Blog

Security by Design ist ein Mantra, welches Sicherheitsexperten seit Jahren predigen, aber was heißt das eigentlich genau? Wie können Software Entwickler dieses Konzept umsetzen, mit welchen Tools, mit welchen Routinen im Entwicklungsprozess?

All diesen Fragen widmet sich heute, am 9. Februar 2021 (17:00 Uhr - 18:00 Uhr), unser Kollege Dr. Markus Wamser in einem Online Vortrag vom Sicherheitsnetzwerk München.

Weitere Informationen sowie die Anmeldung unter https://pretix.eu/SNM/secdesign/

Gerne können Sie auch den Livestream unter https://youtu.be/K7F0oJks4AM verfolgen.

---

WENIGER ANZEIGEN

Auch in Zeiten von Corona mussten unsere Kunden nicht auf unsere beliebten Expert Sessions verzichten: Im ersten Halbjahr konnten wir über 250 Teilnehmer bei „Security for Safety am Beispiel der IEC 62443 im Kontext zur IEC 61508“, „Grundlage des professionellen Softwaretests“, „Testen unter agilen Bedingungen“ und „Gesund führen aus der Distanz“ virtuell informieren.

Die Online Expert Sessions erhielten großen Zuspruch, sodass wir das Angebot im zweiten Halbjahr weiter ausbauen werden. Sobald das Vortragsprogramm festgelegt wurde, können Sie sich wie gewohnt kostenfrei und unkompliziert über unsere Website anmelden.  

P.S.: Ein Thema steht bereits fest: Am 30. September präsentieren wir Ihnen um 16:00 Uhr den Online-Vortrag „2 Jahre DSGVO – der Weg ist das Ziel“. Infos und Anmeldung unter: www.pixel-group.de 

---

WENIGER ANZEIGEN

In wenigen Tagen ist die Firma Mixed Mode mit zwei Kollegen auf der diesjährigen "Online-Edition" der SAEC Days vertreten. In diesem Artikel möchten wir Ihnen den Beitrag von Dr. Markus Wamser zum Thema "Portable TrustZone-Apps mit OP-TEE" vorstellen. Der Beitrag findet am am 22. Juli zwischen 13:45 Uhr und 14:30 Uhr statt.

"Nahezu alle modernden Prozessorarchitekturen stellen einen besonderen Betriebsmodus für die sichere Ausführung von Software bereit. Im Embedded und IoT-Bereich ist die Arm TrustZone-Technologie dabei die bekannteste und dominierende Variante eines solchen Trusted Execution Environments (TEE).

Für die Verwendung dieses speziellen Betriebsmodus ist jedoch in der Regel viel hardwarenaher Code vonnöten. Während große Anbieter von z.B. Mobiltelefonen noch eigene Frameworks und Werkzeuge entwickeln können, steht solch eine Herangehensweise bei vielen Embedded-Projekten nicht zur Debatte.

Auf der anderen Seite soll Software wiederverwendbar und gegen eine möglichst stabile API entwickelt werden. Das Global Platform-Konsortium pflegt hierfür die Spezifikation einer TEE-API. Das fehlende Bindeglied und Kern des Beitrags ist die Implementierung dieser Spezifikation auf der TrustZone-Platform.

Das Open Portable Trusted Execution Environment (OP-TEE) ist eine solche Implementierung. Sie unterstützt zahlreiche Plattformen vom Emulator über den Raspberri Pi bis zum Xilinx UltraScale+ Zynq MPSoC. Dabei sind gegen die TEE-API geschriebene Trusted Apps auf allen unterstützen Plattformen lauffähig. Das erhöht die Wiederverwendbarkeit von geschriebenem Code. Vor allem ermöglicht es aber eine schnelle, unkomplizierte und unabhängige Entwicklung von TrustZone-Anwendungen für eingebettete Systeme.

Dieser Beitrag stellt Konzept und Verwendung von OP-TEE vor und zeigt an einem kleinen Beispiel, wie schnell sich sichere Anwendungen damit umsetzen lassen.

Die Zuhörer erhalten einen kompakten Überblick über die Entwicklung von TrustZone-Anwendungen mit OP-TEE und sind anschließend in der Lage selbst mit OP-TEE-Anwendungen zu experimentieren und davon ausgehend komplexere Anwendungen zu entwickeln."

