Fortbildungen im Bereich Security für Fahrzeuge und eingebettete Systeme

Kaum etwas führt in der Automobilwelt zu so hohen Emotionen wie die Aussicht auf selbstfahrende Fahrzeuge. Wo die einen enorme Komfort- und Sicherheitsgewinne sehen, sorgen sich andere um ihre Autonomie und fürchten sich vor schädlichen Hackerangriffen auf ihr Fahrzeug. Doch nicht erst mit dem automatisierten Fahrzeug steigt die Notwendigkeit von wirkungsvoller eingebetteter Sicherheit im Automobil. Schon heute müssen Fahrzeuge vor Tachomanipulationen, unerwünschten Zugriffen auf die Fahrzeugelektronik und vielem mehr geschützt werden.

Diese Sicherheitstraining vermittelt spezielles IT-Sicherheitswissen für die Automobilbranche. Wir verfolgen einen ganzheitlichen Ansatz, von sicheren Steuergeräten bis hin zum Bordnetz und sicher vernetzten Fahrzeugen. Die Inhalte werden mit Übungen und Fallbeispielen vertieft.

• Dauer: 2 Tage
• Niveau: Fortgeschritten

Teilnehmende

• Produkt- und Projektmanager- und managerinnen, die sich ein grundlegendes Verständnis für das sichere Design automobiler Steuergeräte, Netzwerke und vernetzter Fahrzeuge aneignen möchten
• Produktingenieure und -ingenieurinnen in der Automobilindustrie, die für die Analyse und Definition von Sicherheitsanforderungen und Sicherheitskonzepten verantwortlich sind

Ausbildungsziele

• Kennenlernen aktueller Aspekte automobiler Sicherheit
• Entwickeln einer ganzheitlichen Sichtweise auf die Automobilsicherheit
• Verstehen der Herausforderungen und Lösungen bei der Entwicklung sicherer Steuergeräte
• Verstehen der Herausforderungen und Möglichkeiten sicherer Fahrzeugbordnetze
• Verstehen der Herausforderungen und Möglichkeiten sicherer vernetzter Fahrzeuge
• Umsetzen von Theorien, die in den Lernabschnitten bearbeitet wurden, in realen Anwendungsfällen
• Kenntnis über die wichtigsten Sicherheitsstandards in der Automobilindustrie

Anforderungen

• Grundlegendes technisches Verständnis von Automobilsystemen (Ingenieursniveau)
• Grundlegendes technisches Verständnis von Kryptographie und IT-Sicherheit (das heißt, zum Beispiel Kenntnisse aus der Entwicklung sicherer Produkte)

Die Schulung umfasst sowohl grundlegende Themen der Vernetzung als auch detaillierte Einblicke in IoT-Protokolle und -Technologien.

• Dauer: 1 Tag
• Niveau: Fortgeschritten

Teilnehmende

• Produkt- oder Projektmanager und -managerinnen, die ein solides Verständnis für die sichere Gestaltung von vernetzten oder IoT-Produkten entwickeln möchten
• Produktingenieure und -ingenieurinnen, die für die Analyse und Definition von Sicherheitsanforderungen und für die Festlegung von Sicherheitskonzepten für vernetzte oder IoT-Produkte verantwortlich sind

Ausbildungsziele

• Verstehen der verschiedenen Sicherheitsaspekte in Bezug auf Konnektivität
• Verstehen wichtiger Aspekte der erweiterten Zugangskontrolle
• Überblick über sichere Protokollkonfigurationen und Fallstricke
• Erlernen von Grundlagen von IoT-Protokollen
• Entwicklung eines Verständnisses für Bedrohungen für Schnittstellen und wie man Gegenmaßnahmen starten kann
• Erwerb von Basiswissen zu Web-Services und möglichen Angriffspunkten

Anforderungen

• Grundlegendes Verständnis für mathematische Modelle und Informationstechnologie (auf Ingenieursniveau)
• Basiswissen zu Kryptografie und IT-Security (sicheres Produktdesign u.ä.)

Grundausbildung für IT-Sicherheit, die organisatorische und technische Aspekte der Produktentwicklung abdeckt. Schwerpunkte der Schulung sind Sicherheitsaufgaben in klassischen und agilen Entwicklungsprozessen, Kryptographie und grundlegende IT-Sicherheitsmaßnahmen.

