Testen von Datensicherheit in vernetzten und automatisierten Fahrzeugen durch virtuelle Steuergeräte

In der Automobilindustrie sind in den vergangenen Jahren die zwei Trends Automatisierung und Vernetzung entstanden. Diese Trends sorgen für eine steigende Anzahl an Funktionen im Fahrzeug. Neben einer Erhöhung des Komforts nehmen jedoch auch die Risiken durch den unerlaubten Zugriff von außen zu. Das IT-Manipulationen bei Fahrzeugen keine Ausnahme bilden, zeigen bereits erste Beispiele. Besonders durch die langen Lebenszyklen in der Automobilindustrie und der Tatsache, dass 44% aller Angriffe auf IT-Systeme durch bekannte Schwachstellen geschehen, müssen Fahrzeuge bereits in der Entwicklung abgesichert werden. Bezogen auf die funktionale Sicherheit (engl. Safety) existieren in der Automobilentwicklung bereits eine Vielzahl an Testprozessen und -methoden. Eine Übertragbarkeit dieser auf die Datensicherheit (engl. Security) ist jedoch nicht gegeben, wodurch neue Methoden am Entstehen sind. Daher wird eine Testmethode mittels virtuellen Steuergeräten vorstellt. Hierfür wird aufgezeigt, welche Beobachtungspunkte und Überwachungsfunktionen für die Tests der Datensicherheit gegeben sein müssen, wie sich daraus eine Testmethodik ableiten lässt und wie diese Testmethodik anschließend in die Automobilentwicklung eingebunden werden kann. Für die Testmethodik wurden die Bereiche Speicher-, Numerische-, Systematische-, Funktionale- und Anwendungsfehler identifiziert. Der Fokus wird dabei auf die ersten beiden Fehlerarten gelegt und daraus Kriterien für einen Test der Datensicherheit abgeleitet. Anhand der Kriterien werden Beobachtungspunkte in bestehenden Testsystemen analysiert und basierend auf einem virtuellen Steuergerät neue Beobachtungspunkte ergänzt. Hierbei werden nicht nur Schnittstellen des Steuergeräts berücksichtigt, sondern ebenfalls interne Zustände des steuernden Artefakts (ausgeführte Instruktionen, Variablen und Speicherbereiche) und des ausführenden Artefakts (Register, lokaler Busse und Recheneinheit). Eine Berücksichtigung der internen Zustände ist wichtig, da Speicherfehler und numerische Fehler nicht zwangsläufig an die Schnittstellen propagieren und dadurch in der Umwelt sichtbar sind. Anhand der Beobachtungspunkte in einem virtuellen Steuergerät wurde eine Gesamtsystemsimulation erstellt, die das Steuergerät mit Applikation, Prozessor und Peripherie simuliert. Eine Co-Simulation übernimmt die Erzeugung der Teststimuli. Durch die Beobachtungspunkte können Rückschlüsse auf das Verhalten und die Zustände innerhalb des Steuergeräts gezogen werden. Durch die zusätzlichen Beobachtungspunkte können Testmethoden wie Überwachung der Instruktionen und Register, Analyse der Eingaben, Markierung des genutzten Speichers und Analysemöglichkeiten der Codeabdeckung eingesetzt werden. Zusätzlich ergeben sich durch evolutionäre Verfahren die Möglichkeit der Maximierung des Variablen Wachstums und des Speicherzugriffs sowie die Minimierung des Abstands zwischen Heap und Stack. Um die Testmethoden in einem Entwicklungsprozess einsetzten zu können werden die Ergebnisse auf eine vernetzte Funktion (Adaptive Cruise Control) skaliert und das Echtzeitverhalten beurteilt. Für die Simulation eines einzelnen Steuergeräts können dabei bis zu 62 Steuergeräte parallel simuliert werden, bevor die Simulation auf der realen Hardware schneller als der Ablauf in der Simulation ist. Durch die Ergänzung von Überwachungsfunktionen und Co-Simulationen sinkt das Echtzeitverhältnis jedoch exponentiell. Abschließend wird die Testmethodik mit Angriffen aus der Automobilindustrie bewertet und aufgezeigt, welche Fehler erkannt worden wären. Die Testmethodik ist dabei jedoch nur so genau, wie die zugrundeliegenden Modelle. Eine Erhöhung der Genauigkeit bedeutet dabei höhere Kosten in der Entwicklung. Zudem muss der Quellcode für die Applikation als Source- oder Maschinencode bekannt sein. Wird die Testmethode als Ergänzung zu bereits bekannten Testverfahren eingesetzt, können jedoch Probleme in der Datensicherheit bereits der Entwicklung erkannt werden

