Cybersecurity

Das INVENSITY Center of Excellence Cybersecurity ist das Kompetenzzentrum für alle Fragen zur IT-Sicherheit von eingebetteten Systemen. Unser Ziel ist es, Risiken im Zusammenhang mit Cybersecurity-Bedrohungen nachhaltig und nachvollziehbar zu reduzieren und damit zur Entwicklung innovativer Systeme beizutragen, die durch ihr Design sicher sind und den relevanten Normen, Standards und Vorschriften entsprechen.

Ihr Ansprechpartner

Jana Karina von Wedel
Principal Consultant

Kontakt aufnehmen

Angebot

Security-Normen, -Standards, -Vorschriften und -Prozesse

Eingebettete Systeme sind zunehmend untereinander und mit der Umwelt vernetzt und realisieren einen immer höheren Automatisierungsgrad. Dadurch steigen die Anforderungen an die Cybersecurity ständig. Um diesen Anforderungen gerecht zu werden, wurden in den letzten Jahren mehrere neue Normen, Standards und Vorschriften für Cybersecurity geschaffen. Insbesondere in der Automobilindustrie, wo die für die Typenzulassung verbindlichen UN-Vorschriften (R155, R156) und ISO/SAE 21434 eingeführt wurden. Aber auch in anderen Branchen, wo Kunden zunehmend die Einhaltung von Normen wie IEC 62443 oder der ISO 27000er Reihe fordern.

Zu verstehen, welche Normen, Standards und Vorschriften relevant sind und was sie für die tägliche Entwicklungsarbeit bedeuten, kann eine Herausforderung sein. Wir helfen Ihnen, dieses Verständnis zu erlangen und unter Berücksichtigung Ihrer individuellen Bedürfnisse, Anforderungen und bestehenden Prozesse Ihre Prozesse um Cybersecurity-Aspekte zu erweitern, um die an Sie gestellten Anforderungen effizient und effektiv zu erfüllen.

Security Management

Cybersecurity-Aktivitäten erfolgreich zu managen und in den gesamten Entwicklungsprozess zu integrieren, erfordert sowohl Managementfähigkeiten als auch technisches Cybersecurity-Know-how. Dies gilt nicht nur für einzelne cybersecurity-relevante Entwicklungsprojekte, sondern auch für das übergreifende Management von Themen wie Plattformentwicklung von Security-Mechanismen, Vulnerability Management, Auditierung von Lieferanten, Schulung von Entwicklern für die Arbeit in security-relevanten Projekten, und vieles mehr.

Wir können die Einführung der Rolle des Cybersecurity Managers innerhalb einzelner Projekte oder ganzer Organisationen unterstützen oder diese Rolle in zeitkritischen oder hoch anspruchsvollen Projekten temporär selbst übernehmen.

TARA++

Qualitativ hochwertige, belastbare und prozessorientierte Security Assessments sind ein wesentlicher Bestandteil des Entwicklungsprozesses von cyber-physischen Systemen. Die dafür notwendigen Bedrohungsanalysen und Risikobewertungen (Threat Analyses and Risk Assessments = TARAs) sind selbst für Sicherheitsexperten sehr komplex, zeitaufwändig und manchmal nervenaufreibend durchzuführen. Übersichtlichkeit, Wiederverwendbarkeit sowie Prozess- und Standardkonformität sind in diesem Zusammenhang Merkmale, die zu Effizienz- und Qualitätssteigerungen führen.

Wir unterstützen die Erstellung solcher hochwertigen TARAs nicht nur mit unserer Expertise, sondern auch durch den Einsatz von ISAT 4.0, unserem speziell entwickelten webbasierten INVENSITY Security Assessment Tool zur systematischen und effizienten Durchführung von TARAs.  Nicht nur die TARA selbst wird auf diese Weise unterstützt, sondern auch die anschließende Entscheidung über die Risikobehandlung und die Definition von Sicherheitsmechanismen.

