DEN HACKERN EINEN SCHRITT VORAUS - Fraunhofer AISEC
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
WEITERBILDUNG IM
LERNLABOR CYBERSICHERHEIT
Se mi n arkatal og 2 0 1 8
DEN HACKERN
EINEN SCHRITT
VORAUS
WAS IST DAS »LERNLABOR CYBERSICHERHEIT«?
IT-SICHERHEITS-KNOW-HOW FÜR EINE
SICHERE DIGITALE WIRTSCHAFT
I m L e r nla bor C y b e rs i c h e rh e i t ve rm i tte l n E xperten
vo n F r a unhof e r u n d a u s g e wä h l te n F a ch h o c hs c hu-
l e n a k t ue llst e E rk e n n tn i s s e a u f d e m G e b i e t der
C y be r sic he r he it . M i ta rb e i te ri n n e n u n d M i tarbei ter
aus U nt e r ne hme n k ö n n e n s o i h re K o mp e te nz en
zu IT- S ic he r he it a k tu a l i s i e re n u n d s p e z i a l i s i eren.
B e sonde re s Me rk ma l d i e s e s We i te rb i l d u n g s pro -
gr a m m s ist die A n we n d u n g s o ri e n ti e ru n g : I n den
Le r nla bore n s t e h e n d e n Te i l n e h me n d e n s o wohl di e
p a sse nde t e c h n
i s c h e I n fra s tru k tu r a l s a u ch di e
F a c he x pe r t e n z u r Ve rfü g u n g , u m re a l e B e drohungs-
sz e na r ie n na c hz u s te l l e n u n d g e e i g n e te Lö s ungs -
ko nz e pt e z u e r g rü n d e n .
D ie S c hulunge n ri c h te n s i c h a n E n ts c h e i d e r i nnen
und E nt sc he ide r d e r M a n a g e me n t-E b e n e n s owi e an
Fa c hk r ä f t e a us U
n te r n e h m e n u n d B e h ö rd e n . A n
za hlre ic he n S t an d o rte n i n D e u ts c h l a n d e rh al ten
s ie e ine k om pa k te Q u a l ifi z i e ru n g i n h o ch werti gen
La bore n. IT- S ic h e rh e i t i s t d a b e i n a tü rl i c h b ranc hen -
ü be r gre if e nd re l e va n t, a b e r a u c h fü r s p e zi a l i s i erte
B e re ic he w ie k r i ti s c h e I n fra s tru k t u re n , I n d u s tri e
4 . 0 ode r Mobile S e cu ri ty b i e te t d a s L e r n l a bor
Cy be r sic he r he it d a ra u f a u s g e ri ch te te K u rs e und
Le r npf a de a n.
I n off e ne n S e mi n a re n k ö n n e n s i ch e i n z e l n e M i t
ar be it e r sc hule n l a s s e n , o d e r d i e S e m i n a re werden
i nhouse dire k t u n d i n d i v i d u a l i s i e rt b e i m U n ter
n e hm e n durc hg e fü h rt.
2
I N H A LT
THEMENFELDER IM LERNLABOR CYBERSICHERHEIT
Qualität softwarebasierter Systeme und Zertifizierung 8
Mit Sicherheit intelligent digital vernetzt
Kritische Infrastrukturen / Anwendungsfall Energie- und Wasserinfrastrukturen 14
Ohne Strom und Wasser? IT-Sicherheit für KRITIS
Internetsicherheit und IT-Forensik 18
Im Netz? – Aber sicher!
Embedded Systems, Mobile Security und Internet of Things 24
Mit Sicherheitskompetenz in die Digitalisierung
Industrielle Produktion / Industrie 4.0 30
Digitalisierung in der Produktion braucht IT-Sicherheitskompetenz
Hochsicherheit & Emergency Response 36
Protect and React!
3
PRAXISNAHE SCHULUNGEN
IN LABOREN UND ONLINE
Di e We it e r bildu n g e n i m Le r n l a b o r C yb e rs i c herhei t Im eigenen Tempo auf die Laborphase vorbereiten
ze ic hne n sic h z u m e i n e n d u rch a k tu e l l e s F or-
sc hungsw isse n a u s Fra u n h o fe r-I n s ti tu te n u nd F ac h - Basisinhalte der IT-Sicherheit können sich die Teilnehmenden
hoc hsc hule n a u s , z u m a n d e re n d u rch e i n e n i deal en im Vorfeld der Präsenzphase zeit- und ortsunabhängig in
Mix a us a nw e nd u n g s o ri e n ti e rte n P ra xi s p h a s en i m ihrem eigenen Lerntempo selbstgesteuert aneignen. Dafür
Le r nla bor und o n l i n e ve rfü g b a re n L e r n a n g e boten. werden professionell produzierte Inhalte eingesetzt. In kurzen
Videos kommen die Wissenschaftlerinnen und Wissenschaftler
der Fraunhofer-Institute und Fachhochschulen zu Wort.
Zusätzlich werden Angriffs- und entsprechende Sicherheits-
maßnahmen videobasiert demonstriert und bereits die ersten
Einblicke ins Lernlabor gegeben. In individuellen Aufgaben
können die Lernenden ihr neu erworbenes Wissen gleich
anwenden und überprüfen. Sie erhalten dazu Rückmeldung
und können so ihren Wissensstand entsprechend einschätzen.
4
Wissen im Lernlabor zur Anwendung bringen Den Transfer in den Berufsalltag meistern
Mit den wichtigsten Vorkenntnissen ausgestattet, wird die Nach der Präsenzphase im Lernlabor stehen optional weitere
Zeit in der Präsenzphase effektiv genutzt, um das Wissen Lerninhalte und Übungsaufgaben online zur Verfügung, die
zu vertiefen und direkt anzuwenden. In den Lernlaboren die Anwendung des neuen Wissens im eigenen Arbeitsalltag
simulieren die Fraunhofer-Expertinnen und -Experten die gezielt unterstützen. Durch diesen Blended-Learning-Ansatz
Arbeitsumgebungen der jeweiligen Themenfelder authentisch kann sichergestellt werden, dass der Transfer der neu erwor-
durch entsprechende Hard- und Software sowie passende benen Fähigkeiten in den Berufsalltag gelingt.
Virtualisierungen. So können sich die Teilnehmenden in einem
geschützten Rahmen Fähigkeiten aneignen, ihr neues Wissen Das aktuelle Angebot an Online-Kursen im Lernlabor Cyber
ausprobieren, Methoden und Vorgehensweisen üben und sicherheit finden Sie unter
auch mal in die Rolle des Angreifers schlüpfen. Unsere Fach- www.academy.fraunhofer.de/onlinekurse-cybersicherheit
expertinnen und -experten begleiten diesen Prozess, leiten an,
vertiefen Inhalte und veranschaulichen mit Praxisbeispielen.
Zusätzlich gibt es in den Präsenzphasen die Gelegenheit sich
intensiv auszutauschen, um sowohl von den Erfahrungen der
anderen Teilnehmen als auch der Expertise der Fachreferenten
der Fraunhofer-Institute und Fachhochschulen zu profitieren.