• Dauer: 2 Tage
• Niveau: Basis

Teilnehmende

• Produkt- oder Projektmanager und -managerinnen, die ein solides Verständnis der allgemeinen Sicherheitsprinzipien, -prozesse und -tools erwerben möchten, die für eine sichere Produktentwicklung erforderlich sind
• Produktingenieure und -ingenieurinnen, die für die Analyse und Definition von Sicherheitsanforderungen und für die Festlegung von Sicherheitskonzepten verantwortlich sind

Ausbildungsziele

• Kennenlernen verschiedener Aspekte der Sicherheit (zum Beispiel Theorie vs. Praxis, Herausforderungen usw.)
• Erlernen und Verstehen von Sicherheitsgrundlagen (zum Beispiel grundlegende Terminologie)
• Aufbau einer sicheren Softwareentwicklung für den gesamten Produktlebenszyklus
• Erlangen von Basiswissen zu kryptografischen Tools, Algorithmen und Protokollen
• Verständnis wichtiger Aspekte der Zugangskontrolle (Authentifizierung und Autorisierung)
• Anwendung der wichtigsten Security-Prinzipien
• Verständnis von Secure Coding-Techniken

Anforderungen

Grundlegendes technisches Verständnis der Mathematik und der Informationstechnologie (Ingenieursniveau)

Teilnehmende an dieser Schulung lernen den allgemeinen Lebenszyklus von Cybersicherheitstests für Automobilprodukte kennen. Sie erhalten einen Überblick über praktische und effektive Sicherheitstestmethoden und verstehen, wie sie Anforderungen globaler Automobilnormen und -standards erfüllen können.

• Dauer: 1 Tag
• Niveau: Basis

Teilnehmende

• Produkt-, Projekt, Test und Sicherheitsmanager und -managerinnen, die ein solides Verständnis für Sicherheitstestmethoden und deren Anwendung während des gesamten Entwicklungszyklus entwickeln möchten
• Systemingenieure und -ingenieurinnen, Systemarchitekten und -architektinnen und Tester und Testerinnen, die für die Durchführung von Teststrategien verantwortlich sind

Ausbildungsziele

• Kennenlernen von Gründen, Herausforderungen und Grenzen von Sicherheitstests
• Erlernen wie Sicherheitstests im Produktentwicklungszyklus zu berücksichtigen sind (zum Beispiel Durchführung von Tests in verschiedenen Zyklusphasen)
• Erlangen eines Überblicks über verschiedene Sicherheitstestmethoden und deren Unterschiede
• Erlernen und Verstehen der Grundprinzipien von Sicherheitstests
• Erlernen und Verstehen, „was" in welchem Testaufbau bei Sicherheitstests zu beachten ist (zum Beispiel Systeme, Geräte, Komponenten, Schnittstellen)
• Erlernen, wie mit festgestellten Schwachstellen umzugehen ist und welche Möglichkeiten zur Abhilfe es gibt
• Verstehen der Anforderungen für Sicherheitstests aus den wichtigsten Normen und Vorschriften
• Vertiefung des Verständnisses der einzelnen Themen mit interaktiven Übungen

Anforderungen

• Technisches Verständnis von Systemen/Produkten und System-/Produktentwicklung
• Grundkenntnisse der IT-Sicherheit sind hilfreich

Eine solide Bedrohungsanalyse und Risikobewertung (TARA) ist die Grundlage für ein gründliches Sicherheitskonzept und damit für alle sicherheitsrelevanten Schritte im Entwicklungsprozess. In diesem Coaching für Fortgeschrittene erläutern wir eine etablierte und bewährte TARA-Methodik, basierend auf den Common Criteria, die die Anforderungen von ISO/SAE 21434 vollständig erfüllt.

Ein Praxisteil ergänzt die Theorie. Hier erstellt das Kundenteam eine TARA für eines seiner eigenen Systeme. Trainer oder Trainerinnen von ETAS stehen dabei beratend, unterstützend und prüfend zur Seite.

