Fokus-Themen der cogitron
(eine Auswahl)


Die cogitron bietet
Impact und Vielseitigkeit
durch ein versiertes Team aus T-Shapern.

Ideen und Abstraktionen
werden zu einem nachhaltigen Ganzen verbunden.

Fokus-Themen

Als Fokus-Themen etabliert die cogitron
Themen-Verständnis und Praxis-Erfahrung
zu einem bestimmten, abgegrenzten Gebiet, dem Fokus.

In jeden Fokus fließen unterschiedliche Verticals (Branchen) und horizontale Themen (Methoden, Technologien etc.)
sowie die Best Practices der Praxis ein. 

Systems-Engineering

Systeme richtig denken - in ihrem Nutzungskontext und ihrer individuellen Komplexität

Fokus Systems-Engineering

Systemsicherheit

Sicherheit auf Systemebene, einschließlich Funktionaler Sicherheit und Sicherheit der nominalen Funktion.
Alle Aspekte des Systemdesign, welche die Sicherheit beeinflussen können, werden abgedeckt.
(design for safety, security for safety, usability for safety, etc.)

Fokus Systemsicherheit

Cybersecurity

Gefahren von außen erkennen, Systeme richtig denken
- in ihrem Nutzungskontext und ihrer individuellen Komplexität

Fokus Cybersecurity
  • Security Analysen
    ~ Dokumentation Istzustand
    Dokumentierte Bedrohungslage (DFD, AT)
    Konzept Sollzustandes 
    Überbrückung Gap Ist-Sollzustand 
  • Architekturen, Security-Konzepte
    ~ Konzepte im Einklang mit definierten Sicherheitsdimensionen (CIA, Authenticity, etc.) 
  • Blue/Red/Purple-Teaming
    Dokumentierte Sicherheitslage aus Sicht eines Angreifers
    ~Abwehrmaßnahmen gegen Angriffe 
  • Standards & Prozesse
    Integrierte Sicherheitsprozesse 
    Compliance zu branchenübergreifenden und branchenspezifischen Standards 
  • Software/Code-Analysen
    Dokumentiertes Sicherheits-Design Review (Vertrauensbeziehungen, Domänenlogik, Defense in Depth, Kopplung und Kohäsion, Fehlerbehandlung, Verschlüsselungsverfahren, Design im Kontext relevante Sicherheitsdimensionen)
    Dokumentierter Review der Software im operationalen Gebrauch (Operationale Umgebung, Konfiguration)
    ~ Dokumentierter Code-Review 
  • Schwachstellen-Scans, Penetrations-Tests
    ~ Ausführliche Dokumentation von vorhandenen Schwachstellen
    ~ Handlungsempfehlungen zur Verbesserung der Sicherheitslage 
  • Forensic & Readiness
    ~ Prozesse und Möglichkeiten zur Sicherstellung von digitalen Beweisen
    ~ Identifikation der Grundursache(n) eines Verstoßes gegen Sicherheitsdimensionen/Richtlinien

Kognitive Systeme & Künstliche Intelligenz

Kognitive Systeme in ihrer gesamthaften Komplexität (siehe Systems-Engineering) verstehen
und Komponenten auf Basis von Künstlicher Intelligenz mit ihren klaren Anforderungen identifizieren,
sowie die Verifikation von Künstlicher Intelligenz bis hin zur Sicherheitsakte (assurance case)

Fokus Kognitive Systeme & KI

Anwendungen auf Basis von Künstlicher Intelligenz (KI) erbringen zunehmend erstaunliche Leistungen. Getragen von der Verfügbarkeit von  preisgünstiger aber leistungsfähiger Hardware (z.B. GPUs) und der Verfügbarkeit von Software-Werkzeugen (z.B. Tensorflow) hat sich das Gebiet der Neuronalen Netze stark entwickelt. Damit sind Applikationen entstanden, die in Teilbereichen die Leistungsfähigkeit des Menschen übertreffen.

Dabei ist KI - insbesondere in Form der Neuronalen Netze (NN) - als eine neue Art des Engineerings zu verstehen. Damit handelt es sich aber nicht um mystische Dinge, die in naher Zukunft streben, die Weltherrschaft zu übernehmen. Vielmehr entsteht mit KI eine Art von Implementierung oder Automation, aber eben auf einem anderen technischen Weg als in der klassischen Entwicklung. Diese neue Entwicklungsmethodik hat Vor- und Nachteile. Am Beispiel von Neuronalen Netzen:
+ NN können implizite Anforderungen implementieren
+ NN können die Zeit bis zum ersten, funktionieren Prototyp erheblich verkürzen
- NN sind wissenschaftlich (und technisch) noch nicht 100%ig verstanden
- NN widersetzen sich klassischen Verifikations-Ansätzen

Tatsächlich ist insbesondere der letzte Punkt ein Grund, weshalb es aktuell unmöglich scheint, KI im Allgemeinen und NNs im Speziellen für sicherheitsrelevante Aufgaben einzusetzen oder in einer Anwendung, in der überhaupt irgendwelche Garantien bzgl. der Funktionsweise zu geben sind (z.B. auch bzgl. Security, Usability, Ethik).

