Secure Software Development for Embedded Systems

Systematische Entwicklung sicherer eingebetteter Software

Beschreibung

Die Gewährleistung von IT-Sicherheit ist ein fortlaufendes Unterfangen, das jede Phase der Entwicklung, der Einführung und des Betriebs eines Systems oder Services betrifft. Je früher Sicherheitsanforderungen berücksichtigt werden, desto effektiver und effizienter können sie im Allgemeinen erfüllt werden. Für jede Phase des Lebenszyklus einer eingebetteten Software ist es daher notwendig, geeignete Verfahren und Werkzeuge der IT-Sicherheit in den Entwicklungsprozess zu integrieren. Dazu gehören Bedrohungsanalysen und Risikobewertungen, Erhebung und Spezifikation von Sicherheitsanforderungen, sicheres Architekturdesign bzw. Entwurf und sichere Codierung und Programmierung. Somit kann IT-Sicherheit von Anfang an berücksichtigt werden und sich in der Entwicklung und Verwendung eines Produktes widerspiegeln.

Ziel der Weiterbildung

Das Seminar bietet eine Mischung aus Theorie mit Diskussionsanteilen und praktischen Übungen. Anhand praxisnaher Beispiele aus realen Entwicklungsprojekten mit bekannten Schwachstellen werden die Inhalte pragmatisch vermittelt.
Damit lassen sich die Beispiele leicht in den eigenen Projektalltag übertragen.
Das Seminar vermittelt die Grundlagen eines modellgestützten Verfahrens zur Durchführung von Bedrohungsanalysen für eingebettete Systeme. Darauf aufbauend werden alle Aspekte eines sicheren Architekturdesigns vermittelt und die notwendigen Rahmenbedingungen (Infrastruktur, Kompetenzen) für eine sichere Entwicklung in C und C++ vorgestellt. Abschließend werden Methoden und Werkzeuge zur Durchführung von entwicklungsbegleitenden Security Tests vorgestellt.

Sie erhalten Qualität
Das Qualitätsmanagementsystem der Technischen Akademie Esslingen ist nach DIN EN ISO 9001 und AZAV zertifiziert.

Teilnehmerkreis

Das Seminar richtet sich an Anforderungsingenieure, Softwarearchitekten, Softwareentwickler, Softwaretester und Projektleiter. Ebenso sind technische Leiter angesprochen, die sich einen Überblick über die Methodik im sicheren Softwaredesign verschaffen wollen.

Inhalte

Stand der letzten Durchführung:

Mittwoch, 9. Oktober 2019
9:00 bis 12:15 und 13:45 bis 17:00 Uhr

1. Grundlagen und Anforderungen
> Einstieg und Motivation Embedded Security: Motivation und Verständnis Bedrohungsanalysen; Notationen für Bedrohungsmodellierung; Grundlagen Common Criteria Frameworks
> Methodenteil 1: Erhebung und Spezifikation Security relevanter Anforderungen
> Praxisteil: Illustration der Methode
> Methodenteil 2: Bewertung von Sicherheitsmaßnahmen, Wirksamkeit während des Produktlebenszyklus

2. Überblick Standards und Normen: IEC 62443, IEC 15408 Common Criteria, ISO 27001 u. a.

3. Sichere Software Architekturen
> Theorieteil – Grundlagen sicherer Software Architekturen u. a.: Netzwerksegmentierung/Firewalls; Verteidigung in der Tiefe; Intrusion Detection; PKI-Infrastrukturen/Authentifizierung – Autorisierung; Kryptohardware vs. Software defined Security
> Praxisteil: Illustration der Best Practices

Donnestag, 10. Oktober 2019
9:00 bis 12:15 und 13:45 bis 17:00 Uhr

4. Sichere Programmierung in C und C++
> Theorieteil – Grundlagen sicherer Programmierung in C und C++: bekannte Schwachstellen spezieller Programmiersprachen und Entwicklungsmuster; Secure Coding Guidelines für C und C++; Kryptographie und Authentifizierung korrekt implementieren
> Praxisteil: Illustration und Erprobung der Best Practice

5. Validierung von Security Anforderungen
> Grundlagen Security Tests – bekannte Angriffsmuster: Brute-Force, DoS, Man-in-the-middle, Seitenkanal u. a.
> Methodenteil 1 – Angriffsvektoren für Security Tests: Festlegung des Prüfobjekts und -umfangs; Identifikation von Testfällen und Vorbereitung
> Praxisteil: Illustration der Methode
> Methodenteil 2 – Durchführung und Auswertung von Security Tests (Funktional vs. Verwundbarkeit): automatische Schwachstellenscans; Feldbustests – Manipulation (Integrität) und Mitlesen (Vertraulichkeit); Fuzz-Tests zur Überprüfung ungewöhnlichen Programmverhaltens und Simulation spezieller Angriffe; Penetration-Tests zur Weiterverfolgung erkannter Schwachstellen
> Grundlagen zur Dokumentation der Testergebnisse, Berichtswesen: Schwachstellen; Vorlagen und Verfolgbarkeit zu Anforderungen und Entwicklungsartefakten

Termine & Preise

Extras
Die Seminarteilnahme beinhaltet Verpflegung und ausführliche Seminarunterlagen.

Die Teilnehmerzahl ist begrenzt, um den optimalen Lernerfolg zu garantieren.

Fördermöglichkeiten
weniger bezahlen – so geht´s

Die nächsten Termine

neuer Termin in Planung

© Technische Akademie Esslingen e.V., An der Akademie 5, 73760 Ostfildern  | Impressum