SGS Digital Trust Services

Die fortschreitende Vernetzung von Geräten, Systemen und Anwendungen in cyber-physischen Netzwerken schafft Risiken. Ob PC oder Smartphone, Smart Meter und Smart-Home-Lösungen bis hin zu Fahrzeugen mit Internet-Fähigkeiten: Jedes System kann Ziel eines Cyberangriffs werden. Die Auswirkungen auf Ihre Daten bzw. die Funktionalität können verheerend sein.

image
Frankie Ng, Chief Executive Officer of SGS

“Independency plays an important role in increasing trust in security of organizations, products and services. As cybersecurity levels cannot be tested and verified by the end user or the consumer, reliance on third party certification can meet this need in the most reliable manner.

Cybersecurity certification schemes based on independent assessments provided by accredited third parties, not only will ensure an independent and impartial assessment of organizations, products and services, but it will also provide demonstrable compliance that allows the users to have confidence in their choice of products and enables a fair competition in the market.

Although there are already cybersecurity schemes in place today, they were mainly designed for smaller scales, certifying only several hundred products per year, while the current speed of digital market, is increasing the need of those ones.


THE CYBERSECURITY GAP

A broad set of cybersecurity certification schemes currently exists, or is being proposed, across around the world with no unified or combined solution available. This makes a comparison between the services, products and systems difficult at global level.

The varying degrees of certification requirements coupled with many different approaches to standards frameworks have resulted in a fragmentation of the Digital Single Market. These obstacles incur duplicative costs for manufacturers, operators and uncertainty for consumers.

While certain medium and high-risk products (e.g. connected and automated cars, electronic health, industrial automation control systems (IACS), Safety-Instrumented System (SIS), payment methods or smart grids), which would require a “high” level of assurance must require mandatory independent third-party certification, low risk one, can be handle by certified manufactured by themselves, making the whole system sustainable and scalable to industry needs.

Anyhow, certification, either for low, medium or high categories need to be mandatory to significantly improve cyber resilience in a broader field. Surely it is not reasonable to improve the security of a few devices only, since IPv6 and IoT industry will need to handle an overwhelming number of devices.


THE INDEPENDENT CERTIFICATION BODIES

Harmonized cybersecurity certification schemes (as the European Cybersecurity Certification Framework) referring to common standards or criteria of evaluation and testing methodologies will allow higher efficiency levels and lower costs for market participants while reaching consumers with a comprehensive approach.

However, these mechanisms will only provide efficiency when conducted by Independent Conformity Assessment Bodies, which support industry in meeting the needs of building trust and verifying the security of their products and services thereby reducing the costs ("one-stop-shop") and time-to-market by eliminating duplicative requirements and providing greater transparency for all stakeholders involved, facilitating cross border acceptability of products and services.“



Cyberverbrechen konzentrieren sich auf Bereiche wie den Automobilsektor, die Elektronik- und Software-Branche sowie den Maschinenbau und kritische Infrastrukturen mit ihren Automatisierungssystemen und Industriesteuerungen. Durch die Vernetzung bisher isolierter Produkte bzw. Systeme entstehen neue Schwachstellen und damit verbundene Cyberbedrohungen. Die Erfahrung zeigt, dass viele dieser Produkte und Systeme sowie ihre Komponenten oft nur unzureichend gegen Cyberangriffe geschützt sind.

SGS kann seinen Kunden helfen, ihre eigenen Infrastrukturlücken zu verstehen, Produkte, Komponenten und Unterkomponenten zu testen sowie Dienstleistungen und Managementsysteme zu zertifizieren. Darüber hinaus bieten wir Schulungen und professionelle Zertifizierungen im Rahmen einer Partnerschaft mit einer international renommierten, unabhängigen Drittpartei und können so sowohl intern als auch extern Vertrauen schaffen.

Wir sind am Puls zukünftiger Rechtsvorschriften und Standards und beteiligen uns in allen Branchen und Märkten an Expertengruppen und globalen Task Forces. Damit erwerben wir ein globales Verständnis für den Stand der Technik in diesen Branchen und Märkten und schaffen dadurch einen Mehrwert für unsere Kunden.