Um die Themen Künstliche Intelligenz und Verifikation (bis hin zur Zulassung) gibt es viele technische Projekte, die hier Grundlagen und Lösungen liefern sollen (z.B. KI-Absicherung). Allein, es fehlt an der Verbindlichkeit (bis hin zur Rechtssicherheit) und dem Vertrauen in der Öffentlichkeit. Genau diese Lücke kann durch die Standardisierung geschlossen werden. Hier setzte ein Arbeitskreis des DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik, www.dke.de) an, der DKE AR 801.0.8. Unter dem mit-Vorsitz des Forschungsinstituts fortiss (www.fortiss.org) und der cogitron entstand die wegweisende Anwendungsregel VDE-AR-E 2842-61 "Entwurf und Vertrauenswürdigkeit von autonom/kognitiven Systemen".

Cyberdependability

Dependability ist der Meta-Begriff aus Safety und Security.
Mit Cyberdependability bezeichnen wir eine besondere Form der Kombination dieser Disziplinen:
Im Fokus steht natürlich die Safety und die Security, aber auch alle anderen Disziplinen, die zu entsprechenden Gefährdungen (hazards) gemäß der Ziele der Safety oder Security führen können. So werden auch Themen der Usability, Performance oder Ethik betrachtet. Hinzu kommen spezifische Gefährdungen durch Technologien (z.B. uncertainty-related bei Künstlicher Intelligenz).

Cyberdependability

Weitere Themen

Die Bandbreite der cogitron wird kontinuierlich erweitert und an den Bedarf der Industrie und der aktuellen Forschung angepasst. Einige weitere Themen, die wir in der "Schublade" haben, sollen daher kurz aufgezählt werden:

