Cybersecurity by Design

IT Sicherheit

Heutzutage steht der Sicherheitsaspekt bei der Entwicklung und dem Betrieb von Systemen immer mehr im Vordergrund. Wir stehen Ihnen bei der Planung und Umsetzung von Konzepten rund um die IT-Sicherheit und im Hinblick auf die verschiedensten Sicherheitsproblematiken Ihrer Produkte und Systeme zur Seite.

Sie planen die Entwicklung eines Systems oder Produkts und wollen beispielsweise für die Kommunikation nach außen eine Lösung gemäß dem aktuellen Stand der Technik verwenden?

Wir schauen uns ihr System an und bewerten welche Protokolle wie eingesetzt und konfiguriert werden können, um ihr System oder Produkt bestmöglich abzusichern. Wir orientieren uns hierbei an gängigen Empfehlungen und Standards wie sie etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht.

Speziell im Automotive-Sektor berücksichtigen wir ebenfalls die neusten und kommenden Standards wie

• ISO/SAE 21434: Road vehicles – Cybersecurity engineering
• ISO 24089: Road vehicles – Software update engineering (Over-the-Air-Update)

und stellen dies unter anderem durch das Zertifikat als Automotive Cybersecurity Engineer ISO/SAE DIS 21434 (TÜV NORD) und unser TISAX-Label (Assessment Level 3, Umgang mit Informationen von hohem Schutzbedarf) unter Beweis.

Wenn Sie bereits ein Konzept entwickelt haben, können Sie dies von uns auf die Einhaltung gängiger Sicherheits­standards bei etwa der Daten­speicherung hin untersuchen lassen.
Weiterhin können wir in Zusammenarbeit mit Ihnen zusätzliche Tests auf verschiedene Schwachstellen ausarbeiten, um im späteren Verlauf der Entwicklung etwa die Absicherung der Kommunikation bei dem System oder Produkt zu testen.

Automotive - Autonomes Fahren

Unsere Leistungen:

• Projektierung, Planung und Umsetzung geeigneter Cybersecurity-Architekturen
• Cybersecurity Management, Umsetzung und/oder Unterstützung
• Analyse, Review und Konzeption des Gesamt-Autonomous-Driving-Systems
• Konzeption, Begleitung und Durchführung von Cybersecurity-Tests für Komponenten und das Gesamtsystem
• Schulung und Training zur Cybersecurity im Automotive-Umfeld
• Zertifizierungen von Automotive-Zulieferern u. a. nach ISO24089 in Planung ab 2024
• Projektmanagement-Office

Unsere Arbeitsweise

Wir begleiten den Produktentwicklungsprozess gemäß Cybersecurity und unterbreiten im engen Schulterschluss mit den Verantwortlichen Vorschläge zur Verbesserung Ihrer funktionalen und operativen Prozesse. Alle Vorschläge von uns sind so ausgerichtet, dass die Maßnahmen, die wir mit Ihnen erarbeiten, Ihre zukünftigen Lösungen nicht einschränken.

Unser Ziel ist es, frühzeitig auf allen Architekturebenen Cybersecurity-relevante Aspekte aufzudecken und zu behandeln. So erreichen wir für Sie ein überarbeitetes und zuverlässiges Gesamtkonzept.

Kontinuität und Innovation

Wir arbeiten eng mit dem Institut für IT-Sicherheit der Universität Lübeck, insbesondere auch in industrie- und bundesfinanzierten Forschungsprojekten zusammen. Somit bieten wir hervorragende Grundlagen für bewährte neue MitarbeiterInnen als zukünftige KollegInnen bei automITe.

Gleichwohl sind wir im fortlaufenden fachlichen Dialog auf der Expertenebene mit den Fachkollegen und Kolleginnen des Institutes, um bei Bedarf, gemeinsam schnell geeignete Konzepte und Maßnahmen gegen neue Bedrohungsszenarien zu erstellen und zu validieren.

Profitieren Sie von professionellen Schulungen

Wir schulen und qualifizieren Automotive-Zulieferer im effizienten Umgang mit den Herausforderungen der Cybersecurity und beraten Abteilungen gemäß ihrer Cybersecurity-Rollen.

Auf der Grundlage unserer Präsenz-, Remote und Online-Lernmodule vermitteln wir

• das Gesamt-Zeitverhalten
• Real-Time in der gesamten Informationskette
• Wechselwirkungen der funktionalen Sicherheit

Unser Zertifzierungsangebot:

Wir begleiten Sie während Ihrer Zertifizierung nach ISO21434, ISO24089 und mehr.