• Dauer: 3 Tage (verteilt über ca. 3 Monate)
• Niveau: Coaching

Teilnehmende

• Produkt- und Projektmanager und -managerinnen, welche das Vorgehen bei einer Bedrohungsanalyse und Risikobewertung im Rahmen des Produktentwicklungsprozesses verstehen möchten
• Sicherheitsmanager und -managerinnen, die für die Durchführung der Bedrohungsanalyse und Risikobewertung während des Produktentwicklungsprozesses verantwortlich sind

Coaching-Themen

• Lernen und Verstehen, wie Bedrohungsanalyse und Risikobewertung zu einem effizienten und effektiven Risikomanagement beitragen, zum Beispiel im Rahmen von ISO/SAE 21434
• Erlernen, wie man eine Bedrohungsanalyse und Risikobewertung durchführt
• Durchführen einer Bedrohungsanalyse und Risikobewertung für ein eigenes System

Beginnend mit einer Einführung in das Thema, bewerten wir Ihren aktuellen Status Quo des Security-Testings, identifizieren die Lücken und entwickeln eine Test-Strategie für die Zukunft.

• Dauer: 1 Tag
• Niveau: Coaching

Teilnehmende

• Produkt-, Projekt-, Test- und Sicherheitsmanager und -managerinnen, die ein solides Verständnis für Sicherheitstestmethoden und deren Anwendung während des gesamten Entwicklungszyklus entwickeln möchten

Ausbildungsziele

• Kennenlernen der Hintergründe, Herausforderungen und Grenzen von Sicherheitstests
• Erlernen wie Sicherheitstests im Produktentwicklungszyklus zu berücksichtigen sind (zum Beispiel Durchführung von Tests in verschiedenen Zyklusphasen)
• Erlangen eines Überblicks über verschiedene Sicherheitstestmethoden und Verstehen der Unterschiede
• Erlernen und Verstehen der Grundprinzipien von Sicherheitstests
• Lernen und Verstehen, „was" in welchem Testaufbau bei Sicherheitstests zu beachten ist (zum Beispiel Systeme, Geräte, Komponenten, Schnittstellen)
• Erlernen, wie mit festgestellten Schwachstellen umzugehen ist und welche Möglichkeiten zur Abhilfe bestehen
• Erstellen eines ersten Entwurfs für eine eigene Sicherheitstestsstrategie
• Verstehen der Anforderungen für Sicherheitstests aus den wichtigsten Normen und Vorschriften
• Analyse des aktuellen Status-quo des eigenen Unternehmens zusammen mit dem Trainer oder der Trainierin
• Abgleich dieses Status-quo mit Best practices und anderen Anforderungen
• Entwickeln eines Zielbilds für die Zukunft und Festlegen nächster Schritte

Anforderungen

• Technisches Verständnis von Systemen/Produkten und System-/Produktentwicklung
• Grundkenntnisse der IT-Sicherheit sind hilfreich
• Falls vorhanden, eine Übersicht über die eigene Sicherheitsteststrategie

In dieser Basisschulung lernen die Teilnehmenden, welche Sicherheitsanforderungen neueste internationale Standards fordern und wie sie sie umsetzen können.

• Dauer: 1 Tag
• Niveau: Basis

Teilnehmende

• Risikomanager und -managerinnen, die erfahren wollen, welche Sicherheitsanforderungen die neuesten internationalen Standards vorschreiben und wie sie sie implementieren können
• Produktverantwortliche, welche die Grundlagen der Ableitung von Sicherheitsanforderungen aus Standardkatalogen erlernen möchten

Ausbildungsziele

• Einführung in Informationssicherheitsstandards
• ISO 27001 (Informationssicherheitsmanagement)
• OWASP ASVS (Application Security Verification Standard) v4.X
• OWASP MASVS (Mobile Application Security Verification Standard) v1.2
• NIST 800-53 (Katalog der Sicherheits- und Datenschutzkontrollen)

Anforderungen

• Grundkenntnisse über Managementsysteme
• Grundkenntnisse der Sicherheitsstandards

Diese IT-Sicherheitsschulung für Fortgeschrittene konzentriert sich auf die Anforderungen von ISO/SAE21434 und das gesamte Cybersicherheitsmanagement im Kontext der UN-Regelung 155 (UNECE WP.29). Die Schulung behandelt Themen wie Risikobewertung sowie die verschiedenen technischen Phasen vom Konzept bis zur Entwicklung und Nachentwicklung.

Teilnehmende können sich vom TÜV [PA(SB3] Rheinland als „Cybersecurity Automotive Professional" zertifizieren lassen.