IT-Grundschutz für die Container-Virtualisierung mit dem neuen BSI-Baustein SYS. 1.6

Mit Hilfe der Container-Virtualisierung lassen sich Anwendungen flexibel in die Cloud auslagern, administrieren, zwischen Rechenzentren migrieren, etc. Dafür baut die Containervirtualisierung auf eine komplexe IT-Landschaft auf, in der Hardware, Betriebssystem und Anwendungen von verschiedenen Parteien bereitgestellt und genutzt werden. Der IT-Sicherheit kommt daher eine große Bedeutung zu. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit dem ITGrundschutz eine Methode zur Umsetzung von angemessenen Schutzmaßnahmen im IT-Umfeld zur Verfügung. Es gibt jedoch wenig Erfahrung mit der Absicherung der Container-Virtualisierung gemäß IT-Grundschutz: Das Grundschutz-Kompendium und die Standards zur Risikoanalyse wurden erst im November 2017 in überarbeiteter Form neu eingeführt, und der Baustein SYS. 1.6 zur Container-Virtualisierung wurde erst im Mai 2018 als Community Draft veröffentlicht. In dieser Arbeit untersuchen wir, wie gut sich der aktuelle IT-Grundschutz auf einen Web-Shop anwenden lässt, der mittels Docker virtualisiert wurde. Wir gehen dabei insbesondere auf die Gefährdungsanalyse, Docker-spezifische Gefährdungen sowie entsprechende Maßnahmen zur Abwendung dieser Gefährdungen ein. Darüber hinaus diskutieren wir, wie sich unsere Erkenntnisse über das Docker-Szenario hinaus auf Container-Technologie verallgemeinern lassen.Wir haben festgestellt, dass der Baustein SYS. 1.6 das Grundschutz-Kompendiums eine umfassende Hilfestellung zur Absicherung von Containern bietet. Wir haben jedoch zwei zusätzliche Gefährdungen identifiziert

Die Entwicklung von Evaluationskriterien für Sprachunterricht in avatarbasierten 3D-Onlineumgebungen auf der Basis von ExpertInneninterviews

Die technische Weiterentwicklung webbasierter Technologien der letzten Jahre begünstigte die Bildung von Lernszenarien in virtuellen Internet-Räumen. Darüber hinaus erkannte man die Chancen, die sich durch den Einsatz virtueller Lehr,- Lernarrangements für Fortbildungszwecke ergeben. Die vorliegende Arbeit thematisiert die Gestaltung von Lehr-, Lernarrangements in virtuellen, avatarbasierten 3D-Onlineumgebungen. Diese Lernszenarien des internationalen Forschungsprojekts AVALON (Access to Virtual and Action Learning live Online) sind in Form von Sprachkursen in der virtuellen Umgebung Second Life realisiert. Im Zuge dieser Arbeit werden Kriterien für die Evaluation von Sprachunterricht in virtuellen, dreidimensionalen Onlineumgebungen aus Expertensicht entwickelt. Zur Beantwortung der Fragestellung dienen quantitative Experten-Befragungen und qualitative Interviews mit ExpertInnen. Das Hauptaugenmerk bei der Auswertung stellt die Analyse der Interviews mit Hilfe der qualitativen Inhaltsanalyse nach Mayring dar. Die Bearbeitung der transkribierten Interviews ergibt die Bildung von sechs thematisch voneinander zu unterscheidenden Kategorien. Diese werden schließlich in Hinblick auf die einleitende Fragestellung interpretiert. Im Zuge der Diskussion der entwickelten Kriterien wird angeführt, welchen Mehrwert eine virtuelle 3D-Umgebung für die Umsetzung eines Vorhabens dieser Art aufweist. Darüber hinaus erfolgt eine Darstellung negativer Aspekte: es werden Grenzen bei der Aufbereitung von Lernmaterialien und der Darstellung von Lerninhalten aufgezeigt und Schwierigkeiten in der technischen Realisierbarkeit dargelegt.The technical development of web-based technologies during the last years have led to the creation of learning scenarios within virtual internet rooms. Furthermore, chances for education and learning from virtual-learning scenarios were detected. This diploma thesis deals with the development of learning scenarios within virtual avatar- based learning environments. These learning scenarios of the virtual international project AVALON (Access to Virtual and Action Learning live Online) are realized as language courses within the platform Second Life. The aim of this diploma thesis is the development of criteria for language courses in virtual 3D environments. For reaching the research objective, quantitative expert surveys were first implemented and analyzed. In addition to that, eight expert-interviews have been carried out. The main focus was the analysis of the expert interviews by means of qualitative content analysis according to Mayring

