IT-Sicherheit und autonomes Fahren

• Analyse und Identifikation neuer Bedrohungen durch das vernetzte und automatisierte Fahren
• Es sollen sowohl präventive Maßnahmen als auch die Erkennung von Angriffen sowie die Ergreifung geeigneter Gegenmaßnahmen erforscht werden.
• Dabei sollen unter anderem neue Ansätze zur Erkennung von Straftaten sowie Verfahren für die Nachvollziehbarkeit von Entscheidungen automatisierter Fahrfunktionen, die auf maschinellen Lernverfahren beruhen, berücksichtigt werden.

Teilprojektleitung Entwicklung und Einführung eines toolgestützten Cloud Risiko Prozesses

• Erstellen und umsetzen eines Konzepts für den Support inkl. Providerauswahl.
• Erstellen und umsetzen eines Konzepts für eine weltweite Multiplikator-Struktur zur Ergänzung des Supports.
• Erstellen und umsetzen eines Konzepts für Spotchecks zur Prüfung, ob Projekte die Prozessvorgaben eingehalten haben sowie Risiken richtig erkannt und mitigiert haben.
• Unterstützen des Arbeitspakets Kommunikation.

• Prüfen von Projektunterlagen für die Cloudnutzung.
• Abstimmen der Risiko-Assessments mit IT und Legal.
• Prüfen, ob mitigierende Maßnahmen vom Projekt umgesetzt wurden (Spotchecks).
• Verbesserungen am Cloud Risiko Prozess vorschlagen und mit den verantwortlichen Stakeholdern abstimmen.
• Einführen eines Tools zur Steuerung des Cloud Risiko Prozesses.

• Verstehen der Systemarchitektur des Mautprogrammes.
• Abstimmen des Sicherheitskonzeptes mit den verantwortlichen Stakeholdern.
• Sicherstellen, dass das Sicherheitskonzept mit der Informationssicherheits-Strategie des ISMS zusammenpasst.
• Entwickeln einer Informationssicherheits-Risikomanagement Vorgehensweise.
• Ableiten eines Betriebskonzepts aus dem Sicherheitskonzept.

Einführen von Prozessen zum Durchführen und Monitoren von:

• Regelmäßigen Schwachstellen-Scans
• Einspielen von Sicherheitspatches
• Austauschs von nicht mehr Hersteller-unterstützen Softwarekomponenten
• Austausch nicht mehr sicheren Verschlüsselungsprotokollen für den Datentransport (speziell Einführung von TLS 1.2)

• Erstellen eines Konzeptes wie das Thema „Aircraft affecting Information Security“ im Konzern umgesetzt werden kann.
• Abstimmung mit den relevanten Stellen.
• Erstellen einer Präsentation der wichtigsten Ergebnisse als Grundlage für die Erstellung einer Vorstandsvorlage.

• Der aktualisierte Standard macht die Implementierung von TLS 1.2 notwendig. Dazu müssen rund 120 IT Systeme angepasst werden.
• Gesamtkoordination der notwendigen Einzelmaßnahmen.
• Kostenmanagement
• Auditbegleitung

• Umsetzung der erweiterten Anforderungen aus PCI DSS 3.0.
• Auditbegleitung

• Aufwands-, Termin-, Meilenstein- und Kostenmanagement
• Budgetverantwortung
• Risikomanagement
• Stakeholder-Management
• Gesamtkoordination der zur Projekterreichung notwendigen Einzelmaßnahmen
• Inhaltliche Prüfung der umzusetzenden Sicherungsmaßnahmen auf PCI DSS Compliance
• Erstellen des Projektauftrags, Erstellen des Projektabschlussberichts
• Auditbegleitung

• Das im Vorprojekt erarbeitete Konzept zur Umsetzung von PCI DSS sollte angewendet werden. Dabei musste flexibel auf neue Anforderungen reagiert werden.
• Es wurden Lösungen erarbeitet, um Systemfamilien out-of-scope zu bringen.
• Abstimmung mit den Systemverantwortlichen.
• Vorbereitung von Review Boards.
• Kostenmanagement.

