SlideShare une entreprise Scribd logo

AISEC IT-Sicherheit Newsletter 1/2012

Fraunhofer AISEC
Fraunhofer AISEC

Inhalt: ausgewählte Themen, an denen wir beim Fraunhofer AISEC derzeit arbeiten und in Projekten mit Partnern aus der Industrie umsetzen. Es geht natürlich um IT-Sicherheit, genauer um angewandte und integrierte IT-Sicherheit, es geht um Forschung und Innovationen.

1  sur  6
Télécharger pour lire hors ligne
F r A u n h o F E r r E S E A r C h I n S T I T u T I o n F o r A p p l I E d A n d I n T E g r AT E d S E C u r I T y AISEC Newsletter 01|12 Liebe Leserinnen und Leser, ich wünsche Ihnen ein erfolgreiches Jahr 2012. Ein Jahr, das viele SIT-München wird Fraunhofer AISEC Presseinformation 6.7.2011 Herausforderungen mit sich bringt. Ein Thema wird auch in diesem Jahr ein Dauerbrenner bleiben: die IT-Sicherheit. Die erfolgreichen Cyberangriffe auf Webseiten und Server von Unternehmen und Be- hörden haben uns zahlreiche Schwachstellen eindrucksvoll vor Au- gen geführt und mahnen uns, unsere Anstrengungen bei der Absi- cherung der IT-Systeme zu intensivieren. Daran arbeiten wir beim Fraunhofer AISEC mit Nachdruck. Im Zentrum unserer Forschungs- und Entwicklungsarbeiten in Garching bei München steht die an- Die Münchner Projektgruppe Sicherheit und Zu- verlässigkeit des Fraunhofer SIT wird zum 1. Juli gewandte und integrierte Sicherheit. Wir bieten unsere Expertise in eine selbstständige Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit. Dies be- Innovation braucht Sicherheit und allen Bereichen der IT-Sicherheit von Embedded Security über Au- schloss der Senat der Fraunhofer-Gesellschaft. Sicherheit braucht Forschung! In München arbeiten die Forscher daran, die Si- tomotive und Smart Grid Security bis hin zu Cloud Security und cherheit von Cloud-Computing und Eingebette- Presseinformation 14.9.2011 Produktschutz an. Mehr als 80 kompetente Mitarbeiterinnen und ten Systemen zu erhöhen. Weitere Ziele sind, Produktpiraterie zu verhindern oder vernetzte Mitarbeiter leisten im AISEC ihren Beitrag dazu. Unser Motto lautet kritische Infrastrukturen zu schützen. »Mit Sicherheit innovativ!« Wir stellen damit an uns den An- spruch, den Innovationsstandort Deutschland zu stärken und Unter- nehmen dabei zu unterstützen, ihre Produkte und Dienstleistungen gegen Angriffe jedweder Art zu schützen. Betrachten wir beispiels- weise den Bereich der Eingebetteten Systeme: Elektronische Steue- Unter dem Leitthema »Mit Sicherheit innova- rungselemente sind mittlerweile Bestandteil vieler Investitions- und tiv!« feierte am Montag, den 12. September FraunhoFer research InstItutIon For a p p l I e d a n d I n t e g r at e d s e c u r I t y 2011, Fraunhofer AISEC seine Eigenständigkeit Konsumgüter. Der Schaden durch Plagiate erreicht allein in Deutsch- Schutz eingebetteter SySteme vor mit einem Festakt und einer Technologieausstel- lung. Die über 200 interessierten Besucher land jährlich einen dreistelligen Millionenbetrag. Zudem geht von ProduktPiraterie technologiScher hintergrund und vorbeugemaSSnahmen konnten sich hautnah die innovativen Technolo- gefälschten Produkten eine Gefahr für die Nutzer dieser Produkte bartol FiliPoviĆ, oliver Schimmel 10/2011 gien von den AISEC Forschern und Forsche- rinnen erläutern lassen (von links nach rechts: aus. Wir haben die Angriffstechniken genau analysiert und Prof. Dr. Wolfgang A. Herrmann, Staatsminister Martin Zeil, Prof. Dr. Claudia