Safety & Security by Design

Software und technische Systeme von Anfang an sicher entwickeln

Safety und Security by Design beschreibt die Betrachtung aller Sicherheitsaspekte entlang des Produktlebenszyklus von technischen Systemen – und zwar vom Beginn der Entwicklung an, nicht erst im Test oder im laufenden Betrieb. Dabei sind die Betriebssicherheit (Safety) und die Angriffs- und Informationssicherheit (Security) heute untrennbar miteinander verknüpft. Der Schutz von Mensch und Umwelt vor Fehlern und Ausfällen eines Systems geht einher mit dem Schutz vor Industriespionage und Manipulationen: Denn in technischen Systemen von heute gibt es keine Safety ohne Security. 

Auch in die Planung industrieller Anlagen bzw. automatisierter Fertigungsprozesse hält Safety und Security by Design immer mehr Einzug. Denn mit zunehmendem Softwareanteil und stärkerer Vernetzung steigt das Angriffspotenzial. Ob Hersteller technischer Systeme oder Softwareproduzent und -betreiber: Die frühzeitige Identifikation geeigneter Sicherheitsmaßnahmen im Entwicklungsprozess hilft, zusätzliche Kosten zu vermeiden. Denn je später Safety- oder Security-Schwachstellen entdeckt werden, desto aufwändiger und teurer ist ihre Behebung. 

Eine Frau und ein Mann erklären zwei weiteren Personen eine grafische Darstellung, die auf einem Bildschirm angezeigt wird.
© Fraunhofer IEM/ Wolfram Schroll
Mit Safety & Security by Design werden schon im Entwickungsprozess die Sicherheitsaspekte von technischen Systemen betrachtet.

Daran forschen und arbeiten wir

Um Safety und Security by Design in Produkten und Lösungen erfolgreich umzusetzen, erforschen und entwickeln wir Prozesse, Methoden und Werkzeuge. Im Rahmen von Bedrohungs- und Risikoanalysen ermitteln wir systematisch mögliche Schwachstellen, bewerten Risiken und leiten entsprechende Schutzziele ab. Um diese zu erreichen, werden bereits im Systementwurf Schutzmaßnahmen vorgesehen und während der Programmierung automatische Codeanalyse-Werkzeuge eingesetzt, die wir ebenfalls entwickeln. 

Unternehmen unterstützen wir dabei, Softwareentwicklungsprozesse nach gültigen Normen und Sicherheitsstandards aufzusetzen und vermitteln Methoden und Technologien für eine sichere Umsetzung. Ziel ist es, gemeinsam technische Systeme zu entwickeln, die sich selbst schützen können, widerstandsfähig gegen Angriffe und zugleich gut zu kontrollieren sind. Sicherheitskonzepte erarbeiten wir stets in enger Abstimmung mit den zuständigen IT- sowie weiteren Fachabteilungen. Auf diese Weise nutzen wir Synergien im Entwicklungsprozess und decken Konflikte sowie Abhängigkeiten zwischen Safety- und Security-Maßnahmen auf.

 

Lösungen aus dem Themenfeld Safety & Security by Design.

© KEB Automation

Umsetzung der Security-Norm IEC 62443

Mittels priorisierter Handlungsempfehlungen kann die IEC 62443-4-1 erfolgreich umgesetzt werden.

© YK / Adobe Stock

Analyse des Zusammenspiels von Security- und Safety-Maßnahmen

Safety und Security: Gefährliche Sicherheitslücke frühzeitig erkennen und Risiken reduzieren.

Gemeinsame Betrachtung von Safety und Security – von Beginn an

Frühzeitige integrierte Safety- und Security-Risikoanalyse für cyber-physische Systeme

© Fraunhofer IEM

Optimierte Open-Source-Software verbessert Entwicklungsprozess

CogniCrypt unterstützt Entwickler bei der sicheren Benutzung von Kryptographie-Bibliotheken.

© Connext Communication GmbH

Bedrohungsanalyse als Mittel zur IT-Sicherheit im Gesundheitswesen

Durch die Zusammenarbeit mit dem Fraunhofer IEM erlernten die Entwickler ein neues Vorgehen zur systematischen, tool-unterstützten Bedrohungsanalyse und Risikobewertung.

© thanmano / Adobe Stock

IT-Sicherheitskonzepte im Smart Home

Sichere Smart Home-Geräte in jedem Haushalt mit der Miele@home-Technologie.