5
LERNLABOR CYBERSICHERHEIT
WEITERBILDUNG ZU IT-SICHERHEIT
FÜR DIGITALE SOUVERÄNITÄT
Die Herausforderung: Zunehmende Cybersicherheits- Das Konzept: Kollaboration mit Fachhochschulen
Risiken, nur wenige Spezialisten für aktuellstes Forschungswissen
Gut ausgebildete IT-Sicherheitsfachleute sind hierzulande rar Die Kooperation von Fraunhofer-Instituten und Fachhoch-
gesät. Dabei ist Weiterbildung in der IT-Sicherheit eine Auf schulen sorgt dafür, dass neueste oder absehbare Forschungs-
gabe von nationalem Interesse: Hohe finanzielle Verluste, Ver- erkenntnisse schnell in die Seminarangebote einfließen und
sorgungsengpässe oder Störungen der öffentlichen Sicherheit aktuelles Fachwissen aus erster Hand weitergegeben wird. In
können die Folgen von Cyberattacken auf kritische Infrastruk- modernen Laboren, in denen sich reale Bedrohungsszenarien
turen und Industrieanlagen sein. Das Bedrohungspotenzial nachstellen lassen, können die Teilnehmer das neue Wissen
wächst mit zunehmender Vernetzung und Digitalisierung. Der direkt anwenden und sich praxisnah in folgenden Themen
Weiterbildungsbedarf ist enorm: Bereits 2014 sahen laut IHK- feldern qualifizieren:
Unternehmensbarometer 61 Prozent der Betriebe in punkto
Sicherheit der IT-Infrastruktur einen vordringlichen Qualifizie- – Industrielle Produktion/Industrie 4.0
rungsbedarf. Doch boten 2015 nur fünf von 64 großen Uni- – Kritische Infrastrukturen/Anwendungsfall Energie-
versitäten, in denen Informatik gelehrt wird, einen Studien- und Wasserinfrastrukturen
gang für IT- und Cybersicherheit an. Damit nicht genug: Nach – Hochsicherheit und Emergency Response
einer Studie von Frost & Sullivan werden bis 2020 weltweit – Internetsicherheit und IT-Forensik
1,5 Millionen Fachkräfte im Sicherheitssektor fehlen. – Qualität softwarebasierter Systeme und Zertifizierung
– Embedded Systems, Mobile Security und Internet of Things
Die Lösung: Lernlabor Cybersicherheit für die
Sicherheitsexperten von morgen Das Erfolgsrezept: Kompetenzaufbau,
der die Bedürfnisse erfüllt
Um im Wettlauf mit den Cyberkriminellen nicht ins Hintertreffen
zu geraten, müssen Fach- und Führungskräfte ihnen in Kennt- Kompakte Veranstaltungsformate erlauben eine berufs-
nissen und Fähigkeiten stets einen Schritt voraus sein. Die Fraun- begleitende Qualifikation, ohne Ressourcen über längere
hofer-Gesellschaft und ausgewählte Fachhochschulen reagieren Zeiträume zu binden. Und die flexibel kombinierbaren Module
auf diesen Bedarf und haben ein modulares, berufsbegleitendes vermitteln IT-Sicherheit adressatengerecht für unterschiedliche
Weiterbildungskonzept für IT-Sicherheit entwickelt: Dafür wurde Berufsrollen. Die Fraunhofer Academy entwickelt dabei be-
der Kooperationsverbund Lernlabor Cybersicherheit geschaffen, darfsorientiert das Angebot und sorgt für ein durchgängiges
der in den nächsten Jahren mit jeweils sechs Millionen Euro vom Qualitätsmanagement.
Bundesministerium für Forschung und Bildung gefördert wird.
6
»Beso n d ers d as A n g e b o t b e r u f s b e g le it e n der kleiner er Weit er bildungs m odule, in denen
Perso n en seh r tra n s f e r o r ie n t ie r t u n d k o m pakt in akt uellen Them en und der A nwendung
aktu el l er Werkz e u g e g e s ch u lt we r d e n , b e gr üßen wir s ehr.«
Thomas Tschersich, Senior Vice President Internal Security & Cyber Defense bei der Deutschen Telekom AG
Weiterbildung im Lernlabor Cybersicherheit – Ihr Nutzen auf einen Blick
Aktuellstes Forschungswissen Erprobung passgenauer Lösungs
praxisnah aufbereitet strategien in hochwertigen Laboren
Kompakte und transferorientierte Flexibel kombinierbare Bausteine,
Formate ermöglichen berufsintegrier die auf den jeweiligen Bedarf der
tes Lernen Unternehmen und Behörden zu
geschnitten sind
7
Q U A L I TÄT S O F T WA R E B A S I E R T E R S Y S T E M E U N D Z E R T I F I Z I E R U N G MIT SICHERHEIT INTELLIGENT DIGITAL VERNETZT Zur Sicherung der Software-Qualität gehören Maßnahmen und Techniken im Vorfeld der Software-Entwicklung (Secure Design), im Entwicklungsprozess und beim Software-Test mit der spezi- ellen Ausrichtung auf Produkt-Zertifizierung. Dazu zählen aber auch Prozeduren und Maßnahmen zur nachträglichen Evaluie- rung und Zertifizierung von Software. Anwendung finden diese Themen sowohl generell in Informations- und Kommunikations- technologien, aber auch branchenspezifisch in der vernetzten öffentlichen und privaten Sicherheit sowie in öffentlicher IT bei Behörden, Verwaltung und Unternehmen. Die Weiterbildung richtet sich an Entscheider, Product Owner, Projektleiter, Software-Entwickler und -Tester, Qualitätssicherer, sowie IT-Sicherheitsbeauftragte, die in Zertifizierungsprozesse involviert sind. Mehr Informationen und Anmeldung unter: www.academy.fraunhofer.de/softwarequalitaet 8
BETEILIGTE EINRICHTUNGEN
– Fraunhofer FOKUS
– Hochschule für Technik und Wirtschaft Berlin
– Technische Hochschule Brandenburg
T H E M E NS C H W E R P U N K T E
– Secure Software Engineering
– Security Testing
– Quality Management & Product Certification
– Sichere E-Government-Lösungen
– Sichere Public-Safety-Lösungen
9
SCHULUNGEN 2018
Secure Software Engineering
11. – 12.5.2018 | 20. – 21.9.2018 Sichere Softwareplanung: Softwareentwicklung von Beginn an sicher | Aus der
Brandenburg Bedrohungsanalyse Sicherheitsanforderungen für die Software ableiten: Schutzbedarf und
Fachkräfte /Anwender Sicherheitsanforderungen ermitteln, Sicherheit der modellierten Software beurteilen, valide
1200 € Sicherheitsmetriken entwickeln und einschätzen
7. – 8.6.2018 | 18. – 19.10.2018 Software-Härtung: Software gegen Schwachstellen sichern | Software-Härtung
Berlin an den gefährdeten Stellen: Schwachstellen in einer bestehenden Software-Architektur
Fachkräfte /Anwender bestimmen, geeignete Sicherheitsmaßnahmen auswählen, Sicherheitsanforderungen
1200 € im Code integrieren, Secure Design Pattern anwenden. Einen weiteren Kurs zu Secure
Software Engineering im automobilen Entwicklungsprozess finden Sie auf Seite 25.
