Cybersecurity & Data Privacy

Das INVENSITY Center of Exellence Cybersecurity and Data Privacy ist der Kompetenzträger für alle Fragen rund um das Thema IT-Sicherheit von eingebetteten System. Dabei steht für uns die Nachhaltigkeit und Nachverfolgbarkeit im Mittelpunkt. Die Systematische Analyse von bestehenden Systemen und der Entwurf von Sicherheitskonzepten sind für uns Ausgangspunkt eines sicheren Systems.

Die systematische Identifikation und Bewertung von Risiken dient uns als Grundlage für die Definition geeigneter Maßnahmen. Bei der Umsetzung sicher Systeme stützten wir uns auf die Methoden des Software und Systems Engineering sowie den Methoden der Cybersecurity, wie etwa Secure Coding oder Threat Modelling.

Ihr Ansprechpartner

Jana Karina von Wedel
Senior Consultant

Kontakt aufnehmen

Angebot

Cyber Security Development Process

INVENSITY bietet eine standardisierte und anforderungsbasierte Lösung um in systematischer Weise Risiken zu identifizieren und geeignete Maßnahmen zu definieren. Dabei werden ausgehend von der Identifikation der zu schützenden Assets die relevanten Threats und Vulnerabilitites untersucht.

Auf dieser Basis werden Incident Scenarios beschrieben und hinsichtlich ihrer Wahrscheinlichkeit und ihrer Auswirkungen bewertet. Die resultierenden Risiken sind Grundlage für die Definition von Maßnahmen zur Reduktion des ermittelten Risikowertes. Der Software gestützte Prozess beinhaltet eine umfassende Dokumentation, um den Re-use des erlangten Wissens sicherzustellen.

Security Assessment Tool

Das INVENSITY Security Assessment Tool (ISAT) ist das Ergebnis umfassender Erfahrung in der Durchführung von Security Assessments. Es unterstützt den Workflow des INVENSITY Cybersecurity Development Process und erleichtert dadurch die Einhaltung des Prozesses. Einfache Wiederverwendung, saubere Dokumentation und ein systematisches Normenkonformes Vorgehen waren die Kernanforderungen für die Entwicklung dieser Software.

ISAT dient sowohl uns, als auch unseren Kunden für die Durchführung von produktbezogen Security Assessments. Individuelle Anpassbar- und Erweiterbarkeit sind eine weitere Stärke der Software.

Erfahren Sie mehr

Secure Coding

Dabei sind ihnen keine Grenzen gesetzt. Selbst Systeme die ein kryptographisch sicheres Verfahren nutzen sind nicht zwangsläufig frei von Seitenkanalangriffen. Neben anfälliger Hardware, sind Sicherheitslücken aufgrund von unachtsamer Implementierungen sehr weit verbreitet.

Auch können Programme die scheinbar uninteressant für einen Angreifer sind eine Möglichkeit bieten ein System zu infiltrierieren, wenn diese beispielsweise über erhöhte Rechte sowie eine Netzwerkschnittstelle verfügen. Darum ist es wichtig den Aspekt der Sicherheit in die Programmierung einfließen zu lassen, sich an bestimmte Regeln zu halten und das Programm auf Fehler wie Bufferoverflows zu untersuchen.

DSGVO

Basierend auf unserer umfangreichen und industrieübergreifenden Erfahrung haben wir einen klar strukturierten, auf etablierten und bewährten Prozessmodellen fundierten Ansatz entwickelt, um unsere Kunden dabei zu unterstützen, das Thema des Datenschutzes in ihre Entwicklungsprozesse und Produkte zu integrieren und somit Konformität zu geltenden Datenschutzverordnungen zu gewährleisten. Dieser Ansatz beginnt mit einer klaren Festlegung des Umfangs der Erhebung und Verarbeitung personenbezogener Daten sowie der relevanten Funktionen und Schnittstellen.