Darüber hinaus wird das Zertifizierung-Angebot in Zusammenarbeit mit unabhängigen Versicherungs- und Rechts-Institutionen um die zusätzlichen Module Rechts-Belange und Versicherungs-Belange erweitert werden. Dieses Angebot gilt ab Ende 2024.

Welche Rollen übernehmen wir?

automITe kann jede der folgenden vier Rollen übernehmen, beraten oder orchestrieren:

Cybersecurity by Design

Cybersecurity ist nicht teilbar. Daher ist unser Handeln ausgerichtet auf vorausschauende und nachhaltige Lösungen. Wir haben stets das Gesamtsystem im Blick, bringen die Cybersecurity von Beginn an in den Produktentwicklungsprozess ein und stehen auch während des Betriebs zur Verfügung.

Verschaffen Sie sich einen Überblick über die Kommunikationswege im Autonomous Driving:

Das Zeitverhalten im Gesamtprozess des Autonomous Driving

Cybersecurity by Design bedeutet, bei der Konzeption und Planung auch das Zeitverhalten zu berücksichtigen. Wir prüfen, welche Cybersecurity-Maßnahmen entlang der Informationskette zeitkritisch sind, und ersetzen diese durch geeignete moderne Verfahren, um das Zeitverhalten zu optimieren. Die Informationskette umschließt im Autonomous Driving den Datenfluss vom Sensor und Steuergerät im Fahrzeug über die Kommunikationskanäle bis zu den Backends und wieder zurück ins Fahrzeug.

Ein noch etwas weiterführender Ansatz ist Cybersecurity und Real-Time. Wir analysieren Bestandskonzepte im Hinblick auf die Cybersecurity-Durchgängigkeit unter Berücksichtigung des Echtzeitverhaltens. Weitere Informationen zu diesem Thema können Sie auch unserer Veröffentlichung Autonomous driving and cybersecurity by design entnehmen.

Unternehmenssicherheit

In einer digitalisierten Welt, in der Daten der Schlüssel zum Erfolg sind, ist IT-Sicherheit nicht verhandelbar. Unsere Expertise stellt sicher, dass Ihr Unternehmen immer geschützt ist.

• Umfassende IT-Security-Lösungen: Vom gesamten Netzwerk bis hin zur ausgeklügelten Server- und Rechnerarchitektur: Unsere Expertise beginnt mit einer tiefgreifenden Analyse. Basierend auf unseren Erkenntnissen bieten wir Ihnen maßgeschneiderte Optimierungen und begleiten Sie durch die gesamte Konzeptionsphase. Unser Ziel: Ihnen einen lückenlosen Schutz zu garantieren.
• Pentests & Sicherheitsgewährleistung: Wir identifizieren und schließen Sicherheitslücken, bevor sie zu einem Problem werden. Mit regelmäßigen Tests und Bewertungen sorgen wir für die Integrität Ihrer IT-Infrastruktur.
• Schulung & Sensibilisierung: Ein geschultes Team ist Ihre erste Verteidigungslinie. Mit unseren spezialisierten Schulungen und Awareness-Programmen rüsten wir Ihre Mitarbeiter*innen für die digitale Zukunft.

Kontinuität und Innovation

Kontinuität und Innovation Wir arbeiten eng mit dem Institut für IT-Sicherheit der Universität Lübeck, insbesondere auch in industrie- und bundesfinanzierten Forschungsprojekten zusammen. Somit bieten wir hervorragende Grundlagen für bewährte neue MitarbeiterInnen als zukünftige KollegInnen bei automITe. Gleichwohl sind wir im fortlaufenden fachlichen Dialog auf der Expertenebene mit den Fachkollegen und Kolleginnen des Institutes, um bei Bedarf, gemeinsam schnell geeignete Konzepte und Maßnahmen gegen neue Bedrohungsszenarien zu erstellen und zu validieren.

Unsere Arbeitsweise

Vom Netzwerk bis zur Server- und Rechnerstruktur begleiten wir Sie im Prozess der IT-Sicherheit. In enger Zusammenarbeit mit Ihrem Team entwickeln wir maßgeschneiderte Verbesserungsvorschläge und beraten Sie bei der Konzeption. Dabei stellen wir sicher, dass unsere Empfehlungen Ihre zukünftigen Strategien und Lösungen unterstützen und nicht hindern. Bei der Analyse orientieren wir uns dabei am renommierten IT-Grundschutz-Kompendium des BSI. Für Penetrationstests nutzen wir die anerkannten Penetration Testing Methodologies von OWASP . Unser oberstes Ziel ist es, bereits in der Frühphase alle sicherheitsrelevanten Punkte auf jeder Architekturebene zu identifizieren und effektiv zu adressieren. So gewährleisten wir für Sie ein umfassendes und sicheres Gesamtkonzept.