Sicherheitsaspekte in Virtuellen Welten

Virtuelle Welten sind sozio-technische Systeme, also IT-Systeme die in höchstem Maße auf die Anwendung durch Nutzer ausgelegt sind. Die vorgelegte Arbeit führt unter dem Titel „IT-Sicherheitsaspekte in Virtuellen Welten“ eine IT-Sicherheitsanalyse für Virtuelle Welten in einer Client-Server-Architektur durch und gelangt zu einer „Anforderungsdefinition unter Berücksichtigung für Faktoren für Unterhaltungserleben“. IT-Sicherheit zielt auf den Schutz digitaler Werte vor Gefahren und stellt Maßnahmen zur Verfügung mit denen dieser Schutz erreicht werden kann. Virtuelle Welten in Client-Server-Architekturen werden über das Internet zugänglich gemacht. Da das Internet per se ein unsicheres Netzwerk ist, resultieren eine Reihe von Gefahren, die die Werte in den Virtuellen Welten bedrohen. Um aber geeignete Schutzmechanismen vorzuschlagen, ist es wichtig, dass zunächst eine grundlegende Analyse des Schutzgegenstandes durchgeführt wird. Virtuelle Welten sind sehr auf einen interaktiven Dialog mit den Nutzern ausgelegt. Die Umsetzung von Sicherheitsmaßnahmen fordert eine uneingeschränkte Akzeptanz der Maßnahmen durch den Nutzer. Daher verfolgt diese Arbeit einen interdisziplinären Blick auf die IT-Sicherheit der modernen Medienanwendung „Virtuelle Welt“. Im ersten Schritt werden verschiedene Perspektiven auf die Nutzungsmotivation aufgezeigt und die Faktoren für Unterhaltungserleben, wie Bedürfnisbefriedigung, Spielspaß und Flow, herausgearbeitet. Erst durch diese (sozialwissenschaftliche) Betrachtung der Nutzung ist die Analyse der realen Werte aller Akteure innerhalb der Virtuellen Welten möglich. Anschließend erfolgt die (informatorische) Sicherheitsanalyse. Es wird festgestellt, welche Bedrohungen auf die Werte gerichtet sind (Bedrohungsanalyse) und welche Sicherheitsziele sich für den Schutzgegenstand Virtuelle Welt ergeben.Auf dieser Basis erfolgt eine systematische Ableitung der Anforderungen an die IT-Sicherheit der Virtuellen Welten. Die Autorin definiert ein Schutzprofil nach dem internationalen Standard (ISO/IEC) der Common Criteria for Information Technology Security Evaluation. Die Common Criteria (CC) sind ein erprobtes Instrument zur Bewertung der Sicherheit von IT-Produkten. Mit einem Schutzprofil können Prüfstellen Produkte gleichwertig evaluieren und so die Zusicherung einer Sicherheitsqualität gewährleisten. Den Abschluss der Arbeit bildet die Empfehlung von konkreten Gestaltungsvorschlägen. Es wird aufgezeigt, wie die technischen Schutzmechanismen umgesetzt werden können, sodass das Unterhaltungserleben der Nutzer nicht gestört wird. So können die Schutzmechanismen zu einer höheren Akzeptanz beim Nutzer führen

