Inhalt: ausgewählte Themen, an denen wir beim Fraunhofer AISEC derzeit arbeiten und in Projekten mit Partnern aus der Industrie umsetzen. Es geht natürlich um IT-Sicherheit, genauer um angewandte und integrierte IT-Sicherheit, es geht um Forschung und Innovationen.
1. F r A u n h o F E r r E S E A r C h I n S T I T u T I o n F o r A p p l I E d A n d I n T E g r AT E d S E C u r I T y AISEC
Newsletter 01|12
Liebe Leserinnen und Leser,
ich wünsche Ihnen ein erfolgreiches Jahr 2012. Ein Jahr, das viele SIT-München wird Fraunhofer AISEC
Presseinformation 6.7.2011
Herausforderungen mit sich bringt. Ein Thema wird auch in diesem
Jahr ein Dauerbrenner bleiben: die IT-Sicherheit. Die erfolgreichen
Cyberangriffe auf Webseiten und Server von Unternehmen und Be-
hörden haben uns zahlreiche Schwachstellen eindrucksvoll vor Au-
gen geführt und mahnen uns, unsere Anstrengungen bei der Absi-
cherung der IT-Systeme zu intensivieren. Daran arbeiten wir beim
Fraunhofer AISEC mit Nachdruck. Im Zentrum unserer Forschungs-
und Entwicklungsarbeiten in Garching bei München steht die an- Die Münchner Projektgruppe Sicherheit und Zu-
verlässigkeit des Fraunhofer SIT wird zum 1. Juli
gewandte und integrierte Sicherheit. Wir bieten unsere Expertise in eine selbstständige Fraunhofer-Einrichtung für
Angewandte und Integrierte Sicherheit. Dies be-
Innovation braucht Sicherheit und allen Bereichen der IT-Sicherheit von Embedded Security über Au- schloss der Senat der Fraunhofer-Gesellschaft.
Sicherheit braucht Forschung! In München arbeiten die Forscher daran, die Si-
tomotive und Smart Grid Security bis hin zu Cloud Security und cherheit von Cloud-Computing und Eingebette-
Presseinformation 14.9.2011
Produktschutz an. Mehr als 80 kompetente Mitarbeiterinnen und ten Systemen zu erhöhen. Weitere Ziele sind,
Produktpiraterie zu verhindern oder vernetzte
Mitarbeiter leisten im AISEC ihren Beitrag dazu. Unser Motto lautet kritische Infrastrukturen zu schützen.
»Mit Sicherheit innovativ!« Wir stellen damit an uns den An-
spruch, den Innovationsstandort Deutschland zu stärken und Unter-
nehmen dabei zu unterstützen, ihre Produkte und Dienstleistungen
gegen Angriffe jedweder Art zu schützen. Betrachten wir beispiels-
weise den Bereich der Eingebetteten Systeme: Elektronische Steue-
Unter dem Leitthema »Mit Sicherheit innova- rungselemente sind mittlerweile Bestandteil vieler Investitions- und
tiv!« feierte am Montag, den 12. September FraunhoFer research InstItutIon For
a p p l I e d a n d I n t e g r at e d s e c u r I t y
2011, Fraunhofer AISEC seine Eigenständigkeit Konsumgüter. Der Schaden durch Plagiate erreicht allein in Deutsch-
Schutz eingebetteter SySteme vor
mit einem Festakt und einer Technologieausstel-
lung. Die über 200 interessierten Besucher land jährlich einen dreistelligen Millionenbetrag. Zudem geht von ProduktPiraterie
technologiScher hintergrund und vorbeugemaSSnahmen
konnten sich hautnah die innovativen Technolo-
gefälschten Produkten eine Gefahr für die Nutzer dieser Produkte
bartol FiliPoviĆ, oliver Schimmel 10/2011
gien von den AISEC Forschern und Forsche-
rinnen erläutern lassen (von links nach rechts: aus. Wir haben die Angriffstechniken genau analysiert und
Prof. Dr. Wolfgang A. Herrmann, Staatsminister
Martin Zeil, Prof. Dr. Claudia Eckert, Prof. Dr. die AISEC-Forscher entwickeln Gegenmaßnahmen, um Fälschun-
Hans-Jörg Bullinger und Prof. Dr. Georg Sigl).
