentifizierung, Verschlüsselung und Netzwerksegmentierung), um sicherzustellen, dass bei Ausfall einer Kontrolle andere weiterhin das System schützen
• Sichere Voreinstellungen
  Produkte sind ab Werk mit Security-First-Konfigurationen ausgestattet, um die Angriffsfläche von Beginn an zu minimieren
• Rollenbasierte Zugriffskontrolle
  Der Zugriff auf Produktfunktionen und Daten ist rollenbasiert eingeschränkt, sodass Benutzer nur die Rechte haben, die sie zur Ausführung ihrer Aufgaben benötigen

Indem wir diese Sicherheitsprinzipien in unsere Produkte einbetten, wollen wir sicherstellen, dass sie widerstandsfähig sind gegen eine breite Palette von Cyberbedrohungen und gleichzeitig einen sicheren und zuverlässigen Betrieb in IT- und OT-Umgebungen unterstützen.

Wir stellen regelmäßige Produktaktualisierungen bereit, um Sicherheitslücken zu schließen, die Widerstandsfähigkeit zu erhöhen und neue Anforderungen der Cybersicherheit zu erfüllen. Updates sind Teil unseres dauerhaften Engagements, Ihnen über den gesamten Produktlebenszyklus hinweg sichere und zuverlässige Lösungen bereitzustellen.

Wir setzen uns für die Sicherheit unserer Produkte und Dienstleistungen ein. Wenn Sie eine potenzielle Sicherheitslücke entdecken, lassen Sie es uns bitte wissen.

Wir schätzen verantwortungsbewusste Offenlegung und werden alle Meldungen umgehend prüfen.