Quality Management & Product Certification
25. – 26.4.2018 | 25. – 26.9.2018 Sicherheitszertifizierung von Produkten | Überblick über das deutsche Zertifizierungs
Berlin schema erhalten, Kernkonzepte der Common Criteria (CC) verstehen, Ablauf einer
Fachkräfte /Anwender Zertifizierung kennen, Anwendbarkeit der CC auf eigenes Produktportfolio bewerten
1200 € sowie selbst eine CC-Zertifizierung initiieren
4.6.2018 | 26.11.2018 Vertrauen durch Produktzertifizierung | Vertrauen potenzieller Kunden in die
Berlin Sicherheit ihrer IT-Produkte steigern: Überblick über gängige Zertifizierungen im IT-Sektor;
Management | 600 € Vorteile, Nutzen, Risiken und Aufwand einer Zertifizierung abzuschätzen und bewerten
Sichere E-Government-Lösungen
23. – 24.10.2018 Sicheres Informationsmanagement in Behörden und Unternehmen | Fachliche wie
Berlin technische Lösungswege für sicheres Informationsmanagement: Anforderungen in Behör-
Fachkräfte /Anwender den analysieren, dokumentieren und so notwendige Konzepte, Policies, Dokumentationen
1200 € definieren sowie sichere Digitalisierung der Geschäftsprozesse konzipieren und umsetzen
12. – 13.9.2018 Vertrauenswürdige digitale Transaktionen durch eIDAS | Elektronische Identifizie-
Berlin rung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt: Überblick
Fachkräfte /Anwender zu eIDAS und eID, mobile Unterschriften und Siegel, Vorteile, Anwendungsszenarien und
1200 € Lösungen für E-Government und eBusiness
10Sichere Public-Safety-Lösungen
IT-Sicherheit für Public-Safety-Anwendungen | Entwicklung, Betrieb und Manage- 20. – 22.6.2018 | 7. – 9.11.2018
ment von kritischen IT-Systemen: spezifische Anforderungen an IT-Systeme kennenlernen Berlin
und spezifische Software-Engineering-Methoden im Entwicklungsprozess umsetzen, um Fachkräfte /Anwender
sichere IT-Produkte herzustellen 1800 €
Grundlagen der IT-Sicherheit für Public-Safety-Infrastrukturen | Bedrohungen für 20. – 21.09.2018
IT-Systeme öffentlicher und kritischer Infrastrukturen identifizieren, den Schutzbedarf ken- Berlin
nenlernen und Maßnahmen entsprechend den Anforderungen des IT-Sicherheitsgesetzes Fachkräfte /Anwender
sowie der EU-Datenschutzgrundverordnung anwenden 1200 €
Strategische Fragen der IT-Sicherheit und ihre Auswirkungen auf Public-Safety- 5.10.2018
Lösungen | Bedrohungen öffentlicher und kritischer Infrastrukturen kennenlernen, Berlin
Auswirkungen des IT-Sicherheitsgesetzes und der EU-Datenschutzgrundverordnung Fachkräfte /Anwender
verstehen und Strategien für die IT-Sicherheit in der Organisation entwickeln 900 €
Security Testing
Security Tester – Basic | Systematische Einführung in die Grundlagen des Sicherheits 17. – 18.9.2018
testens: Auswahlkriterien für Sicherheitstesttechniken, Rolle des Testens im Entwicklungs- Berlin
zyklus, risikobasiertes Sicherheitstesten und spezielle Testtechniken wie Fuzzing Fachkräfte /Anwender | 1200 €
Security Tester – Advanced | Schwachstellen in Software systematisch aufdecken und 12. – 14.11.2018
bewerten: fortgeschrittene Techniken des Sicherheitstestens anwenden und komplexe Berlin
Sicherheitsmechanismen testen; Anleiten, systematisches Bewerten und Verbessern der Fachkräfte /Anwender
Sicherheitstestprozesse 1800 €
Übergreifende Themen
Zertifizierte/r EU-Datenschutz Spezialist/in (DSGVO/GDPR) | Praktische Anleitung 4.5.2018 | 18.5.2018
für die Umsetzung des Bundesdatenschutzgesetzes und der EU-Datenschutzgrundver- 28.5.2018 | 4.7.2018
ordnung: Relevanz des Datenschutzes nachvollziehen, aktuelle Rechtsbegriffe verstehen, Berlin
Realisierung der Vorschriften planen und durchführen Fachkräfte /Anwender | 599 €
11SEMINAR IM FOKUS
SICHERE SOFTWAREPLANUNG
So f t w a re e nt w ick l u n g v o n B e g i n n a n s i c h e r
Die Herausforderung: Funktionale Anforderungen mit Die Inhalte: Schutzbedarf ermitteln und Sicherheits
Sicherheitsanforderungen komplettieren metriken entwickeln
Sicherheitsanforderungen werden gegenüber den funktio- Tag 1:
nalen Anforderungen gern vernachlässigt. Weder der Kunde – Software-Modell (UML/DFD) in der Umgebung von Unter-
noch der IT-Hersteller wissen den Aufwand richtig einzuschät- nehmenswerten, Angreifern, Risiko
zen: Der Kunde möchte nichts Überflüssiges beauftragen, der – Sicherheitsanforderungen
Hersteller möchte für Unterlassenes nicht haften. Es fehlt an – Security Development Lifecycle (SDL)
einer systematischen Herangehensweise, um auch Sicherheit
effektiv und effizient zu implementieren. Entwicklungsleiter, Tag 2:
Projektmanager und Requirement Engineers sollten die wich- – Modell, Bedrohungsmodellierung und Maßnahmen
tigsten Unternehmenswerte kennen sowie die Motivation von – Testverfahren
Angreifern und ihre wahrscheinlichsten Angriffswege. Wäh- – Metriken für SDL und Produkt
rend Funktionalität durch etablierte Kennzahlen bereits beglei-
tet wird, fehlen bislang noch valide Sicherheitsmetriken.
Die Lernziele: Software sicher entwickeln
Die Lösung: Sicherheitsanforderungen gleichwertig mit Die Teilnehmer ermitteln – im Rahmen der geplanten Funktio-
funktionalen Anforderungen berücksichtigen nalität – systematisch den Schutzbedarf und die Effizienz der
zu implementierenden Sicherheitsanforderungen. Sie tun dies
Die Sicherheitsanforderungen müssen gleichwertig mit den in allen Betrachtungsebenen: Sie können die Sicherheit ihrer
funktionalen Anforderungen betrachtet werden. Hierfür wird modellierten Software in der späteren Prozessumgebung be-
das zu entwickelnde Produkt in der späteren Produktionsum- urteilen, prüfen den gesamten SDL und das Produkt. Die Teil-
gebung betrachtet. Es werden Unternehmenswerte analysiert, nehmer können valide Sicherheitsmetriken für den SDL und
Bedrohungen modelliert und das Konzept überarbeitet. Ganz für das modellierte Produkt entwickeln und kennen deren
analog wird der gesamte Software-Entwicklungsprozess einer Beschränkungen.
Revision unterzogen. Zusätzlich wird vorrangig in der Design-
Phase das Modell einer gründlichen Bedrohungsanalyse unter
zogen. Daraus wird dann die zusätzlich benötigte Sicherheits- Die Zielgruppe: Alle Software-Verantwortlichen
funktionalität abgeleitet. Der Entwicklungsprozess wird in
allen drei Ebenen von Metriken begleitet. Software-Architekten, Entwicklungsleiter, Projektleiter,
Produktmanager, Requirement Engineers
1211.–12.5.2018 | 20.–21.9.2018
IHRE VORTEILE AUF EINEN BLICK I N F O R M AT I O N E N I M Ü B E R B L I C K
Nach dem Seminar können Sie … Kurs: Sichere Softwareplanung
… in einem systematischen Prozess Bedrohungen er
kennen, modellieren und Gegenmaßnahmen ableiten. Voraussetzungen:
… Risiken gegenüber der Software priorisieren und – Erfahrung in der Software- und Prozess-Modellierung
adressieren. – Grundkenntnisse zur Programmiersprache Java
… die Wirksamkeit der Maßnahmen beurteilen und mit
Hilfe von Metriken nachverfolgen. Dauer: 2 Tage in Präsenz
Dieses Seminar bietet Ihnen … Kurssprache: Deutsch
… Verständnis zu den vielschichtigen Zusammenhängen.
… eine durchgehende Theorie, die mit praxisnahen Teilnehmerzahl: max. 12 Personen
Fallbeispielen vertieft wird, damit Sie Ihr Wissen direkt im
Unternehmen einsetzen können. Veranstaltungsort: Brandenburg an der Havel
… eine angenehme Lernatmosphäre in kleinen Gruppen
mit verteilten Rollen. Termine: 11. – 12.5.2018 | 20. – 21.9.2018
Kosten: 1200 €
Melden Sie sich gleich an! Veranstaltet durch:
www.academy.fraunhofer.de/softwareplanung
UNSERE REFERENTEN A N S P R E C H PA R T N E R
Manuel Raddatz Prof. Dr. Ivo Keller | TH Brandenburg
Wissenschaftlicher Mitarbeiter der TH Brandenburg sowie keller@th-brandenburg.de
Software-Entwickler im Java Enterprise-Kontext
O R G A N I S AT O R I S C H
Sandro Hartenstein
Dozent für Secure System LifeCycle Management an der Adem Salgin | Fraunhofer Academy
TH Brandenburg sowie freier IT-Security Analyst und Berater Telefon +49 89 1205-1555
cybersicherheit@fraunhofer.de
13KRITIS – ENERGIE- UND WASSERINFRASTRUKTUREN
OHNE STROM UND WASSER? BETEILIGTE
EINRICHTUNGEN
IT-SICHERHEIT FÜR KRITIS – Fraunhofer IOSB-AST
– Fraunhofer IDMT
Zu den Betreibern kritischer Infrastrukturen (KRITIS) gehören – Hochschule Zittau/
alle Versorgungsunternehmen für Strom, Gas, Wasser und Görlitz
A bwasser. Die betriebenen Verteilnetze und die darin ein-
gesetzten Komponenten und Netzwerke nutzen spezifische
N etzwerkprotokolle und sind aufgrund ihres Einsatzes beson- THEMEN
ders für Angriffe exponiert. SCHWERPUNKTE
Das Themenfeld »Kritische Infrastrukturen/Anwendungsfall – Gefährdungs-, Risiko-
Energie- und Wasserinfrastrukturen« umfasst Techniken des und Schwachstellen-
»Smart Grid« sowie äquivalente Strukturen für die anderen analyse aus Versor-
Infrastrukturen. Betrachtet werden neben Schwachstellen gungssystem- und
bei Planung und Betrieb insbesondere Risikobewertung und IKT-Sicht
-Strategien vorbeugender Maßnahmen für Cyberangriffe. – Gegenmaßnahmen
für Bedrohungs- und
Die Weiterbildung richtet sich vor allem an Planer und Betrei- Angriffsszenarien
ber von Versorgungsnetzen, aber auch an Akteure im Energie-
markt sowie Hersteller von Komponenten und Lösungen. Ein
Schwerpunkt liegt hier bei Netzplanung und Netzsteuerung.