Eckert, Prof. Dr. die AISEC-Forscher entwickeln Gegenmaßnahmen, um Fälschun- Hans-Jörg Bullinger und Prof. Dr. Georg Sigl). gen wirksam zu verhindern. Die Schwerpunkte unserer ange- wandten Forschung werden auch in diesem Jahr im Bereich Embe- dded Security, Netzwerksicherheit und Cloud-Sicherheit liegen. Woran wir aktuell arbeiten, können Sie stets auf unsere Webseite www.aisec.fraunhofer.de erfahren oder sich auf einer der dies- jährigen Messen informieren. Eine Übersicht mit unseren Präsenzen finden Sie am Ende dieses Newsletters. Wir würden uns über einen Besuch und den fachlichen Austausch sehr freuen. Bis dahin wün- sche ich Ihnen ein sicheres Jahr 2012 sowie eine erkenntnisstei- gernde Lektüre der folgenden Artikel. Ihre Claudia Eckert
PrIVIDOr – PrIVacy VIOlatION DetectOr dATE n S A M M l E r n A u F d E r S p u r Webseiten sind angereichert mit besuchte Websites in Erfahrung zu brin- onen durchführen wollen, wird das Verhal- Funktionen, um mit dem Benutzer gen, z. B. welche sozialen Netzwerke be- ten aufgezeichnet und protokolliert. Mithilfe in Interaktion zu treten. Das kann sucht oder welche Onlinebanking-Dien- der angepassten Firefox-Version und eines gewünschte, aber für den Benutzer ste von einem Benutzer regelmäßig in speziellen Add-ons wird das erzeugte Lauf- auch ungewünschte Wirkung entfal- Anspruch genommen werden. zeitverhalten sowie JavaScript-Aufrufe auf ten. Diese reicht von einfacher Pro- n CSS History Hacks ermöglichen das Aus- DOM-Objekte festgehalten. Prividor kann tokollierung der Lesegewohnheiten lesen der Browser History auch bei deak- dabei auch unterschiedliche Browsertypen bis hin zu Drive-by Downloads von tiviertem JavaScript. simulieren, um etwa Aktionen zu erkennen, Malware. Das Forschungsvorhaben n Cookies, Flash-Cookies (auch als Local die speziell für bestimmte Browser entwi- PRIVIDOR (PRIvacy VIolation Detec- Shared Objects bekannt) sind die wohl ckelt wurden. Die gesammelten Daten wer- tOR) erstellt im Auftrag des Bundes- bekanntesten Varianten zur Identifizie- den in Berichten zusammengefasst und beauftragten für den Datenschutz rung von Nutzern oder Systemen. Sie er- Veränderungen fortgeschrieben. und die Informationsfreiheit eine möglichen die langfristige Speicherung Lösung, um automatisiert daten- nutzerbezogener Daten. schutz-bedenkliche Vorgänge auf n DOM Storage erlaubt die Speicherung Webseiten zu erkennen und zu do- von nutzerbezogenen Daten über erwei- kumentieren. Dazu hat Fraunhofer terte Funktionen des Document Object AISEC ein Werkzeug zur Webseiten- Models. Über DOM Storage können Da- analyse entwickelt, das auf Internet- ten in wesentlich größerem Umfang ge- seiten gezielt nach Anzeichen für speichert werden als herkömmlichen Datenschutzverstöße sucht. Cookies. Zudem können die gespeicher- ten Daten Domain-übergreifend ausgele- Das Software-Tool PRIVIDOR spürt Daten- sen werden. schutzverletzungen auf Websites auf. Mit n Formulare sammeln in vielen Fällen per- dem neuen Werkzeug will der Bundesdaten- sönliche Daten der Nutzer. Diese werden schutzbeauftragte Peter Schaar künftig die vielfach unverschlüsselt übertragen und Webauftritte der Bundesbehörden sowie sind somit von Dritten leicht abzufangen der Post- und Telekommunikationsunter- und auszuwerten. nehmen, die in seinen Aufgabenbereich fal- Manche dieser Technologien werden bereits Prividor entgeht nichts: Datenschutzverletzun- len, kontrollieren. Einige tausend