gen wirksam zu verhindern. Die Schwerpunkte unserer ange-
wandten Forschung werden auch in diesem Jahr im Bereich Embe-
dded Security, Netzwerksicherheit und Cloud-Sicherheit liegen.
Woran wir aktuell arbeiten, können Sie stets auf unsere Webseite
www.aisec.fraunhofer.de erfahren oder sich auf einer der dies-
jährigen Messen informieren. Eine Übersicht mit unseren Präsenzen
finden Sie am Ende dieses Newsletters. Wir würden uns über einen
Besuch und den fachlichen Austausch sehr freuen. Bis dahin wün-
sche ich Ihnen ein sicheres Jahr 2012 sowie eine erkenntnisstei-
gernde Lektüre der folgenden Artikel.
Ihre Claudia Eckert
2. PrIVIDOr – PrIVacy VIOlatION DetectOr
dATE n S A M M l E r n A u F d E r S p u r
Webseiten sind angereichert mit besuchte Websites in Erfahrung zu brin- onen durchführen wollen, wird das Verhal-
Funktionen, um mit dem Benutzer gen, z. B. welche sozialen Netzwerke be- ten aufgezeichnet und protokolliert. Mithilfe
in Interaktion zu treten. Das kann sucht oder welche Onlinebanking-Dien- der angepassten Firefox-Version und eines
gewünschte, aber für den Benutzer ste von einem Benutzer regelmäßig in speziellen Add-ons wird das erzeugte Lauf-
auch ungewünschte Wirkung entfal- Anspruch genommen werden. zeitverhalten sowie JavaScript-Aufrufe auf
ten. Diese reicht von einfacher Pro- n CSS History Hacks ermöglichen das Aus- DOM-Objekte festgehalten. Prividor kann
tokollierung der Lesegewohnheiten lesen der Browser History auch bei deak- dabei auch unterschiedliche Browsertypen
bis hin zu Drive-by Downloads von tiviertem JavaScript. simulieren, um etwa Aktionen zu erkennen,
Malware. Das Forschungsvorhaben n Cookies, Flash-Cookies (auch als Local die speziell für bestimmte Browser entwi-
PRIVIDOR (PRIvacy VIolation Detec- Shared Objects bekannt) sind die wohl ckelt wurden. Die gesammelten Daten wer-
tOR) erstellt im Auftrag des Bundes- bekanntesten Varianten zur Identifizie- den in Berichten zusammengefasst und
beauftragten für den Datenschutz rung von Nutzern oder Systemen. Sie er- Veränderungen fortgeschrieben.
und die Informationsfreiheit eine möglichen die langfristige Speicherung
Lösung, um automatisiert daten- nutzerbezogener Daten.
schutz-bedenkliche Vorgänge auf n DOM Storage erlaubt die Speicherung
Webseiten zu erkennen und zu do- von nutzerbezogenen Daten über erwei-
kumentieren. Dazu hat Fraunhofer terte Funktionen des Document Object
AISEC ein Werkzeug zur Webseiten- Models. Über DOM Storage können Da-
analyse entwickelt, das auf Internet- ten in wesentlich größerem Umfang ge-
seiten gezielt nach Anzeichen für speichert werden als herkömmlichen
Datenschutzverstöße sucht. Cookies. Zudem können die gespeicher-
ten Daten Domain-übergreifend ausgele-
Das Software-Tool PRIVIDOR spürt Daten- sen werden.