Mehr Informationen und Anmeldung unter:
www.academy.fraunhofer.de/kritis
14SCHULUNGEN 2018
Management
IT-Sicherheit für Kritische Infrastrukturen | Drohende Gefahren auf kritische 6.6.2018 | Görlitz
Infrastrukturen kennen und ihnen begegnen können: Ablauf, Auswirkungen und Gegen- 18.9.2018 | Ilmenau
maßnahmen von Angriffen nachvollziehen, typische Schwachstellen erkennen, gesetzliche 11.12.2018 | Görlitz
Rahmen für das eigene Unternehmen beurteilen, Mitarbeiter sensibilisieren 600 €
IT-Sicherheitsmanagement für Kritische Infrastrukturen | IT-Sicherheit als Prozess 20. – 21.6.2018 | Ilmenau
etablieren: Standardvorgehensweisen im eigenen Unternehmen umsetzen, Werkzeuge 16. – 17.10.2018 | Görlitz
des IT-Sicherheitsmanagements anwenden, Risikoanalysen durchführen, Schwachstellen 28. – 29.11.2018 | Ilmenau
in Unternehmensprozessen identifizieren, das eigene Unternehmen auf Zertifizierungen 1200 €
vorbereiten
IT-Sicherheit im Unternehmen | Etablierung einer IT-Sicherheitskultur: Schwachstellen 16.05. | 8.11.2018
identifizieren, prozessorientierte Maßnahmen ermöglichen und Angriffe aktiv verhindern, Görlitz
das eigene Unternehmen in den gesetzlichen Rahmen einordnen, Mitarbeiter sensibilisieren 600 €
Fachkräfte und Anwender
Robustheit elektrischer Energienetze gegen Cyber-Angriffe | Energienetze vor 4. – 5.9.2018
IT-Gefahren schützen: Netzmodell aufbauen und dessen Robustheit bewerten, Netz- Ilmenau
werktopologie sicher konfigurieren, Anforderungen aus ISO 27001 und 27002 für die 1200 €
elektrische Energieversorgung, Ausfallsimulation und Zuverlässigkeitsanalyse elektrischer
Verteilnetze
Sichere Konfiguration von Automatisierungssystemen in der Energietechnik | 4. – 5.12.2018
IT-Sicherheit für Automatisierungskomponenten in kritischen Infrastrukturen: Anforderun- Ilmenau
gen an Automatisierungskomponenten, Kommunikationsprotokolle sicher konfigurieren, 1200 €
Netzwerkmonitoring, Strukturanalyse und Schutzbedarfsfeststellung durchführen,
Fernwirktechnik im Energienetz sicher konfiguieren, Leitsystem und SPS absichern
15SEMINAR IM FOKUS
IT-SICHERHEITSMANAGEMENT
FÜR KRITISCHE INFRASTRUKTUREN
Cy be r sic he r he it u mfa s s e n d u n d p ro ze s s o ri enti ert hers tel l en
Die Herausforderung: Einer steigenden Anzahl Die Inhalte
von Angriffen auf verschiedensten Ebenen sicher
entgegentreten – IT-Sicherheitsmanagement – warum eigentlich?
– Welche Werkzeuge unterstützen mich bei der Etablierung
Die IT-Sicherheit als Querschnittseigenschaft streift viele ver- eines IT-Sicherheitsmanagementsystems?
schiedene Bereiche. Schwachstellen treten nicht nur auf tech- – Wie etabliere ich Prozesse, wie ändere ich meine Prozesse
nischer Ebene auf, auch Mitarbeiter können das Ziel von möglichst kostenschonend?
Cyberangriffen sein. Vom unbemerkten Datendiebstahl über – Was schreibt der Gesetzgeber vor, was ist zusätzlich sinnvoll?
den Ausfall einzelner Systeme bis zur nachhaltigen Störung – Welche Standards gibt es bereits, und worin unterscheiden
von Unternehmensprozessen sind alle Auswirkungen möglich. sie sich?
– Was muss ich für zertifizierte IT-Sicherheit alles umsetzen?
Dabei entstehen nicht nur erhebliche Kosten in Versorgungs- – Welche Rolle spielen die Mitarbeiter, welche die Geschäfts-
betrieben. Es kann auch zum Ausfall der Versorgungsleistung führung?
kommen, wodurch ungleich mehr Menschen betroffen sind.
Die vielen verschiedenen Einfallstore für Angreifer können nur
durch ein umfassendes Konzept geschlossen, die Auswirkun- Die Lernziele
gen nur durch definierte Prozesse begrenzt werden.
– Sich mit der eigenen Verantwortung für die IT-Sicherheit des
Unternehmens identifizieren
Die Lösung: IT-Sicherheit als Prozess etablieren – Standardvorgehensweisen im eigenen Unternehmen um
setzen und damit verbundenen Aufwand abschätzen
Dieses Seminar vermittelt Ihnen prozessorientierte Lösungs- – Werkzeuge anwenden können
konzepte zum Schutz des eigenen Unternehmens vor Cyber – Risikoanalysen durchführen können
angriffen. Es werden verschiedene Vorgehensweisen und – Zertifizierungen vorbereiten können
Standards bei der Implementierung eines IT-Sicherheitsma-
nagementsystems vorgestellt sowie deren Vor- und Nachteile
(wie Aufwand, Kosten und Zertifizierbarkeit) untersucht. Die Zielgruppe
Anhand eines Beispielunternehmens, welches verschiedene – Mitarbeiter aus dem Management
Branchen der Kritischen Infrastrukturen abdeckt, werden mit – IT-Sicherheitsbeauftragte
Ihnen in mehreren Übungseinheiten praxisnahe Fallbeispiele – Projektleiter
mit etablierten Werkzeugen umgesetzt. – IT-Beauftragte, Leiter IT-Abteilung
– Administratoren
1620.–21.6.2018 | 16.–17.10.2018 | 28.–29.11.2018
IHRE VORTEILE AUF EINEN BLICK I N F O R M AT I O N E N I M Ü B E R B L I C K
Nach dem Seminar können Sie … Kurs: IT-Sicherheitsmanagement für Kritische Infrastrukturen
… Werkzeuge zur Einführung eines IT-Sicherheitsmanage-
mentsystems bedienen. Voraussetzungen: Verständnis für Managementprozesse,
… Prozesse in Ihrem Unternehmen untersuchen und Risiken Kenntnis des rechtlichen Rahmens für den Einsatz von
und Schwachstellen identifizieren und beurteilen. IT in kritischen Infrastrukturen, sicherer Umgang mit dem PC
… den gesetzlichen Rahmen und Standards für die Umset-
zung eines IT-Sicherheitsmanagementsystems bewerten. Dauer: 2 Tage in Präsenz
Dieses Seminar bietet Ihnen … Kurssprache: Deutsch
… die praktische Anwendung eines Werkzeuges zur
Umsetzung eines IT-Sicherheitsmanagementsystems. Teilnehmerzahl: 12 Personen
… einen kurzen Überblick über den rechtlichen Rahmen für
IT-Sicherheitsmanagement in kritischen Infrastrukturen. Veranstaltungsorte: Ilmenau | Görlitz
… den Vergleich vieler etablierter Standards und Normen.
