SlideShare une entreprise Scribd logo

Cybersecurity 2013 - Design for Security

Fraunhofer AISEC
Fraunhofer AISEC

Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin

1  sur  25
Télécharger pour lire hors ligne
Design for Security Cyber Sicherheit gestalten! Claudia Eckert Fraunhofer AISEC TU München Cyber Security 2013, 3-te Handelsblattagung Berlin, 10.6. 2013 1
Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
Sicherheit durch und Sicherheit von vernetzten IKT-Systemen Cyber Sicherheit ist
Unsicherheit durch vernetzte und unsichere IKT-Systeme Cyber Sicherheit: Heute
Bedrohungslage Cyber-Angriffe nehmen zu  Jedes 4. Unternehmen Opfer von Cyber-Angriffen  Geänderte Täterstruktur:  Vom spezialisierten Einzeltäter zum  Kriminellen ohne Fachkenntnisse Produktpiraterie nimmt stark zu  VDMA Studie 2011: über 8 Milliarden Euro Schaden für Deutsche Maschinen- und Anlagenbauer Schäden weltweit: 290 Mrd. €. profitabler als globaler Handel mit Rauschgift.
Sensorik  Automobil: über 80 Sensoren Funkschlüssel, Fernzugriff (GSM) • Drahtlos vernetzte Medizinische Geräte: Herzschrittmacher, Blutzuckerpumpe  Anlagensteuerung: SCADA (Stuxnet) Software-Systeme  Identitätsdiebstahl, Zugangsdaten,  Zugriff auf sensitive Daten  BYOD: Datenverluste (jede 2-te Firma) Bedrohungslage: Beispiele
Flexispy für iPhone, Android Überwachen von Mobiltelefonen:  Live mithören,  SMS-lesen,  Mails lesen,  Raumüberwachung  Facebook Chat,  WhatsApp Chat  Telefonprotokoll,  GPS Ortung Beispiel: Mobile Endgeräte
Unsichere Hardware/Sensorik: • Physisch angreifbar Unsichere Software-Systeme • Manipulierbar Ungeschützte High-Tech-Produkte • Kopierbar Faktor Mensch • Sorglos, bequem Problembereiche
Mangelndes Bewusstsein:  90% der erfolgreichen Angriffe durch schwache oder mehrfach verwendete Passwörter: zB Name, Geburtsdaten, … Vertrauensselig:  Anruf von „System-Administrator“: … ich benötige dringend Ihr Passwort  Freizügige Datenweitergabe in Sozialen Netzen Beispiel: Faktor Mensch
Technologie gestalten: • Sicherheitstechnologie, System-Design Prozesse gestalten • Leitlinien und Kultur ‚leben‘ Bildungsmaßnahmen gestalten • Nachhaltige Sensibilisierung Politische Rahmen gestalten • Fordern und Fördern These: Design4Security erforderlich
Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
Vertrauenswürdige Hardware • Effiziente Sicherheitsfunktionen: u.a. energieeffiziente Verschlüsselung • Fälschungssicherheit: u.a. nicht clone-bare Identität (PUF), nachweisliche Malware-Freiheit • Angriffstolerant: u.a. nicht manipulierbare Hardware Technologie gestalten
Problem: Produktpiraterie, Know-How-Diebstahl  Ungeschützte Elektronik-Bauteile AISEC-Lösung PEP Schutzfolie http://ais.ec/pep  Untrennbare Verbindung von Hardware und Schutzfolie  Materialeigenschaften der Folie dienen als Sensoren  Schlüssel aus Folieneigenschaften erzeugt  Zerstörung der Folie: Firmware-Code wird gelöscht  Schutz vor Nachbau, Schutz vor Know-How-Abfluss Beispiel: Produkt- und Know-how-Schutz
Sichere System-Architekturen • Prävention: u.a. Separierung • Detektion: u.a. Selbst-Schutz: kontinuierliches Monitoring • Reaktion: u.a. Selbst-Heilung: Abschalten, Re-Konfigurieren Beispiele Secure Smart Meter Sicheres Handy für ‘alle’ Unsichere Plattformen z.B. Android Virtual Machine Introspection Hardware, z.B. HSM, Multi-Core Sicheres Betriebssystem Technologie gestalten
Problem  Datenabfluss, Identitätsdiebstahl, Schadsoftware in Unternehmen, … AISEC-Lösung Trust | ME: Sicheres Mobiles Endgerät  Verschiedene isolierte Bereiche, schneller, einfacher Wechsel  Sicherer Speicher, sichere Eingabe  Sicheres Geräte-Management, differenziertes Remote Wipe etc. Beispiel: Bring your Own Device: aber sicher!
Systeme testen und sicher betreiben • Hardware Sicherheit u.a. Hardware-Trojaner, Seitenkanäle • Software-Sicherheit u.a. Code-Analysen, Tainting „Gesundheits“-Checks für Apps • Infrastruktur-Sicherheit: u.a. Cloud-Monitoring, Technologie gestalten
Problem: Unsichere Apps  Apps: idR zu viele Zugriffsberechtigungen:  Informationslecks und Einschleusen von Schadcode AISEC-Lösung AppRay: Sicherheitschecks für Apps  Detaillierte Analyse der Zugriffe, Aktionen  Abgleich mit eingestellten Sicherheitsregeln  Testen des Verhaltens in simulierter Umgebung  Sichere AppStores autonom aufbauen, verwalten Beispiel: App-Analyse-Tool
Sicherheitscheck für Android-Apps Beispiel: App-Analyse-Tool
Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
Sicherheitsvorgaben:  Festlegen und kommunizieren  Durchgehendes Sicherheitskonzept mit abgestimmten Maßnahmen  Einzelmaßnahmen erzeugen trügerisches Sicherheitsgefühl Kontrollieren und Sanktionieren  Kontinuierliche Überprüfung Prozesse gestalten
Bildung gestalten: Zielgruppenspezifisch
Fordern  Haftungsregelungen für Software, IT Haftpflicht?  Regulieren: Sicherheits-Testate, Zertifikate fordern! Fördern  Nationale Sicherheitsindustrie fördern  Incentivierung: bei nachweislich hohem Schutzniveau Politische Rahmen gestalten
Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
Alle gesellschaftlichen Kräfte einbinden Chancen für die Forschung  Innovative Sicherheitslösungen Chancen für Unternehmen  Security made in Germany als Label  Marktvorteile durch Know-how Schutz Chancen für die Politik:  Bildungs- und Industriepolitik gestalten Cyber Sicherheit gestalten!
Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: claudia.eckert@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de