SGS-Cyberlabs

Das Cyberlab ist die SGS-Antwort auf die Herausforderungen der IT-Sicherheit. In den SGS-Cyberlabs können wir Kunden in aller Welt unterstützen – konsequent, einheitlich und rund um die Uhr.

In diesen modernen Einrichtungen kann SGS eine Vielzahl von Dienstleistungen erbringen, die unseren Kunden helfen, die Herausforderungen zu verstehen, mit denen sie in der digitalen Wirtschaft konfrontiert sind. Dabei konzentrieren wir uns auf die folgenden vier Hauptbereiche:

  • Produkttests: Verantwortlich für Zertifizierung und Test der Eigenschaften von Produkten (Hardware oder Software), Geräten, Komponenten und Teilkomponenten.
  • Beurteilung von IT-Systemen: Verantwortlich für die Beurteilung von Netzwerken und IT-Systemen einschließlich der SOC-Dienste
  • Managementsysteme, Dienstleistungen und professionelle Zertifizierung: Verantwortlich für Zertifizierungs- und Schulungsaktivitäten in Bezug auf Organisationen, Dienstleistungen und Personen.
  • Datenintegrität: Verantwortlich für die Validierung der Richtigkeit der Daten und das Vertrauen in die Überwachungskette von Daten.


Produkttests

SGS steht in der Tradition, einer der größte Betreiber von unabhängigen Testlaboren zu sein. Damit können wir Kunden in aller Welt Antworten auf die wichtigsten Fragen zu den Themen Time-to-Market, globaler Ansatz, Unabhängigkeit, Transparenz und Vertraulichkeit geben, denn wir sind der einzige Serviceanbieter, der nicht in Beratungs- oder Entwicklungsprogramme der potenziellen Wettbewerber unserer Kunden involviert ist.

Unser Servicespektrum umfasst:

  • Common Criteria (CC)-Evaluierungen
  • IEC 62443 Industrial Cyber-Sicherheit
  • FIPS
  • SAE J3061 Automotive Cyber-Sicherheit
  • IEC 62351 Smart Grid
  • PCI-DSS


Netzwerkabbildung und Beurteilung

Das Verständnis und das Sicherheitsniveau für jede IT-Infrastruktur zu kennen, ist eine der ersten Herausforderungen.
Das gilt ebenso für Webanwendungen, industrielle Steuerungssysteme (SCADA) und selbst für mobile Anwendungen.
Die SGS-Cyberlabs haben eine Reihe vordefinierter Lösungen entwickelt, mit denen die Fragen, die jeder IT- oder IT-Sicherheits-Manager hat, beantwortet werden können. Alle Lösungen wurden für den Einsatz in beliebigen Netzwerken oder Anwendungen entwickelt. Sie sind leicht zugänglich und werden entweder über das SGS-Resellerprogramm oder über den SGS-Web-Marktplatz vermarktet. Die Lösungen im Einzelnen:

  • NMA. Der SGS-Service zur Beurteilung von Netzwerken führt eine unabhängige Sicherheitsbeurteilung der wichtigsten Komponenten in jedem beliebigen Netzwerk durch. Der Service wird aus der Ferne erbracht und kann in jeder beliebigen Infrastruktur eingesetzt werden, wobei keine bzw. nur geringe Eingriffe seitens des Kunden erforderlich sind. Im Rahmen der Beurteilung wird eine umfassende Abbildung der jeweiligen Infrastruktur erstellt, durch die dem Kunden die Anforderungen vor Augen geführt werden. Dann wird das Netzwerk auf Schwachstellen untersucht.
  • WVA. Die Lösung Web Application Vulnerability Assessment prüft die Webanwendungen aus der Ferne auf Sicherheitslücken, die zu einem Datenverlust führen könnten. Die wichtigsten Webanwendungen der Kunden sind den Bedrohungen durch Internet und lokale Netzwerke/Intranet ausgesetzt. Die Prüfungen erfolgen auf Basis der Mindeststandards der OWASP Top 10 hinsichtlich der Schwachstellen von Webanwendungen.
  • SMA. Die SGS SCADA-Netzwerkbewertung von SCADA konzentriert sich auf PLCs und Prozesssteuerungen sowie auf jeglichen Zugriff auf das System (physisch oder remote) und nutzt dieselbe grundlegende Methodik wie die SGS-Netzwerkbeurteilung.