schutzverletzungen auf Websites auf. Mit n Formulare sammeln in vielen Fällen per-
dem neuen Werkzeug will der Bundesdaten- sönliche Daten der Nutzer. Diese werden
schutzbeauftragte Peter Schaar künftig die vielfach unverschlüsselt übertragen und
Webauftritte der Bundesbehörden sowie sind somit von Dritten leicht abzufangen
der Post- und Telekommunikationsunter- und auszuwerten.
nehmen, die in seinen Aufgabenbereich fal- Manche dieser Technologien werden bereits
Prividor entgeht nichts: Datenschutzverletzun-
len, kontrollieren. Einige tausend öffentliche beim Aufsuchen der Seiten aktiv, andere gen auf Webseiten werden vom Software-Tool
Stellen mit ihren Internetangeboten kämen entfalten ihre Wirkung erst in der Interakti- aufgespürt.
laut Schaar in Betracht. on mit dem Benutzer.
Nach einer Testphase im eigenen Haus pla-
Das Werkzeug, das von Peter Schoo, Leiter PRIVIDOR ist in der Lage, den Einsatz dieser ne der Bundesdatenschutzbeauftragte Peter
des Forschungsbereichs Netzsicherheit und Techniken zu identifizieren. Um eine Analy- Schaar, PRIVIDOR auch den Landesdaten-
Frühwarnsysteme, und seinem Team entwi- se durchzuführen, simuliert PRIVIDOR das schutzbeauftragten zugänglich zu machen,
ckelt wurde, prüft die Webseiten auf da- Verhalten eines normalen Nutzers. Indem erklärte er bei der Projektübergabe. Diese
tenschutzrechtliche Probleme und erstellt ein automatisiert gesteuerter Firefox-Brow- sind auf Landesebene für den Schutz der
anschließend detaillierte Berichte über die ser die zu prüfenden Seiten aufruft, dar- Privatsphäre im Internet zuständig. Als wei-
Ergebnisse. Dabei wird die Verwendung stellt und dynamische Inhalte ausführt, kön- teren denkbaren Schritt könnte sich Schaar
von verschiedenen Techniken untersucht: nen die Aktionen der aufgerufenen Seiten auch vorstellen, das aus dem Forschungse-
n Web Analytics und User Tracking proto- nachvollzogen und protokolliert werden. tat der Behörde bezahlte Werkzeug der All-
kolliert das Surfverhalten von Benutzern gemeinheit zur Verfügung zu stellen.
einer Seite und ermöglicht eine Korrela- Über eine Webschnittstelle legen die Prüfer
tion dieser Daten über lange Zeiträume. Listen zu beobachtender Seiten und von Kontakt:
n JavaScript erlaubt das Auslesen privater Webdiensten an. Diese arbeitet der präpa- peter.schoo@aisec.fraunhofer.de n
Informationen wie der Browser History, rierte Browser ab. Findet er Programm- Weitere Informationen:
www.prividor.eu
um damit Informationen über bereits schritte, die die oben beschriebenen Akti-
2
3. Umabasa – UNclONable materIal-baseD
secUrIty archItectUre
SI C h E r E C h I p kA rT E n Fü r d IE Z ukunFT
Jeder von uns trägt heute zahl- ihn umgebenden physikalischen, nicht re-
reiche Chipkarten bei sich. Sie ver- produzierbaren Strukturen soll durch die
schaffen uns Zugang zu Gebäuden, Verwendung einer Physical Unclonable
steuern Bank- und Kreditapplikati- Function (PUF) erreicht werden. Das Verfah-
onen oder legitimieren uns mit dem ren macht sich die Materialeigenschaften
neuen Personalausweis. Der Schutz der verschiedenen Bauteile einer Chipkarte
der Chipkarten vor Missbrauch und als auch der umliegenden Kartenstrukturen
Fälschung muss deshalb für die ge- zunutze. »Jedes Bauteil verfügt über eine
samte Lebensdauer, auch gegen bis- Art individuellen Fingerabdruck, da bei der
her unbekannte Arten von Angrif- Produktion unweigerlich kleine Unter-
fen, gewährleistet werden. schiede zwischen den Komponenten ent-
stehen«, erklärt Dr. Frederic Stumpf, Be-
Chipkarten haben sich in der Vergangenheit reichsleiter Embedded Security & Trusted
Klonen nicht möglich: Ein Chip mit einem di-
bewährt. Durch neuartige Angriffsarten ist OS am Fraunhofer AISEC, den Ansatz. So gitalen Fingerabdruck ist vor Missbrauch und
die Sicherheit derzeitiger Chipgenerationen kommt es bei Leiterbahnen beispielsweise Fälschung geschützt.