Termine: 20. – 21.6. | 16. – 17.10. | 28. – 29.11.2018
Kosten: 1200 €
Melden Sie sich gleich an! Veranstaltet durch:
www.academy.fraunhofer.de/kritis
UNSERE REFERENTEN A N S P R E C H PA R T N E R
Prof. Dr.-Ing. Jörg Lässig Robert Stricker | Fraunhofer IOSB-AST
Professor für die Entwicklung von Unternehmens- Telefon +49 3581 3743-588
anwendungen an der Hochschule Zittau / Görlitz robert.stricker@iosb-ast.fraunhofer.de
Prof. Dr. Peter Bretschneider O R G A N I S AT O R I S C H
Stellvertretender Leiter des Fraunhofer IOSB-AST
und Leiter der Abteilung Energie Adem Salgin | Fraunhofer Academy
Telefon +49 89 1205-1555
cybersicherheit@fraunhofer.de
17I N T E R N E T S I C H E R H E I T U N D I T- F O R E N S I K IM NETZ? – ABER SICHER! Das Internet stellt die wichtigste Infrastruktur für die Digitali- sierung dar und bildet als solche die Basis vieler innovativer An- wendungen. In diesem Zusammenhang sind IT-Sicherheitsfragen von zentraler Bedeutung, da sich über die Vernetzung und die damit einhergehende Öffnung von IT-Systemen immer wieder Ansatzpunkte für Angriffe ergeben. Deshalb besteht hier ein umfangreicher Bedarf zur Verbesserung der IT-Sicherheit: zum einen im Bereich Internetsicherheit, also allen relevanten In- ternettechnologien mit ihren Protokollen und den zum Betrieb von Netzwerken erforderlichen Diensten; zum anderen im Be- reich IT-Forensik, was die Behandlung von Vorgehensweisen und Werkzeugen zur sicheren Identifikation und beweissiche- ren Extraktion von Spuren einschließt. Die Weiterbildungen IT-Forensik richten sich an Anwender in unterschiedlichen Anwendungsbranchen und Betreiber von IT-basierten Infrastrukturen; im Bereich Internetsicherheit an Software-Entwickler, Netzwerkplaner und Netzwerkadminis- tratoren sowie Entwickler von Technologien und Diensten im Themenb ereich »Automotive«. Mehr Informationen und Anmeldung unter: www.academy.fraunhofer.de/it-forensik 18
BETEILIGTE EINRICHTUNGEN
– Fraunhofer SIT
– Hochschule Mittweida
– Hochschule Darmstadt
T H E M E NS C H W E R P U N K T E
– IT-forensische Erfassung von Spuren
– IT-forensische Analyse
– Multimediaforensik
– Open Source Intelligence
– Big-Data-Analysen/Textmining
– Automotive Security Testing/Solutions
19SCHULUNGEN 2018
IT-Forensik
8. – 9.5.2018 | 16. – 17.10.2018 Open Source Intelligence für investigative Journalisten | Informationen im Rahmen
Mittweida des digitalen investigativen Journalismus gewinnen: Prozessketten des Informations-
Fachkräfte /Anwender Gathering verstehen, Kali-Linux und Open-Source-Werkzeugen einsetzen, fallspezifische
1200 € Untersuchungen wie z. B. Tor-Browser erfolgreich durchführen
5. – 6.9.2018 Open Source Intelligence für Behörden | Informationsgewinnung für Behörden und
Mittweida kriminalistische Institutionen: Prozessketten des Informations-Gathering verstehen, Kali-
Fachkräfte /Anwender Linux und Open-Source-Werkzeuge einsetzen, fallspezifische Untersuchungen wie z. B.
1200 € Tor-Browser erfolgreich durchführen
12. – 13.6.2018 | 13. – 14.11.2018 Einführung in die Open-Source-Analytik digitaler forensischer Spuren | Digital-
Mittweida forensische Vorgehensmodelle und Strategien und deren praktische Einsatzmöglichkeiten:
Fachkräfte /Anwender forensische Datenanalyse mit Linux und Open-Source-Werkzeugen und funktionsfähige
1200 € Shell-Skripte schreiben
23. – 25.5.2018 | 3. – 5.7.2018 IT-Forensik für Multimediadaten | Spuren in digitalen Bildern, Video- und Audiodaten
11. – 13.9.2018 | 6. – 8.11.2018 finden und auswerten: große Bilddatenmengen sichten, gelöschte, fragmentierte Medien
Darmstadt daten rekonstruieren, Metadaten in gängigen Medienformaten erfassen, Echtheit und
Fachkräfte /Anwender | 1500 € Quelle multimedialer Beweisstücke beurteilen
23.5. | 3.7. | 11.9. | 6.11.2018 Datenschutz für die IT-Forensik | Effektiv und datenschutzkonform ermitteln: Grund
Darmstadt prinzipien der Datenverarbeitung nach Datenschutz-Grundverordnung und Bundesdaten-
Fachkräfte /Anwender | 150 € schutzgesetz, Maßnahmen zur datenschutzkonformen IT-Forensik
9. – 11.7.2018 | 10. – 12.12.2018 Der Datenanalyst – Umgang mit BigData / Textmining im forensischen Kontext |
Mittweida Mit Open-Source-Werkzeugen BigData im forensischen Umfeld leichter handhaben: BigData
Fachkräfte /Anwender verstehen, aufbereiten und die daraus erhobenen Informationen evaluieren mithilfe von
1800 € Pentaho, Rapidminer, Talend und Gate, Ontologie und Semantik als Werkzeug für Textmining
25. – 27.6.2018 | 5. – 7.11.2018 Car-Forensik | Digitale forensische Auswertung der in Kfz vernetzten IT-Systeme: Steuer
Mittweida geräte über den CAN-Bus und Transponderschlüssel auslesen, Daten in Fahrzeugen für
Fachkräfte /Anwender die eigene forensische Arbeit nutzen, verschiedenen Modi Operandi bei Kfz-Diebstählen
1500 € nachvollziehen, die Funktionsweise von Wegfahrsperren verstehen
20Automotive Security
Praxis Automotive Security Testing | Cybersicherheit elektronischer Steuergeräte 7. – 8.5.2018 | 9. – 10.7.2018
umfassend und effizient prüfen: IT-Sicherheitsanalysen für elektronische Fahrzeugsysteme Darmstadt
planen, Bedrohungsanalysen durchführen, Sicherheitskonzepte und -protokolle analysie- Fachkräfte /Anwender
ren, Ergebnisse sinnvoll bewerten 900 €
IT-Sicherheitsanalysen und -tests für Embedded Systems | Cybersicherheit 11. – 12.10.2018
eingebetteter Systeme umfassend und effizient prüfen: Anhand von Praxisbeispielen für Darmstadt
Automotive und IoT IT-Sicherheitsanalysen planen, Bedrohungsanalysen durchführen, Fachkräfte /Anwender
Sicherheitskonzepte und -protokolle analysieren, Ergebnisse sinnvoll bewerten 900 €
Embedded Security Engineering | IT-Sicherheit für eingebettete Systeme methodisch 20. – 21.9.2018 | 13. – 14.11.2018
entwickeln und umsetzen: Anhand von Praxisbeispielen für Automotive und IoT Bedro- Darmstadt
hungs- und Risikoanalysen durchführen, Sicherheitskonzepte und -protokolle systematisch Fachkräfte /Anwender
entwickeln, Sicherheitslösungen praktisch umsetzen und in ihrer Wirksamkeit bewerten 900 €
Zwei weitere Kurse zu Secure Software Engineering im automobilen Entwicklungsprozess
und IT-Sicherheit in der Fahrzeugkommunikation finden Sie auf Seite 25.
