Kaffeepause von 11:15 bis 11:45
08:50 Uhr
Softwareentwicklung im Licht der neuen EU-Regulatorik
Cyber Resilience Act, NIS-2, Produkthaftung und Co.
Details anzeigen
Autor:in:
Stefan Haßdenteufel | Witzel Erb Backu & Partner Rechtsanwälte mbB | Germany
Sprache:
deutsch
Zielgruppe:
Unternehmensmanagement (insb. CEO, CIO, CISO etc.) und Softwareentwickler bei Unternehmen mit Produktentwicklung insb. im Bereich „embedded system“, aber auch allgemein im Bereich Softwareentwicklung, daneben auch Unternehmenskunden im Bereich der kritischen Infrastruktur.
Voraussetzungen:
keine (juristischen) Vorkenntnisse erforderlich.
Überblick und Zusammenfassungen:
Auf EU-Ebene werden aktuell zahlreiche Gesetze verabschiedet mit dem Ziel, die Sicherheit von (vernetzten) Produkten (mit Software) zu erhöhen. Die Gesetze sehen dabei im Wesentlichen fünf Regelungsbereiche vor:
1. Einrichtung und Erhaltung eines Compliance-Systems, mit dem Sicherheitslücken rechtzeitig entdeckt und deren Ausnutzung verhindert wird.
2. Bereitstellung von Produkten, die ein hohes Maß an Sicherheit bieten, inklusive der Bereitstellung von Aktualisierungen / Sicherheitsupdates.
3. Registrierungspflicht von verpflichteten Unternehmen bei den zuständigen Behörden
4. Meldepflichten bei entdeckten Sicherheitslücken bzw. deren Ausnutzung unter Einhaltung von sehr strengen Fristen.
5. Sanktionierung von Unternehmen und deren Geschäftsführung bei Verstößen.
Der Ansatzpunkt der gesetzlichen Regelungen ist dabei unterschiedlich. Betroffen sind insb. die Hersteller von relevanten Produkten. Subsidiär werden Importeure und Händler verpflichtet. Betreiber von kritischer Infrastruktur und wichtigen und besonders wichtigen Anlagen auf der anderen Seite sind verpflichtet, für einen sicheren Betrieb der Anlagen zu sorgen. Besprochen werden sollen hier die relevantesten Regelungen, namentlich die NIS-2-Richtlinie und deren Umsetzung in deutsches nationales Recht und der Cyber Resilience Act (CRA). Beide Gesetze werden in Kürze Geltung beanspruchen. Aufgrund der komplexen Regelungen und der langwierigen Umsetzung muss bereits frühzeitig mit der Umsetzung begonnen werden. Daneben sollen andere wichtige Vorschriften (z.B. die sich aktuell im Entwurf befindliche Produkthaftungsrichtlinie) übersichtlich dargestellt werden. Auch das Thema „Open Source Software“ hat Relevanz und wird thematisiert.
Art der Vermittlung:
Zusammenfassende Darstellung der EU-Gesetzgebung, Veranschaulichung an einem konkreten Beispielprodukt, ggf. wichtige Gesetzeszitate
Nutzen:
Die neue EU-Regulatorik sieht insbesondere in dem Bereich Cybersicherheit von „embedded systems“ neue, sehr weitreichende Anforderungen vor, die der Hersteller solcher Produkte erfüllen muss. Das betrifft insb. Hersteller, die Produkte innerhalb der EU auf den Markt bringen, indirekt aber auch alle anderen Hersteller weltweit über die gesetzlich verankerte Verpflichtung von Importeuren und Distributoren. Der Vortrag soll den Verantwortlichen in den Unternehmen helfen, sich einen ersten Überblick über die Anforderungen der Gesetze zu verschaffen und ihnen ermöglichen, rechtzeitig die Umsetzung der Anforderungen in die Wege zu leiten.
09:45 Uhr
Cyber Resilience: Ist Ihre Software sicher genug?
Strategien und Best Practices für Security by Design
Details anzeigen
Autor:in:
Juergen Messerer | bbv Software Services AG | Switzerland
Sprache:
Deutsch
Zielgruppe:
Entwickler, Architekten, Projekt Leiter resp Project Owner
Voraussetzungen:
Keine
Überblick und Zusammenfassungen:
Sichere Software ist resilienter, qualitativ hochwertiger und günstiger. Vorausgesetzt, Sicherheit geniesst von Anfang an einen hohen Stellenwert im Entwicklungsprozess und wird konsequent umgesetzt. «Security by design» nennt sich das und ist inzwischen absolut Business-relevant, kann unsichere Software doch Schäden in Millionenhöhe nach sich ziehen.
In diesem Vortrag zeigen wir Ihnen, wie Sie Security in jeder Phase der Softwareentwicklung einsetzen, um einen Security-by-Design-Ansatz umzusetzen. Wir behandeln zudem Themen, die mit Blick auf den Cyber Resilience Act der EU und weitere kommende europäische Cybersecurity-Richtlinien für alle Hersteller von digitalen Produkten sowie jeden CISO unumgänglich werden.