jedoch gefährdet. Invasive Angriffe, z.B. op- während des Fertigungsprozesses zu mini-
tische Analysen oder Manipulationen mit malen Schwankungen der Dicke oder Län- Im Gegensatz zu herkömmlichen Ansätzen
einem fokussierten Ionen-Strahl, erlauben ge. Diese Abweichungen haben zwar kei- wird der geheime Schlüssel nicht in der
tiefe Einblicke und gezielte Eingriffe in nen Einfluss auf die Funktionalität, können Hardware gespeichert, sondern auf Anfra-
Chipkarten-Prozessoren. Findige Daten- jedoch genutzt werden, um daraus einen ge jedes Mal neu erstellt. Da der Schlüssel
diebe könnten die integrierten Schutzme- kryptographischen Schlüssel zu erstellen. direkt von den aktuellen Systemeigenschaf-
chanismen durch Analyse der physika- ten abhängt, ist es deutlich schwieriger, ihn
lischen Eigenschaften aushebeln. Eine Ein Beispiel dafür ist eine Schaltung mit zu extrahieren und zu klonen. Denn Atta-
mögliche Lösung für die derzeitigen Pro- Verzögerungspfaden, welche durch unkon- cken auf den Chip würden physikalische
bleme ist deshalb ein integrales Schutzkon- trollierbare Fabrikationsunterschiede bei der Parameter verändern – und damit auch die
zept, das eine Kombination der Prozesse Chip-Herstellung entsteht. Eine solche einzigartige Struktur verfälschen oder zer-
des Mikrochips mit den nicht reproduzier- Schaltung gibt für jeden damit ausgestat- stören. Der Sicherheitschip wird dadurch in
baren Strukturen der Trägerkarte vorsieht. teten Chip charakteristische Antworten auf die Lage versetzt, selbständig zu erkennen,
eingegebene Anfragen bzw. Anregungen ob er in seiner Original-Trägerkarte oder
Gemeinsam mit dem Chiphersteller NXP und wirkt daher wie ein Schlüsselspeicher. einem manipulierten Kartenklon operiert.
Semiconductors Germany GmbH und der Wird eine Manipulation erkannt, so kann
Bundesdruckerei GmbH bereitet das Ein PUF-Modul kann dabei prinzipiell in je- die Funktionalität der Karte blockiert wer-
Fraunhofer AISEC im Rahmen des vom Bun- den Chip integriert werden. AISEC-Forscher den. Die Sicherheitsarchitektur kombiniert
desministerium für Bildung und Forschung haben in der Vergangenheit bereits zwei dabei physikalische, optische und mathe-
(BMBF) geförderten Forschungsprojektes Prototypen entwickelt: einen Butterfly PUF matische Effekte als Sicherheitsmerkmale,
UMABASA einen Weg für die nächsten Ge- und einen Ringoszillator PUF. Beide haben die ein nach heutigem Kenntnisstand sehr
neration von hochsicheren Chipkarten vor. spezielle Eigenschaften und lassen sich in hohes Sicherheitsniveau erreichen.
