Funktionale Sicherheit und Security


Was bedeutet Sicherheit? Safety oder Security! Beides geht miteinander einher. Zum einen müssen wir die Funktionsfähigkeit unserer Systeme gewährleisten und zum anderen müssen wir unser System vor dem Zugriff von Unbefugten schützen. Wir helfen Ihnen bei der Umsetzung von verschiedenen Sicherheitsnormen und beraten Sie gerne.

Funktionale Sicherheit

Die Komplexität der Systeme im Fahrzeug nimmt weiter zu. Die Funktionale Sicherheit (FuSi) betrachtet das Risiko eines Systems für Gefährdungen und Fehlfunktionen. Damit ist die Funktionale Sicherheit für die Auslegung der Systeme im Automobilbereich unverzichtbar.

IT-Security

Die Vernetzung unserer Maschinen und Produkte schreitet immer weiter fort. Damit verbunden werden persönlichen Daten vermehrt in der Cloud und auf verteilten Systemen abgelegt. Hier ist es unverzichtbar auf eine sichere Kommunikation und Datenablage zu achten.

Automotive Security

Das Fahrzeug wird immer stärker zum vernetzen und interagierenden mobilen Transportmittel. Dadurch ergeben sich neue Angriffsvektoren auf die reagiert werden müssen. Absicherung des Fahrzeugs gegen unbefugten Zugriff und Überwachung.

Funktionale Sicherheit

Wird Software zur Steuerung eingesetzt, sei es die Steuerung von Fahrzeugfunktionen oder die Steuerung von Maschinen, Anlagen und Geräten, muss der Aspekt der Funktionalen-Sicherheit berücksichtigt werden. Eine Gefahren- und Risikoanalyse zeigt, ob und unter welchen Umständen eine Gefährdung für Personen oder Sachen eintreten kann. Die Steuerungssoftware muss in zweierlei Weise zur Gefährdungsvermeidung beitragen:

  • Das Programm muss so entworfen und programmiert werden, dass das Programm das gesteuerte System in keinen Zustand führt, der eine Gefährdung auslöst.
  • Mit Hilfe von Softwarefunktionen wird sichergestellt, dass das Verhalten anderer Systemelemente zu keiner Gefährdung führt.

Die zum Nachweis der Funktionalen-Sicherheit notwendigen Schritte und dokumentierten Informationen werden bereits durch Normen wie beispielsweise IEC 61508 (allgemein Maschinen und Anlagen) oder ISO 26262 (Personenkraftwagen) vorgegeben. Die Kenntnis der für das Produkt gültigen Normen zur Funktionalen-Sicherheit ist eine Voraussetzung für eine erfolgreiche Entwicklung sicherheitskritischer Produkte. Die Funktionale-Sicherheit muss bereits in den ersten Phasen der Produktentwicklung betrachtet werden, da ihre Berücksichtigung bereits bei der Festlegung der Architektur von System und Software erfolgen muss. Dazu ist die sorgfältige Ermittlung, Analyse und Dokumentation der Sicherheitsanforderungen eine wesentliche Voraussetzung. Parallel dazu empfiehlt es sich, auch bereits zu bedenken, auf welche Weise der Nachweis erbracht werden soll, dass die Sicherheitsanforderungen erfüllt sind.

softwareinmotion kann sie bei der Bearbeitung dieser Problemstellungen unterstützen: Wir verfügen über eine reiche Erfahrung bei:

  • der Ermittlung, Spezifikation und dem Management von Sicherheitsanforderungen auf der Systemebene wie auf der Software-Ebene, entsprechend den Vorgaben der gängigen Normen zur Funktionalen Sicherheit
  • bei der Entwicklung und Anpassung der dazu notwendigen Prozesse, Methoden und Werkzeuge
  • der Analyse der Struktur und Umsetzung vorhandener Software bezüglich ihrer Funktionalen-Sicherheit, auch mittels
  • spezieller Computergestützter Werkzeuge
  • dem Entwurf der Architektur und Struktur von Programmen für sicherheitskritischen Anwendungen
  • dem Entwurf von Prozess- und Werkzeugketten für die Realisierung von Software für sicherheitskritische Anwendungen
  • Prozessen für und Durchführung von Integrationsaufgaben bei Softwarelösungen für sicherheitskritische Systeme
  • Verifikation und Validierung der Software- und Systemfunktionen sicherheitskritischer Systeme.

