Der angekündigte EU Cyber Resilience Act (CRA) sieht eine Verschärfung der Cybersicherheitsvorschriften vor und beeinflusst insbesondere Entwickler, Hersteller und Anbieter vernetzter Geräte. Die Umsetzung der neuen Vorschriften ist besonders für KMUs anspruchsvoll. Der Weiterbildungskurs Security in Embedded Systems vermittelt erforderliches Wissen und Werkzeuge für die Umsetzung von Sicherheitsmassnahmen in vernetzten Geräten mit beschränkten Ressourcen, entsprechend den CRA-Anforderungen.

Die Kursteilnehmenden erwerben sowohl theoretische Grundlagen als auch praktische Fähigkeiten in den folgenden Bereichen:

• Bestehende und zukünftige Verordnungen und Bestimmungen, insbesondere EU CRA
• Security by Design, Secure Development Lifecycle
• Threat Analysis (Bedrohungsanalyse) zur Definition von Security Anforderungen
• Security Konzepte und kryptographische Verfahren
• Anwendung der NIST-Funktionen für Embedded Systems: Identify, Protect, Detect, Respond, Recover
• Secure Elements: Tamper-resistant Storage and Cryptographic Acceleration
• Moderne Microcontroller Architekturen am Beispiel von ARM TrustZone
• Secure Processing Environments (SPE) am Beispiel von Trusted Firmware-M (TF-M)
• Secure Boot und Secure Firmware Update
• Hacking von Embedded Systems: Was ist heute möglich?

Der WBK Security in Embedded Systems ist modular aufgebaut und führt anhand des EU Cyber Resilience Acts durch die verschiedenen Phasen des Produktlebenszyklus und soll Theorie und Praxis verschiedener Aspekte von Cyber Security für Embedded Systems vermitteln.

Der WBK Security in Embedded Systems besteht aus nachfolgenden Kurseinheiten.

1. Einführung

Inhalte

• Kontext Embedded Systems für IoT
• Was bedeutet ?Security? überhaupt?
• Auswirkungen Cyber Security auf Embedded Systems

2. Rechtliche Grundlagen

Inhalte

• Welche Regulatorien gibt es heute schon?
• Welche werden in Zukunft wirksam?
• Kontext EU CRA, Einbettung in allgemeine Produktrichtlinien

3. Anforderungen an Geräte durch CRA

Inhalte

• Auswirkungen auf Entwicklungsprozess
• Auswirkungen auf Phasen des Produktlebenszyklus, inklusive Operations und After-Sales
• Auswirkungen auf Dokumentation und Nachvollziehbarkeit
• Umgang mit Software-Komponenten, SW BOM, Vulnerability Management

4. Standardisierung

Inhalte

• Überblick Normenlage: Welche Aktivitäten von ETSI, CENELEC, ISO, IEEE gibt es im Bereich Cyber Security für Embedded Systems
• NIST Five Functions (IDPRR)

5. Analyse (STRIDE)

Inhalte

• STRIDE-Analyse zur Bestimmung der Bedrohung für ein IoT Gerät
• Attack-Vektoren
• Klassifizierung von Risiken und Impact (Praxisbeispiel)

6. Security-Konzepte und kryptographische Methoden

Inhalte

• Terminologie und Einführung in Verschlüsselung, Authentifizierung, Autorisierung
• Symmetrische Verfahren, PKI, Security-Protokolle mit speziellem Fokus auf Embedded Systems
• Lösungsansätze um CIA (Confidentiality, Integrity und Availability) auf Embedded Systems umzusetzen

7. Umsetzung Security in Produkten (Hardware, HW)

Inhalte

• Secure Elements mit HW-Unterstützung für Security Funktionen und sicherem Speicher (Praxisbeispiel)
• Sichere MCUs mit z.B.Trustzone

8. Umsetzung Security in Produkten (Software, SW)

Inhalte

• Secure Boot
• Secure Firmware (FW) Upgrade (Praxisbeispiel)
• Secure Processing Environment (SPE) und Trusted Firmware-M

9. Praktische Angriffe

Inhalte

• Was ist heute schon möglich? Ansätze zum Hacking von Software und Hardware (Praxisbeispiel)

Die Zulassung zum WBK Security in Embedded Systems setzt grundsätzlich einen Hochschulabschluss (Fachhochschule, HTL, HWV, Uni, ETH) voraus. Es können aber auch Praktiker:innen mit vergleichbarer beruflicher Kompetenz zugelassen werden, wenn sich die Befähigung zur Teilnahme aus einem anderen Nachweis ergibt. Grundkenntnisse der Programmierung, bevorzugt in C oder C++ und eine Affinität zur Entwicklungsmethodik für Embedded Systems sollten vorhanden sein.

Der WBK Security in Embedded Systems richtet sich an Personen, die

• Hardware und Firmware für vernetzte Embedded Systems entwickeln
• Internet of Things (IoT) Devices spezifizieren und im Markt positionieren
• den Applikationssupport für Kommunikationsgeräte sicherstellen
• Entwicklungsprojekte für oder mit Embedded Systems leiten
• ihre Sicherheitsexpertise aus dem IT-Bereich auf Embedded Systems und IoT anwenden möchten

Kursprogramm