Digi International
Mai 12, 2017
Führt mein Anbieter Penetrationstests durch?Penetrationstests, auch Pen-Tests genannt, testen auf Schwachstellen, die ein Angreifer auf einem Gerät, einem Netzwerk oder einer Webanwendung ausnutzen könnte. Idealerweise sollten sich Gerätehersteller häufigen (vierteljährlichen) Pen-Tests durch externe Auftragnehmer UND Ad-hoc-Pen-Tests durch interessierte Kunden unterziehen.
Welche Sicherheitszertifizierungen hat mein Anbieter?Sie wollen ein aktives Sicherheitsbüro und ein Sicherheitsmodell sehen, nicht nur ein Lippenbekenntnis. Ein dediziertes Sicherheitsbüro bedeutet, dass sichergestellt wird, dass bewährte Sicherheitspraktiken in den technischen Entwurfsprozess integriert werden. Dieser Ansatz umfasst anerkannte Richtlinien und Prozesse, die Produktdesign und -tests berücksichtigen, wie sie von Drittorganisationen wie der American Society for Quality/ Failure Mode Effects Analysis; iSixSigma/DFMEA; ISO9001 SDLC, Penetration Testing Execution Standard und OWASP; sowie von aufkommenden Standards wie der Online Trust Alliance (OTA) definiert werden.
Wie kann/sollte mein Anbieter echte Zufallszahlen und eine sichere Schlüsselspeicherung generieren?Ein Geheimcode ist nur so gut wie die Zufallszahl, die ihm zugrunde liegt. Computer sind von Natur aus deterministisch, wie können sie also eine echte Zufallszahl erzeugen? Echte Hardware-Zufallszahlengeneratoren (TRNG) nutzen die Zufallseigenschaften der physikalischen Welt, um echte Zufallszahlen auf der Basis von Quantenrauschen zu erzeugen.
Wann wurde Ihr Lieferant zuletzt auditiert, was wurde festgestellt und was haben Sie dagegen unternommen?Bietet Ihr Anbieter fortlaufende Bedrohungsmessungen und Überwachungsdienste an und führt er regelmäßig interne und externe Sicherheitsaudits durch? Regelmäßige Audits stellen sicher, dass die Sicherheits-Patches auf dem neuesten Stand sind, und sorgen für eine kontinuierliche proaktive Kommunikation in Bezug auf neue Bedrohungen. Bestimmte Sicherheits-Frameworks, wie PCI DSS, erfordern diese regelmäßigen Audits.
Was wird uns das kosten?Generell gilt: Sie sollten nur dann eine wiederkehrende Gebühr zahlen, wenn der Anbieter eine wiederkehrende Investition tätigt. Beispielsweise sollten Sie einmalig für eine großartige Firewall und laufend für die laufende Geräteverwaltung zahlen. Es ist eine gute Idee, die Total-Cost-of-Ownership zwischen verschiedenen Anbietern zu bewerten. Die Total-Cost-of-Ownership der Konkurrenten sind tendenziell immer höher, weil sie Sicherheitsdienstleistungen in Rechnung stellen oder - schlimmer noch - überhaupt nicht anbieten.
>>Klicken Siehier, um zu sehen, wie Sie mit Digi TrustFence auf einfache Weise Gerätesicherheit, Geräteidentität und Datenschutzfunktionen integrieren können