Die drei Partner entwickeln eine Chipkarten- Hardware-Komponenten wie FPGAs, Mi-
architektur, auf denen zukünftig krypto- krochips und Smartcards implementieren.
graphische Schlüssel nicht mehr binär ge- »Herzstück ist eine Messschaltung, bei-
speichert werden müssen. Damit fällt ein spielsweise ein Ringoszillator: Dieser er-
lukratives Angriffsziel für die Angreifer weg. zeugt ein charakteristisches Taktsignal, das
Rückschlüsse auf die genauen Material-
UMABASA ist ein Akronym für »Unclonable eigenschaften des Chips zulässt. Spezielle
Material-Based Security Architecture« und Sensoren lesen diese Messdaten anschlie- Kontakt:
steht für eine untrennbare kryptographi- ßend aus und generieren aus ihnen den frederic.stumpf@aisec.fraunhofer.de n
sche Kopplung von Mikrochips und Träger- bauteilspezifischen Schlüssel«, erläutert Dr. Weitere Informationen:
www.aisec.fraunhofer.de
karten. Diese Kopplung des Mikrochips mit Frederic Stumpf.
3
4. smart meter secUrIty
I nTEll I g E n T gE n u g Fü r d IE Z u kunFT?
Die zunehmende Einspeisung von und Energieversorgung zu gefährden – mit
Strom aus dezentralen Energiequel- weitreichenden Folgen für die Volkswirt-
len, aber auch veränderte Bedarfs- schaft.
felder stellen künftige Energiever-
sorgungssysteme vor ganz neue Entsprechend hoch sind die Anforderungen
Herausforderungen. Abhilfe soll das an die Endgeräte. Die Kommunikation zwi-
intelligen te Stromnetz Smart Grid schen den beteiligten Geräten muss vor
schaffen, das eine flexiblere Ener- dem Einschleusen falscher Daten ebenso
gieversorgung garantiert. Wichtiger geschützt werden wie die Dienste zur Erfas-
Bestandteil sind intelligente Strom- sung des Stromverbrauch und der Abrech-
zähler, Smart Meter, die eine ge- nung.
naue Erfassung der Stromnutzung Den Dingen auf den Grund gehen. Im Labor
ermöglichen. Seit Januar 2010 sind werden Schwachstellen von Hardware analy- Dr. Frederic Stumpf und sein Team haben
siert – auch wenn sie tief verborgen sind.
diese in Deutschland für Neubauten sich deshalb handelsübliche Smart Meter
und bei Komplettsanierungen vor- nete Schutzmaßnahmen müssen von Anbe- angesehen und gezielt nach Angriffspunk-
geschrieben und werden in Zukunft ginn in die Infrastrukturen integriert wer- ten gesucht. »Die Ergebnisse waren überra-
in den meiseten Haushalten instal- den, um derartige Angriffe weitgehend zu schend«, so Stumpf. »Sind die Informa-
liert sein. Für einen Angreifer stel- vermeiden und um zu verhindert, dass ma- tionen auf dem Übertragungsweg weitge-
len Smart Meter interessante An- nipulierte Smart Meter im Smart Grid zu hend unangreifbar und durch starke krypto-
griffsziele dar, um bspw. Tatwerkzeugen mutieren.« graphische Algorithmen gut geschützt, so
manipulierte Verbrauchszahlen an tun sich am Stromzähler große Lücken auf.«
den Energieversorger zu senden. Die Angriffsszenarien in einem von dezen- So sind die Schnittstellen zwischen den Ge-
Das Smart Grid Security Testlabor tral erzeugten Informationen abhängigen, rätekomponenten häufig leicht zu umge-
am Fraunhofer AISEC hat deshalb rückgekoppelten Netz sind vielfältig: Beim hen und dadurch ausgetauschte Daten und
marktübliche Smart Meter gezielt Verbraucher installierte Smart Meter und Protokolle einfach mitzulesen – und zu ma-
auf die Möglichkeiten der Kompro- Gateways können beispielsweise zum nipulieren. Besonders einfach und damit
mittierung untersucht – und zahl- Stromdiebstahl missbraucht werden. Sie gefährlich, wird der Angriff, wenn bis auf
reiche Schwachstellen gefunden. könnten aber auch im schlimmsten Fall, das Betriebssystem hinab zugegriffen wer-
ähnlich einem Botnet, in großer Zahl dazu den kann. In diesem Fall liegen alle Routi-
Smart Meter sind in ein Kommunikations- herangezogen werden, ein Stromnetz nen offen; einer gezielten Manipulation
netz eingebunden. Das heißt, sie stehen in durch manipulierte Erzeuger- oder Ver- steht nichts mehr im Weg. Sogar die kryp-
permanentem Kontakt mit den Stromnetz- brauchsdaten zum kollabieren zu bringen tographischen Schlüssel sind damit zugäng-
betreibern und werden von diesen fernaus- lich und können beliebig kopiert und gege-
gelesen. Smart Meter werden aber in Zu- benenfalls manipuliert werden.