öffentliche beim Aufsuchen der Seiten aktiv, andere gen auf Webseiten werden vom Software-Tool Stellen mit ihren Internetangeboten kämen entfalten ihre Wirkung erst in der Interakti- aufgespürt. laut Schaar in Betracht. on mit dem Benutzer. Nach einer Testphase im eigenen Haus pla- Das Werkzeug, das von Peter Schoo, Leiter PRIVIDOR ist in der Lage, den Einsatz dieser ne der Bundesdatenschutzbeauftragte Peter des Forschungsbereichs Netzsicherheit und Techniken zu identifizieren. Um eine Analy- Schaar, PRIVIDOR auch den Landesdaten- Frühwarnsysteme, und seinem Team entwi- se durchzuführen, simuliert PRIVIDOR das schutzbeauftragten zugänglich zu machen, ckelt wurde, prüft die Webseiten auf da- Verhalten eines normalen Nutzers. Indem erklärte er bei der Projektübergabe. Diese tenschutzrechtliche Probleme und erstellt ein automatisiert gesteuerter Firefox-Brow- sind auf Landesebene für den Schutz der anschließend detaillierte Berichte über die ser die zu prüfenden Seiten aufruft, dar- Privatsphäre im Internet zuständig. Als wei- Ergebnisse. Dabei wird die Verwendung stellt und dynamische Inhalte ausführt, kön- teren denkbaren Schritt könnte sich Schaar von verschiedenen Techniken untersucht: nen die Aktionen der aufgerufenen Seiten auch vorstellen, das aus dem Forschungse- n Web Analytics und User Tracking proto- nachvollzogen und protokolliert werden. tat der Behörde bezahlte Werkzeug der All- kolliert das Surfverhalten von Benutzern gemeinheit zur Verfügung zu stellen. einer Seite und ermöglicht eine Korrela- Über eine Webschnittstelle legen die Prüfer tion dieser Daten über lange Zeiträume. Listen zu beobachtender Seiten und von Kontakt: n JavaScript erlaubt das Auslesen privater Webdiensten an. Diese arbeitet der präpa- peter.schoo@aisec.fraunhofer.de n Informationen wie der Browser History, rierte Browser ab. Findet er Programm- Weitere Informationen: www.prividor.eu um damit Informationen über bereits schritte, die die oben beschriebenen Akti- 2
Umabasa – UNclONable materIal-baseD secUrIty archItectUre SI C h E r E C h I p kA rT E n Fü r d IE Z ukunFT Jeder von uns trägt heute zahl- ihn umgebenden physikalischen, nicht re- reiche Chipkarten bei sich. Sie ver- produzierbaren Strukturen soll durch die schaffen uns Zugang zu Gebäuden, Verwendung einer Physical Unclonable steuern Bank- und Kreditapplikati- Function (PUF) erreicht werden. Das Verfah- onen oder legitimieren uns mit dem ren macht sich die Materialeigenschaften neuen Personalausweis. Der Schutz der verschiedenen Bauteile einer Chipkarte der Chipkarten vor Missbrauch und als auch der umliegenden Kartenstrukturen Fälschung muss deshalb für die ge- zunutze. »Jedes Bauteil verfügt über eine samte Lebensdauer, auch gegen bis- Art individuellen Fingerabdruck, da bei der her unbekannte Arten von Angrif- Produktion unweigerlich kleine Unter- fen, gewährleistet werden. schiede zwischen den Komponenten ent- stehen«, erklärt Dr. Frederic Stumpf, Be- Chipkarten haben sich in der Vergangenheit reichsleiter Embedded Security & Trusted Klonen nicht möglich: Ein Chip mit einem di- bewährt. Durch neuartige Angriffsarten ist OS am Fraunhofer AISEC, den Ansatz. So gitalen Fingerabdruck ist vor Missbrauch und die Sicherheit derzeitiger Chipgenerationen kommt es bei Leiterbahnen beispielsweise Fälschung geschützt. jedoch gefährdet. Invasive Angriffe, z.B. op- während des Fertigungsprozesses zu mini- tische Analysen oder Manipulationen