Der weitere Vortrag von unserem Kollegen Rouven Braden zum Thema "Turn Key Solutions: Das günstige Hardware Security Modul-Komplettpaket für mehr Sicherheit?" wurde bereits in einem vorherigen Blog-Eintrag vorgestellt.
Weitere Informationen, sowie die Agenda zu diesem Event finden Sie online unter: www.saec-days.de

____________________________________________________

Die SAEC Days finden vom 21. bis 23. Juli 2020 zum zweiten Mal statt, in diesem Jahr jedoch ausschließlich online über Zoom. Sie sind ein Zusammenschluss aus vier Konferenzen, die thematisch sehr eng zusammenliegen:

S - afety & Security
A - gile Testing
E - mbedded Testing
C - lean Code Days

Diese vier Themengebiete verteilen sich auf drei Konferenztage. Sie haben die Möglichkeit die Vorträge aller vier Konferenzen zu besuchen und können sich somit aus den parallel stattfindenden Vortragstracks Ihre eigene Agenda zusammen stellen. Damit bieten die SAEC-Days einen maximalen Mehrwert mit geringem Zeitaufwand.

---

WENIGER ANZEIGEN

In wenigen Tagen ist die Firma Mixed Mode mit zwei Kollegen auf der diesjährigen "Online-Edition" der SAEC Days vertreten. In diesem Artikel möchten wir Ihnen den Beitrag von Rouven Braden zum Thema "Turn Key Solutions: Das günstige Hardware Security Modul-Komplettpaket für mehr Sicherheit?" vorstellen. Der Beitrag findet am am 21. Juli zwischen 15:35 Uhr und 16:20 Uhr statt.

"Ein Überblick zum Thema HSM sowie eine beispielhafte Integration eines HSM am Beispiel des OPTIGA™ Trust X.

Je mehr die Welt vernetzt ist, umso mehr steigt auch die Gefahr durch Cyberangriffe. Aktuelle Statistiken zeigen, dass Unternehmen bereits in die Sicherheit ihrer Entwicklungen investieren, was aber bei weitem nicht ausreicht. Um Anwendungen gegen Cyberangriffe zu schützen, müssen die Daten und Kommunikationswege verschlüsselt werden. Hier kommen meist in Software umgesetzte Kryptographie-Algorithmen zum Einsatz. Doch schützen diese nicht immer vor Angriffen direkt am Gerät oder vor unzureichenden Software-Entwicklungen. Es gibt aber auch hier Wege diese Informationen zu schützen. Mehrere Hersteller bieten hierfür Turn Key Solutions an. Sie gehören zur Gruppe der Hardware Security Module und bieten dank einfacher API und mitgelieferter Software eine besonders einfache Integration in sicherheitskritische Systeme.

Des Weiteren wurden der Umfang der dazu nötigen Anpassungen sowie weitere Maßnahmen evaluiert.

Dieser Beitrag zeigt mögliche Gefahren im Bereich der Kommunikation auf und verdeutlicht, wie wichtig die Absicherung der Datenkommunikationswege ist. Als anwendungsnahes Beispiel dient die Kommunikationsinfrastruktur eines Smart Grids, wie es im Forschungsprojekt CONNECT Verwendung findet. Die Absicherung der Kommunikationsinfrastruktur mit einer Turn Key Solution wird am Beispiel eines Infineon OPTIGA™ Trust X dargestellt. Die Zuhörer erhalten einen vergleichenden Ausblick auf alternative HSM-Lösungen sowie eine kurze Diskussion des Für und Wider hinsichtlich der Verwendung von HSMs im Allgemeinen."

Den zweiten Vortrag von Dr. Markus Wamser stellen wir Ihnen die Tage in einem weiteren Beitrag vor.
Weitere Informationen, sowie die Agenda zu diesem Event finden Sie online unter: www.saec-days.de

____________________________________________________

Die SAEC Days finden vom 21. bis 23. Juli 2020 zum zweiten Mal statt, in diesem Jahr jedoch ausschließlich online über Zoom. Sie sind ein Zusammenschluss aus vier Konferenzen, die thematisch sehr eng zusammenliegen:

S - afety & Security
A - gile Testing
E - mbedded Testing
C - lean Code Days

Diese vier Themengebiete verteilen sich auf drei Konferenztage. Sie haben die Möglichkeit die Vorträge aller vier Konferenzen zu besuchen und können sich somit aus den parallel stattfindenden Vortragstracks Ihre eigene Agenda zusammen stellen. Damit bieten die SAEC-Days einen maximalen Mehrwert mit geringem Zeitaufwand.

