Wie sicherst du Maschinen ab, die 20 Jahre im Feld stehen – mit Komponenten von einem Dutzend Zulieferern?
Hardware, Software, Firmware aus verschiedensten Quellen. Lückenhafte Dokumentation. Lange Lebenszyklen. Complioty gibt dir die Stückliste und den Prozess, um deine Maschinen über die gesamte Produktlebensdauer abzusichern.
Komplexe Produkte. Lückenhafte Dokumentation. Und Security wird zur Pflicht.
Du weißt nicht, was drin ist
Steuerungen von Siemens, Switches von Schneider, Sensorik von einem halben Dutzend Zulieferern. Die Dokumentation ist über Jahre gewachsen, oft lückenhaft. Ohne vollständige Stückliste keine Security.
20 Jahre Verantwortung, einmal verkauft
Dutzende Varianten, jede mit eigener Software-Lieferkette. Über 20 Jahre im Feld. Security-Updates sind kein Sprint, sondern ein Marathon über den gesamten Produktlebenszyklus.
Im Incident-Fall fehlt der Prozess
Eine Schwachstelle in einer ausgelieferten Maschine: Wer bewertet? Wer kommuniziert? Wer koordiniert das Update? Ohne Prozess wird jeder Vorfall zur Feuerwehrübung – und der Auditor steht trotzdem vor der Tür.
Was eine SBOM für eine Maschine wirklich ist
Software-Stücklisten allein reichen für eine Maschine nicht. Eine SPS, ein Switch, ein Industrie-PC – das sind Hardware-Komponenten mit eigenen Versionsständen, eigenen Schwachstellen, eigenen Lebenszyklen. Wir bauen die SBOM in drei Schichten auf:
Zugekauft
Welche Komponenten sind verbaut? Hardware, Module, Subsysteme – mit Hersteller, Typ und Version.
Selbst entwickelt
Welche Software hast du selbst programmiert? SPS-Logik, Embedded-Code, eigene Services.
Installiert
Welche Software läuft auf diesen Komponenten? Firmware, Betriebssysteme, Drittanbieter-Bibliotheken.
Aus diesen drei Schichten entsteht die Gesamtsicht. Nur so lassen sich Schwachstellen in Hardware, Software und OS kontinuierlich überwachen – nicht nur ein Drittel davon.
Für jede Phase die passende App.
Keine systematische Bedrohungsanalyse für Maschinenarchitekturen
Threat Modeling mit STRIDE und MITRE ATT&CK, direkt in der Architektur
CVEs in Hardware- und Software-Komponenten werden zu spät entdeckt
Automatisches Monitoring über alle Produkte und deren vollständige Stücklisten – inkl. Hardware, Firmware und OS
Keine Transparenz über Zulieferer-Security
Zulieferer-Bewertung, SBOM-Aggregation und Risikoübersicht in einer Plattform
Kein strukturierter Prozess für Vulnerability Disclosure
Case Management, CSAF Advisories, security.txt und CVD-Policy, sofort einsatzbereit
Szenario: CVE in einer Siemens-SPS
CVE entdeckt
Observer meldet eine neue kritische CVE in einer SPS-Firmware, die in drei deiner Maschinenserien verbaut ist.
Betroffene Produkte automatisch identifiziert
Tracer zeigt sofort, welche Produkte, Chargen und Kundeninstallationen betroffen sind – auf Basis der hinterlegten SBOM.
Case eröffnet und bewertet
Im Notifier wird ein Case erstellt. Das Team bewertet die Auswirkung auf jede betroffene Maschinenreihe und dokumentiert die Entscheidung.
Advisory erstellt und Kunden informiert
Ein CSAF-Advisory wird generiert und über die Disclosure-Seite veröffentlicht. Betroffene Kunden werden automatisch benachrichtigt.
Dokumentation vollständig
Der gesamte Vorgang ist lückenlos dokumentiert – für interne Audits, CRA-Nachweis und Kundenkommunikation.
Von der Entdeckung bis zur dokumentierten Kommunikation: in unter drei Stunden statt drei Wochen.
