Kaffeepause von 16:15 bis 16:35
14:45 Uhr
Embedded Security für Embedded AI - Wie geht das?
Details anzeigen
Autor:in:
Klaus-Dieter Walter | SSV Software Systems GmbH | Germany
Sprache:
Deutsch
Zielgruppe:
Entwickler, Produktmanager, Product Owner
Voraussetzungen:
keine
Überblick und Zusammenfassungen:
Cybersecurity für eingebettete Systeme, die möglichst den vollständigen Lebenszyklus abdeckt, ist eine sehr komplexe Aufgabenstellung. Effektive Methoden, die sowohl die Architekturplanung und Entwicklung, aber auch den Test und das Monitoring plus die finale Entsorgung umfassen, haben sich noch nicht verbreitet. Aus diesem Grund lässt sich in der Praxis nach wie vor ein größeres Soll/Ist-Gap beobachten. Bei neuen Projekten kommt nun noch ein Inferenzcode und das dazu gehörende ML-Modell hinzu. Wird ein solcher Embedded-Software-Stack dann in einem Wireless-IoT-Umfeld eingesetzt, ist es Security-technisch richtig spannend.
Der Beitrag vermittelt an Hand eines Praxisbeispiels einen Überblick zu den Herausforderungen, wichtigsten Angriffsvektoren und Gegenmaßnahmen. Dabei wird deutlich, dass nicht immer gezielte Cyberangriffe die vorhandenen Schwachstellen ausnutzen. Manchmal sind es auch schlicht und ergreifend ungünstige Umstände im Anwendungsumfeld.
Art der Vermittlung:
Vortrag, Diskussion/Beteiligung des Publikums
Nutzen:
Die Teilnehmer erhalten einen Überblick aus der Cybersecurity-Perspektive zu einer möglichen Vorgehensweise bei der Entwicklung, dem Test und Praxiseinsatz eines Embedded-Software-Stack mit integrierten ML-Komponenten, der darüber hinaus auch Wireless-Funktionen nutzt.
15:35 Uhr
Angriff der KI
Brauchen wir eine neue Verteidigung?
Details anzeigen
Autor:in:
Prof. Dr. Markus Wamser | Ingenics Digital GmbH | Germany
Sprache:
Deutsch
Zielgruppe:
Entwickler, Product Owner, Software- und Systemarchitekten
Voraussetzungen:
keine
Überblick und Zusammenfassungen:
KI ist in aller Munde. Im allgemeinen Sprachgebrauch wird "die KI" meist gleichgesetzt mit großen Sprachmodellen (engl. Large-Language-Models, LLMs).
Diese Modelle unterstützen Entwickler mit (teil)automatischer Erzeugung von Programmcode. Dabei machen sie keinen Unterschied zwischen dem "guten" Entwickler von Firmware und dem "bösen" Entwickler von Schadsoftware. Doch wie steht es um die Sicherheit des erzeugten Codes? Wer garantiert, dass die Modelle nicht selbst "bösartig" agieren?
Und müssen wir uns auf andere Weise Gedanken über die Sicherheit von Embedded Systems machen? Denn "die KI" ist weit mehr als nur LLMs. Maschinelles Lernen bietet Angreifern ebenso wie Verteidigern die Chance zu einem dynamischeren und damit potentiell effektiverem Verhalten.
Blind auf die Quantum-KI-basierte Embedded Smart Firewall zu setzen, mag mit einer einfachen Freigabe des Budgets locken, ist aber wahrscheinlich nicht die beste Antwort auf die neue Bedrohungssituation.
Der Vortrag liefert einen Ein- und Überblick in das Schnittfeld zwischen KI und Sicherheit von Embedded Systems. Dabei stehen weniger die technischen Feinheiten der KI-Modelle, sondern vielmehr ihr (sinnvoller) Einsatz und dessen Auswirkungen im Fokus.
Art der Vermittlung:
Vortrag, Diskussion/Beteiligung des Publikums
Nutzen:
Die Teilnehmer erhalten einen Übersicht über die aktuellen Entwicklungen im Bereich von KI-Systemen mit Bezug zur Sicherheit (Security) von Eingebetteten Systemen. Gemeinsam mit dem Vortragenden werfen sie einen sachlichen Blick auf die neue Bedrohungssituation. Sie erhalten Anregungen, wie sinnvoll mit dieser neuen Situation umgegangen werden kann und wo "klassische" Schutzmaßnahmen gegen den Angreifer KI die bessere Wahl sind.