Security Concepts

Nachdem die Entscheidung zur Risikobehandlung getroffen wurde, muss ein Cybersecurity Concept erstellt werden, das konkrete Mechanismen definiert, die umgesetzt werden sollen. Dabei sind nicht nur die Ergebnisse der TARA und bestehende Stakeholder-Anforderungen, z. B. von einem OEM, zu berücksichtigen, sondern auch bereits getroffene Systemdesign-Entscheidungen, Leistungsanforderungen an das System und Anforderungen aus anderen Disziplinen, z. B. der Funktionalen Sicherheit. Dies ist notwendig, um Cybersecurity wirklich in das System hineinzuentwickeln („security by design“), Konflikte zu vermeiden und mögliche Synergien zu nutzen.

Wenn mehrere Realisierungen eines Security-Mechanismus möglich sind, müssen der Aufwand und die Kosten für jede Möglichkeit gegen ihre jeweilige Auswirkung auf das Gesamtrestrisiko abgewogen werden. Nachdem das Cybersecurity Concept auf diese Weise definiert wurde, müssen Cybersecurity-Anforderungen abgeleitet und Cybersecurity-Aspekte in die Architektur aufgenommen werden.

All diese Schritte können wir mit unserer Erfahrung und unserem Wissen aus zahlreichen Security-Engineering-Projekten unterstützen, um ein kostengünstiges, standardkonformes und dem Stand der Technik entsprechendes Cybersecurity Concept zu definieren.

Security Implementation

Nach der Definition des Cybersecurity Concepts und der Ableitung der Anforderungen und des Architekturdesigns, ist die Implementierung der Cybersecurity-Mechanismen der nächste Schritt. Die Implementierung von Mechanismen wie Secure Boot, Secure Flashing oder Secure Communication kann eine Herausforderung sein, wenn z. B. im Entwicklungsteam wenig Erfahrung mit diesen Mechanismen vorhanden ist oder neue Hardware zum ersten Mal eingesetzt wird. Zusätzlich zur Realisierung der Funktionalität müssen Secure Coding Guidelines eingehalten werden.

Wir können Sie bei der Implementierung und Integration von Cybersecurity-Mechanismen sowie bei der Erstellung der notwendigen Dokumentation unterstützen, indem wir methodische Unterstützung und Anleitung geben oder uns mit Ihrem Entwicklungsteam zusammentun und praktische Unterstützung bei der Implementierung leisten, zum Beispiel im Rahmen von Pair Programming.

Security Testing

Wie für jede andere Funktionalität auch, sind anforderungsbasierte Tests für Cybersecurity-Mechanismen ein Muss. Es sind jedoch zusätzliche Arten von Tests erforderlich, um die Gewissheit zu erlangen, dass keine kritischen unbekannten Schwachstellen im System verbleiben. Zu diesem Zweck werden Methoden wie Fuzzing, Vulnerability Scanning und vor allem Penetration Tests eingesetzt.

Eine häufige Schwierigkeit bei der Definition und Planung dieser Tests ist, dass es keine klare Grenze für den Umfang gibt: Die Suche nach etwas, das nicht da sein sollte, kann beliebig viel Aufwand bedeuten. Die Herausforderung besteht darin, eine Balance zu finden zwischen der Reduzierung des Restrisikos auf der einen Seite und der Begrenzung von Zeit, Aufwand und Kosten auf der anderen Seite.

Wir unterstützen Sie dabei, indem wir systematisch Art und Umfang der Tests identifizieren, die dieses Gleichgewicht herbeiführen, und die entsprechenden Testaktivitäten planen und steuern.

ISAT Pro

Qualitativ hochwertige, zuverlässige und prozessorientierte Security Assessments sind ein grundlegender Bestandteil des Entwicklungsprozesses von cyber-physischen Systemen. Gleichzeitig sind diese notwendigen Bedrohungsanalysen und Risikobewertungen sehr komplex und auch für Security Experten entsprechend aufwendig und nervenaufreibend in der Durchführung.

Übersichtlichkeit, Wiederverwendbarkeit sowie Prozess- und Normenkonformität sind Eigenschaften, die in diesem Zusammenhang zu Effizienz- und Qualitätssteigerungen führen. Folgerichtig knüpfen wir mit ISAT pro, dem INVENSITY Security Assessment Tool, an diese Anforderungen an und erleichtern Ihnen die Durchführung Ihrer Sicherheitsanalysen.

Erfahren Sie mehr