Übergreifende Themen
Schutz vor Social Engineering | Social-Engineering-Angriffe und Datendiebstahl von 21.9.2018
Personen und ganzen Unternehmen verhindern: sicherer Umgang mit sensiblen Informati- Mittweida
onen, Methoden von Human-Hacking-Attacken verstehen und Schutzmaßnahmen treffen Fachkräfte /Anwender | 600 €
Zertifikat zum TeleTrusT Information Security Professional (T.I.S.P.) | Expertenzertifi- 18. – 22.6.2018 | 12. – 16.11.2018
kat zur Informationssicherheit: Allgemeine Grundlagen zur IT Security, Netzwerksicherheit, Darmstadt
Kryptografie, Sicherheitsmanagement, rechtliche Grundlagen, Systemsicherheit Fachkräfte /Anwender | 2940 €
www.academy.fraunhofer.de/it-forensik
21SEMINAR IM FOKUS
IT-FORENSIK FÜR MULTIMEDIADATEN
Sp ure n in digit a l e n B i l d e r n , V i d e o - u n d A u di odaten fi nden und aus werten
Die Herausforderung: Spuren aus Multimediadaten Die Inhalte
effektiv analysieren und interpretieren
Grundlagen: Motivation, Herausforderungen und Anwen-
Digitale Multimediadaten können bei der Aufklärung von Straf- dungen; Basiswissen zu digitalen Bilddaten, Video, Audio;
taten oder bei Rechtsstreitigkeiten wertvolle Indizien liefern – Besonderheiten zum Datenschutz
ein Bild sagt oftmals mehr als tausend Worte! Eine Herausforde- Datenerfassung: Untersuchung von Speichermedien;
rung ist dabei das effiziente Sichten großer Datenbestände an Mediensuche im Internet; Datenrekonstruktion per Filecarving
Mediendaten, wie sie bei forensischen Untersuchungen häufig Effiziente Sichtung: Identifizierungsverfahren für Medien
anfallen. Zudem enthalten Mediendaten oft auch viele unsicht- daten; Nacktheitserkennung
bare Spuren mit Hinweisen auf Ursprung, Beweiskraft oder gar Analyse: Metadaten-Untersuchung; Erkennen von Manipula-
Manipulationen der Medien sowie »versteckte« steganographi- tionen und Datenquellen; Stego-Analyse; Anti-Forensik
sche Botschaften im Medium. Als IT-Forensiker kann man diese Praktische Übungen: Bild-Metadaten auf Smartphones;
Spuren auswerten, wenn man die Besonderheiten der Multime- Bilderkennung durch robuste Hash-Methoden; Erkennen von
dia-Datenformate kennt und die hierfür speziellen Methoden Bildmanipulationen; Detektieren von Stego-Nachrichten
für das Erfassen und Analysieren der Daten beherrscht.
Die Lernziele
Die Lösung: Moderne Methoden zur forensischen Ana
lyse von digitalen Multimediadaten praxisnah erlernen – Bisherige forensische Fach- und Methodenkenntnisse auf die
Analyse von Multimediadaten ausweiten
Sie werden zuerst in die Grundlagen Multimedia-Formate und – Theoretische Grundlagen der wichtigsten Mediendatei
ihre Besonderheiten eingeführt. Anschließend werden spezi formate kennenlernen
elle Methoden der Datenerfassung behandelt, etwa Meta- – Wichtige Verfahren zur Erfassung, Sichtung und Analyse
daten-Erfassung oder Filecarving »gelöschter« Mediendaten. der unsichtbaren Spuren innerhalb von Mediendaten
Dann werden Methoden behandelt, welche Sie bei der Sich- nachvollziehen und anwenden können
tung großer Bildbestände unterstützen können, um eine müh- – Datenschutzrechtlich zulässiges Vorgehen bei Ihrer Arbeit
same manuelle Spurensuche zu erleichtern. Anschließend wer- richtig einschätzen
den Ihnen moderne Analyseverfahren für unsichtbare Spuren
in Mediendaten vermittelt. Hierzu gehören das nachträgliche
Erkennen von Nachbearbeitungen und Datenmanipulationen Die Zielgruppe
oder das Identifizieren der Datenquelle. Schließlich werden
auch Methoden der Stego-Analyse zum Aufspüren stegano- IT-Forensiker in Unternehmen und Behörden, die ihre Fach-
graphisch »versteckter Botschaften« in scheinbar unverdäch und Methodenkenntnisse auf den Bereich Multimedaten aus-
tigem Bildmaterial vermittelt. weiten möchten
2223.–25.5. | 3.–5.7. | 11.–13.09. | 6.–8.11.2018
IHRE VORTEILE AUF EINEN BLICK I N F O R M AT I O N E N I M Ü B E R B L I C K
Nach dem Seminar können Sie … Kurs: IT-Forensik für Multimediadaten
... verdächtige Medieninhalte aus Internetquellen oder
Speichermedien erfassen. Voraussetzungen: Kenntnis der Methoden der forensi-
... die Echtheit und die Quelle multimedialer Beweisstücke schen Arbeitsweise, praktische Erfahrung in forensischer
beurteilen. Untersuchung von Datenträgern, Grundkenntnisse des
... Verfahren zum Sichten großer Bilddatenmengen verstehen. Datenschutzes in der Forensik (bei Bedarf wird Modul »Da-
... steganographische Botschaften ausfindig machen. tenschutz für die IT-Forensik« empfohlen), Grundkenntnisse
... Ihre Arbeiten datenschutzkonform durchführen. zu Kommandozeile/ Konsole unter Windows und Linux
Dieses Seminar bietet Ihnen … Dauer: 2,5 Tage in Präsenz
… Anwendung moderner Methoden und aktueller
Forschungsergebnisse auf praxisnahe Problemstellungen. Kurssprache: Deutsch
… praktische Forensik-Übungen zur Einübung bewährter
Vorgehensweisen für Ihre eigenen Ermittlungen. Teilnehmerzahl: max. 16 Personen
… Austausch und Vernetzung mit Experten und Anwen-
dern der Multimedia-Forensik. Veranstaltungsort: Darmstadt
Melden Sie sich gleich an! Termine: 23.– 25.5. | 3.– 5.7. | 11. – 13.09. | 6. – 8.11.2018
www.academy.fraunhofer.de/it-forensik-multimedia
Kosten: 1500 €
Veranstaltet durch:
WEITERE SEMINARE A N S P R E C H PA R T N E R
Falls Sie erst die rechtlichen Grundlagen kennenlernen Dr. Sascha Zmudzinski
wollen, sehen Sie sich unser Kurz-Modul »Datenschutz für Fraunhofer SIT
die IT-Forensik« an: sascha.zmudzinski@sit.fraunhofer.de
www.academy.fraunhofer.de/datenschutz-it-forensik
O R G A N I S AT O R I S C H
UNSERE REFERENTEN
Adem Salgin | Fraunhofer Academy
York Yannikos | Sascha Zmudzinski Telefon +49 89 1205-1555
unter der Leitung von Prof. Dr. Martin Steinebach, cybersicherheit@fraunhofer.de
Media Security and IT Forensics am Fraunhofer SIT
23EMBEDDED SYSTEMS, MOBILE SECURITY UND INTERNET OF THINGS
MIT SICHERHEITSKOMPETENZ BETEILIGTE
EINRICHTUNGEN
IN DIE DIGITALISIERUNG – Fraunhofer AISEC
– Fraunhofer IIS
Eingebettete Systeme (Embedded Systems), Sensoren und Akto- – Ostbayerische
ren sind in einer Vielzahl sicherheitskritischer Szenarien im Ein- Technische Hochschule
satz. Und auch mobile Endgeräte werden immer mehr in diesen Amberg-Weiden
Umgebungen verwendet, sodass zunehmend die Kompetenzen – Hochschule Aalen
der verantwortlichen Fachkräfte gefragt sind.
Das Themenfeld »Embedded Systems, Mobile Security und In- THEMEN
ternet of Things« umfasst deshalb den gesamten Entwicklungs- SCHWERPUNKTE
prozess vom Design bis zum Test und der Zertifizierung von
Komponenten. Ein Schwerpunkt liegt dabei bei Security- und – Sichere Software-
Privacy-Anforderungen im Design-Prozess, Sicherheitstechniken entwicklung
mit spezifischer Hardware-Unterstützung, Sicherheitsmaß – Embedded OS und
nahmen für Hardware- und Software-Implementierung von Linux Security
Sicherheitsfunktionen eingebetteter Systeme und dem sicheren – Trusted Computing
Zusammenwirken von Komponenten in komplexen Szenarien. und TPM 2.0
– Secure Elements
Die Weiterbildung richtet sich vorwiegend an Entwicklungs- – Kryptografie für das
Ingenieure, Software-Designer und Tester über alle Branchen Internet of Things
hinweg.
