Hier klicken!

VDMA-Seminar: Security by Design

Wann:
30. März 2020 – 1. April 2020 ganztägig
2020-03-30T00:00:00+02:00
2020-04-02T00:00:00+02:00
Wo:
Karlsruhe, Fraunhofer IOSB
Kontakt:
Gorana Delija-Cavlovic
+49 69 6603 1334

Mit der zunehmenden Vernetzung von Maschinen und Anlagen nimmt auch die Abhängigkeit von Embedded Software stetig zu. Sicherheit wird häufig erst am Ende integriert obwohl klar ist, dass Sicherheitsvorfälle bereits heute enormen Einfluss auf die Produktion und das Image eines Unternehmens haben können. Die neue Schulung „Security by Design“ wurde auf Basis der IEC 62443 entwickelt und verfolgt das Ziel, Produktentwickler im Maschinenbau zu befähigen, Bedrohungen frühzeitig zu erkennen, Schutzbedarfe zu ermitteln und geeignete Sicherheitsmaßnahmen zu ergreifen.
Aus der Praxis für die Praxis: Die Anforderungen an das Schulungskonzept wurden in enger Zusammenarbeit mit dem VDMA Arbeitskreis Industrial Security erarbeitet. Mit einem durchgängigen Demonstrator wird praxisnahes Lernen gewährleistet.

Die Schulung wird in Kooperation mit dem Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM sowie dem Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB vorbereitet und durchgeführt. Arbeitsschwerpunkte des Fraunhofer IOSB sind u.a. sichere industrielle Automatisierungssysteme. Das Fraunhofer IEM erarbeitet innovative Methoden für die Entwicklung intelligenter technischer Systeme mit einem besonderen Fokus auf die Berücksichtigung der IT-Sicherheit von Beginn an und über den gesamten Lebenszyklus (Security by Design).

Warum ist sichere Entwicklung wichtig?

Mit der Digitalisierung und Vernetzung von Maschinen und Anlagen geht eine immer größere Abhängigkeit von zuverlässiger Software einher. Security-Vorfälle sorgen bereits heute für Produktionsstillstand (30 %), Safety-Gefährdungen (2 %) und Qualitätseinbußen (19 %) (vgl. VDMA Studie Industrial Security).

Häufige Ursache solcher Vorfälle sind Schwachstellen in der Software. Und es wird durch Integration von neuen Funktionen (z.B. Predictive Maintenance, OPC UA) immer kritischer. Nicht immer findet die Integration neuer Softwarefunktionen mit dem dafür notwendigen Wissen statt. Sicherheit wird, wenn überhaupt, oft erst am Ende integriert.

Für sichere (IT/OT-)Systeme muss Security über den kompletten Produktlebenszyklus berücksichtigt werden, bereits von der Entwurfsphase an bis hin zum Dauerbetrieb. Herstellern und Integratoren mangelt es an Wissen, wie sie die Sicherheit in ihren Produkten systematisch verbessern können. Denn die dafür zuständigen Produktentwickler und Konstrukteure verfügen oft nicht über hinreichende Sicherheitsexpertise – und Security-Experten sind Mangelware.

Die für sichere Produktentwicklung notwendige Weiterbildung für Entwickler und Konstrukteure gibt es jedoch – Stand heute – noch nicht. Alle Schulungen richten sich an die Betreiber von Anlagen. Es wird gezeigt, wie Altsysteme abgesichert werden. Es fehlt die Information, wie neue Systeme von Beginn an unter Security-Gesichtspunkten entwickelt werden können – damit langfristig ein sicherer Betrieb vernetzter Anlagen ermöglicht wird.