kunft nicht nur Informationen liefern,
sondern könnten auch steuernde Funkti- Die Forscher am Fraunhofer AISEC analysie-
onen übernehmen. Das gibt ihnen eine be- ren existierende Smart Grid Komponenten,
sondere sicherheitstechnische Bedeutung, entwickeln sichere Smart Meter auf der
zumal sie sich physisch an Orten befinden, Basis des Schutzprofils des Bundesamts für
die sich der Kontrolle und Aufsicht der Sicherheit in der Informationstechnik (BSI),
Stromnetzbetreiber entziehen. konzipieren Smart Grid Referenzarchitektu-
ren und beraten Bedarfsträger beim Aufbau
»Wie der Stuxnet Wurm Mitte 2010 ein- und Betrieb sicherer Smart Grids.
drucksvoll gezeigt hat, sind auch formal ab-
geschottete Steuerungsnetze wie industri- Kontakt:
Smart Meter sind ein Baustein des Intelligenten
elle Steuerungsanlagen nicht automatisch Stromnetzes (Smart Grid). Deren Sicherheit so- frederic.stumpf@aisec.fraunhofer.de n
gegen erfolgreiche Angriffe resistent«, gibt wie die Sicherheit der gesamten IT-Infrastruktur Weitere Informationen:
sind entscheidend für den Erfolg von Smart www.aisec.fraunhofer.de
Dr. Frederic Stumpf zu bedenken. »Geeig- Grid.
4
5. clOUD labOr
MI T d E M A u T op IloT d u r C h d IE Cloud
Viele Unternehmen zögern, ihre Da- spezielles Verschlüsselungskonzept, das
ten oder gar kritische Teile ihrer IT- Informationen vor dem unbefugten Zu-
Infrastruktur einem Cloud-Anbieter griff Dritter schützt und nur bei Bedarf
zu übergeben. Grund dafür sind oft diejenigen Informationen entschlüsselt,
Unsicherheit und Unerfahrenheit in die wirklich benötigt werden. Zur Mes-
Sachen Datensicherheit, Compliance sung der Sicherheit von Cloud-Diensten
und Verfügbarkeit. haben die Entwickler Kennwerte ermit-
Damit Anbieter technische und or- telt. Diese beinhalten Messwerte zur Ver-
ganisatorische Sicherheitsanforde- fügbarkeit und anderen überprüfbaren Den Überblick behalten: Im Dasboard des
Cloud-Leitstand laufen alle wichtigen Kenn-
rungen entsprechend der Compli- Sicherheitsmaßnahmen, mit denen das Si- zahlen zusammen und bieten dem Anwender
einen klaren, umfassenden Überblick über das
ance-Anforderungen ihrer Kunden cherheitsniveau des Anbieters festgestellt
System und den Status seiner Prozesse.