  • Wasserstoff 
    Safety und Security von der Erzeugung über Lagerung bis hin zu Nutzung.
  • Autonome Systeme
    Spezifikation und Verifikation von komplexen Systemen, z.B. voll-automatisierten Fahrzeugen, über alle Ebenen hinweg (Solution, System, Technologie bis hin zum Code-Review)
  • Assessments und Norm-Konformität
    Wir sind zugelassene SPICE-Assessoren UND wir verstehen die Standards, haben an ihnen mitgearbeitet und wissen den Geist hinter ihren Requirements zu deuten und pragmatisch und effizient umzusetzen. Wir setzen prüfen für Sie gerne die Effektivität, Effizienz oder Konformität Ihrer Zulieferer. Sehr gerne arbeiten wir mit Ihnen auch auf der anderen Seite: effizient die Konformität erreichen.
  • Verifizierbare Künstliche Intelligenz (KI) für sicherheitsrelevante Anwendungen
    Zunächst geht es bei der Verifikation von KI gar nicht um die KI, sondern um das System, in dem die KI-Komponente genutzt wird und um den Einsatz dieses Systems in seiner Umgebung (= Solution). Hier sind die Gefahren und Risiken allein aus der Funktionalität der KI (nicht aus ihrer Implementierung) zu beurteilen. Die daraus entstehenden Anforderungen werden dann im Systemdesign schrittweise auf die KI-Komponente heruntergebrochen. Wenn es dann um die KI-Komponente selbst geht, ist die Methodenkompetenz "Künstliche Intelligenz" gefragt. Hier gilt es zu unterscheiden, womit man wirklich arbeitet: Künstliche Intelligenz, Maschinelles Lernen, Konnektionistische Systeme, Neuronale Netze, freies vs. überwachtes Lernen etc. Abhängig von der KI-Technologie und den Anforderungen wird nun eine Sicherheitsargumentation aufgebaut, die von den folgenden Elementen getragen wird: Prozessanforderungen (z.B. aus der VDE-AR-E 2842-61), Methodenauswahl inkl. Metriken (neben der Accuracy gibt es weitere wichtige Metriken, siehe Projekt KI-Absicherung) und der Balance aus den Fehlerarten "systematisch" (systematische Eignung, z.B. SIL/ASIL, ...), "zufällig" (Ausfallraten, z.B. bei Hardware/Elektronik) und "uncertainty-related" (insbesondere bei KI-Technologie).
  • Human Factor and Human Centered Engineering
    Dieses Thema beschäftigt sich mit der Kombination aus "Mensch + Technik". Ausgehend von der klaren Beschreibung, was mit einer bestimmten Gesamtlösung (Solution) erreicht werden soll (use case & intended benefit), werden die Verantwortungen für den Menschen und die Maschine aufgeteilt (Soziotechnisches Arbeitssystem). Diese Aufteilung muss die Fähigkeiten des Menschen (Ergonomie) berücksichtigen und nach Usability-Gesichtspunkten gestaltet werden. Insgesamt muss dann auf dieser Basis die Solution und die Maschine so gestaltet werden, dass mit den Fähigkeiten (und Unzulänglichkeiten) des Menschen ein performantes Soziotechnisches Gesamtsystem entsteht (Anthropotechnik). Dabei ist das Human Centered Engineering nicht nur mit dem System-Design verbunden, sondern auch eng mit dem Risikomanagement verzahnt (Risiken aus falscher Nutzung, vorhersehbarer Missbrauch).
  • Prozesse: Verbesserung, Landschaften und Reife
    Bei diesem Thema bauen wir auf einer soliden Prozessverbesserung (Verbesserungs-Ziele, Gap-Analyse, Überarbeitung, Pilotierung, Ausrollen/Training) auf. Dies kann z.B. von individuellen Verbesserung-Zielen, erkannten Defiziten oder Zielen zur Norm-Konformität oder Erlangung eines bestimmten Reifegrades (z.B. SPICE) getrieben sein.
    Bei der Entwicklung der Prozesse setzen wir auf eine strukturierte Methode ähnlich dem V-Modell der Code-Entwicklung auf (process as code) und den passenden Werkzeugen und Notationen (z.B. BPMN). Es entsteht ein Process-Repository-Backbone, in dem letztendlich alle Informationen zu den Prozessen zusammenfließen und als "single source" genutzte werden können. 
    Grundlage für das Process-Repository-Backbone ist ein Metamodell, wobei auch Aspekte wie Schulung, Nutzung, Dokumentation, Assessment, Consulting etc. berücksichtigt werden. Dabei entstehen weitere Modelle, etwa ein Referenz-Modell, Engineering-Modell (inkl. Rollen-Modell), Ausführungsmodell (z.B. auch eine Instanziierung in Werkzeugen), Daten-Modell.
    Zentrale Punkte beim Prozessdesing sind die Berücksichtigung und Verzahnung mit bestehenden Prozessen und der Unternehmenskultur, sowie ein gute Usability im Sinne des "human-centered-designs" für Prozesse (Effektivität, Effizienz, gute Erlernbarkeit, Spaß bei der Nutzung). Es sollen Prozesse entstehen, die keine Parallelwelt oder zusätzliche Last erzeugen, sondern wirklich das Tagesgeschäft unterstützen.
    Ein weiterer wichtiger Aspekt ist das Pilotieren (inkl. Messung des Erfolges der Projektverbesserung) und das Ausrollen einschließlich der kontinuierlichen Schulungen in den neuen Vorgehensweisen. Dafür erstellen wir gerne auch das Schulungsmaterial und führen die Schulungen durch bzw. erstellen für Sie eine online-Schulung.
  • Unternehmenskultur (und deren Reifegrade)
    Vielleicht haben Sie es bei Softskill-Training schon erlebt: der beste Weg zu einem bestimmten Verhalten ist eine passende innere Haltung - Haltung erzeugt überzeugendes Verhalten fast ganz von selbst. Ähnlich ist das auch bei Unternehmen, wobei "Haltung" hier durch "Unternehmenskultur" ersetzt wird. Beinhaltet die Unternehmenskultur Begeisterung für das Produkt, Safety, Security, Usability etc., so werden die Produkte dies auch widerspiegeln. "Die Struktur eines Unternehmens prägt die Architektur des Produktes" - das gilt auch für weitere nicht-funktionale Eigenschaften.
    Aufbauend auf dieser Erkenntnis setzen wir bei der Entwicklung der Unternehmenskultur an. Dabei wird sowohl auf einzelne Aspekte wie Safety-Kultur (z.B. nach ISO 26262), Security etc. geschaut als auch eine integrierte Sichtweise genutzt (Widersprüche ggf. auflösend).
    Passend dazu haben wir Modelle für die Reife von Unternehmenskulturen, die klar erklären lassen, wo man steht und was es gilt weiterzuentwickeln, um bestimmte Ziele zu erreichen. Dabei ist eine Korrelation mit den Prozess-Reifegraden möglich, aber dennoch ist dies als getrenntes Thema zu behandeln, da Prozesse und deren Reife nur ein Aspekt der Unternehmenskultur und ihrer Reife sind.
    Sind die Unternehmenskulturen erst einmal etabliert, dann gilt das Prinzip "von innen nach außen": Haltung (Kultur) erzeugt passendes Verhalten - natürlich braucht man für ein effizientes und nachweisbares Zusammenarbeiten trotzdem Prozesse. Aber stimmt die Haltung (Kultur) nicht, dann findet jeder Mitarbeiter seinen individuellen Weg (auch an den Prozessen vorbei) und das Ergebnis (Produkt) ist nicht wie es sein sollte. Das Management wird ggf. viel Geld für Verbesserungsmaßnahmen ausgeben, doch der Erfolg wird immer nur mäßig sein (und Spannungen mit Energieverlusten erzeugen), wenn die Unternehmenskultur nicht passt. - Eine passende, gute Unternehmenskultur spart Geld und Energie.

Bei Interesse, Fragen und Hinweisen:
Kontaktieren Sie uns, z.B. per E-Mail!
Wir freuen uns auf Sie!

Adresse

cogitron GmbH
Konrad-Zuse-Platz 8
81829 München, Deutschland

Kontakt

E-Mail: info@cogitron.de 
Phone: +49 15 255 90 10 40 
Fax: +49 89 20 35 15 53

Offline Website Builder