Skip to main content

Governance, Compliance & EU Regulation

Written by webadmin on . Posted in Governance, Compliance & EU Regulation.

Kryptographie für Product Security im Kontext von CRA und EU AI Act

Kryptographie für Product Security im Kontext von CRA und EU AI Act - Training

Der Kurs Kryptographie für Product Security im Kontext von CRA und EU AI Act vermittelt die Grundlagen moderner kryptographischer Verfahren und deren praktische Anwendung zur Umsetzung regulatorischer Anforderungen aus dem Cyber Resilience Act (CRA), dem EU AI Act und weiteren Sicherheitsstandards.

  • Nach Abschluss des Kurses sind Sie in der Lage:
  • Geeignete Methoden zur Umsetzung von Regularien wie z.B. Produktsicherheit nach dem Cyber Resilience Act (CRA) kennen und einsetzen können
  • Vor- und Nachteile der einzelnen Methoden nach Anwendung beurteilen (z.B. Integrität versus Vertraulichkeit)
  • Überblick über Methoden und Algorithmen der Kryptographie kennenlernen
  • Bewusstsein bekommen, wann welche Methoden eingesetzt werden
  • Hilfen zur Bewertung von Kryptographie kennen wo gibt es Schwachstellen, wo kann wie angegriffen werden

Inhalte des Trainings "Kryptographie für Product Security im Kontext von CRA und EU AI Act"

Der Kurs vermittelt praxisnah folgende Inhalte:
  • 1 | Einleitung
    • CIA-Triade
    • Beispiele für Angriffe (Ransomware, Vishing, CEO-Fraud, KRACK, …)
    • Safety vs. Cybersecurity
    • BSI
    • STRIDE-Bedrohungsmodellierung
    • Historie der Kryptographie
    • Steganographie
    • Kerkhoff’s Prinzip
  • 2 | Landkarte
    • Landkarte der Kryptographie
  • 3 | Symmetrische Verschlüsselung
    • Grundbausteine: Substitution und Transposition
    • Kryptoanalyse
    • Man-in-the-middle
    • Häufigkeitsanalyse
    • Brute Force Attack
    • Lineare Kryptoanalyse
    • Substitutions-Permutations-Netzwerke (SPNs)
    • Block Ciphers
    • Block Cipher Modes (ECB, CBC, CTR)
    • Advanced Encryption Standard (AES)
    • Padding und Padding Angriffe
    • Vernam-Verschlüsselung, One-Time-Pad (OTP)
    • Chosen-Plaintext Attack (CPA)
    • Chosen-Ciphertext Attack (CCA)
    • Stream Ciphers (Enigma)
    • Pseudo-Random Functions (PRF)
    • Roll Jam Technique
    • Auswahl eines für den Use-Case passenden Verfahrens
    • Vor- und Nachteile, Einordnung und mögliche Alternativen
  • 4 | Hash Funktionen & Message Authentication Codes (MACs)
    • Anwendungsfeld und Einsatzmöglichkeiten (Digitale Signaturen, Public Key Encryption, Message Authentication Codes, …)
    • Auswahl eines für den Use-Case passenden Verfahrens
    • Vor- und Nachteile, Einordnung und mögliche Alternativen
    • Gegensatz zu Cyclic Redundancy Checks
    • Hamming Distanz
    • Preimage Resistance
    • Collision Resistance
    • Message Authentication Codes mittels Hashes (Encrypt-then-MAC)
    • Geburtstagsparadoxon
    • Einwegfunktionen
    • Kompressionsfunktion
    • Sponge-Funktionen
    • Password Security
    • Authentication
    • Rainbow Tabellen
    • Salt und Pepper
    • Multi-Faktor-Authentifizierung
    • Time-based One-time Passwort (TOTP)
  • 5 | Message Authentication Codes (MACs)
    • Secret-Prefix
    • Secret-Suffix
    • HMAC (Hash-based Message Authentication Code)
    • CMAC (Cipher-based Message Authentication Code)
    • Corgery-Sicherheitseigenschaft
    • Hashing mit Schlüssel
    • Replay Attacke
  • 6 | Authenticated Encryption
    • Encrypt-and-MAC
    • MAC-then-Encrypt
    • Encrypt-then-MAC
  • 7 | Asymmetrische Verschlüsselung
    • Anwendungsfeld und Einsatzmöglichkeiten
    • Modulo-Operation Zahlentheoretische, schwierige Probleme
    • RSA-Verschlüsselung OAEP: Optimal Asymmetric Encryption Padding Diffie Hellmann (DH)
    • Key Exchange
  • 8 | Digitale Signaturen
    • Digitale Signaturen
    • Public Key Infrastructure (PKI)
    • Certificate Authorities (CAs)
    • Chain of trust Certificate Revocation Liste (CRL)
    • Online Certificate Status Protocol (OCSP)
    • Relay Station Attack (RSA)
  • 9 | Weiterführende Themen
    • Post-Quantum Kryptografie: Learning with Errors (LWE)
    • Quanten Computer
    • Shor Algorithmus
    • Zero-knowledge Proofs
  • 10 | Summary
    • Auswahl eines für den Use-Case passenden Kryptosystemes
    • Vor- und Nachteile, Einordnung und mögliche Alternativen

