Angriffssicherheit und Risikoanalyse technischer Systeme

Das Thema Angriffssicherheit und Informationssicherheit, (Organisations-/IT-/Produkt-/Cyber-Security, Privacy, Compliance, IS-Management, KRITIS, IT-SIG, ...) gewinnt zunehmend an Stellenwert. Die Anzahl der Berichte über erfolgreiche Angriffe, Sicherheitslücken, Bedrohungen, Cyberkriminalität (z.B. Automotive-Hacks, Malware-/Social Engineering Angriffe, ...) nehmen zu. Die Sicherheit und Verfügbarkeit kritischer Infrastrukturen, Fahrzeugflotten, des eigenen Autos, werden immer abhängiger von der Sicherheit der Systeme. Insbesondere wenn Sicherheitslücken Auswirkungen auf Leib und Leben haben können.

Ziel des Seminars ist zum einen die Teilnehmer zu sensibilisieren und auf mögliche zu berücksichtigende Gefahren und Risiken aufmerksam zu machen. Zum anderen werden technische und organisatorische Maßnahmen sowie Standardisierungsansätze präsentiert.

Das Seminar vermittelt eine Übersicht über Begrifflichkeiten und Inhalte. z.B. Schutzwerte (CIA: Vertraulichkeit, Integrität, Verfügbarkeit, weitere wie Authentifizierung, Autorisierung, Nicht-Abstreitbarkeit, ...) Informationssicherheit, Informationsschutz, Datenschutz, Bedrohungensanalysen, Gefahren, Schwachstellen, Bundesdatenschutzgesetz, KRITIS, Security-Risikoanalyse u.a.

Kennenlernen und Einordnen der Fachbegriffe rund um das Thema Angriffssicherheit, Informationssicherheit, IT-Security, Cybersecurity etc.
– Prinzipien des Datenschutzes nach EU-DSGVO und rechtliche Rahmenbedingungen kennenlernen
– Überblick bekommen über relevante Normen, Standards und Modelle wie ISO/IEC 27001, BSI: Kompendium; ISO/SAE 21434, IEC 62443; Common Criteria, OWASP, NIST SP 800-xxx, C-CERT, MISRA, ITIL, TISAX, ...
– Abgrenzung zu Safety und Privacy
– Bedrohungen/Angriffsszenarien/Hardening/Penetrationstests etc. kennen
– Wie denken Hacker? Wie begegnet man ihnen?
– Aufgaben eines IT-Sicherheitsbeauftragten verstehen
– Grundzüge des Risikomanagements und sein Risikobehandlungsplan kennenlernen

– Personen, die einen Einblick in die Security bekommen möchten
– Personen, die künftig mit Security/Datenschutz und Informationssicherheits-Themen betraut werden
– Personen die sich einen Überblick über Security relevante Standards verschaffen wollen
– Personen die Risikoanalysen durchführen und Securitykonzepte erstellen sollen

Dienstag, 14. Mai 2024
9.00 bis 12.15 und 13.15 bis 17.00 Uhr

1. Einführung

• Einordnung von Begriffen, Normen, Regeln, Definitionen, Ausprägungen, Parameter

2. Informationssicherheit

• Beispiele für "Unsicherheit": was für Angriffsarten sind aktuell, was kann man daraus lernen? Was kann man dagegen tun?
• Angriffsziele
• technische und organisatorische Maßnahmen
• Bedrohungen, Schutzbedarfe
• Schadenskategorien
• Emergenz, Antifragilität
• Schutzziele, KRITIS
• Social Engineering
• Bug Bounty, Honey Pot
• Megatrends
• Prinzipien

3. Abgrenzung Datenschutz

• Gesetzeslage/Grundbegriffe BDSG/EU-DSGVO
• BDSG, zum Beispiel Auftragsdatenverarbeitung
• Prinzipien
• Abwägung von Risiken

4. Abgrenzung zu Safety

• Risikobegriff in der funktionalen Sicherheit
• Wo hört funktionale Sicherheit auf, wo fängt Cybersecurity an?
  • weitergehende Testmethoden: Implementierungsangriff, Re-Engineering, Side-Channel-Angriff
• Methoden (Testen u.a.)
• Zielkonflikte
• Induktives vs. deduktives Denken
• Zufälliger vs. zielgerichteter Angriff

5. Security-Standards/-Normen

• Security Risiko-Analysen/Herangehensweisen
• IEC 62443, OWASP, SAMM, CERT-X, MITRE, NIST, MISRA, ITIL, 27k, SAE/ISO 21434, MS-SDL, UNECE, u.a.
• Angriffsfamilien/ -szenarien: Backedn, Update, Schnittstellen, Nutzer, ...
• Übersicht Standards und Ziele
• Informationssicherheitsmanagementsystem

6. Hacking

• Wie denken Hacker? Wie gehen Hacker vor?
• Social Engineering
• Angriffszenarien am Beispiel Automotive
• Passwortsicherheit

7. Risikobewertung – Bedrohungsmodellierung

• Definition Risiko – Risikobewertung
• Bedrohungsmodellierung am Beispiel MS-STRIDE

6. IT-Management

• IT-SiBe
• IT-Sicherheitskonzept (BSI Kompendium)
• IT-Management PDCA, ITIL, COBIT