Spezialist*in für Automotive Cybersecurity

Wir schulen und qualifizieren Fahrzeughersteller und Automotive-Zulieferer im effizienten Umgang mit den Herausforderungen der Cybersecurity und beraten Abteilungen gemäß ihrer Cybersecurity-Rollen (SecO, SecA usw.). Wir bieten Schulungen für Unternehmen und Einzelpersonen.

Qualifizierung: ON DEMAND - PRÄSENZ - REMOTE

• Bestehend aus elf Modulen und 117 Unterichtseinheiten á 45 Minuten
• Zusammengesetzt aus Video- und Übungseinheiten
• Jederzeit abrufbar
• Flexible Auswahl aus dem Modulkatalog für eine passgenaue Qualifizierung
• Verpflichtende Abschlussquizzes für die Teilnehmenden
• Bereits in drei Durchgängen (online-live) getestet und ausführlich evaluiert

Module:

• A: Basistechnologie IT
• B: Basistechnologien Automotive
• C: Grundbegriffe der Security
• D: Embedded & Autmotive Security
• E: Kryptographie
• F: Softwareschwachstellen
• G: Binary Exploitation
• H: Webschwachstellen
• I: Hardwareschwachstellen
• J: Abwehrmaßnahmen
• K: Testing

Penetrationstests

Was ist ein Penetrationstest?

Bei einem Penetrationstest handelt es sich um einen zielgerichteten, simulierten Angriff auf Ihre Systeme. Dabei wird unter realitätsnahen Bedingungen, die Sicherheit der verschiedenen Komponenten in einem individuell abgestimmten Testkonzept von der Web-Applikation bis hin zu einem eingebetteten System, überprüft und dokumentiert.

Wozu dient ein Penetrationstest?

Ein Penetrationstest hilft Ihnen dabei die Schwachstellen zu finden bevor echte Angreifer es tun. Dadurch haben Sie die Möglichkeit den Angreifern einen Schritt voraus zu sein und die gefundenen Lücken zu schließen, bevor diese ausgenutzt werden können und ein Schaden entstehen kann.

Wie wird ein Penetrationstest durchgeführt?

Der Penetrationstest besteht aus verschiedenen Phasen:

Sie erhalten als Endprodukt einen individuellen Bericht über gefundenen Schwachstellen und ihre Auswirkungen, den jeweiligen Risikograd sowie eine Empfehlung zur Beseitigung. Dabei schneiden wir den Bericht individuell auf Ihre Bedürfnisse zu. Mit der Hilfe des Berichts werden Sie in der Lage sein, alle gefundenen Schwachstellen zu schließen, wobei wir dies zusätzlich in einem Nachtest verifizieren können. Die Dauer des Penetrationstests ist abhängig von dem getesteten System, sollte in der Regel aber mindestens 14 Tage dauern.

Durch die enge Zusammenarbeit mit der Universität zu Lübeck insbesondere mit dem Institut für IT-Sicherheit haben wir auch Erfahrungen mit den neusten Angriffsmethoden und können diese bei unseren Tests berücksichtigen. Weiterhin bilden wir uns kontinuierlich fort, um mit dem stetigen Wandel im Pentestbereich Schritt halten zu können.

Pro Bono Penetrationstests

AutomITe bietet ein kostenloses Pro Bono Penetrationstest-Programm an. Das Ziel ist die Unterstützung nicht-kommerzieller Organisationen für welche ein kommerzieller Pentrationstest außerhalb des finanziellen Rahmens liegt.

Sie können sich für einen Pro Bono Pentrationstest bewerben, wenn Ihre Anwendung folgende Bedingungen erfüllt:

• Nicht-kommerzielle Anwendung (etwa Open-Source Software)
• Je größer der Einfluss ihrer Anwendung etwa in Bezug auf Nutzerzahlen und Anwendungs­bereich desto besser sind Ihre Bewerbungs­chancen

Sofern wir Ihre Anwendung als Kandidat auswählen willigen Sie ein, dass wir den ungekürzten Pentestbereicht auf unserer Website veröffentlichen. Wir veröffentlich den Bericht jedoch nicht bevor wir Sie über die Sicherheits­lücken informiert und Ihnen ein Zeitraum von mindestens 30 Tagen zur Behebung eingeräumt haben.

Wenn Sie Ihre Bewerbung vertraulich einreichen möchten, melden Sie sich bitte wie folgt:

• E-Mail: moritz.krebbel@automite.de
• PGP-Key: keys.openpgp.org/search?q=moritz.krebbel%40automite.de