• Dauer: 2 Tage
• Niveau: Fortgeschritten

Teilnehmende

• Sicherheits-, Produkt- und Projektmanager und -managerinnen
• System-, Software- und Hardwareingenieure und -ingenieurinnen und Entwickler und Entwicklerinnen

Ausbildungsziele

• Erlernen der Bausteine ISO/SAE 21434-konformer Sicherheitstechnik
• Erlangen eines Überblick, wie die ISO/SAE 21434 dabei hilft, die Anforderungen der UN-Regelung 155 zu erfüllen
• Entwicklung eines Verständnis für den risikobasierten Ansatz der ISO/SAE 21434 im Bezug auf Produktsicherheit
• Profitieren von unserer Erfahrung mit der ISO/SAE 21434 durch spezielle Fallstudien
• Erlernen, welche Rolle Security Engineering schon während der Konzeptphase spielt, inklusive ihrer Relevanz für Cybersicherheit, Sicherheitsziele und Sicherheitskonzept
• Erlernen, welche Rolle Security Engineering in der Entwicklungsphase spielt, inklusive ihrer Relevanz für Cybersecurity DIA, Design, Implementierung und Verification & Validation
• Profitieren von unserem Wissen über Cybersicherheit in Produktion, Betrieb, Wartung und Stilllegung

Anforderungen

• Grundlegendes technisches Verständnis von Automobilsystemen auf technischer Ebene

Inhalt

• Einführung in die Sicherheitstechnik
• Governance und Ökosystem
• Risikomanagement
• Konzept und Entwicklung
• Produktion und Betrieb

Grundlegendes IT-Sicherheitstraining, welches organisatorische und technische Aspekte der Produktentwicklung abdeckt. Schwerpunkte der Schulung sind Sicherheitsaufgaben in klassischen und agilen Entwicklungsprozessen, Kryptographie und grundlegende IT-Sicherheitsmaßnahmen.

• Dauer: 2 Tage
• Niveau: Basis

Teilnehmende

• Produkt- oder Projektmanager und -managerinnen, welche ein solides Verständnis für die allgemeinen Sicherheitsprinzipien, -prozesse und -tools erwerben möchten, die für eine sichere Produktentwicklung erforderlich sind
• Produktingenieure und -ingenieurinnen, die für die Analyse und Definition von Sicherheitsanforderungen und für die Festlegung von Sicherheitskonzepten verantwortlich sind

Ausbildungsziele

• Kennenlernen verschiedener Aspekte der Sicherheit (zum Beispiel Theorie vs. Praxis, Herausforderungen usw.)
• Erlernen und Verstehen von Sicherheitsgrundlagen (zum Beispiel grundlegende Terminologie)
• Erlernen, wie man einen sicheren Lebenszyklus für die Softwareentwicklung einrichten kann
• Aufbau von Grundkenntnissen über kryptografische Werkzeuge, Algorithmen und Protokolle
• Verständnis über wichtige Aspekte der Zugangskontrolle (Authentifizierung und Autorisierung)
• Erlernen, wie die wichtigsten Sicherheitsgrundsätze angewendet werden können
• Verständnis für sichere Kodierungstechniken

Anforderungen

Grundlegendes technisches Verständnis der Mathematik und der Informationstechnologie (Ingenieursniveau)

Die Teilnehmenden an dieser Schulung lernen wie gängige Angriffe auf Windows-Installationen aussehen und lernen Tools wie Command & Control Frameworks und Malware wie Mimikatz kennen.

• Dauer: 1 Tag
• Niveau: Basis

Teilnehmende

• Windows-Administratoren und -administratorinnen
• Administratoren und -administratorinnen von Anwendungen oder Diensten, die auf Windows-Hosts basieren
• Entwickler und Entwicklerinnen und Architekten und Architektinnen für diese Systeme, Anwendungen und Dienste
• Jeder, der sich für die Bewertung der Sicherheits- und Härtungsoptionen von Windows-Systemen interessiert

Ausbildungsziele

• Erlangen von Wissen über häufige Angriffe auf Windows-Installationen
• Erforschung von Tools, die Angreifer auch in der Realität verwenden könnten
• Erlernen, wie man Fehlkonfigurationen erkennt und wie man ihr Potenzial für Privilege Escalactions einschätzt
• Vertiefung des Wissen über Windows-Sicherungsverfahren und Gegenmaßnahmen
• Teilnahme an einem Hacking-Praxislabor mit Übungen für alle Bereiche

Anforderungen

• Grundkenntnisse von Windows
• Allgemeines Verständnis und Bewusstsein für IT-Sicherheit

Dieses weiterführende Coaching vermittelt detaillierte Informationen über die Bedrohungs- und Risikoanalyse sowie die Entwicklung, Umsetzung und Bewertung von Bedrohungsmodellen.