Die Lösungen von SGS nutzen fortschrittliche KI-Funktionen, um die Beurteilungen weitgehend zu automatisieren. Dazu nutzen sie die Fähigkeit, Kundeneinstellungen und Architektur mit vergangenen Prüfungen in Korrelation setzen zu können und ein Rating des Unternehmensnetzwerks im Vergleich mit anderen Beurteilungen und dem Branchendurchschnitt vorzunehmen.


Eindringtests

Die SGS-Cyberlabs können modernste Dienstleistungen anbieten, um den Reifegrad der Netzwerke, Systeme, Anwendungen und sogar der mobilen Systeme des Kunden zu überprüfen.
Eindringtests werden in der Regel nach der Netzwerkabbildung und Beurteilung durchgeführt. Dabei können die Kunden erkennen, ob die erkannten Schwachstellen in ihren Netzwerken behoben wurden und ihre Anwendungen bzw. Webservices die notwendige Widerstandsfähigkeit besitzen, um Cyberkriminellen kein leichtes Ziel zu bieten.

Dazu bietet SGS die folgenden Dienstleistungen an:

  • EPT (External Penetration Test – externe Eindringversuche) ist eine unabhängige Überprüfung der Internet-Gateways und -Infrastruktur des Kunden.
  • WPT (Web Applications Penetration Test - Penetrationstest von Webanwendungen) konzentriert sich auf eine Webanwendung, intern oder extern.
  • MPT (Mobile Application Penetration Test - Penetrationstest von mobilen Anwendungen) für mobile Anwendungen.


Security Operations Center

Zu den Einrichtungen der SGS-Cyberlabs gehören leistungsfähige Security Operations Centers. Sie sind die zentrale Antwort von SGS auf die aktuellen Cyberbedrohungen seiner Kunden.
Unsere Kunden machen sich immer häufiger Sorgen um die statische Natur von Eindringversuchen. Sie wollen mehr „Live“-Überwachungsdienste. SGS hat eine Lösung entwickelt, mit der jedes Unternehmen die Kontrolle über seine Netzwerk- und Systemaktivitäten zurückgewinnen und einheitlich und konsequent auf Sicherheitsvorfälle reagieren kann.

Die As-a-Service-Lösung von SGS steht in drei Stufen zur Verfügung:

  • SOC Level I: Externe Perimeterüberwachung. Level 1 legt den Fokus auf die permanente Perimeterüberwachung der IT-Infrastruktur eines Unternehmens. Level 2 überwacht nicht nur den Perimeter der Infrastruktur, sondern auch die internen Abläufe, um interne und anhaltende Bedrohungen zu erkennen.
  • SOC Level II: Externe und interne Überwachung. Bei Level I und II berichtet SGS Vorfälle an die IT-Abteilung des Kunden, um Maßnahmen zu ergreifen und jeden Angriff oder jede Bedrohung zu verfolgen. Level I und II konzentrieren sich auf die reine Überwachung der Kundeninfrastruktur, nicht auf die Durchführung entsprechender Maßnahmen.
  • SOC Level III: Incident Response Team. Bei Level III kann SGS den vorgegebenen Kundeneinstellungen folgen, um auf externe oder interne Bedrohungen flexibel zu reagieren. Dabei kann die Reaktion auf den Vorfall in einem einfachen Schließen von Ports und dem Abschalten von Services bestehen oder bis hin zu einer Nachverfolgung der externen Angriffsquelle eskaliert werden.


Zertifizierung von Dienstleistungen und Managementsystemen

Im Bereich Informationstechnologie hat SGS die Initiative ergriffen und bietet Unternehmen eine breite Palette an IT-Zertifizierungen an. SGS war die erste Gruppe zertifizierter Unternehmen, die Zertifizierungen nach ISO 20000 und ISO/IEC 27001 anbieten konnte. Darüber hinaus war es die erste zertifizierte Organisation, die berechtigt war, Audits nach CSA STAR Certification und Euro Cloud durchzuführen. Darüber hinaus ist SGS die erste Gruppe zertifizierter Unternehmen, die ECSA-Audit-Schulungen in China durchführt.
Initiativen wie z. B. Seal of Cybersecurity, bei der SGS die erste exklusive Zertifizierungsstelle war, oder die neue IEC 62443-Reihe machen SGS zum wichtigsten Global Player bei der Zertifizierung von Services und Managementsystemen in vielen Ländern und Regionen. Darüber hinaus bietet SGS zusätzlich eine integrierte Zertifizierung von Managementsystemen beim Kunden.