mit malen Schwankungen der Dicke oder Län- Im Gegensatz zu herkömmlichen Ansätzen einem fokussierten Ionen-Strahl, erlauben ge. Diese Abweichungen haben zwar kei- wird der geheime Schlüssel nicht in der tiefe Einblicke und gezielte Eingriffe in nen Einfluss auf die Funktionalität, können Hardware gespeichert, sondern auf Anfra- Chipkarten-Prozessoren. Findige Daten- jedoch genutzt werden, um daraus einen ge jedes Mal neu erstellt. Da der Schlüssel diebe könnten die integrierten Schutzme- kryptographischen Schlüssel zu erstellen. direkt von den aktuellen Systemeigenschaf- chanismen durch Analyse der physika- ten abhängt, ist es deutlich schwieriger, ihn lischen Eigenschaften aushebeln. Eine Ein Beispiel dafür ist eine Schaltung mit zu extrahieren und zu klonen. Denn Atta- mögliche Lösung für die derzeitigen Pro- Verzögerungspfaden, welche durch unkon- cken auf den Chip würden physikalische bleme ist deshalb ein integrales Schutzkon- trollierbare Fabrikationsunterschiede bei der Parameter verändern – und damit auch die zept, das eine Kombination der Prozesse Chip-Herstellung entsteht. Eine solche einzigartige Struktur verfälschen oder zer- des Mikrochips mit den nicht reproduzier- Schaltung gibt für jeden damit ausgestat- stören. Der Sicherheitschip wird dadurch in baren Strukturen der Trägerkarte vorsieht. teten Chip charakteristische Antworten auf die Lage versetzt, selbständig zu erkennen, eingegebene Anfragen bzw. Anregungen ob er in seiner Original-Trägerkarte oder Gemeinsam mit dem Chiphersteller NXP und wirkt daher wie ein Schlüsselspeicher. einem manipulierten Kartenklon operiert. Semiconductors Germany GmbH und der Wird eine Manipulation erkannt, so kann Bundesdruckerei GmbH bereitet das Ein PUF-Modul kann dabei prinzipiell in je- die Funktionalität der Karte blockiert wer- Fraunhofer AISEC im Rahmen des vom Bun- den Chip integriert werden. AISEC-Forscher den. Die Sicherheitsarchitektur kombiniert desministerium für Bildung und Forschung haben in der Vergangenheit bereits zwei dabei physikalische, optische und mathe- (BMBF) geförderten Forschungsprojektes Prototypen entwickelt: einen Butterfly PUF matische Effekte als Sicherheitsmerkmale, UMABASA einen Weg für die nächsten Ge- und einen Ringoszillator PUF. Beide haben die ein nach heutigem Kenntnisstand sehr neration von hochsicheren Chipkarten vor. spezielle Eigenschaften und lassen sich in hohes Sicherheitsniveau erreichen. Die drei Partner entwickeln eine Chipkarten- Hardware-Komponenten wie FPGAs, Mi- architektur, auf denen zukünftig krypto- krochips und Smartcards implementieren. graphische Schlüssel nicht mehr binär ge- »Herzstück ist eine Messschaltung, bei- speichert werden müssen. Damit fällt ein spielsweise ein Ringoszillator: Dieser er- lukratives Angriffsziel für die Angreifer weg. zeugt ein charakteristisches Taktsignal, das Rückschlüsse auf die genauen Material- UMABASA ist ein Akronym für »Unclonable eigenschaften des Chips zulässt. Spezielle Material-Based Security Architecture« und Sensoren lesen diese Messdaten anschlie- Kontakt: steht für eine untrennbare kryptographi- ßend aus und generieren aus ihnen den frederic.stumpf@aisec.fraunhofer.de n sche Kopplung von Mikrochips und Träger- bauteilspezifischen Schlüssel«, erläutert Dr. Weitere Informationen: www.aisec.fraunhofer.de karten. Diese Kopplung des Mikrochips mit Frederic Stumpf. 3