Bildung virtueller Unternehmen zur optimalen Erfüllung der Kundenanforderungen

Einleitung "Aktuelles Thema in deutschen Management-Etagen ist die Bildung virtueller Unternehmen. Hierbei geht es darum, über einen zeitlich begrenzten Untemehmenszusammenschluß mehrerer gleichberechtigter Partner innerhalb eines realen Kundenauftrags-Abwicklungsprozesses (Bild 1) so zusammenzuarbeiten und die eigene Kemkompetenz einfließen zu lassen, daß der Kunde flexibler, termintreuer, wirtschaftlicher und qualitätsgerechter als nur von einem Unternehmen allein bedient wird. Dabei merkt i.d.R. dieser Kunde nicht, daß er es mit mehreren Partnern zu tun hat, da ein einheitlicher und geschlossener Auftritt dieses virtuellen Unternehmens beim Kunden den Eindruck erweckt, daß er es mit einem einzelnen realen Unternehmen zu tun hat, das ihn bedient [1]. Dieser Ansatz wird aus logistischer Sicht auch als kooperative Wertschöpfung bezeichnet. Auf der Grundlage einer optimierten und transparenten untemehmensübergreifenden Wertschöpfungskette soll bei den beteiligten Partnern die Marktpräsenz verbessert und die Marktposition durch Nutzung vorhandener Synergien gesteigert werden. Weiter wird als Zielsetzung der virtuellen Untemehmensbildung die Reduzierung der Markteintrittsbarriere und eine bessere Ressourcenbewirtschaftung innerhalb eines kürzeren Auftragsabwicklungszeitraumes durch parallele Geschäftsprozeßabwicklungen angestrebt. Zusätzlicher oder doppelter Aufwand z.B. im Entwicklungsbereich soll vermieden werden.

Entwicklung und Umsetzung eines Kennzahlensystems zur Leistungsmessung im Karosseriebau

Der steigende Effizienzdruck in der Automobilindustrie führt zu der Notwendigkeit bereits in der frühen Planungsphase umfassende Aussagen in Bezug auf die Leistungsfähigkeit des entworfenen Systems zu machen. In der vorliegenden Arbeit wird für den Fertigungsbereich Karosseriebau ein Kennzahlensystem entwickelt, das eine fundierte Entscheidungsbasis für das Management bietet und den Fertigungsplaner mit detaillierten Informationen zur Erkennung von Schwachstellen versorgt. Zur Beherrschung des komplexen Gesamtsystems wird zunächst ein hierarchisches Prozessmodell erarbeitet, anhand dessen die wesentlichen Erfolgsfaktoren des Karosseriebaus identifiziert und parametriert werden. Die Kennzahlen werden definiert und entsprechend ihrer Ursache-Wirkungs-Beziehungen in einem durchgängigen, modularen Kennzahlensystem angeordnet. Zur Sicherung der Praxistauglichkeit werden bei der Entwicklung des Kennzahlensystems der Kennzahlenbedarf und die Kennzahlenverfügbarkeit über den Projektverlauf berücksichtigt. Die Berechnung und Komprimierung der Kennzahlen sowie die Visualisierung der Leistungsentwicklung werden in die Digitale Fabrik integriert und so der manuelle Pflegeaufwand reduziert. Der Nutzen des Kennzahlensystems in der Unternehmerischen Praxis wird anhand von Beispielen verdeutlicht und nachgewiesen

Automatisierung unscharfer Bewertungsverfahren - Modellierung und prototypische Umsetzung am Beispiel von Virtual Reality Projekten