Die Funktionale-Sicherheit erfordert häufig, dass die Software, die ein System steuert, vor Manipulationen geschützt ist und dass sichergestellt ist, dass die richtige Software im Einsatz ist. Hier können Sie sich auf unserer Kompetenz im Bereich der Security (Datensicherheit) stützen.


IT-Security

In der heutigen Zeit vergeht kein Tag in den man nicht von einem IT-Security Vorfall einen sogenannten Security Incident etwas in den Nachrichten liest. Durch den massiven Anstieg an Vernetzung und Verbindung von Geräten aller Art mit dem Internet, entstehen ungeahnte Gefährdungen der zu schützenden Informationen. Wir als softwareinmotion beschäftigen uns schon seit längerer Zeit mit der Frage wie die IT-Security richtig in für unsere Kunden in die Projekte mit eingebunden werden kann. Dass ein zufriedenstellendes Sicherheitsniveau erreicht werden kann müssen die Aspekte in allen Projekt bzw. Produktphasen einfließen. Hier kommt unser Expertenwissen zum Tragen.

Als erster Schritt stellt sich die Frage, welcher Schutzbedarf ist für das Projekt, Produkt oder ihr Unternehmen vorhanden ist. Darauf folgt eine Risikoanalyse für die festgestellten Assets. Sind die Risikobereiche identifiziert entwickeln wir den notwendigen Maßnahmenkatalog der schrittweise die Notwendigen Arbeitspakete beschreibt.

Gerne helfen wir dabei ihre bereits vorhandene Planung um den Punkt Security zu erweitern oder gehen den Weg mit Ihnen von Anfang an. In der Umsetzungsphase geht es nun an die direkte Umsetzung der festgelegten Maßnahmen. Ziel ist es das festgestellte Risiko auf ein Minimum zu reduzieren. In folgenden Bereichen Können wir Sie in ihrem Bestreben Security richtig umzusetzen unterstützen:

  • Planung von Security Bereichen in Projektumfeld
  • Feststellen des Schutzbedarfes und Risikoanalysen
  • Einführung von Security Prozessen nach ISO 27001 / 9001
  • Härten von Windows oder Linux Betriebssystemen
  • Härtung von Webservern
  • Schwachstellen Analyse ihres Produktes oder Infrastruktur
  • Dokumentation

Automotive Security

Das Fahrzeug wandelt sich vom geschlossenen System zum vernetzten und permanenten internetfähigen Gerät. Was in der Welt der Consumer Elektronik schon längst zum Standard gehört wird zunehmend in der Automobilindustrie zur Wirklichkeit. Was die Kunden fordern ist für die Industrie mit großen Herausforderungen verbunden und nur sehr schwer in einem so komplexen System wie dem Fahrzeug zu erreichen. Mit unsere Spezialisten bieten wir Beratung und Unterstützung im Bereich Security an. Beginnend mit einer Struktur- und Aufbauanalyse wird die vorhandene Software bewertet. Neuentwicklung begleiten wir schon in der Planungsphase und geben entsprechende Empfehlungen für eine sichere Architektur der Software. Denn Security kann nur mit sehr viel Aufwand im späteren Verlauf integriert werden. Das Ziel ist nicht nur die Erstellung der resultierenden Anforderungen, sondern auch die entsprechende Umsetzung. Dabei liegt der Schwerpunkt auf mehreren Bereichen. Dazu gehört nicht nur das Absichern der Schnittstellen des eingesetzten Systems zu unseren Kerngebieten, sondern auch die sichere Programmierung des Systems.