auch in der Cloud erfüllen können, werden kann. Dadurch können Unterneh-
hat das Fraunhofer AISEC unlängst men prüfen, ob das jeweilige System den ei- möglicht. Die große Schwierigkeit für den
ein Cloud-Labor in Betrieb genom- genen Anforderungen genügt. Falls nicht, Anwender bestehe vor allem darin, gegen-
men. Dort testet das Team um Be- lassen sich die Daten speziell abgesichert über den undurchsichtigen Cloud-Struk-
reichsleiter Mario Hoffmann ver- von einer Cloud in eine andere verschieben. turen Vertrauen in deren Sicherheit aufzu-
schiedene Aspekte der System- und bauen. Das gelingt am einfachsten, wenn
Sicherheitsarchitektur der zugrunde In einer Studie, die das Team am Fraunhofer der Nutzer eine Definition seiner individu-
liegenden Cloud-Betriebssysteme AISEC vor kurzem abgeschlossen hat, stel- ellen Sicherheitsanforderungen aufstellt,
aus dem kommerziellen und dem len die Forscher systematisch einen »Ver- damit er die Sicherheitsfunktionen alterna-
Open Source Bereich, aber auch die gleich der Sicherheit traditioneller IT-Syste- tiver Anbieter vergleichen kann.
Zuverlässigkeit von Standardfunkti- me und Public Cloud Computing Systeme«
onen wie virtuellen Instanzen oder an. Darin stellen sie fest, dass Sicherheitsa- Um solche Vergleiche zu ermöglichen aber
Fail-over auf Belastungen wie etwa spekte von Cloud-Anbietern meist zurück- auch um den aktuellen Sicherheitslevel ei-
Denial of Service-Angriffe (DOS). haltend behandelt werden. »Hervorgeho- ner Cloud bestimmen zu können, trägt das
ben wird stets die betriebswirtschaftliche Fraunhofer AISEC in seiner jüngsten Entwick-
Das Cloud-Labor des Fraunhofer AISEC be- Vorteilhaftigkeit von Cloud-Services, Sicher- lung, dem sogenannten »Cloud-Leitstand«,
gnügt sich nicht nur mit der Analyse der heitsimplikationen hingegen werden oft Kennzahlen zusammen, die für ein bestimm-
bestehenden Betriebs- und Anwendungssy- unsystematisch und per se nachteilig darge- tes Cloud-Ökosystem zur Verfügung stehen.
steme. Es entwickelt ebenfalls Lösungen stellt. Auf diesem Wege werden bereits im Diese werden sodann gefiltert, aggregiert
zur Datenverschlüsselung, Datenüberwa- Vorhinein weitergehende Auseinanderset- und interpretiert und schließlich zu aussage-
chung und automatischen Datenverschie- zungen mit der Sicherheit in Cloud Compu- kräftigen Statusmeldungen über das Gesamt-
bung in der Cloud. Cloud Computing bietet ting Systemen verhindert. Daraus entsteht system zusammengefasst. »In der Praxis er-
Anwendern die Möglichkeit, ihre Prozesse in der Eindruck, dass die Sicherheit von SaaS möglichen wir so vom Administrator bis zum
virtualisierten Arbeitsumgebungen auszu- Anwendungen keinerlei Vorteile gegenüber Manager eine zielgruppengerechte Aufberei-
führen, die transparent für den Anwender On-Premise-Lösungen besitzt.« tung des jeweiligen Sicherheitsstatus einer
von Server zu Server transportiert werden Cloud«, stellt Mario Hoffmann fest. »Mit
und damit auch unbemerkt Rechenzen- In der Untersuchung kommen die Forscher dem Cloud-Leitstand gelingt es uns, die in
trums- und Ländergrenzen überschreiten zu einem differenzierten Ergebnis. Es wird einem Cloud-Ökosystem zur Verfügung ste-