Zielgruppe des Trainings "Kryptographie für Product Security im Kontext von CRA und EU AI Act"

Der Kurs richtet sich an Fach- und Führungskräfte, die Verantwortung für die Sicherheit und Compliance von Produkten mit digitalen Elementen tragen:
  • Product Security Managerinnen und Manager
  • Security Architects und Software-/Systemarchitektinnen und -architekten
  • Cybersecurity Engineers und Softwareentwicklerinnen und -entwickler
  • Technische Projektleiterinnen und Projektleiter sowie Product Owner mit Security-Verantwortung

  • Ebenso geeignet für: Compliance- und CRA-/EU AI Act-Verantwortliche Risikomanagerinnen und Risikomanager IT-Sicherheitsbeauftragte Auditorinnen und Auditoren sowie Beraterinnen und Berater im Bereich Cybersecurity

Weiter Informationen zum "Kryptographie für Product Security im Kontext von CRA und EU AI Act" Training

  • → Trainer

    Dr. Thomas Liedtke

    Erfahrener Experte für Cybersecurity und Compliance mit starkem Fokus auf regulatorisch getriebene Security Engineering-Ansätze. Nachgewiesene Expertise in der Überführung komplexer Cybersecurity-Standards und regulatorischer Anforderungen in praxistaugliche Umsetzungsmodelle für OEMs und Zulieferer. Tätig in Beratung, Training und strategischer Begleitung mit Schwerpunkt auf Cybersecurity-Governance, Risikomanagement und Compliance in stark regulierten Branchen.

  • → Voraussetzungen

    Grundlegendes Verständnis von IT, Produktentwicklung oder regulatorischen Anforderungen ist von Vorteil. 

  • → Dokumentation

    Die Teilnehmenden erhalten umfassende Kursunterlagen sowie praxisnahe Beispiele und Vorlagen.

  • → Zertifikat

    • Teilnahmebescheinigung
Eckdaten:
  • 2 Tage
  • Deutsch oder Englisch
  • Vor Ort oder digital
  • CHF 1'700.- + MwSt (digital)

Termine ansehen und buchen

Angebot für Inhousekurs anfragen

Weiterlesen … Kryptographie für Product Security im Kontext von CRA und EU AI Act

  • Hits: 331

Written by webadmin on . Posted in Governance, Compliance & EU Regulation.

Governance, Compliance & EU Regulation

Governance, Compliance & EU Regulation

Mit neuen europäischen Regulierungen wie der NIS2 Directive, der Critical Entities Resilience Directive (CER), dem Cyber Resilience Act sowie dem EU AI Act steigen die Anforderungen an Unternehmen deutlich. Auch für viele Schweizer Organisationen werden diese Vorgaben relevant – etwa durch Geschäftsbeziehungen in die EU, Lieferkettenanforderungen oder regulatorische Verpflichtungen. Viele Unternehmen stehen dabei vor ähnlichen Fragen: Welche Regelwerke gelten für uns? Welche Massnahmen sind wirklich erforderlich? Und wie lassen sich unterschiedliche Compliance-Anforderungen effizient und praxisnah umsetzen?

SYNSPACE Switzerland unterstützt Unternehmen dabei, komplexe EU-Regulatorik verständlich zu machen, strukturiert umzusetzen und auditfähig zu dokumentieren – mit einem risikobasierten Ansatz, der Compliance und operative Sicherheit miteinander verbindet.

Dabei betrachten wir nicht nur IT-Systeme, sondern auch vernetzte Produkte und Maschinen entlang ihres gesamten Lebenszyklus – von klassischen IT-Umgebungen bis hin zu Embedded Systems und Off-Highway-Anwendungen wie Landmaschinen.