Mehr Informationen und Anmeldung unter:
www.academy.fraunhofer.de/embedded-systems
24SCHULUNGEN 2018 / 19
Embedded Security
IT-Sicherheit in der Fahrzeugkommunikation | Vernetzung im Fahrzeug absichern: 11.9.2018 | 15.1.2019
IT-Sicherheitseigenschaften von Bussystemen, Betriebssystemen im Fahrzeug und fahrzeug Garching
interner Vernetzung, IT-Sicherheitsvorfälle, kryptografische Grundlagen, Security-Format Fachkräfte /Anwender
der V2X-Kommunikation 600 €
Sichere eingebettete Systeme mit FPGAs | Rekonfigurierbare Hardwarebausteine 12.9.2018
sicher in eingebetteten Systemen nutzen: aktuelle Angriffe auf FPGAs, Sicherheitsmaß Garching
nahmen mit aktuellen Chips implementieren, geeignete FPGAs für das eigene System Management | 600 €
Online-Kurs Security in Embedded Systems | Einführung und Überblick zu Embedded Ca. 5 h Lerndauer
Systems, mögliche Gefahren und Schutz von Hardware und Software sowie Gestaltung self-paced
von sicheren Entwicklungsprozessen für Embedded Systems 250 €
Secure Software Engineering im automobilen Entwicklungsprozess | Best Practices 23. – 24.7. | 20. – 21.11.2018 |
in allen Stadien der Softwareentwicklung: Vorgehensmodelle, Risiko- und Anforderungs- 18. – 19.2.2019
analyse, Secure Design, Sichere Implementierung, Schutzkonzepte testen München | Management | 1200 €
Internet of Things
IoT-Sicherheit | Wichtige Sicherheitslücken auffinden und IoT-Geräte absichern: Bedro- 25.6.2018 | Garching
hungen für IoT einschätzen und abwehren, Aufbau einer IoT-Kommunikationsarchitektur, 24.10.2018 | Aalen
Schwachstellenscanner und Pentesting für IoT Fachkräfte /Anwender | 600 €
IT-Sicherheit in drahtlosen Kommunikationssystemen | Technologien, Risiken und 11. – 12.10.2018
Schutzmaßnahmen am Beispiel von WLAN: Kommunikationstechnologien absichern, Nürnberg
typische Bedrohungsszenarien und deren Risiken, übergeordnete Schutzziele Fachkräfte /Anwender | 900 €
Sichere hardwaregebundene Identitäten | IoT-Systeme effizient schützen: Szenarien
für den Einsatz von Physical Unclonable Functions (PUF), PUF-Schaltungen, Protokolle für
Lightweight-Authentifizierung, Fehlerkorrekturverfahren und Angriffe auf PUFs
15.11.2018
Einen weiteren Kurs zu Sicherheitsmechanismen im Internet der Dinge finden Sie auf Garching | Aalen
Seite 37. Management | 600 €
25Hacking
24. – 26.7.20 | 11. – 13.12.2018 Hacking: Binary Exploitation | Sicht der Hacker verstehen und ihnen zuvorkommen:
Garching typische Programmierfehler in C-Code identifizieren, Grenzen der Schutzmechanismen
Fachkräfte /Anwender | 1800 € nutzen, Exploits zum Aufzeigen der Schwachstelle entwickeln
15. – 17.5. | Garching Hacking: Pentesting | IT-Sicherheit aus der Perspektive des Angreifers prüfen: Penetra
10. – 12.7. | 27. – 29.11. | Weiden tionstest professionell durchführen, sicherheitsrelevante Schwachstellen von Software
Fachkräfte /Anwender | 1800 € aufdecken und analysieren, Risiken abwägen und richtig einschätzen
3.7.2018 | 5.12.2018 Netzwerksicherheit | Sichere Netzwerkinfrastruktur bereitstellen: NAC, Radius und VPN
Aalen nutzen, Geräte im Netzwerk erkennen und deren Zugriff verwalten, Konfigurationsfehler
Fachkräfte /Anwender | 600 € vermeiden, zwischen Kompatibilität und Sicherheit abwägen
Mobile Security
7. – 8.6.2018 | 30. – 31.7.2018 Digitale Identitäten | Systemzugriffe im Unternehmenskontext absichern: Identitäts
Garching management anhand relevanter Protokolle, Authentifizierung mit offenen und lizenzfreien
Fachkräfte /Anwender | 1200 € Standards der FIDO-Allianz, rechtliche Komponenten
24. – 25.4.2018 | 5. – 6.6.2018 Mobile Application Security | Sicherheit von Apps und Plattformen analysieren: Sicher-
Garching heitsmodell von Android und iOS, typische Angriffe nachvollziehen, Verfahren und Tools
Fachkräfte /Anwender | 1200 € zur Analyse, aktuelle Gefahren von Apps, Hands-on-Sicherheitsanalyse von Apps
19.6.2018 | 8.11.2018 Mobile Endgeräte: Android | Sicherer Umgang mit Android im Unternehmen: typische
Aalen Schwachstellen, Sicherheitsmechanismen und -konzept von Android, Mobile-Device-
Fachkräfte /Anwender | 600 € Management-Lösungen
20.6.2018 | 7.11.2018 Sicherheit von mobilen Endgeräten: iOS | Mobile Device Management und Bring
Aalen Your Own Device im Unternehmensumfeld mit iOS: Sicherheitskonzepte erstellen, MDM-
Fachkräfte /Anwender | 600 € Lösungen einschätzen und anwenden
26Management
14.5.2018 | Weiden
IT-Sicherheit in Unternehmen | IT-Sicherheitsorganisation aufbauen: Bedrohungen für 19.7.2018 | 10.10.2018 | Aalen
Unternehmensdaten einschätzen, Mitarbeiter-Awareness fördern, IT-Sicherheitsmaßnah- Management
men treffen, Aufbau eines IT-Sicherheitsmanagements, rechtliche Rahmenbedingungen 600 €
umsetzen
11.6.2018 | Garching
Top Cyber Security Trends | Trends der IT-Sicherheit kennen und für das eigene 9.10.2018 | Aalen
Unternehmen einschätzen können: aktuelle und zukünftige Bedrohungen, Gefahren Management
und Sicherheitsmaßnahmen von IoT, sichere Identitäten nutzen, Blockchain und deren 600 €
Einsatzgebiete
Übergreifende Themen und Trends
6.7.2018
Maschinelles Lernen für mehr Sicherheit | Maschinelles Lernen und Data Mining für Garching
die Modellierung von Anomalieerkennungen in der IT-Sicherheit nutzen: Basisverfahren, Fachkräfte /Anwender | 600 €
State of the Art, Forschungsgebiete
13. – 15.6. | 21. – 23.11.2018
Blockchain | Funktionsweise von Blockchain verstehen und nutzen: Entwicklung aus der Weiden
Kryptowährung Bitcoin, etablierte Blockchain-Plattformen und deren Einsatzgebiete, Priva- Fachkräfte /Anwender
cy, Identitätsmanagement, Konsensfindung und kryptografische Primitive, Programmieren 1800 €
von Smart Contracts
www.academy.fraunhofer.de/embedded-systems
27SEMINAR IM FOKUS
HACKING: BINARY EXPLOITATION
Buff e r- Ov e r f low s u n d d e re n Fo l g e n
Die Herausforderung: Neue Angriffsszenarien Die Inhalte: Exploitation in Theorie und Praxis
im Zuge steigender Vernetzung
– Grundlagen BufferOverflows, Debugging, Dissassembler
Immer mehr Geräte und Systeme sind heute über das Internet – Praktische Übung: Debuggen und reverse engineeren
und andere Netzwerke erreichbar und direkten Angriffen aus- – Einführung in die Thematik des Stacks
gesetzt. Dies stellt viele Unternehmen vor die Herausforderung, – Praktische Übung: Erster Exploit ohne Schutzmaßnahmen
ihre Systeme geeignet abzusichern, um mögliche Angriffe von – Schutzmaßnahmen durch Compiler
Hackern abzuwehren. Trotz vorhandener Schutzmechanismen – Praktische Übung: Exploit mit Compilerschutzmaßnahmen
– wie z.B. durch nichtausführbare Speicherregionen, Rando- – Schutzmaßnahmen durch System
misierung von Adressen oder durch den Compiler eingefügten – Praktische Übung: Exploit mit Systemschutzmaßnahmen
Stack-Cookies – werden Schwachstellen in Anwendungen – Einführung in die Thematik des Heaps
dennoch erfolgreich ausgenutzt. Dadurch stellt sich die Frage, – Praktische Übung: Exploit ohne Schutzmaßnahmen
wie diese Schutzmechanismen durch die Angreifer umgangen – Praktische Übung: Exploit mit Schutzmaßnahmen (optional)
werden.