Recommandé

Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
Fraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
Fraunhofer AISEC
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
Fraunhofer AISEC
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-Sicherheit
ITWissen.info
 

Recommandé

Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Fraunhofer AISEC
 
Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
Fraunhofer AISEC
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
Fraunhofer AISEC
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
Fraunhofer AISEC
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
Fraunhofer AISEC
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
Filipe Felix
 
Glossar IT-Sicherheit
Glossar IT-SicherheitGlossar IT-Sicherheit
Glossar IT-Sicherheit
ITWissen.info
 
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Ivanti
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
A. Baggenstos & Co. AG
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
Fraunhofer AISEC
 
Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006
kaestnja
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
Werner Buhre
 
Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
Fraunhofer AISEC
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
ICT Economic Impact
 
ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
ESET | Enjoy Safer Technology (Deutsch)
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
ESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET - Antivirus vs. Malware
ESET - Antivirus vs. Malware
ESET | Enjoy Safer Technology (Deutsch)
 
Sichere IT-Systeme
Sichere IT-SystemeSichere IT-Systeme
Sichere IT-Systeme
Sven Wohlgemuth
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
bhoeck
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
WM-Pool Pressedienst
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
Allessandra Negri
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - ProphylaxeCyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
jiricejka
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
Alexander Benoit
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Fujitsu Central Europe
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte Industrie
Florian Brunner
 
Integriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile GeraeteIntegriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile Geraete
Sven Wohlgemuth
 
ESET - Unternehmensprofil
ESET - UnternehmensprofilESET - Unternehmensprofil
ESET - Unternehmensprofil
ESET | Enjoy Safer Technology (Deutsch)
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
go4mobile ag
 

Contenu connexe

Tendances

Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Ivanti
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
Werner Buhre
 

Tendances (6)

Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
Schützen Sie Ihr Unternehmen mit einem mehrstufigen Lösungsansatz für AntiPh...
 
Fraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativFraunhofer AISEC - Mit Sicherheit innovativ
Fraunhofer AISEC - Mit Sicherheit innovativ
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006Comprehensive Security Concept For Process Control Systems V2006
Comprehensive Security Concept For Process Control Systems V2006
 
+ Self Defending Network V2
+ Self Defending Network V2+ Self Defending Network V2
+ Self Defending Network V2
 

Similaire à Cybersecurity 2013 - Design for Security

Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
Peter Teufl
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
WM-Pool Pressedienst
 
ESET - Unternehmensprofil
ESET - UnternehmensprofilESET - Unternehmensprofil
ESET - Unternehmensprofil
ESET | Enjoy Safer Technology (Deutsch)
 
ESET - Das Unternehmen Vision Philosophie Werte
ESET - Das Unternehmen Vision Philosophie WerteESET - Das Unternehmen Vision Philosophie Werte
ESET - Das Unternehmen Vision Philosophie Werte
ESET | Enjoy Safer Technology (Deutsch)
 
ESET - Cyber Security
ESET - Cyber SecurityESET - Cyber Security
ESET - Cyber Security
ESET | Enjoy Safer Technology (Deutsch)
 

Similaire à Cybersecurity 2013 - Design for Security (20)

Sicherheit für das Energieinformationsnetz
Sicherheit für das EnergieinformationsnetzSicherheit für das Energieinformationsnetz
Sicherheit für das Energieinformationsnetz
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 
ESET Multi-Device Security
ESET Multi-Device SecurityESET Multi-Device Security
ESET Multi-Device Security
 
Rahmenbedingungen mobile security
Rahmenbedingungen mobile securityRahmenbedingungen mobile security
Rahmenbedingungen mobile security
 
ESET - Antivirus vs. Malware
ESET - Antivirus vs. MalwareESET - Antivirus vs. Malware
ESET - Antivirus vs. Malware
 
Sichere IT-Systeme
Sichere IT-SystemeSichere IT-Systeme
Sichere IT-Systeme
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?Wie sicher ist Ihre IT-Infrastruktur?
Wie sicher ist Ihre IT-Infrastruktur?
 
Microsoft security workshop kurz
Microsoft security workshop kurzMicrosoft security workshop kurz
Microsoft security workshop kurz
 
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - ProphylaxeCyberrisiken in der Zahnarztpraxis - Prophylaxe
Cyberrisiken in der Zahnarztpraxis - Prophylaxe
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
Sicherheit und Vertrauen - Herausforderungen und Chancen in einer digitalen G...
 
Cyber Security für vernetzte Industrie
Cyber Security für vernetzte IndustrieCyber Security für vernetzte Industrie
Cyber Security für vernetzte Industrie
 
Integriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile GeraeteIntegriertes Sicherheitssystem für mobile Geraete
Integriertes Sicherheitssystem für mobile Geraete
 
ESET - Unternehmensprofil
ESET - UnternehmensprofilESET - Unternehmensprofil
ESET - Unternehmensprofil
 
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
Enterprise Mobility Forum - Malware und Threat Protection auf iOS und Android...
 
Sicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - PräsentationSicherheit am Arbeitsplatz - Präsentation
Sicherheit am Arbeitsplatz - Präsentation
 
ESET - Das Unternehmen Vision Philosophie Werte
ESET - Das Unternehmen Vision Philosophie WerteESET - Das Unternehmen Vision Philosophie Werte
ESET - Das Unternehmen Vision Philosophie Werte
 
ESET - Cyber Security
ESET - Cyber SecurityESET - Cyber Security
ESET - Cyber Security
 
EN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 SicherheitsmodelleEN 6.3: 3 Sicherheitsmodelle
EN 6.3: 3 Sicherheitsmodelle
 

Plus de Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
Fraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
Fraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
Fraunhofer AISEC
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
Fraunhofer AISEC
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
Fraunhofer AISEC
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
Fraunhofer AISEC
 

Plus de Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 
Security for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded SystemsSecurity for Automotive with Multicore-based Embedded Systems
Security for Automotive with Multicore-based Embedded Systems
 
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und ComplianceSicherheit im Internet Sichere Identität, sichere Dienste und Compliance
Sicherheit im Internet Sichere Identität, sichere Dienste und Compliance
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
 
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und GesellschaftIT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
IT-Sicherheit: Herausforderungen für Wissenschaft und Gesellschaft
 
Landscape of Web Identity Management
Landscape of Web Identity ManagementLandscape of Web Identity Management
Landscape of Web Identity Management
 
Android OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical ReportAndroid OS Security: Risks and Limitations. AISEC Technical Report
Android OS Security: Risks and Limitations. AISEC Technical Report
 