Ein zentraler Bestandteil ist die strukturierte Durchführung von Risikoanalysen und Assessments, um regulatorische Anforderungen in konkrete, umsetzbare Sicherheitsmassnahmen zu übersetzen.

  • Typische Herausforderungen, mit denen Unternehmen in diesem Kontext konfrontiert sind:
  • Welche EU-Regulierungen betreffen uns überhaupt?
  • Was bedeutet persönliche Haftung für das Management?
  • Wie bereiten wir uns auf Audits vor?
  • Wie integrieren wir mehrere Compliance-Anforderungen effizient?
  • Wie führen wir Risikoanalysen durch, die regulatorischen Anforderungen wirklich standhalten?
  • Wie übertragen wir Vorgaben auf unsere Produkte, Systeme und Lieferketten?

Kurz gesagt: Was sind NIS2, CER, der EU AI Act und der Cyber Resilience Act (CRA)?

Neue EU-Regulierungen wie die NIS2 Directive, die Critical Entities Resilience Directive (CER), der Cyber Resilience Act (CRA) sowie der EU AI Act stärken die Anforderungen an Cybersecurity, Resilienz und den verantwortungsvollen Einsatz digitaler Technologien in Europa. Sie betreffen Betreiber kritischer Infrastrukturen, zahlreiche Industrieunternehmen sowie Hersteller digitaler Produkte und Komponenten - einschliesslich vernetzter Maschinen und industrieller Systeme.

Ziel dieser Regelwerke ist es, Cyberrisiken systematisch zu managen, Lieferketten zu schützen und die Resilienz kritischer Dienste zu erhöhen. Auch viele Schweizer Unternehmen sind betroffen – etwa durch ihre Rolle in europäischen Lieferketten oder durch Geschäftstätigkeiten im EU-Markt.

  • Zentrale Inhalte der Regulierung:
  • NIS2: Cybersecurity-Risikomanagement, Meldepflichten für Sicherheitsvorfälle und stärkere Management-Verantwortung
  • CER: Schutz und Resilienz kritischer Infrastrukturen gegenüber physischen und digitalen Bedrohungen
  • EU AI Act: Risikobasierte Regulierung von KI-Systemen, Anforderungen an Transparenz, Datenqualität, Governance und Aufsicht – insbesondere für Hochrisiko-KI in sicherheitskritischen und industriellen Anwendungen
  • CRA: Sicherheitsanforderungen für Produkte mit digitalen Komponenten über den gesamten Produktlebenszyklus
  • Ergänzend gewinnen produktspezifische Normen wie ISO 24882 zunehmend an Bedeutung, insbesondere im Maschinenbau und bei vernetzten Systemen.
  • Gemeinsam schaffen diese Regelwerke einen europaweiten Rahmen für Cybersecurity, Resilienz und Produktsicherheit, der Unternehmen zu strukturiertem Risikomanagement und nachhaltiger Sicherheits-Governance verpflichtet.

Branchen mit erhöhtem EU-Regulierungsbedarf

Diese Branchen sind besonders von europäischen Cyber- und Resilienzregulierungen betroffen – sei es durch ihre Rolle als kritische Infrastruktur, als Betreiber digitaler Dienste oder als Hersteller vernetzter Produkte:

  • Energie & Utilities
  • Logistik & Transport
  • MedTech
  • Telekommunikation & Digitale Dienste
  • Industrie, Automobil & Maschinenbau
  • Wasser & Abwasser

Unsere Services

  • Regulatory Gap Analyse
  • Policy & Governance Framework
  • Compliance Strategie & Roadmap
  • Audit Vorbereitung & Support

Unser 4-Phasen Vorgehen

  • Scope & Applicability

    Analyse der Unternehmensstruktur, Dienstleistungen und Produkte, um zu bestimmen, welche regulatorischen Anforderungen relevant sind und in welchem Umfang sie gelten.

  • Gap Analysis & Risk Assessment

    Bewertung des aktuellen Reifegrads im Vergleich zu regulatorischen Anforderungen sowie Identifikation von Sicherheitsrisiken, Schwachstellen und Compliance-Lücken.

  • Strategy & Roadmap Development

    Entwicklung einer strukturierten Umsetzungsstrategie mit priorisierten Massnahmen, Governance-Strukturen und einer realistischen Implementierungs-Roadmap.

