Seminar

Security by Designneu

Maschinen von Beginn an sicher entwickeln

Ein weißes Schloss auf Hintergrund in Blautönen
© Nmedia / Adobe Stock

Mit der zunehmenden Vernetzung von Maschinen und Anlagen nimmt auch die Abhängigkeit von Embedded Software stetig zu. Sicherheit wird häufig erst am Ende integriert obwohl klar ist, dass Sicherheitsvorfälle bereits heute enormen Einfluss auf die Produktion und das Image eines Unternehmens haben können. Die neue Schulung „Security by Design“ wurde auf Basis der IEC 62443 entwickelt und verfolgt das Ziel, Produktentwickler im Maschinenbau zu befähigen, Bedrohungen frühzeitig zu erkennen, Schutzbedarfe zu ermitteln und geeignete Sicherheitsmaßnahmen zu ergreifen.

Aus der Praxis für die Praxis: Die Anforderungen an das Schulungskonzept wurden in enger Zusammenarbeit mit dem VDMA-Arbeitskreis Industrial Security (https://industrialsecurity.vdma.org) erarbeitet. Mit einem durchgängigen Demonstrator wird praxisnahes Lernen gewährleistet.


Warum ist sichere Entwicklung wichtig?

Mit der Digitalisierung und Vernetzung von Maschinen und Anlagen geht eine immer größere Abhängigkeit von zuverlässiger Software einher. Security-Vorfälle sorgen bereits heute für Produktionsstillstand (30%), Safety-Gefährdungen (2%) und Qualitätseinbußen (19%) (vgl. VDMA Studie Industrial Security).

Häufige Ursache solcher Vorfälle sind Schwachstellen in der Software. Und es wird durch Integration von neuen Funktionen (z.B. Predictive Maintenance, OPC UA) immer kritischer. Nicht immer findet die Integration neuer Softwarefunktionen mit dem dafür notwendigen Wissen statt. Sicherheit wird, wenn überhaupt, oft erst am Ende integriert.

Für sichere (IT/OT-)Systeme muss Security über den kompletten Produktlebenszyklus berücksichtigt werden, bereits von der Entwurfsphase an bis hin zum Dauerbetrieb. Herstellern und Integratoren mangelt es an Wissen, wie sie die Sicherheit in ihren Produkten systematisch verbessern können. Denn die dafür zuständigen Produktentwickler und Konstrukteure verfügen oft nicht über hinreichende Sicherheitsexpertise – und Security-Experten sind Mangelware.

Die für sichere Produktentwicklung notwendige Weiterbildung für Entwickler und Konstrukteure gibt es jedoch – Stand heute – noch nicht. Alle Schulungen richten sich an die Betreiber von Anlagen. Es wird gezeigt, wie Altsysteme abgesichert werden. Es fehlt die Information, wie neue Systeme von Beginn an unter Security-Gesichtspunkten entwickelt werden können – damit vernetzte Anlagen langfristig sicher und zuverlässig betrieben werden können.

Inhalte

Themenblock: Initialisierung

  • Schutzziele und Bedrohungsarten
  • Wichtige Fachbegriffe
  • Relevante Standards (z.B. IEC 62443) und Best Practices
  • Prozess „Security by Design“

Themenblock: Analyse

  • Prozesse zur Bedrohungs- und Risikoanalyse
  • Netzwerkgrundlagen ICS
  • Security Assessments
  • Praktische Übungen an einem durchgängigen Demonstrator

Themenblock: Entwurf

  • Prinzipien für sichere Architekturen (Systeme, Software)
  • Prinzipien für die sichere Vernetzung von Systemen
  • Sichere Komponenten – Anforderungen und wie man sie beschafft
  • Grundlagen der Kryptographie
  • Übung: Weiterentwicklung des Demonstrators auf Basis der vorherigen Risikoanalyse

Themenblock: Realisierung

  • Prinzipien für eine sichere Implementierung (z.B. Defensive Coding)
  • Prinzipien für manuelle und automatische Code-Reviews
  • Kryptographische Bibliotheken richtig einbinden
  • Übung: Durchführung eines manuellen Code-Reviews für einen Teil des Demonstrators

Themenblock: Veröffentlichung

  • Prinzipien für ein sicheres Deployment (Fail Securely, (In)Secure Defaults)
  • Best Practices für die Systemhärtung kennen und typische Fehler vermeiden

Themenblock: Nutzung

  • Umgang mit aufgedeckten Schwachstellen – Prinzipien des Security Response
  • Risiken von Fernzugriffen einschätzen und Konzepte zur sicheren Umsetzung anwenden
  • Übung: Sichere Umsetzung eines Fernzugriffs auf den Demonstrator

Methoden

Experteninput, Erläuterung an Fallbeispielen, Kleingruppenarbeit in Workshops (durchgängiger Demonstrator), Erfahrungsaustausch und Feedback


Wie profitieren Sie von diesem Seminar?

Als Teilnehmer lernen Sie das Prinzip „Security by Design“ näher kennen und sind am Ende des Seminars in der Lage, dieses im Produktentwicklungsprozess Ihrer Maschinen zielführend anzuwenden. Sie lernen, Sicherheitsbedrohungen frühzeitig zu erkennen, Schutzbedarfe zu ermitteln und geeignete Maßnahmen zur Absicherung zu ergreifen.


Zielgruppe

Produktentwickler im Maschinen- und Anlagenbau, Servicetechniker bei Integratoren, Systemintegratoren für Automatisierungskomponenten, Product Security Officer (ProSO) sowie Verantwortliche für Industrial Security


Kooperationspartner

Die Schulung wird in Kooperation mit dem dem Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM sowie dem Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB vorbereitet und durchgeführt. Arbeitsschwerpunkte des Fraunhofer IOSB sind u.a. sichere industrielle Automatisierungssysteme. Das Fraunhofer IEM erarbeitet innovative Methoden für die Entwicklung intelligenter technischer Systeme mit einem besonderen Fokus auf die Berücksichtigung der IT-Sicherheit von Beginn an und über der gesamten Lebenszyklus (Security by Design)


Security als Teil des Gesamtlebenszyklus

Die Schulung folgt dem Paradigma "Security by Design", bei dem die IT-Sicherheit bereits mit Beginn jeder Entwicklung und über den gesamten Systemlebenszyklus hinweg betrachtet wird. In den verschiedenen Lebenszyklusphasen sind unterschiedliche Aspekte der IT-Sicherheit und Methoden relevant. Nach einer Einführung in Grundlagen geht die Schulung an den gezeigten Lebenszyklusphasen entlang und behandelt die oben beschriebenen und in der folgenden Graphik dargestellten Inhalte.

Veranstaltungsdetails

Diese neue Schulung bieten wir ab 2020 an. Termine befinden sich in Planung. Gerne senden wir Ihnen weitere Infos zu, sobald verfügbar.

Kooperationspartner

Logo Fraunhofer IEM
Logo Fraunhofer IOSB

Sie haben Fragen?

Gorana Delija-Cavlovic

+49 69 6603 1334

mbi@vdma.org

Info-Service

Erhalten Sie regelmäßig und automatisch aktuelle Infos zu passenden Weiterbildungen.