Inhalte

Security als Teil des gesamten Produktlebenszyklus

Die Schulung folgt dem Paradigma “Security by Design”, bei dem die IT-Sicherheit bereits mit Beginn jeder Entwicklung und über den gesamten Systemlebenszyklus hinweg betrachtet wird. In den verschiedenen Lebenszyklusphasen sind unterschiedliche Aspekte der IT-Sicherheit und Methoden relevant. Nach einer Einführung in Grundlagen geht die Schulung an den gezeigten Lebenszyklusphasen entlang und behandelt die nachfolgend beschriebenen und in der Graphik dargestellten Inhalte.

Themenblock: Initialisierung

Schutzziele und Bedrohungsarten
Wichtige Fachbegriffe
Relevante Standards (z.B. IEC 62443) und Best Practices
Prozess „Security by Design“

Themenblock: Analyse

Prozesse zur Bedrohungs- und Risikoanalyse
Netzwerkgrundlagen ICS
Security Assessments
Praktische Übungen an einem durchgängigen Demonstrator

Themenblock: Entwurf

Prinzipien für sichere Architekturen (Systeme, Software)
Prinzipien für die sichere Vernetzung von Systemen
Sichere Komponenten – Anforderungen und wie man sie beschafft
Grundlagen der Kryptographie
Übung: Weiterentwicklung des Demonstrators auf Basis der vorherigen Risikoanalyse

Themenblock: Realisierung

Prinzipien für eine sichere Implementierung (z.B. Defensive Coding)
Prinzipien für manuelle und automatische Code-Reviews
Kryptographische Bibliotheken richtig einbinden
Übung: Durchführung eines manuellen Code-Reviews für einen Teil des Demonstrators

Themenblock: Veröffentlichung

Prinzipien für ein sicheres Deployment (Fail Securely, (In)Secure Defaults)
Best Practices für die Systemhärtung kennen und typische Fehler vermeiden

Themenblock: Nutzung

Umgang mit aufgedeckten Schwachstellen – Prinzipien des Security Response
Risiken von Fernzugriffen einschätzen und Konzepte zur sicheren Umsetzung anwenden
Übung: Sichere Umsetzung eines Fernzugriffs auf den Demonstrator

 

ANZEIGE


Bevorstehende Veranstaltungen

Mai
6
Mi
ganztägig “Expertenwissen O-Ringe – Anspru... @ C. Otto Gehrckens GmbH &Co. KG
“Expertenwissen O-Ringe – Anspru... @ C. Otto Gehrckens GmbH &Co. KG
Mai 6 – Mai 7 ganztägig
Auch in diesem Jahr bietet die C. Otto Gehrckens GmbH – kurz COG genannt – die bewährte O-Ring-Akademie an. Das Seminar bietet sowohl versierten Experten, als auch technischen und kaufmännischen Mitarbeitern die Möglichkeit, sich über[...]
Jun
17
Mi
ganztägig O-Ringe im Fokus – Fundiertes Fa... @ C. Otto Gehrckens GmbH &Co. KG
O-Ringe im Fokus – Fundiertes Fa... @ C. Otto Gehrckens GmbH &Co. KG
Jun 17 – Jun 18 ganztägig
Auch in diesem Jahr bietet die C. Otto Gehrckens GmbH – kurz COG genannt – die bewährte O-Ring-Akademie an. Das Seminar bietet sowohl versierten Experten, als auch technischen und kaufmännischen Mitarbeitern die Möglichkeit, sich über[...]
Okt
20
Di
ganztägig Bearing World – 3. International... @ Wienecke XI.
Bearing World – 3. International... @ Wienecke XI.
Okt 20 – Okt 21 ganztägig
Bearing World - 3. Internationales Expertenforum für Lager @ Wienecke XI.
Bereits zum dritten Mal organisiert das Forschungs- und Innovationsnetzwerks der Antriebstechnik FVA das internationale Expertenforum für Lager in Theorie und Anwendung. Ziel der Bearing World ist es, den Wissens- und Erfahrungsaustausch zwischen Universitäten und Ingenieuren[...]

ANZEIGE


ANZEIGE

Aktuelle Ausgabe