  • Implementation Support & Audit Prep

    Unterstützung bei der praktischen Umsetzung von Sicherheits- und Compliance-Massnahmen sowie Vorbereitung auf Audits, Nachweise und regulatorische Prüfungen.

Daraus entstehende Deliverables

  • Regulatory Applicability Assessment
  • Gap- und Risikoanalyse
  • Compliance-Strategie & Umsetzungs-Roadmap
  • Richtlinien- und Prozessframework
  • Audit-Vorbereitung & Nachweisdokumentation

Befähigung Ihrer Teams durch Trainings & Workshops

  • → Formate

    In-House – bei Ihnen vor Ort

    Virtual – online, interaktiv

    Public Courses – offene Kurse                       

    Train-the-Trainer – interne Multiplikatoren befähigen

  • → Ihre Vorteile

    Praxisnah – echte Use Cases aus unserer Beratung

    Interaktiv – Workshops statt Frontalunterricht

    Aktuell – neueste Regulierungen & Standards

    Schweizer Kontext – relevante Beispiele

    Befähigung – Ihre Teams werden zu Experten

    Rollenorientiert – Executive vs. Operational

  • → Unsere Trainer

    Dr. Thomas Liedtke

    Erfahrener Experte für Cybersecurity und Compliance mit starkem Fokus auf regulatorisch getriebene Security Engineering-Ansätze. Nachgewiesene Expertise in der Überführung komplexer Cybersecurity-Standards und regulatorischer Anforderungen in praxistaugliche Umsetzungsmodelle für OEMs und Zulieferer. Tätig in Beratung, Training und strategischer Begleitung mit Schwerpunkt auf Cybersecurity-Governance, Risikomanagement und Compliance in stark regulierten Branchen.

  • → Training: Cybersecurity für kritische Infrastrukturen: NIS2 & CER verstehen und umsetzen

    Dauer: 1 Tag (Executive: 3h) | Level: Executive & Operational | Zielgruppe: C-Level, Compliance Officers, Risk Managers

    Inhalte:

    • NIS2 Directive – Anforderungen & Scope
    • CER Directive – Resilience kritischer Entitäten Management-Haftung & Bussgelder Implementation Roadmap

    Nutzen: Regulatorische Klarheit für Entscheidungsträger

    Trainingsbeschreibung ansehen

  • → Training: Cybersecurity & Product Security: EU Cyber Resilience Act (CRA) – Implementierung & Compliance

    Dauer: 2 Tage | Level: Operational/Advanced | Zielgruppe: Fach- & Führungskräfte aus Produktentwicklung, Qualitätsmanagement, Regulatory Affairs, IT-Sicherheit, Hersteller von digitalen Produkten, die in der EU vertrieben werden |  Zertifikat: Optional die Möglichkeit zur unabhängigen Zertifikatsprüfung

    Inhalte:

    • CRA Scope – welche Produkte sind betroffen? Essential Requirements
    • Product Lifecycle Security
    • CE Marking & Konformitätsbewertung

    Nutzen: Produktentwicklung CRA-konform gestalten

    Trainingsbeschreibung ansehen

  • → Training: Cybersecurity für Landmaschinen & Agrarsysteme: Produktsicherheit im Agrarbereich

    Dauer: 2 Tage | Level: Management / Operational | Zielgruppe: Produktverantwortliche, Entwickler:innen, Security Engineers, Compliance Officers, Qualitätsverantwortliche, Management | Zertifikat: Optional die Möglichkeit zur unabhängigen Zertifikatsprüfung

    Inhalte:

    • Überblick über Cybersecurity und Produktsicherheit im Kontext vernetzter Landmaschinen
    • Einordnung der ISO 24882 im regulatorischen Umfeld (u. a. Cyber Resilience Act, Maschinenverordnung, ISO/SAE 21434)
    • Grundlagen und Ziele der ISO 24882 sowie deren Anforderungen an Organisationen und Produkte
    • Einführung in Risikoanalyse und Risk Assessment (inkl. Schadensszenarien und Bedrohungsbewertung)
    • Ableitung und Umsetzung technischer Cybersecurity-Anforderungen für Produkte
    • Betrachtung des gesamten Produktlebenszyklus inkl. Vulnerability Management und Supplier Handling
    • Dokumentation und Nachweisführung gemäss ISO 24882
    • Rollen, Verantwortlichkeiten und organisatorische Verankerung im Unternehmen
    • Praxisbeispiele und Anwendung des Risk Assessment Prozesses
    • Mapping der ISO 24882 zu regulatorischen Anforderungen wie dem Cyber Resilience Act und der Maschinenverordnung

    Nutzen:
    Teilnehmende erhalten ein fundiertes Verständnis der Cybersecurity-Anforderungen für vernetzte Landmaschinen und Agrarprodukte. Sie lernen, wie regulatorische Vorgaben und Normen in konkrete Massnahmen übersetzt werden und wie Risikoanalysen als Grundlage für sichere und konforme Produkte eingesetzt werden können.