Egal ob Upgrades in Echtzeit, Software on Demand, gemeinsame Nutzung von Ressourcen und Daten sowie schnelle Skalierung: Cloud Services bieten fantastische neue Möglichkeiten. Aber welche Sicherheit können Serviceprovider ihren Kunden geben, dass die angebotene Plattform, der Speicher und die Software auch so funktionieren, wie sie es sollen?

Kunden wollen sicher sein, dass die gebotenen Servicelevel und Sicherheitskontrollen nicht nur die organisatorischen Anforderungen Ihrer Kunden erfüllen, sondern auch, dass sie gesetzlichen Anforderungen, vertraglichen Anforderungen und relevanten international akzeptierten Cloud-Standards entsprechen.

Um die steigenden Anforderungen von Cloud-Serviceprovidern zu erfüllen und ihnen zu helfen, Vertrauen in ihre Beziehungen aufzubauen, bieten wir Third-Party-Zertifizierungs- und Prüfungsleistungen an. Mit dieser unabhängigen Bewertung können Sie Ihren Kunden zeigen, dass Ihre Cloud Services entsprechende Service-Standards z. B. in den Bereichen Datenschutz, Sicherheit, Umgebung, Infrastruktur, Anwendungen und Kompatibilität einhalten.

Schulungen und professionelle Zertifizierungsdienstleistungen

Als global führendes Unternehmen im Bereich der Berufsausbildung bieten wir weltweit Kompetenzzentren mit den besten Lern- und Entwicklungslösungen, die genau auf Ihre Bedürfnisse zugeschnitten sind.
Wir genießen einen hervorragenden Ruf und bieten öffentliche, interne sowie Online-Kurse für die weltweit größten Unternehmen und Regierungsorganisationen an. Unsere qualifizierten Trainer verfügen auf ihrem Gebiet über umfangreiche Praxiserfahrung. Daher gehen unsere Schulungen weit über die reine Theorie hinaus und verschaffen Ihnen wertvolle Erkenntnisse aus der realen Welt. Sie können sich auf uns verlassen: Wir bieten qualitativ hochwertige, durchgängige Schulungs- und Entwicklungsleistungen für jede Ebene Ihres Unternehmens – weltweit.

Egal welche Branche oder welches Thema, mit ihrem weltweiten Servicekonzept kann die SGS Academy ihren Kunden helfen, ihre beruflichen Zertifizierungsanforderungen zu erfüllen.

Services zur Sicherheit und Richtigkeit von Daten

In der digitalen Wirtschaft gehören Daten zu den wertvollsten Gütern. Unternehmen müssen sich auf die Richtigkeit der Daten verlassen können. Darüber hinaus ist es für sie entscheidend, die korrekte Behandlung (Datensicherheit) und die Unversehrtheit (Integrität) der Daten nachweisen zu können.
Zudem gilt die Fähigkeit von Unternehmen, Angriffe oder Sicherheitslücken zu erkennen, abzuwehren, darauf zu reagieren und sich von ihnen zu erholen, als eine der Grundvoraussetzungen für einen kontinuierlichen Geschäftsbetrieb. SGS ist ideal aufgestellt, um seine Kunden dabei zu unterstützen, das notwendige Know-how zum Schutz ihrer Daten aufzubauen.

Von Online-Lösungen zum Management von Kundendaten (SGS GDPR On Line) bis zur Bewertung von Richtlinien zur Datenverarbeitung über mobile Anwendungen: SGS kann Unternehmen in allen Aspekten der Compliance hinsichtlich ihrer Kundendaten unterstützen.

Weitere Informationen (Englisch)

Ihre Download-Möglichkeiten