Basierend darauf werden Gefahren im Zusammenhang mit dem Verlust oder der Kompromittierung personenbezogener Daten analysiert und eine Strategie zur Verhinderung von Datenschutzverstößen sowie zur Befriedigung der Dokumentationsvorschriften entwickelt. Aus dieser Strategie werden anschließend konkrete technische sowie prozessuale Lösungen abgeleitet und Verifikations- und Validierungskriterien für diese festgelegt.

Penetration Testing

Ein Penetration Test dient der Identifizierung aller möglichen Bedrohungen eines Systems. Dazu werden zunächst alle wichtigen Ressourcen, welche Ziel eines Angriffs werden könnten und mögliche Nebeneffekte eines Angriffs festgehalten. Sind die Verteidigungsziele festgelegt so wird bestimmt, auf welche Art und Weise ein Angreifer Zugang zu den zu beschützenden Ressourcen und/oder Kontrolle über das System erlangen kann und wie ein Angreifer unerwünschtes Verhalten des Systems hervorrufen kann. Dazu wird das System analysiert und mögliche Bedrohungen abgeschätzt und kategorisiert. Auf Basis der gefundenen Bedrohungen werden Tests durchgeführt.

Bei diesen Tests is es wichtig verschiedene Angreifermodelle zu betrachten, um nicht nur herauszufinden welche Möglichkeiten ein Angreifer hat, sondern auch um bestimmen zu können wie wahrscheinlich ein Angriff ist. Im Zuge dieser Tests können auch neue Bedrohungen die zuvor nicht bedacht wurden identifiziert werden. Nach der Auswertung dieser Daten können Schutzmaßnahmen geplant und umgesetzt werden.

Automotive Cybersecurity

Automobile Systeme werden in immer Stärkerem Maße untereinander und mit der Umwelt vernetzt. Damit wird es nötig, sich in systematischer Art und Weise mit der gesamten Fragestellung der Sicherheit zu beschäftigen, denn Sicherheit von Software kennt zwei Dimensionen. Functional Safety hat den Schutz der Umwelt vor dem Fahrzeug zum Inhalt. Cybersecurity wiederum hat den Schutz des Fahrzeugs vor der Umwelt im Fokus. Bei der Entwicklung moderner Fahrzeuge und deren Software ist die Berücksichtigung der Functional Safety bereits seit langem ein wichtiger Teil der Entwicklung.

Spätestens seit der Inkraftsetzung der ISO 26262 („Road vehicles – Functional safety“) im Jahre 2011 findet das Thema verstärkte Beachtung. Das Thema Cybersecurity dagegen wurde in der Automobilbranche bisher stark vernachlässigt, eine einheitliche Vorgehensweise, wie sie etwa die J3061 der SAE beschreibt, ist gerade erst im Entstehen. Wir unterstützten unsere Kunden auf Basis unserer langjährigen Erfahrung in der Umsetzung der ISO 26262 und unseres fundierten Cybersecurity Know Hows bei der Einführung und Umsetzung dieses neuen Standards.

Threat Modelling

Ein Threat Model ist eine strukturierte Repräsentation aller Informationen eines Systems, die im Zusammenhang mit der Sicherheit stehen. Durch den Prozess des Threat Modelling werden diese Informationen identifiziert, organisiert und analysiert. Ziel ist es dabei alle Bedrohungen und Schwachstellen eines Systems aufzudecken. Zusätzlich werden Listen priorisierter Verbesserungen der Sicherheit, der Anforderungen, des Designs und/oder der Implementierung erstellt

Den Auswirkungen einer Bedrohung entsprechend werden Gegenmaßnahmen geplant und umgesetzt. Das Threat Model sollte ein Produkt durch seinen gesamten Lebenszyklus begleiten und in den einzelnen Phasen des Zyklus verbessert und präzisiert werden.

INVENSITY Kompetenzen

CONSULTING

Gemeinsam Werte schaffen

KARRIERE

Jetzt die Welt verändern

© Copyright 2007 – 2020   |   All Rights Reserved 

INVENSITY Kompetenzen

CONSULTING

Gemeinsam Werte schaffen

KARRIERE

Jetzt die Welt verändern

© Copyright 2007 – 2020
All Rights Reserved