---

WENIGER ANZEIGEN

Corona stellt jeden vor neue Herausforderungen – so auch uns und unsere beliebten Expert Sessions. Um unseren Kunden auch weiterhin mit Rat und Tat zur Seite stehen zu können, haben wir unseren Vortrag erstmals in einen virtuellen Raum verlegt und mit 50 Teilnehmern gleich einen riesigen Zuspruch erfahren. Der Referent Martin Zeh, vielfach zertifizierter Experte für Funktionale Sicherheit und Cyber-Security bei unserem Partner SGS-TÜV Saar GmbH, führte die Teilnehmer durch das Thema „Security for Safety am Beispiel der IEC 62443 im Kontext zur IEC 61508“.

Während des einstündigen Vortrags ging er speziell auf die Normen IEC 62443 und IEC 61508 ein und gab Aufschluss, was zu beachten ist, wenn man Security und Safety kombiniert. Im Zeitalter der Digitalisierung (Industrie 4.0) stellt sich für viele die Frage, wie man das Thema Cyber-Security bei einer Safety-relevanten Entwicklung mit berücksichtigen sollte. Die Norm IEC 62443 bietet für das industrielle Umfeld einen Ansatz zur Risikobewertung. Gleichzeitig lassen sich für Produkte, entsprechend des definierten Risiko-Levels, geeignete Gegenmaßnahmen treffen, um das Risiko auf ein akzeptables Maß zu begrenzen. Besonders interessant wird es, wenn sowohl Safety- als auch Security-Aspekte zu beachten sind.

Um die technischen Kapazitäten nicht zu überfordern, haben wir die Teilnehmerzahl auf  50 Anmeldungen begrenzt. Aber keine Sorge, aufgrund der hohen Nachfrage bieten wir den Vortrag ein zweites Mal an – merken Sie sich heute schon den 30. Juni 2020 ab 16:00 Uhr dafür vor. Hier geht’s zur Anmeldung.

Ein herzliches Dankeschön an alle Beteiligten für diese gelungene Online Expert Session!

---

WENIGER ANZEIGEN

Wir freuen uns sehr bekannt geben zu dürfen, dass zwei Mitarbeiter der Firma Mixed Mode dieses Jahr mit einem Vortrag auf den SAEC Days vertreten sein werden. Der Beitrag zum Thema „Turn Key Solutions: Das günstige Hardware Security Modul-Komplettpaket für mehr Sicherheit?“ lässt sich wie folgt zusammenfassen:

"Ein Überblick zum Thema HSM sowie eine beispielhafte Integration eines HSM am Beispiel des OPTIGA™ Trust X.

Je mehr die Welt vernetzt ist, umso mehr steigt auch die Gefahr durch Cyberangriffe. Aktuelle Statistiken zeigen, dass Unternehmen bereits in die Sicherheit ihrer Entwicklungen investieren, was aber bei weitem nicht ausreicht. Um Anwendungen gegen Cyberangriffe zu schützen, müssen die Daten und Kommunikationswege verschlüsselt werden. Hier kommen meist in Software umgesetzte Kryptographie-Algorithmen zum Einsatz. Doch schützen diese nicht immer vor Angriffen direkt am Gerät oder vor unzureichenden Software-Entwicklungen. Es gibt aber auch hier Wege diese Informationen zu schützen. Mehrere Hersteller bieten hierfür Turn Key Solutions an. Sie gehören zur Gruppe der Hardware Security Module und bieten dank einfacher API und mitgelieferter Software eine besonders einfache Integration in sicherheitskritische Systeme.
Des Weiteren wurden der Umfang der dazu nötigen Anpassungen sowie weitere Maßnahmen evaluiert.

Dieser Beitrag zeigt mögliche Gefahren im Bereich der Kommunikation auf und verdeutlicht, wie wichtig die Absicherung der Datenkommunikationswege ist. Als anwendungsnahes Beispiel dient die Kommunikationsinfrastruktur eines Smart Grids, wie es im Forschungsprojekt CONNECT Verwendung findet. Die Absicherung der Kommunikationsinfrastruktur mit einer Turn Key Solution wird am Beispiel eines Infineon OPTIGA™ Trust X dargestellt. Die Zuhörer erhalten einen vergleichenden Ausblick auf alternative HSM-Lösungen sowie eine kurze Diskussion des Für und Wider hinsichtlich der Verwendung von HSMs im Allgemeinen."