Die Lernziele: Schwachstellen erfolgreich identifizieren
Die Lösung: Binary Exploitation aus Sicht
der Hacker verstehen und zuvorkommen – Identifikation typischer Programmierfehler in der Sprache C
– Erkennen der Grenzen von vorhandenen Schutzmechanismen
Im Rahmen dieses Seminares erlernen die Kursteilnehmenden – Tiefgründige Kenntnisse über Speicherarchitekturen
die Vorgehensweise von Hackern, um besser auf derartige – Erlernen von Methoden zur Umgehung von Schutz
Angriffe vorbereitet zu sein. Der Schwerpunkt dieses Seminars mechanismen
liegt dabei im Bereich Binary Exploitation: also wie können bei- – Erstellen von Exploits zur Ausnutzung von Schwachstellen in
spielsweise Programmierfehler in C-Code ausgenutzt werden, Applikationen
um fremden Code einzuschleusen und auszuführen. Dabei
wird auch die Frage beantwortet, wie effektiv die System- und
Compiler-Schutzmechanismen greifen, und wie und unter Die Zielgruppe: Entwickler, Tester, Betreiber und
welchen Umständen die Angreifer diesen Schutz umgehen Anwender
können.
Mitarbeiterinnen und Mitarbeiter, die als Entwickler, Tester,
Betreiber oder Anwender das Vorgehen eines Hackers kennen
lernen wollen, um mit Hilfe dieser Erkenntnisse die Sicherheit
ihrer Systeme zu verbessern.
2824.–26.4.2018 | 24.–26.7.2018 | 11.–13.12.2018
IHRE VORTEILE AUF EINEN BLICK I N F O R M AT I O N E N I M Ü B E R B L I C K
Nach dem Seminar können Sie … Kurs: Hacking: Binary Exploitation
… das Vorgehen eines Hackers nachvollziehen und Exploits
zum Aufzeigen der Schwachstelle entwickeln. Voraussetzungen: Basiswissen Linux: Routinierter Umgang
… typische Programmierfehler in C-Code erkennen und die mit der Bourne-Again Shell (BASH) und GNU Debugger (GDB)
Grenzen der Schutzmechanismen verstehen. Programmierkenntnisse: Flüssiges Lesen und Verstehen von
… die Anwendbarkeit der Schutzmechanismen für die C-Code, Programmiererfahrung mit C oder Python
eigene Entwicklung einschätzen. Assembler: x86_64 Assembler lesen und verstehen
Dieses Seminar bietet Ihnen … Dauer: 3 Tage in Präsenz
… einen tiefen Einblick in ausgewählte Techniken von Binary
Exploitation. Kurssprache: Deutsch
… praktische Umsetzung von Methoden zur Umgehung von
Schutzmechanismen und Entwicklung von eigenen Exploits. Teilnehmerzahl: max. 10 Personen
Veranstaltungsort: Weiden | Garching bei München
Termine: 24. – 26.4.2018 | 24. – 26.7.2018 |
11. – 13.12.2018
Melden Sie sich gleich an!
www.academy.fraunhofer.de/binary-exploitation Kosten: 1800 €
Veranstaltet durch:
UNSER REFERENT A N S P R E C H PA R T N E R
Dipl.-Inform. Fatih Kilic Fatih Kilic | Fraunhofer AISEC
Wissenschaftlicher Mitarbeiter Sichere Betriebssysteme, Telefon +49 89 322-9986-194
Fraunhofer AISEC fatih.kilic@aisec.fraunhofer.de
O R G A N I S AT O R I S C H
Adem Salgin | Fraunhofer Academy
Telefon +49 89 1205-1555
cybersicherheit@fraunhofer.de
29INDUSTRIELLE PRODUKTION/INDUSTRIE 4.0 DIGITALISIERUNG IN DER PRODUKTION BRAUCHT IT-SICHERHEITSKOMPETENZ Das Themenfeld »Industrielle Produktion/Industrie 4.0« umfasst Netzwerk- und Sicherheitstechniken für Automatisierungssysteme im Hinblick auf vernetzte Systeme, Internetanbindung und Cloud-Techniken für Automatisierungsaufgaben. Behandelt wer- den sowohl typische Schwachstellen in Design und Implementie- rung in eingebetteten Systemen und industriellen Komponenten (z. B. Industrie-Roboter) als auch neueste Entwicklungen im Be- reich von Kommunikations-Protokollen und Sicherheitsfunktio- nen sowie der Entwicklung sicherer Software für die zunehmend softwareintensiven Bereiche der industriellen Produktion. Die Weiterbildung richtet sich sowohl an Planer und Betreiber von Automatisierungssystemen (Planungs-Ingenieure, Wartungstechni- ker) als auch an Entwickler von Automatisierungslösungen (Soft- ware-Designer, Programmierer). Zielgruppe sind auf Anwender- seite alle Branchen der produzierenden Industrie (z. B. Automobil, Chemie) sowie die Hersteller von Automatisierungslösungen. Mehr Informationen und Anmeldung unter: www.academy.fraunhofer.de/industrielle-produktion 30
BETEILIGTE EINRICHTUNGEN
– Fraunhofer IOSB
– Fraunhofer IOSB-INA
– Hochschule Ostwestfalen-Lippe
T H E M E NS C H W E R P U N K T E
Netzwerk- und Sicherheitstechniken für
– Automatisierungssysteme
– Vernetzte Systeme
– Internetanbindungen
– Cloud-Techniken
31SCHULUNGEN 2018
Management
17.7.2018 Bedrohungslage für industrielle Produktionssysteme | Bewusstsein für die Bedro-
16.10.2018 hungslage industrieller Produktionssysteme: Grundlagen der IT-Sicherheit für Industrie 4.0,
Karlsruhe daraus resultierender Handlungsbedarf, Grundzüge der benötigten IT-Sicherheitsprozesse,
600 € rechtlicher Rahmen wie IT-SiG, Managerhaftung, Produkthaftung
13. – 14.6.2018 Management Know-how Cyber-Sicherheit | Grundlagen der Cyber-Sicherheit im
Karlsruhe Industrie 4.0-Umfeld: Bewusstsein für Bedrohungslagen und Lösungsstrategien, rechtlicher
1200 € Rahmen, Angriffe auf Produktionssysteme und deren Auswirkungen, Maßnahmen der
Mitarbeitersensibilisierung
Fachkräfte und Anwender
22. – 24.5.2018 Grundlagen der IT-Sicherheit für die Produktion/Industrie 4.0 | Produktionsanlagen
20. – 22.11.2018 und Automatisierungssysteme absichern: Grundlagen der Netzwerktechnik im Automati-
Karlsruhe sierungsbereich, Netzwerk-Security-Monitoring in der Produktion, typische Angriffsflanken
1800 € kennen, entsprechende Gegenmaßnahmen umsetzen, Security Management und
Standards in Industrial Control Systems (ICS)
23. – 25.7.2018 Systemhärtung: Sichere Hardware- und Softwareplattformen für Industrie 4.0-
9. – 11.10.2018 Produkte | Sichere Industrie 4.0-Produkte realisieren: Industrie 4.0-Kommunikation
13. – 15.11.2018 mit OPC UA, Anforderungsanalyse, passende Hardware-, Softwareplattformen, Entwick-
Lemgo lungsumgebungen und Programmiersprachen auswählen, sichere Softwareentwicklung
1800 € verstehen, hardwarebasierte Sicherheitsmechanismen einsetzen
15.10.2018 Grundlagen Know-how Cyber-Sicherheit – Teil I | IT- und Informationssicherheit
Karlsruhe in der vernetzten Produktion: Digitalisierung in der Produktion, Grundbegriffe der
600 € Informations- und IT-Sicherheit, geeignete Schutzmaßnahmen und relevante IT-Sicherheits-
standards, Best-Practice-Beispiele und Handlungsempfehlungen
16. – 19.10.2018 Cyber-Sicherheit in der vernetzten Produktion – Teil II | Basiswissen zur Industrie
Karlsruhe 4.0, IT-Sicherheit und IT-Kommunikation, Bewusstsein für Bedrohungslagen und mögliche
2400 € Lösungsstrategien, rechtlicher Rahmen, Angriffe auf Produktionssysteme und deren
Auswirkungen erkennen und abwehren
32Sie können auch lesen