Die Konfrontation mit innovativen IT-Technologien und deren Beurteilung gehört heute zu den Kernaufgaben des Informationsmanagements. Es muss permanent entscheiden, ob neue IT-Technolgien im Unternehmen nutzenstiftend eingesetzt werden können. Zur Beurteilung von IT-Projekten liefert die Teildisziplin des IT-Controllings, die Elemente der Wirtschaftsinformatik und des Controllings vereint, diverse Methoden und Ansätze. Diese Ansätze bilden die Basis für die vorliegende Arbeit, in der insbesondere der Aspekt der Nutzenbewertung von IT-Innovationen diskutiert wird. Bei der Bewertung von IT-Innovationen treten spezifische Probleme auf, denen der Autor mit der Fortentwicklung der vorhandenen Instrumente begegnet. Der Einsatz von unscharfen Methoden (Fuzzy Logik) führt zu einer adäquaten Darstellung von vagen Größen in Form von Zugehörigkeitsfunktionen. Durch den Einsatz von Regelbasen wird ein Expertenwissen repräsentiert, das die Analysemethode nach außen hin vereinfacht und somit zu einer effizienteren Nutzenbetrachtung führt. Die Auswahl und Initiierung von innovativen IT-Projekten wird durch ein Vorgehensmodell gestützt, das bei der fundamentalen Fragestellung nach Schwachstellen und Verbesserungspotentialen im Unternehmen ansetzt. Für diese Analyse wird auf die Erfolgsfaktorenanalyse zurückgegriffen, die durch individuelle Faktoren angepasst wird. Aus den analysierten Schwachstellen werden innovative IT-Projekte abgeleitet und definiert. Die Aufstellung der Nutzenkriterien erfolgt aus einem allgemeinen Nutzenkatalog, der mit den analysierten Erfolgsfaktoren korrespondiert. Die konkrete Bewertung der Projekte erfolgt durch die fuzzybasierte Nutzenbewertung und liefert prägnante Empfehlungen zu den einzelnen Projekten. Die Integration des Vorgehensmodells in das IT-Controlling erfordert eine automatisierte Form, die aufgrund der UML Notation generiert werden kann. Die prototypische Umsetzung und Verwendung der unscharfen Nutzenanalyse haben gezeigt, dass die Methodik für den praktischen Einsatz tauglich ist

Vom digitalen Zwilling zum digitalen Asset-Management

Der Digitale Zwilling Brücke unterstützt den Übergang von einer bisher reaktiven Erhaltung zu einem prädiktiven Lebenszyklusmanagement von Brücken. Damit wird das übergeordnete Ziel verfolgt, eine optimierte Unterstützung der Bauwerksbetreibenden bei der Gewährleistung der Sicherheit, Zuverlässigkeit und Verfügbarkeit zu leisten. Der digitale Zwilling eines Ingenieurbauwerks kann als ein digitales Abbild eines realen Bauwerks verstanden werden und spiegelt sämtliche Eigenschaften und sein Verhalten anhand verschiedener Modelle über dessen gesamten Lebenszyklus hinweg. Der digitale Zwilling aktualisiert sich kontinuierlich, um den aktuellen Status des realen Bauwerks sowie die daraus ableitbaren Prognosen möglichst zeitnah darzustellen. Zu diesem Zweck greift er auf große Datenmengen zurück, die u. a. am realen Bauwerk, dem Reallabor, gesammelt werden. Die Umsetzung des digitalen Zwillings für Brückenbauwerke ist aktuell Forschungsgegenstand, die Entwicklung einer Gesamtkonzeption für den Digitalen Zwilling Brücke und einzelner Komponenten steht aktuell im Fokus der BASt-Forschung. Hierbei sind die Anwendung von virtueller und erweiterter Realität in der Bauwerksprüfung, die KI-basierte (teil-)automatisierte Ableitung von Bestandsmodellen, und der Einsatz von KI-Verfahren zur Erkennung von Anomalien Beispiele für die Umsetzung einzelner Komponenten. Ein möglicher Einsatz des digitalen Zwillings kann über verschiedene Anwendungsfälle erfolgen, neben dem Themenbereich Erhaltungsplanung und -durchführung“ sind die Themenbereiche „Betriebsprozesse“ sowie „Strategisches Lebenszyklusmanagement“ von Relevanz. Für den Themenbereich „Erhaltungsplanung und -durchführung“ sind u. a. die Anwendungsfälle „Schadensanalyse“ und „Intervallbezogene Zustandserfassung“ von Bedeutung

ZIH-Info

- Erneuerung WLAN im Campusnetz - Umbaumaßnahmen im Trefftz-Bau (TRE) - Neue Funktionalitäten für Enterprise Cloud-Nutzer - Neues Verfahren für digitale Zertifikate - Girls'Day @ ZIH - Deutsch-russische HPC-Konferenz am ZIH - DLR nimmt Supercomputer im LZR in Betrieb - Veranstaltunge