smart meter secUrIty I nTEll I g E n T gE n u g Fü r d IE Z u kunFT? Die zunehmende Einspeisung von und Energieversorgung zu gefährden – mit Strom aus dezentralen Energiequel- weitreichenden Folgen für die Volkswirt- len, aber auch veränderte Bedarfs- schaft. felder stellen künftige Energiever- sorgungssysteme vor ganz neue Entsprechend hoch sind die Anforderungen Herausforderungen. Abhilfe soll das an die Endgeräte. Die Kommunikation zwi- intelligen te Stromnetz Smart Grid schen den beteiligten Geräten muss vor schaffen, das eine flexiblere Ener- dem Einschleusen falscher Daten ebenso gieversorgung garantiert. Wichtiger geschützt werden wie die Dienste zur Erfas- Bestandteil sind intelligente Strom- sung des Stromverbrauch und der Abrech- zähler, Smart Meter, die eine ge- nung. naue Erfassung der Stromnutzung Den Dingen auf den Grund gehen. Im Labor ermöglichen. Seit Januar 2010 sind werden Schwachstellen von Hardware analy- Dr. Frederic Stumpf und sein Team haben siert – auch wenn sie tief verborgen sind. diese in Deutschland für Neubauten sich deshalb handelsübliche Smart Meter und bei Komplettsanierungen vor- nete Schutzmaßnahmen müssen von Anbe- angesehen und gezielt nach Angriffspunk- geschrieben und werden in Zukunft ginn in die Infrastrukturen integriert wer- ten gesucht. »Die Ergebnisse waren überra- in den meiseten Haushalten instal- den, um derartige Angriffe weitgehend zu schend«, so Stumpf. »Sind die Informa- liert sein. Für einen Angreifer stel- vermeiden und um zu verhindert, dass ma- tionen auf dem Übertragungsweg weitge- len Smart Meter interessante An- nipulierte Smart Meter im Smart Grid zu hend unangreifbar und durch starke krypto- griffsziele dar, um bspw. Tatwerkzeugen mutieren.« graphische Algorithmen gut geschützt, so manipulierte Verbrauchszahlen an tun sich am Stromzähler große Lücken auf.« den Energieversorger zu senden. Die Angriffsszenarien in einem von dezen- So sind die Schnittstellen zwischen den Ge- Das Smart Grid Security Testlabor tral erzeugten Informationen abhängigen, rätekomponenten häufig leicht zu umge- am Fraunhofer AISEC hat deshalb rückgekoppelten Netz sind vielfältig: Beim hen und dadurch ausgetauschte Daten und marktübliche Smart Meter gezielt Verbraucher installierte Smart Meter und Protokolle einfach mitzulesen – und zu ma- auf die Möglichkeiten der Kompro- Gateways können beispielsweise zum nipulieren. Besonders einfach und damit mittierung untersucht – und zahl- Stromdiebstahl missbraucht werden. Sie gefährlich, wird der Angriff, wenn bis auf reiche Schwachstellen gefunden. könnten aber auch im schlimmsten Fall, das Betriebssystem hinab zugegriffen wer- ähnlich einem Botnet, in großer Zahl dazu den kann. In diesem Fall liegen alle Routi- Smart Meter sind in ein Kommunikations- herangezogen werden, ein Stromnetz nen offen; einer gezielten Manipulation netz eingebunden. Das heißt, sie stehen in durch manipulierte Erzeuger- oder Ver- steht nichts mehr im Weg. Sogar die kryp- permanentem Kontakt mit den Stromnetz- brauchsdaten zum kollabieren zu bringen tographischen Schlüssel sind damit zugäng- betreibern und werden von diesen fernaus- lich und können beliebig kopiert und gege- gelesen. Smart Meter werden aber in Zu- benenfalls manipuliert werden. kunft nicht nur Informationen liefern, sondern könnten auch steuernde Funkti- Die Forscher am Fraunhofer AISEC analysie- onen übernehmen. Das gibt ihnen eine be- ren existierende Smart Grid Komponenten, sondere sicherheitstechnische