• Evaluation von Aufwand und Kosten, um den Sicherheitsstandard PCI DSS (Payment Card Industry Data Security Standard) der Kreditkartenunternehmen bei Lufthansa Passage vollständig zu implementieren.
• Erstellung einer Vorstandsvorlage zur Implementierung des PCI DSS.

Unterstützung CC-Evaluierung Signaturanwendungskomponente gemäß SigG

• Die Signaturanwendungskomponente gemäß Signaturgesetz/Signaturverordnung zur Erzeugung und Prüfung qualifizierter elektronischer Signaturen wurde gemäß Common Criteria EAL 4 evaluiert.
• In diesem Zusammenhang wurden in Java Unit-Tests erstellt, um die Korrektheit der Anwendung nachzuweisen. Außerdem musste die Vollständigkeit der Testabdeckung nachgewiesen werden.

Erstellung von Sicherheitskonzepten für den Einsatz der elektronischen Gesundheitskarte

• Erstellung von Sicherheitskonzepten auf Basis ISO 2700x
• Evaluation diverser Hardware Security Module

• Monatliche Durchführung des Steuerkreises CoC Automotive Security.
• Erstellung von Entscheidungsvorlagen für das Hauptabteilungsleiter-Gremium gemäß der Vorgaben des Auftraggebers.
• Kommunikation des Automotive Security Know-How an alle beteiligten Abteilungen.
• Fortschreibung des BMW Gefährdungskatalogs in Abstimmung mit der Stabsstelle für Informationsschutz.
• Definition des Standardschutzes für Automotive Security in Abstimmung mit der Stabsstelle für Informationssicherheit.
• Review vorhandener Security-Maßnahmen der Steuergeräteverantwortlichen.
• Anforderungsmanagement für Security-Maßnahmen der Automotive Security.

• Identifikation und Analyse der Anforderungen an ein CoC Automotive Security.
• Definition der Aufgaben und Beschreibung der Rollen und Prozesse des CoC Automotive Security.
• Abstimmung mit allen relevanten Ansprechpartnern der beteiligten Abteilungen.
• Erstellung eines Maßnahmenplans zur Umsetzung des CoC Automotive Security.
• Umsetzung des Maßnahmenplans und Integration des CoC Automotive Security in die Prozesslandschaft des Auftraggebers.
• Unterstützung der Projektleitung bei der Implementierung des CoC Automotive Security inklusive Koordination aller beteiligten Stellen.

Durchführung einer Schwachstellenanalyse bezüglich der Sicherheit der derzeit implementierten Lösung "Fahrzeug Security".

Skizzierung von Angriffsszenarien.

Bewertung der Wirksamkeit der implementierten Sicherheitsfunktionen.

Durchführung einer Restrisikoanalyse.

Gesetzlichen Anforderungen bestimmen und Security Anforderungen ableiten.

Abstimmung mit allen relevanten Abteilungen.

Entwicklung und Erstellung einer Bedrohungs- und Risiko-Analyse auf Basis der VIVA Kriterien (Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität) für die Security-Architektur des neuesten Fahrzeug-Modells sowohl für die Fahrzeugseite, als auch für die Infrastrukturseite.

Mit den relevanten Ansprechpartnern das Risikoprofil der jeweiligen Kunden- und Systemfunktion diskutieren und priorisieren (Schutzbedarfsfeststellung).

Das Gesamtrisiko für das Fahrzeug aus den Einzelrisiken der Kunden- und Systemfunktionen ableiten.

Das Gesamtrisiko für die Infrastruktur aus den Einzelrisiken der jeweiligen Kundenfunktionen ableiten Festlegung von Security-Bausteinen, die geeignet sind, die Bordnetzarchitektur abzusichern.

Bestimmen des Restrisikos gemäß der Kundenvorgaben.