Sicherheit eingebetteter Systeme Schulung

Einführung

• Allgemeine Sicherheit vs. Sicherheit eingebetteter Systeme

Merkmale der Sicherheit eingebetteter Anwendungen

• Gebundene Netzwerktransaktionen
• Kfz-Sicherheit
• Android-Geräte
• Software-defined Radio der nächsten Generation

Kritische Aspekte eingebetteter Systeme

• Mikrokernel vs. Monolith
• Unabhängige Sicherheitsebenen
• Kernanforderungen an die Sicherheit
• Zugriffskontrolle
• Eingabe-/Ausgabe-Virtualisierung

Durchführung der Bedrohungsmodellierung und -bewertung

• Angriffsparteien und Assets
• Angreifbare Oberfläche (Attack Surface)
• Angreifbäume (Attack Trees)
• Festlegen einer Sicherheitsrichtlinie

Entwicklung sicherer eingebetteter Software

• Prinzipien sicheren Codings
• Sicheres Programm-Design
• Minimalistische Implementierung
• Komponentenarchitektur
• Prinzip der geringsten Rechte (Least Privilege)
• Sicherer Entwicklungsprozess
• Unabhängige Validierung durch Experten
• Modellgetriebenes Design
• Code-Review und statische Analyse
• Sicherheitstests
• Peer-Code-Reviews

Verständnis und Implementierung von Kryptografie

• Kryptografische Modi
• Kryptografische Hash-Funktionen
• Kryptografische Zertifizierungen
• Verwaltung von Schlüsseln
• Blockchiffren
• Message Authentication Codes (MACs)
• Zufallszahlengenerierung

Datenschutz

• Protokolle für Daten in Bewegung
• Sicherung von Daten in Bewegung
• Protokolle für gespeicherte Daten (Data at Rest)
• Sicherung von gespeicherten Daten (Data at Rest)

Abwehr von Angriffen

• Häufige Softwareangriffe
• Vermeidung von Seitenkanalangriffen

Nachrüstung von Sicherheitsmaßnahmen in bestehenden Projekten

• Sicherung von Bootloaders und Firmware-Updates

Zusammenfassung und nächste Schritte