© Gorodenkoff Productions OU / Adobe Stock

Cybersicherheit für vernetzte Produkte

Gemeinsam mit Miele wurde ein Product Security Incident Response Team (PSIRT) aufgebaut. Dieses kann neu entdeckte Sicherheitsschwachstellen analysieren und möglichst schnell Abhilfe für möglicherweise betroffene Produkte bereitzustellen.

© Fraunhofer IEM

Sichere Industriesteuerungen

Um die Sicherheit unter Erfüllung der Norm IEC 62443 nachzuweisen, führte das Fraunhofer IEM eine umfassende Bedrohungsanalyse für die nächste Generation der speicherprogrammierbaren Steuerungen (SPS) durch.

© REDPIXEL / Adobe Stock

Apps von Grund auf sicher entwickeln

Ziel des Projektes AppSecure.nrw ist es, Schulungen, Werkzeuge & Prozesse für eine sichere App Entwicklung bereitzustellen.

© chombosan / Adobe Stock

APPSTACLE vereinfacht die Entwicklung von Connected Cars

Das Fraunhofer IEM entwickelt im Projekt eine wirksame Absicherung der In-Car-Plattform gegenüber unbefugten Zugriffen durch sogenannte Intrusion Detection Systeme.

© Fraunhofer IEM

Mobilität der Zukunft

Im Forschungsprojekt wird eine offene Plattform für den Austausch komplexer Softwarefunktionalitäten entwickelt.

© blue_island / Adobe Stock

Secure Software Engineering

Ziel des Projektes ist es, Sicherheitsschwachstellen in der Software bereits während der Entwicklung zu erkennen und Programmierer dabei zu unterstützen, diese zu vermeiden.

    

Aktivitäten im Themenfeld Safety & Security by Design

Secure Engineering Lab

Sechs Personen arbeiten im Secure Engineering Lab verteilt an Tischen und Whiteboards.
© Fraunhofer IEM/ Wolfram Schroll
Als Lernort ist das Secure Engineering Lab auch für Schulungen und Trainings bestens geeignet.

Videos zum Thema Safety & Security by Design

IT-Sicherheit im Mittelstand: Auf diese Punkte kommt es an

Hacker-Angriffe auf Produktionsprozesse, Diebstahl von sensiblen Kundendaten, digitales Ausspähen von Betriebsgeheimnissen – oft genügt ein Einfallstor und die IT-Sicherheit ist gefährdet. In unserer Reihe "Experten im Gespräch" erklärt Prof. Dr. Eric Bodden (Direktor des Fraunhofer IEM, Abteilung Softwaretechnik) wie sich mittelständische Unternehmen gegen IT-Angriffe wappnen, welche Punkte ein wirksames Schutzkonzept beinhaltet und welche Rolle Prüfsiegel spielen.

Eine Rechtschreibprüfung für Entwickler?

Eine Rechtschreibprüfung für Entwickler? Prof. Bodden erklärt in der Reihe »Experten im Gespräch«, wie eine automatisierte Programmanalyse hilft, Sicherheitslücken schon während der Entwicklung zu erkennen und damit Programmierer bei der Arbeit unterstützt.

Warum IT-Sicherheitsforschung?

In unserer Reihe »Experten im Gespräch« erklärt Prof. Dr. Eric Bodden (Direktor des Fraunhofer IEM, Abteilung Softwaretechnik), wieso auch nach Jahren der Forschung weiterhin innovative IT-Lösungen für softwareintensive Systeme entwickelt werden müssen und welche Maßnahmen Cyberangriffe erschweren.

Webinar - Safety und Security by Design

Wenn technische Systeme versagen ist das im besten Fall ärgerlich, im schlimmsten Fall tödlich. Automatisierung soll uns Effizienz und Komfort bringen, birgt aber auch neue Risiken. In unserem Webinar erfahren Sie, was Safety und Security sind, wie beides zusammenhängt und wie diese Themen für Automotive und Maschinenbau eingesetzt werden können. 

Vortrag Prof. Dr. Eric Bodden: Ist das Krypto oder kann das weg?

Wer kennt dieses Problem nicht? Kurze Zeit vor dem kritischen Release wird noch schnell ein Penentrationtest gemacht und siehe da: Die Verschlüsselung fehlt komplett, die Authentisierung ist kaputt. Also noch schnell mal irgendwie javax.crypto aufrufen, das wird's schon richten.
Sie sagen jetzt sicher "Das ist Quatsch, so würde ich doch nie entwickeln!", aber im Vortrag werden Sie sehen, dass die Beschreibung leider auf 90% der deployten Softwareprojekte ziemlich genau so zutrifft.

heise devSec 2020: Ist das Krypto oder kann das weg? (Eric Bodden) - TN from dpunkt.verlag on Vimeo.