16:35 Uhr
Post-Quantum-Kryptographie auf eingebetteten Steuergeräten
Quanten-Computing und Cyber-Security: Steigt die Gefahr?
Details anzeigen
Autor:innen:
Philipp Jungklass | IAV GmbH Ingenieurgesellschaft Auto und Verkehr | Germany
Martin Manthe | IAV GmbH Ingenieurgesellschaft Auto und Verkehr
David Jacek Csejka | IAV GmbH Ingenieurgesellschaft Auto und Verkehr | Germany
Sprache:
Deutsch
Zielgruppe:
Software-Entwickler im Bereich Security
Voraussetzungen:
Erfahrungen im Bereich der embedded Security
Überblick und Zusammenfassungen:
In den kommenden Jahren werden mit der breiten Verfügbarkeit von Quantencomputern bisherige kryptografische Algorithmen nicht mehr die notwendige Sicherheit bieten. Daher hat das NIST (National Institute of Standards and Technology) bereits 2017 damit begonnen, Verfahren zu selektieren, welche auch im Zeitalter der Quantencomputer die erforderliche Sicherheit bieten können. Aufgrund des mehrstufigen, zeitaufwendigen Auswahlverfahrens konnten die Hersteller von diversen Mikrocontroller- und Mikroprozessorfamilien die notwendigen Hardware-Unterstützungen in die aktuellen Generationen nicht mehr integrieren, wodurch eine Umsetzung in Software zwingend erforderlich wird. Aus diesem Grund wird in diesem Vortrag eine Open-Source-Bibliothek namens quantumSAR vorgestellt, welche den Großteil der derzeitigen Kandidaten des NIST-Standardisierungsprozesses so umsetzt, dass diese plattformunabhängig und AUTOSAR-konform auch auf leistungsschwachen, eingebetteten Systemen performant ausgeführt werden kann.
Art der Vermittlung:
Interaktiver Vortrag, Erfahrungsbericht
Nutzen:
In diesem Vortrag wird den Zuhörern eine Übersicht darüber gegeben, welche kryptografischen Algorithmen durch die breite Verfügbarkeit von Quantencomputern potenziell gefährdet sind und welche Alternativen sich derzeit im Standardisierungsprozess befinden. Bedingt durch die fehlende Erfahrung mit diesen neuartigen Algorithmen gibt es derzeit wenig Publikationen über deren Ressourcenbedarf, besonders auf eingebetteten Echtzeitsystemen. Aus diesem Grund werden in diesem Vortrag für die vier Auswahlkandidaten des NIST-Standardisierungsverfahrens entsprechende Ergebnisse präsentiert und in Relation zu dem Rechen- und Speicherbedarf klassischer kryptografischer Algorithmen gesetzt.
17:20 Uhr
Softwareschutz und Obfuskation
Wenn die Theorie den Angreifer trifft
Details anzeigen
Autor:in:
Dr. Carmen Kempka | WIBU-SYSTEMS AG | Germany
Sprache:
Deutsch
Zielgruppe:
Interessierte an Security und Softwareschutz, Softwareentwickler
Voraussetzungen:
Vorkenntnisse in den Bereichen Kryptographie, Komplexitätstheorie oder Reverse Engineering sind hilfreich, aber nicht notwendig.
Überblick und Zusammenfassungen:
Die Kryptologen sind sich einig: Zum Schutz von Information sollten beweisbar sichere Methoden verwendet werden, basierend auf soliden Annahmen. Wichtig dabei ist Kerckhoffs Prinzip: Die Sicherheit basiert nicht auf der Geheimhaltung der Methode, sondern lediglich auf der Geheimhaltung eines geheimen Schlüssels. Softwareschutz stützt sich jedoch oft auf Obfuskation, was gerne als “Security by obscurity” abgetan wird. Aber muss das immer so sein?
Dieser Beitrag beleuchtet das Thema Softwareschutz und Obfuskation sowohl aus Theorie-Sicht als auch aus Angreifer-Sicht. Ergebnisse und Grenzen aus der Theorie werden so mit Schutz- und Angriffsmethoden aus der Praxis in einen gemeinsamen Kontext eingeordnet.
Es werden Fragen angesprochen wie „Wo liegen theoretische und praktische Grenzen?“ „Ist Security by Obscurity völlig wertlos?“, „Wie viel & welche Sicherheit brauchen wir eigentlich in der Praxis“ und „Wie geht der Angreifer eigentlich vor?“.
Art der Vermittlung:
Methodenerklärung
Nutzen:
Wissen über Obfuskation von Software und Wissen über Schutzmethoden gegen Reverse Engineering