     

    Trainingsbeschreibung ansehen

  • → Training: Cybersecurity Risk Assessment – kurz und knapp

    Dauer: 1 Tag (public) oder 2 Tage (Inhouse, inkl. Kundenbeispiel) | Level: Operational / Advanced | Zielgruppe: Security Engineers, Entwickler, System Engineers, Architekten, Qualitätsverantwortliche, Compliance Officers 

    Inhalte:

    • Einführung in risikobasierte Ansätze der Cybersecurity und deren Bedeutung für sichere Systeme und Produkte
    • Überblick über regulatorische Anforderungen wie den Cyber Resilience Act sowie relevante Standards wie ISO/SAE 21434 und ISO 24882
    • Grundlagen der Threat Analysis and Risk Assessment (TARA) Methodik
    • Strukturierte Durchführung eines Risikoassessments:
      – Definition des Intended Purpose und der Systemgrenzen
      – Identifikation und Bewertung von Assets und Cybersecurity Properties
      – Entwicklung von Schadensszenarien und Impact-Bewertung
      – Threat Modelling (inkl. Methoden wie STRIDE)
      – Bewertung von Threat Occurrence und Ableitung von Cybersecurity Risks
    • Ableitung von Massnahmen:
      – Risk Treatment Strategien
      – Definition von Cybersecurity Goals, Controls und Requirements
    • Anpassung und Kombination verschiedener Methoden und Standards je nach Projektkontext
    • Umsetzung von Cybersecurity-Anforderungen und Nachweisführung der Security (Compliance & Auditfähigkeit)

    Nutzen:

    Teilnehmende lernen, Risikoanalysen strukturiert und praxisnah durchzuführen und regulatorische sowie normative Anforderungen in konkrete Sicherheitsmassnahmen zu übersetzen. Sie entwickeln ein klares Verständnis dafür, wie aus Assets, Bedrohungen und Risiken belastbare Cybersecurity-Anforderungen entstehen – als Grundlage für sichere, konforme und nachvollziehbare Systeme und Produkte.

     

    Trainingsbeschreibung ansehen

  • → Training: Kryptographie in der Product Security - Anforderungen aus Cybersecurity CRA und EU AI Act

    Dauer: 2 Tage | Level: Operational / Advanced | Zielgruppe: Security Engineers, Software- & Systementwickler, System Engineers, Architekten, Product Security Engineers, Qualitäts- und Compliance-Verantwortliche

    Inhalte:

    • Einführung in Kryptographie im Kontext von Product Security und Regulierung (CRA, EU AI Act)
    • Grundlagen zentraler kryptographischer Verfahren (symmetrisch/asymmetrisch, Hashes, MACs, digitale Signaturen, PKI)
    • Typische Angriffe und Schwachstellen kryptographischer Systeme sowie deren Bewertung
    • Auswahl und Einsatz geeigneter Verfahren je nach Use Case inkl. sicherer Systemintegration
    • Einordnung in regulatorische und normative Anforderungen (CRA, EU AI Act, ISO/SAE 21434)

    Nutzen:

    Teilnehmende lernen, kryptographische Verfahren sicher und zielgerichtet anzuwenden, Schwachstellen zu erkennen und Security-Anforderungen im Kontext von CRA und EU AI Act in robuste, umsetzbare Systemlösungen zu übersetzen.

    Trainingsbeschreibung ansehen

  • → Cybersecurity Workshops: Regulatory Gap Analysis, CRA/NIS2 Integration

    Workshops:

    • 0,5- 1 Tag – IST-Stand vs. NIS2/CER/CRA
    • 1 Tag – Synergien zwischen Regulierungen nutzen
Was wir bieten:
  • Trainings
  • Workshops
  • Consulting
  • Assessment (Support)

Trainings Termine ansehen und buchen

Angebot für Consulting anfragen

Weiterlesen … Governance, Compliance & EU Regulation

  • Hits: 774

Alle Rechte vorbehalten
- ©SYNSPACE Switzerland GmbH