können, was nicht nur bei regulatorischen deutlich, dass fortwährende Investitionen henden Informationen über den Systemzu-
Anforderungen ein großes Problem darstel- der Anbieter auf allen technologischen Ebe- stand übersichtlich darzustellen. So wird Si-
len kann. Damit Unternehmen das Risiko für nen eines Cloud Computing Systems zu cherheit für Anbieter wie für Anwender
ihre Daten dennoch einschätzen und kon- einem ansteigenden Automatisierungsgrad selbstverständlicher Teil der Cloud-Nutzung.«
trollieren können, haben Mitarbeiter des führen. Im Vergleich zu traditionellen IT-Sys-
Fraunhofer AISEC Lösungen entwickelt, mit temen wird auf diese Weise vor dem Hin- Kontakt:
mario.hoffmann@aisec.fraunhofer.de n
denen sich das Sicherheitsniveau von Cloud- tergrund der Arbeitsteilung und Spezialisie-
Weitere Informationen:
Angeboten messen und Daten auch in der rung ein effektiverer und effizienterer Um- www.cloudsecuritylab.de
www.aisec.fraunhofer.de
Cloud schützen lassen. Grundlage bildet ein gang mit Bedrohungen der Sicherheit er-
5
6. Impressum
Herausgeber: Redaktion: Bildnachweise:
Fraunhofer Research Institution for Applied and Viktor Deleski Volker Steger: 4
Integrated Security AISEC Getty Images: 3
Parkring 4, Satz und Layout: Fotolia: 1
85748 Garching m@riondesign.de
Tel.: +49 089 3229986-133
Fax.: +49 089 3229986-299 Text:
presse@aisec.fraunhofer.de Bernhard Münkel
www.aisec.fraunhofer.de
MESSEN / VERANSTALTUNGEN
+++ RSA Conference, 27.2.–2.3.2012, San Francisco +++ Embedded
World, 28.2.–1.3.2012, Nürnberg +++ Mobile World Congress,
27.2.–1.3.2012, Barcelona +++ CeBIT, 6.3.–10.3.2012, Hannover
+++ Hannover Messe Industrie 23.4.–27.4.2012, Hannover +++
Aktuelle Termine zu Messen, Kongressen, Symposien unter:
http://www.aisec.fraunhofer.de/de/messen-veranstaltungen.html
THREAT VECTORS 2012 BITKOM: HIGHTECH-TRENDS 2012
Die amerikanische Zeitschrift infosecurity befragte mehr als 20 IT-Si-
cherheits-Unternehmen nach den größten Bedrohungen für 2012.
mobile
APT
social engeneering
Iinfrastructure
BYOD
targeted
social media
SQL/XSS
DOoS
privacy
others
Quelle: eigene Grafik, erstellt nach http://www.infosecurity-magazine.com/view/22567/2012-threat- Quelle: http://www.bitkom.org/de/presse/8477_70999.aspx
predictions-an-industry-roundup/
FRAUNHOFER AISEC IN DEN SOCIAL MEDIA
Fraunhofer AISEC
@FraunhoferAISEC München | Munich
Hier twittert das PR-Team der Fraunhofer Research
Institution for Applied and Integrated Security AISEC |
http://bit.ly/AISEC_impressum
http://www.aisec.fraunhofer.de http://gplus.cm/FraunhoferAISEC
LINKS
n Studie: Smart Grid Communications 2020 http://www.esk.fraunhofer.de/de/publikationen/studien/SmartGrid2020.html
n Infomaterial: Produktschutz (Verband Deutscher Maschinen- und Anlagenbau e.V.)
http://www.vdma.org/wps/portal/Home/de/Branchen/K/KUG/Produktschutz?WCM_GLOBAL_CONTEXT=/vdma/Home/de/
Branchen/K/KUG/Produktschutz
n Video: »Der Spion im Keller« – Bayerischer Rundfunk (Kontrovers)
http://www.br.de/fernsehen/bayerisches-fernsehen/sendungen/kontrovers/111109-kontrovers-smartmeter104.html