Bedeutung, entwickeln sichere Smart Meter auf der zumal sie sich physisch an Orten befinden, Basis des Schutzprofils des Bundesamts für die sich der Kontrolle und Aufsicht der Sicherheit in der Informationstechnik (BSI), Stromnetzbetreiber entziehen. konzipieren Smart Grid Referenzarchitektu- ren und beraten Bedarfsträger beim Aufbau »Wie der Stuxnet Wurm Mitte 2010 ein- und Betrieb sicherer Smart Grids. drucksvoll gezeigt hat, sind auch formal ab- geschottete Steuerungsnetze wie industri- Kontakt: Smart Meter sind ein Baustein des Intelligenten elle Steuerungsanlagen nicht automatisch Stromnetzes (Smart Grid). Deren Sicherheit so- frederic.stumpf@aisec.fraunhofer.de n gegen erfolgreiche Angriffe resistent«, gibt wie die Sicherheit der gesamten IT-Infrastruktur Weitere Informationen: sind entscheidend für den Erfolg von Smart www.aisec.fraunhofer.de Dr. Frederic Stumpf zu bedenken. »Geeig- Grid. 4
clOUD labOr MI T d E M A u T op IloT d u r C h d IE Cloud Viele Unternehmen zögern, ihre Da- spezielles Verschlüsselungskonzept, das ten oder gar kritische Teile ihrer IT- Informationen vor dem unbefugten Zu- Infrastruktur einem Cloud-Anbieter griff Dritter schützt und nur bei Bedarf zu übergeben. Grund dafür sind oft diejenigen Informationen entschlüsselt, Unsicherheit und Unerfahrenheit in die wirklich benötigt werden. Zur Mes- Sachen Datensicherheit, Compliance sung der Sicherheit von Cloud-Diensten und Verfügbarkeit. haben die Entwickler Kennwerte ermit- Damit Anbieter technische und or- telt. Diese beinhalten Messwerte zur Ver- ganisatorische Sicherheitsanforde- fügbarkeit und anderen überprüfbaren Den Überblick behalten: Im Dasboard des Cloud-Leitstand laufen alle wichtigen Kenn- rungen entsprechend der Compli- Sicherheitsmaßnahmen, mit denen das Si- zahlen zusammen und bieten dem Anwender einen klaren, umfassenden Überblick über das ance-Anforderungen ihrer Kunden cherheitsniveau des Anbieters festgestellt System und den Status seiner Prozesse. auch in der Cloud erfüllen können, werden kann. Dadurch können Unterneh- hat das Fraunhofer AISEC unlängst men prüfen, ob das jeweilige System den ei- möglicht. Die große Schwierigkeit für den ein Cloud-Labor in Betrieb genom- genen Anforderungen genügt. Falls nicht, Anwender bestehe vor allem darin, gegen- men. Dort testet das Team um Be- lassen sich die Daten speziell abgesichert über den undurchsichtigen Cloud-Struk- reichsleiter Mario Hoffmann ver- von einer Cloud in eine andere verschieben. turen Vertrauen in deren Sicherheit aufzu- schiedene Aspekte der System- und bauen. Das gelingt am einfachsten, wenn Sicherheitsarchitektur der zugrunde In einer Studie, die das Team am Fraunhofer der Nutzer eine Definition seiner individu- liegenden Cloud-Betriebssysteme AISEC vor kurzem abgeschlossen hat, stel- ellen Sicherheitsanforderungen aufstellt, aus dem kommerziellen und dem len die Forscher systematisch einen »Ver- damit er die Sicherheitsfunktionen alterna- Open Source Bereich, aber auch die gleich der Sicherheit traditioneller IT-Syste- tiver Anbieter vergleichen kann. Zuverlässigkeit von Standardfunkti- me und Public Cloud Computing Systeme« onen wie virtuellen Instanzen oder an. Darin stellen sie fest, dass Sicherheitsa- Um solche Vergleiche zu ermöglichen aber Fail-over auf Belastungen wie etwa spekte von Cloud-Anbietern meist zurück- auch um den aktuellen Sicherheitslevel ei- Denial of Service-Angriffe (DOS). haltend behandelt