Dabei unterstützen Sie unsere Experten mit Schulung Ihrer Mitarbeiter oder bei der Umsetzung von sicherem Source Code, sowie bei dem Aufbau von sicherheitskritschen Systemen. Da ein notwendige Absicherung nur aus einer gut geplanten Architektur entstehen kann, kommt hier unser große Verständnis für das Gesamtsystem zum Tragen. Somit sind wir Ihr Ansprechpartner im Bereich Embedded- und Automotive Security.

  • Bootloader
  • Flashen
  • AutoSAR 4.3
  • Schnittstellen CAN, Flexray, MOST, LIN
  • Secure-Chip
  • Embedded Linux und Yocto
  • Aktuelle Algorithmen zur Signierung und Verschlüsselung
  • Industrialisierung (Einbindung in die Produktion)

Systeme

Im Bereich der Systeme, inspizieren wir gerne den vorhandenen Aufbau oder entwickeln mit Ihnen zusammen ein passendes Konzept mit Umsetzung. Dabei sind uns zwei Komponenten wichtig. Zum einen, dass ein aktuelles Level an Security umgesetzt und gleichzeitig keine Funktionalität eingeschränkt wird. Wir können in folgenden Themen unterstützen und beraten:

Systemarchitektur: Durch unsere Erfahrung in verschiedensten Projekten mit Kunden deren Fokus auf dem embedded Bereich liegt, können wir ein System nach den Anforderungen und Funktionalität für das maximale Projektnutzen aufzubauen. Der Bereich Security fließt nahtlos mit ein.

Systemhärtung: Wir stellen mit Ihnen zusammen fest welche Funktionalität von dem zu entwickelnden System erwartet wird. Die nicht benötigten Komponenten werden deaktiviert und stellen somit einen geringeren Absicherungsaufwand aus Sicht der Security dar. Hier halten wir uns an den Planungsvorsatz: so wenig Angriffsvektoren wie nötig

Schnittstellen

Da embedded Systeme häufig eine interne oder externe Kommunikation benötigen, kommen auch Schnittstellen zum Einsatz. Dabei ist es wichtig zu wissen welche Services an die Schnittstellen angebunden sind. Des Weiteren muss die Informationsübertragung klar aufgeschlüsselt werden. Unser Wissensgebiet erstreckt sich nicht nur über den Automotivbereich wie CAN, LIN, FLEXRAY oder MOST sondern auch über den Bereich der klassischen IT-Schnittstellen wie Ethernet, USB, Seriell. Auch hier können wir folgende Hilfestellung anbieten:

Analyse der Kommunikation: Welche Schnittstellen werden eingesetzt. Welche Information wird übertragen. Wie kritisch sind die Informationen. Klare Trennung und Zuordnung der Informationen zu den einzelnen Schnittstellen.

Absicherung der Kommunikation: Falls kritische Daten übertragen werden, stellen wir durch Maßnahmen wie z.B. Verschlüsselung oder Signierung die Übertragung sicher

Sichere Systemarchitektur & Programmierung

Von sicheren Systemen kann nur dann ausgegangen werden wenn während der Programmierung und Programmarchitektur Security Aspekte mit betrachtet werden. Dabei ist es wichtig, dass einheitliche Guidelines zum Tragen kommen. Egal ob es sich um den Bereich der embedded hardwarenahen oder um die Entwicklung sicherer Webanwendungen handelt. Unser Schwerpunkt liegt auf:

  • Die strukturierte und sichere Softwarearchitekturplanung. Dabei halten wir uns an die Empfehlungen und Richtlinien des BSI und setzen diese praktisch um.
  • Wir entwickeln Ihre Softwarewünsche und lassen unsere Security Erfahrung aus unserem zahlreichen Projektportfolio mit einfließen, damit das entstehende Produkt den aktuellen Security Ansprüchen gerecht wird.
  • Analyse von vorhandenem Source Code bzw. Systemarchitektur im Bezug auf Security Aspekte. Nach der Analyse geben wir Ihnen Empfehlungen die wir für Sie oder in Eigenregie umgesetzt werden können.