• Dauer: 2 Tage
• Niveau: Fortgeschritten

Teilnehmende

• Produkt- und Projektmanager und -managerinnen, welche Methodik und Ergebnisse eines Bedrohungsmodells verstehen möchten
• Sicherheitsmanager und -managerinnen, welche dafür verwantwortlich sind Bedrohungsmodelle durchführen und deren Ergebnisse zu bewerten
• System-, Software- und Hardware-Ingenieure und -ingenieurinnen sowie Entwickler und Entwicklerinnen

Ausbildungsziele

• Verstehen, was eine Bedrohungs- und Risikoanalyse/ein Bedrohungsmodell im Allgemeinen ist
• Erhalten eines tieferen Einblicks in die vier Phasen der Durchführung eines Bedrohungsmodells mit der STRIDE-Methodik
• Erlernen, wie man ein Datenflussdiagramm eines bzw. von eigenen Produkten/Dienstleistungen/Lösungen erstellt, einschließlich Trust Boundaries
• Erwerb eines grundlegendes Verständnises dafür, wie man Risiken oder Bedrohungen bewertet/ermittelt
• Erlernen, wie man Gegen- oder Eindämmmaßnahmen für identifizierte Bedrohungen entwickeln kann
• Kennenlernen von Möglichkeiten zur Bewertung der eigenen Analyse und zur Ausarbeitung passender Maßnahmen

Anforderungen

• Allgemeines Verständnis und Bewusstsein für IT-Sicherheit
• Kenntnisse über die Systemübersicht, Technologien und die Kommunikation zwischen diesen Komponenten

In diesem Basistraining stellen wir die häufigsten Sicherheitslücken von Webanwendungen vor und zeigen Methoden zum Schutz von Webanwendungen.

• Dauer: 1 Tag
• Niveau: Basis

Teilnehmende

• Entwickler und Entwicklerinnen, die grundlegende Schwachstellen von Webanwendungen kennenlernen und wissen möchten, wie sie diese beheben können
• Architekten und Architektinnen, die mehr über die Sicherheit von Webanwendungen oder -plattformen wissen wollen

Ausbildungsziele

• Einführung in die Sicherheit von Webanwendungen inklusive OWASP Top 10
• Einblick in die gängigsten Schwachstellen und entsprechende Eindämmungsmaßnahmen
• OWASP Top 10 inklusive Demonstration der häufigsten Angriffe
• Schwachstellen:
  • Injection
  • Cryptographic Failures
  • Server-side Request Forgery
  • Verwundbare und veraltete Komponenten
  • Identifikations- und Authentifizierungsfehler
  • Sicherheitsrelevante Fehlkonfigurationen
• Hacking-Praxislabor zum Erwerb grundlegender Kompetenzen für Penetrationstests

Anforderungen

• Grundkenntnisse über Webanwendungen
• Erfahrung mit IT-Technologien für Unternehmen

Die Teilnehmenden lernen die Grundlagen der Cloud-Sicherheit, potenzielle Angriffswege und Abhilfemaßnahmen kennen. Zudem gibt es eine praktischen Übung im CTF-Stil.

• Dauer: 1 Tag (bis zu 2 Tage, je nach Erfahrung der Teilnehmenden)
• Niveau: Fortgeschritten

Teilnehmende

• Produkt- und Projektmanager und -managerinnen, die in Cloud-Ökosystemen arbeiten
• Sicherheitsbeauftragte mit Verantwortung für ein Produkt in der Cloud
• System-, Software- und Hardware-Ingenieure und -ingenieurinnen sowie Entwickler und Entwicklerinnen, die in der Cloud arbeiten

Ausbildungsziele

• Verstehen, was Cloud-Sicherheit bedeutet
• Erhalten tieferer Einblicke in „Cyber Kill Chains" und deren Anwendung auf Cloud-Szenarien
• Kennenlernen der wichtigsten Angriffsketten für Cloud-Angriffe
• Anwendung von „Cloud Attack Kill Chains" in einer beispielhaften anfälligen Umgebung
• Kennenlernen von Gegenmaßnahmen für die eigene Architektur und Cloud-Infrastruktur

Anforderungen

• Allgemeines Verständnis und Bewusstsein für IT-Sicherheit
• Kenntnisse über die Systemübersicht, Technologien und die Kommunikation zwischen diesen Komponenten
• Cloud-Grundlagen