Einmal im Jahr trifft sich die Embedded World-Community in Nürnberg. Auch dieses Jahr ist asvin als Spezialist für Software Supply Chain Security wieder dabei. In Halle 3a, Stand 325h erfahren CISOs und IT-Verantwortliche, wie sie Angriffspunkte auf der Software-Lieferkette erkennen und deren Beseitigung managen können. Graphenbasierte Risikoanalyse ist das asvin-Highlight der Messe.
Eine immer intensivere Vernetzung von Embedded Systemen erhöht die Anforderungen an die funktionale Sicherheit von Hard- und Software und an den Schutz vor Angriffen von außen. „Zusätzlich führt die allgemeine Sicherheitslage zu erhöhtem Bedrohungspotenzial,“ sagt Lars Petermann, asvin Director Customers and Partners, und ergänzt: „Gesetzliche Vorgaben, die sich aus der EU NIS2-Verordnung oder dem EU Cyber Resilience Act (CRA) ableiten, erhöhen die Notwendigkeit, aktiv zu werden.“
Für beides, anstehende regulatorische Anforderungen durch NIS2 und CRA sowie Verletzlichkeit der Lieferkette, zeigt asvin in Nürnberg praktikable Produkte. Mit den NIS2- und CRA-Quickchecks sehen Unternehmen in Kürze, ob sie von den neuen EU-Regeln betroffen sind. Zusätzlich offeriert asvin Workshops für die fachgerechte Vorbereitung auf die Anforderungen durch NIS2 und CRA.
Aus Unternehmenssicht einzigartig und technologisch alleinstellend ist die Fähigkeit der asvin-Produkte, Risiko-Segmente auf der Software-Lieferkette graphenbasiert zu analysieren. Die von asvin-Research entwickelte und alleinstellende Technologie erlaubt es Unternehmen, Risiken entlang der IT-Lieferkette kontextbasiert zu visualisieren. Hat ein Unternehmen beispielsweise eine Software-Bill-of-Materials (SBOM) für alle in einer IT-Lieferkette arbeitenden Einheiten generiert, kann es direkt den nächsten Schritt machen: Nämlich mittels Graphen-basierter Analyse feststellen, ob diese Einheiten überhaupt für Angreifer erreichbar und ob andere für den Betrieb wichtige Geräte oder Services potenziell mitgefährdet sind. So ist die Bewertung der Kritikalität nur auf Basis des CVE Risiko-Scores in der OT Praxis nicht wirklich hilfreich, um Maßnahmen und Investitionsentscheidungen zu priorisieren. Der Kontext macht den Unterschied: Denn ein Gerät mit hohen CVE Score ist praktisch unkritisch, wenn sein Netzwerksegment unerreichbar ist. Umgekehrt kann ein Gerät Kritikalität an andere Geräte vererben, die sich im gleichen Supply Chain-Segment befinden. Wer beides sehen kann, ist klar im Vorteil.
Für asvin-CEO Mirko Ross gehören Business-Nutzen und Ergebnis-Beitrag in den Fokus der Software-Evaluation: „Die Kosten für Cybersicherheitslösungen dürfen nicht parallel zur ansteigenden Bedrohungslage wachsen.“ Graphenbasierte Analysemethoden für die Bewertung von Angriffs-Szenarien, zur Abschätzung der Business-Kritikalität und damit zur Priorisierung von Maßnahmen, so Ross, helfen dabei, Kosten zu senken.
Über asvin: Die asvin GmbH mit Sitz in Stuttgart hat derzeit 20 Mitarbeiter und entwickelt umfassende Lösungen für KI und Software Supply Chain Security. Diese gewährleisten die Sicherheit und korrekte Herkunft von Software in IoT-Umgebungen über ihren gesamten Lebenszyklus hinweg. So entsteht eine durchgängige Vertrauensschicht entlang von Datenlieferketten, was die Widerstandsfähigkeit im Internet der Dinge (IoT) gegen Cyberangriffe erhöht.
Ansprechpartner für die Presse
Konrad Buck, asvin GmbH
Mobil: +49 151 4653 9192
E-Mail: k.buck@asvin.io