Die SAEC Days finden vom 21. bis 23. Juli 2020 zum zweiten Mal in München statt. Es ist ein Zusammenschluss aus vier Konferenzen, die thematisch sehr eng zusammenliegen:

S afety & Security
A gile Testing
E mbedded Testing
C lean Code Days

Diese vier Themengebiete verteilen sich auf drei Konferenztage. Sie haben die Möglichkeit die Vorträge aller vier Konferenzen zu besuchen und können sich somit aus den parallel stattfindenden Vortragstracks Ihre eigene Agenda zusammen stellen. Damit bieten die SAEC-Days einen maximalen Mehrwert mit geringem Zeitaufwand.
Weitere Informationen, sowie die Agenda zu diesem Event finden Sie online unter: www.saec-days.de

---

WENIGER ANZEIGEN

In wenigen Wochen ist es so weit! Wir starten unser Expert Sessions-Programm mit neuen Vorträgen in altbekannter Qualität.Kostenfreie Expert Sessions von Mixed Mode

• Vom ITSM zum Sicheren Eingebetteten System
  (07. Mai 2019, kostenfreie Expert Session von 16:30 - 18:00 Uhr bei Mixed Mode in Gräfelfing)
  
  Sichere Eingebettete Systeme zu entwickeln ist alles andere als leicht. Unsere Expert Session gibt einen Überblick über die Voraussetzungen, Werkzeuge und Methoden zur Entwicklung Sicherer Eingebetteter Systeme. Die erste Erkenntnis ist, dass man keine sichere Software ohne sichere Entwicklungsumgebung entwickeln kann. Das ist die Motivation für die Einführung eines systematischen IT-Sicherheits-Managements. Die zweite Erkenntnis ist, dass man nicht einfach "drauflos programmieren" kann. Zuvor steht ein Systemdesign, das Security und Privacy berücksichtigt. Schon während dieses Design entsteht, kann und soll man es mit (semi) formalen Methoden prüfen. STRIDE und DREAD zählen hierfür zu den prominentesten Ansätzen. Beide werden in der Expert Session eingeführt.
  
  Auf der anderen Seite endet der Entwicklungsprozess nicht, sobald der Code kompiliert. Am Beispiel des Microsoft Security Development Lifecyle besprechen wir zusätzliche Maßnahmen für gute uns sicherer Software.
  
  Zum Abschluss wenden wir uns einem echten Stück Software zu. Wir modellieren die vorgefundene Situation im MS Thread Modellig Tool, identifizieren Bedrohungen und Schwachstellen, demonstrieren die zugehörigen Angriffe am Beispiel und setzen die notwendigen Gegenmaßnahmen in Code um. 
  > zur Anmeldung

• Funktionale Programmierung – Einführung und Praxis
  (21. Mai 2019, kostenfreie Expert Session von 16:30 - 18:30 Uhr bei Mixed Mode in Gräfelfing)
  
  "Why functional programming matters", so titelte John Hughes in seinem 1984 veröffentlichten Paper. Seitdem wurde dieses Paper unzählige Male zitiert und funktionale Konzepte haben mehr und mehr Einzug in die alltäglich Programmierung gefunden. Die Forschung ist ebenfalls nicht stehen geblieben und seit der ursprünglichen Veröffentlichung hat sich viel bewegt auf diesem Forschungszweig.
  
  Der Referent dieser Expert Session möchte dieses Paper als Grundlage nehmen um zu zeigen, was funktionale Programmierung in seiner Essenz bedeutet und wie die Konzepte ihren Platz in der modernen Softwareentwicklung haben. Beginnend mit den Beispielen aus dem Paper hangeln Sie sich schrittweise in Theorie und Praxis weiter vor.
  > zur Anmeldung

Kostenpflichtige Expert Sessions von Mixed Mode

• Security: Sicheres Update und Boot - Praktische Umsetzung für moderne Embedded-Systeme
  (10. Mai 2019, in Zusammenarbeit mit MicroConsult)
  > weitere Infos und Anmeldung

• Internet of Things (IoT): Technologien und Entscheidungsgrundlagen für das Internet der Dinge
  (15. - 16. Juli 2019, in Zusammenarbeit mit MicroConsult)
  > weitere Infos und Anmeldung

Bei Fragen rund um unser Expert Sessions-Programm können Sie sich gerne telefonisch (089/8 98 68-200) oder per E-Mail an uns wenden. Sichern Sie sich am besten heute noch Ihren Platz. Wir freuen uns auf Ihren Besuch

---

WENIGER ANZEIGEN

Als Mitglied des Security Network Munich (SNM) war Mixed Mode kürzlich auf der Technologiemesse 2018 im neuen Information Security Hub am Flughafen München vertreten. Am Stand wurde der erweiterte Demonstrator aus dem Forschungsprojekt CONNECT gezeigt. Bei diesem wird die Kommunikation eine IoT-Gerätes zur Cloud beidseitig von HSMs abgesichert. Auf der Seite des IoT-Gerätes wie gehabt mit einem Infineon OPTIGA™ Trust X, auf der Cloud-Seite mit einem NXP A71CH.