Product Protection
Product ProtectionProduct Protection
Product Protection
 

Cybersecurity 2013 - Design for Security

  • 1. Design for Security Cyber Sicherheit gestalten! Claudia Eckert Fraunhofer AISEC TU München Cyber Security 2013, 3-te Handelsblattagung Berlin, 10.6. 2013 1
  • 2. Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
  • 3. Sicherheit durch und Sicherheit von vernetzten IKT-Systemen Cyber Sicherheit ist
  • 4. Unsicherheit durch vernetzte und unsichere IKT-Systeme Cyber Sicherheit: Heute
  • 5. Bedrohungslage Cyber-Angriffe nehmen zu  Jedes 4. Unternehmen Opfer von Cyber-Angriffen  Geänderte Täterstruktur:  Vom spezialisierten Einzeltäter zum  Kriminellen ohne Fachkenntnisse Produktpiraterie nimmt stark zu  VDMA Studie 2011: über 8 Milliarden Euro Schaden für Deutsche Maschinen- und Anlagenbauer Schäden weltweit: 290 Mrd. €. profitabler als globaler Handel mit Rauschgift.
  • 6. Sensorik  Automobil: über 80 Sensoren Funkschlüssel, Fernzugriff (GSM) • Drahtlos vernetzte Medizinische Geräte: Herzschrittmacher, Blutzuckerpumpe  Anlagensteuerung: SCADA (Stuxnet) Software-Systeme  Identitätsdiebstahl, Zugangsdaten,  Zugriff auf sensitive Daten  BYOD: Datenverluste (jede 2-te Firma) Bedrohungslage: Beispiele
  • 7. Flexispy für iPhone, Android Überwachen von Mobiltelefonen:  Live mithören,  SMS-lesen,  Mails lesen,  Raumüberwachung  Facebook Chat,  WhatsApp Chat  Telefonprotokoll,  GPS Ortung Beispiel: Mobile Endgeräte
  • 8. Unsichere Hardware/Sensorik: • Physisch angreifbar Unsichere Software-Systeme • Manipulierbar Ungeschützte High-Tech-Produkte • Kopierbar Faktor Mensch • Sorglos, bequem Problembereiche
  • 9. Mangelndes Bewusstsein:  90% der erfolgreichen Angriffe durch schwache oder mehrfach verwendete Passwörter: zB Name, Geburtsdaten, … Vertrauensselig:  Anruf von „System-Administrator“: … ich benötige dringend Ihr Passwort  Freizügige Datenweitergabe in Sozialen Netzen Beispiel: Faktor Mensch
  • 10. Technologie gestalten: • Sicherheitstechnologie, System-Design Prozesse gestalten • Leitlinien und Kultur ‚leben‘ Bildungsmaßnahmen gestalten • Nachhaltige Sensibilisierung Politische Rahmen gestalten • Fordern und Fördern These: Design4Security erforderlich
  • 11. Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
  • 12. Vertrauenswürdige Hardware • Effiziente Sicherheitsfunktionen: u.a. energieeffiziente Verschlüsselung • Fälschungssicherheit: u.a. nicht clone-bare Identität (PUF), nachweisliche Malware-Freiheit • Angriffstolerant: u.a. nicht manipulierbare Hardware Technologie gestalten
  • 13. Problem: Produktpiraterie, Know-How-Diebstahl  Ungeschützte Elektronik-Bauteile AISEC-Lösung PEP Schutzfolie http://ais.ec/pep  Untrennbare Verbindung von Hardware und Schutzfolie  Materialeigenschaften der Folie dienen als Sensoren  Schlüssel aus Folieneigenschaften erzeugt  Zerstörung der Folie: Firmware-Code wird gelöscht  Schutz vor Nachbau, Schutz vor Know-How-Abfluss Beispiel: Produkt- und Know-how-Schutz
  • 14. Sichere System-Architekturen • Prävention: u.a. Separierung • Detektion: u.a. Selbst-Schutz: kontinuierliches Monitoring • Reaktion: u.a. Selbst-Heilung: Abschalten, Re-Konfigurieren Beispiele Secure Smart Meter Sicheres Handy für ‘alle’ Unsichere Plattformen z.B. Android Virtual Machine Introspection Hardware, z.B. HSM, Multi-Core Sicheres Betriebssystem Technologie gestalten
  • 15. Problem  Datenabfluss, Identitätsdiebstahl, Schadsoftware in Unternehmen, … AISEC-Lösung Trust | ME: Sicheres Mobiles Endgerät  Verschiedene isolierte Bereiche, schneller, einfacher Wechsel  Sicherer Speicher, sichere Eingabe  Sicheres Geräte-Management, differenziertes Remote Wipe etc. Beispiel: Bring your Own Device: aber sicher!
  • 16. Systeme testen und sicher betreiben • Hardware Sicherheit u.a. Hardware-Trojaner, Seitenkanäle • Software-Sicherheit u.a. Code-Analysen, Tainting „Gesundheits“-Checks für Apps • Infrastruktur-Sicherheit: u.a. Cloud-Monitoring, Technologie gestalten
  • 17. Problem: Unsichere Apps  Apps: idR zu viele Zugriffsberechtigungen:  Informationslecks und Einschleusen von Schadcode AISEC-Lösung AppRay: Sicherheitschecks für Apps  Detaillierte Analyse der Zugriffe, Aktionen  Abgleich mit eingestellten Sicherheitsregeln  Testen des Verhaltens in simulierter Umgebung  Sichere AppStores autonom aufbauen, verwalten Beispiel: App-Analyse-Tool
  • 19. Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
  • 20. Sicherheitsvorgaben:  Festlegen und kommunizieren  Durchgehendes Sicherheitskonzept mit abgestimmten Maßnahmen  Einzelmaßnahmen erzeugen trügerisches Sicherheitsgefühl Kontrollieren und Sanktionieren  Kontinuierliche Überprüfung Prozesse gestalten
  • 22. Fordern  Haftungsregelungen für Software, IT Haftpflicht?  Regulieren: Sicherheits-Testate, Zertifikate fordern! Fördern  Nationale Sicherheitsindustrie fördern  Incentivierung: bei nachweislich hohem Schutzniveau Politische Rahmen gestalten
  • 23. Gliederung 1. Bedrohungslage 2. Technologie sicher gestalten 3. Prozesse, Bildung und Politik gestalten 4. Take Home Message
  • 24. Alle gesellschaftlichen Kräfte einbinden Chancen für die Forschung  Innovative Sicherheitslösungen Chancen für Unternehmen  Security made in Germany als Label  Marktvorteile durch Know-how Schutz Chancen für die Politik:  Bildungs- und Industriepolitik gestalten Cyber Sicherheit gestalten!
  • 25. Vielen Dank für Ihre Aufmerksamkeit! Claudia Eckert Fraunhofer AISEC, München TU München, Lehrstuhl für Sicherheit in der Informatik E-Mail: claudia.eckert@aisec.fraunhofer.de Internet: http://www.sec.in.tum.de http://www.aisec.fraunhofer.de