Art der Vermittlung:
Projektbeispiel, Methodenerklärung
Nutzen:
Der Vortrag bietet für Vorgesetzte, Fachleute, Entwicklern und Sicherheitsverantwortlichen wertvolle Einblicke und praktische Anleitungen, wie sie Security by Design erfolgreich umsetzen können. Durch die Integration von Sicherheit in jede Phase der Softwareentwicklung wird nicht nur die Qualität und Resilienz der Software verbessert, sondern auch die Einhaltung gesetzlicher Anforderungen und der Schutz vor Cyberbedrohungen gewährleistet. Dies führt letztlich zu Kosteneinsparungen, einer besseren Marktposition und einer nachhaltigeren Sicherheitsstrategie.
10:35 Uhr
Cyber Resilience Act und NIS-2
Zertifikate als sichere Maschinenidentitäten
Details anzeigen
Autor:in:
Gerald Richter | ECOS Technology GmbH | Germany
Sprache:
deutsch
Zielgruppe:
Produkt-Manager, Software-Architekten, Software-Entwickler, Infrastruktur-Verantwortliche
Voraussetzungen:
Grundwissen IT-Security hilfreich, aber nicht zwingend
Überblick und Zusammenfassungen:
Die neue EU Reglungen Cyber Resilience Act und NIS-2 erfordern für alle Produkte, die mit dem Netz kommunizieren, wie auch in der Produktion selbst, das Sicherstellen von Vertraulichkeit, Integrität und Authentizität. Diese erfolgt gewöhnlich mit digitalen Zertifikaten. Der Vortrag beschäftigt sich mit den Herausforderungen von digitalen Zertifikaten in der Embedded-Software-Welt.
- Was bedeutet Vertraulichkeit, Integrität und Authentizität in diesem Kontext
- Was für Anforderungen bestehen an digitale Zertifikate
- Wie wird ein initiales Vertrauen hergestellt
- Warum müssen Zertifikate verlängert werden
- Was passiert, wenn Geräte den Endkunden wechseln
Der Vortrag beschreibt anhand von praktischen Verfahren und Beispielen, was in der der Praxis alles zu beachten ist und wie unterschiedliche Architekturen zum Management von Maschinenidentitäten und damit Zertifikaten, aussehen können. Er erläutert dabei auch, warum dies durch CRA und NIS-2 zu einer dringenden Aufgabe wird.
Art der Vermittlung:
Erläuterung von Grundlagen und anhand von Beispielarchitekturen
Nutzen:
Wissen über
- digitale Zertifikate und deren Management
- Maschinenidentitäten
- Vertraulichkeit, Integrität und Authentizität
- Anforderungen von Cyber Resilience Act und NIS-2
11:45 Uhr
Anwendungsunabhängige SW-Komponenten im Kontext von IEC 62443
Analyse und Entwicklung am Beispiel Flexible Safety RTOS
Details anzeigen
Autor:innen:
Roman Kirchner | Embedded Office GmbH & Co. KG | Germany
Roman Kirchner | Embedded Office GmbH & Co. KG | Germany
Sprache:
deutsch
Zielgruppe:
SW-Architekt- /innen, SW-Entwickler- /innen, Projektleiter- /innen
Voraussetzungen:
Erfahrungen in prozessorientierter SW-Entwicklung/ SW-Design
Überblick und Zusammenfassungen:
Im Zuge absehbarer neuer Anforderungen im Bereich Cybersecurity (Stichwort: Cyber Resilience Act) stehen Zulieferer von SW-Komponenten sowie Anbieter elektronischer Systeme vor der Herausforderung, ihre Produkte und Dokumentation entsprechend den neuen Regularien zu erweitern.
Der Vortrag behandelt die Analyse und Weiterentwicklung des ursprünglich für funktionale Sicherheit entwickelten Functional Safety RTOS nach den Anforderungen der Industrial Cybersecurity entsprechend IEC 62443. Hierbei wird der Fokus auf die für SW-Komponenten typische Eigenschaft gelegt, dass die spätere Anwendung und Einsatzumgebung unbekannt sind. Dies macht die für die Anwendung der Norm notwendige Abgrenzung der Komponenten im Sinne der Cybersecurity (das so genannte Scoping) schwierig, aber nicht unmöglich.
Das Ziel des Vortrags besteht darin, einen Ansatz zu vermitteln, wie eine SW-Komponente entsprechend der IEC 62443 entwickelt oder erweitert werden kann. Der Zuhörer gewinnt die Erfahrung, besser einzuschätzen, was standardkonforme SW-Komponenten im Zusammenhang mit Cybersecurity liefern können und was nicht.
Art der Vermittlung:
Projektbeispiel, Methodenerklärung
Nutzen:
Für Entwickler und Desiger von Cybersecurity konformen SW-Komponenten
o Lösungsmöglichkeiten für das Problem der Anwendbarkeit des Security Standards auf eine SW-Komponente ohne direkten Bezug zur späteren Funktion werden vermittelt.
o Lösungsmöglichkeiten für die Erstellung von standard-konformen Nachweisen für Cybersecurity SW-Komponenten werden vermittelt
Für Integratoren von Cybersecurity konformen SW-Komponenten
o Der Vortrag zeigt beispielhaft auf, was Integratoren von Cybersecurity konformen SW-Komponenten erwarten können und was nicht