---

WENIGER ANZEIGEN

Sobald Sie Ihr Embedded System mit einem öffentlich sichtbaren Netzwerk verbunden ist, lautet die Frage nicht, ob Ihr System gehackt wird, sondern wann. Das Ziel von IT Security ist, den Zeitpunkt so gut wie möglich hinauszuzögern, durch Reduzierung der Angriffsflächen und Eliminierung der Risiken. Sicherheit ist jedoch keine statische Eigenschaft sondern ein ganzheitlicher Prozess und weit mehr als das Vermeiden von strcpy (). Um alle Aspekte der sicheren Softwareentwicklung zu erfassen, muss über die eigenen Tellerrand (und den von C ++) schauen. Dieser Vortrag wird Ihnen helfen, in die richtige Richtung zu schauen. Wir beginnen mit einer kurzen Einführung in das IT-Sicherheitsmanagement, da man keine sichere Software in einer unsicheren Umgebung entwickeln kann. Wir werden uns dann schrittweise durch die Abstraktionsniveaus arbeiten und dabei einen Blick auf MS Security Development Lifecycle und Threat Modeling werfen. Unsere Reise endet mit einer kurzen Demonstration dessen, was Sie mit Trusted Platform Modules auf einem Embedded System umsetzen können. Wir freuen uns über Ihre Anmeldung!

---

WENIGER ANZEIGEN

Als Mitglied des Infineon Security Partner Network ISPN hatte Mixed Mode die Gelegenheit am Donnerstag, den 21.06.2018, den Demonstrator aus dem Forschungsprojekt CONNECT während des IoT Security Circle am Campeon in Neubiberg zu präsentieren. Ziel des Prototypen ist es, eine sichere Kommunikation mit Hilfe des HSM OPTIGA™ Trust X zu demonstrieren. Das Publikum, bestehend aus Industrie-Partnern, war sehr interessiert und es entstanden interessante Gespräche. Mixed Mode nahm auch an der Präsentation am Nachmittag mit seinem Referenten Hans-Christian Wild teil.

---

WENIGER ANZEIGEN

Einladung zur Vorstellung der Ergebnisse aus dem Projekt SIBASE. Seit fast zwei Jahren arbeiten Forscher aus Unternehmen und Universitäten gemeinsam an einem Baukastensystem für die Absicherung eingebetteter Systeme. Im Projekt SIBASE (Sicherheitsbaukasten für sichere eingebettete Systeme) werden unter anderem Hardware- und Software-Sicherheitskomponenten für eingebettete Systeme entwickelt, die ineinandergreifen und eine langfristige Sicherheit gewährleisten. Diese werden in vier verschiedenen Demonstratoren aus den Anwendungsfeldern Industriefernwartung und -fernsteuerung, Elektromobilität/Smart Grid, Avionik und Automotive zusammengefügt und erprobt. Mixed Mode und weitere beteiligte Unternehmen sowie Forschungseinrichtungen stellen Ihnen am 21. Juli im Siemens Forum in München die ersten Ergebnisse aus diesem spannenden Forschungsprojekt vor. Nutzen Sie die Chance, mit den Projektbeteiligten über ihre Arbeiten zu diskutieren, Lösungsansätze kennenzulernen und Ansatzpunkte für eine mögliche Zusammenarbeit zu eruieren.

Sichere eingebettete Systeme – Ergebnisse aus dem Projekt SIBASE
Open Labs Workshop

21. Juli, 10 bis 18 Uhr
Siemens Forum, Oskar-von-Miller Ring 20, München

Agenda

• Sicherheitsforschung für Anwendungen des Siemens Konzerns
• Kurzvorstellung des BMBF Projektes SIBASE
• Timing Covert Channel Analysis on Partitioned Systems
• RAM encryption mechanisms in real-time embedded systems
• L4/Fiasco.OC und L4Re, Marius Strobl
• Secure Update im Automotive Umfeld
• Physical Unclonable Functions für sichere Embedded Devices
• Systematische leakage-arme Codierung für Physical Unclonable Functions
• Fault simulator for hardware and software design
• Automatisierte kontextsensitive Fehlererkennung für Eclipse CDT
• Abstrahlungsangriffe auf eingebettete Systeme
• Seitenkanalangriffe mit hochauflösenden EM-Messungen

Die detaillierte Agenda finden Sie unter www.it-security-munich.net sowie in dem Flyer.
Anmeldung Die Teilnahme ist kostenfrei, eine Anmeldung erforderlich. Bitte melden Sie sich bis 15. Juli bei Kathrin Jaenicke an (jaenicke@bicc-net.de).

---

WENIGER ANZEIGEN