werden. »Hervorgeho- ner Cloud bestimmen zu können, trägt das ben wird stets die betriebswirtschaftliche Fraunhofer AISEC in seiner jüngsten Entwick- Das Cloud-Labor des Fraunhofer AISEC be- Vorteilhaftigkeit von Cloud-Services, Sicher- lung, dem sogenannten »Cloud-Leitstand«, gnügt sich nicht nur mit der Analyse der heitsimplikationen hingegen werden oft Kennzahlen zusammen, die für ein bestimm- bestehenden Betriebs- und Anwendungssy- unsystematisch und per se nachteilig darge- tes Cloud-Ökosystem zur Verfügung stehen. steme. Es entwickelt ebenfalls Lösungen stellt. Auf diesem Wege werden bereits im Diese werden sodann gefiltert, aggregiert zur Datenverschlüsselung, Datenüberwa- Vorhinein weitergehende Auseinanderset- und interpretiert und schließlich zu aussage- chung und automatischen Datenverschie- zungen mit der Sicherheit in Cloud Compu- kräftigen Statusmeldungen über das Gesamt- bung in der Cloud. Cloud Computing bietet ting Systemen verhindert. Daraus entsteht system zusammengefasst. »In der Praxis er- Anwendern die Möglichkeit, ihre Prozesse in der Eindruck, dass die Sicherheit von SaaS möglichen wir so vom Administrator bis zum virtualisierten Arbeitsumgebungen auszu- Anwendungen keinerlei Vorteile gegenüber Manager eine zielgruppengerechte Aufberei- führen, die transparent für den Anwender On-Premise-Lösungen besitzt.« tung des jeweiligen Sicherheitsstatus einer von Server zu Server transportiert werden Cloud«, stellt Mario Hoffmann fest. »Mit und damit auch unbemerkt Rechenzen- In der Untersuchung kommen die Forscher dem Cloud-Leitstand gelingt es uns, die in trums- und Ländergrenzen überschreiten zu einem differenzierten Ergebnis. Es wird einem Cloud-Ökosystem zur Verfügung ste- können, was nicht nur bei regulatorischen deutlich, dass fortwährende Investitionen henden Informationen über den Systemzu- Anforderungen ein großes Problem darstel- der Anbieter auf allen technologischen Ebe- stand übersichtlich darzustellen. So wird Si- len kann. Damit Unternehmen das Risiko für nen eines Cloud Computing Systems zu cherheit für Anbieter wie für Anwender ihre Daten dennoch einschätzen und kon- einem ansteigenden Automatisierungsgrad selbstverständlicher Teil der Cloud-Nutzung.« trollieren können, haben Mitarbeiter des führen. Im Vergleich zu traditionellen IT-Sys- Fraunhofer AISEC Lösungen entwickelt, mit temen wird auf diese Weise vor dem Hin- Kontakt: mario.hoffmann@aisec.fraunhofer.de n denen sich das Sicherheitsniveau von Cloud- tergrund der Arbeitsteilung und Spezialisie- Weitere Informationen: Angeboten messen und Daten auch in der rung ein effektiverer und effizienterer Um- www.cloudsecuritylab.de www.aisec.fraunhofer.de Cloud schützen lassen. Grundlage bildet ein gang mit Bedrohungen der Sicherheit er- 5
Impressum Herausgeber: Redaktion: Bildnachweise: Fraunhofer Research Institution for Applied and Viktor Deleski Volker Steger: 4 Integrated Security AISEC Getty Images: 3 Parkring 4, Satz und Layout: Fotolia: 1 85748 Garching m@riondesign.de Tel.: +49 089 3229986-133 Fax.: +49 089 3229986-299 Text: presse@aisec.fraunhofer.de Bernhard Münkel www.aisec.fraunhofer.de MESSEN / VERANSTALTUNGEN +++ RSA Conference, 27.2.–2.3.2012, San Francisco +++ Embedded World, 28.2.–1.3.2012, Nürnberg +++ Mobile World Congress, 27.2.–1.3.2012, Barcelona +++ CeBIT, 6.3.–10.3.2012, Hannover +++ Hannover Messe Industrie 23.4.–27.4.2012, Hannover +++ Aktuelle Termine zu Messen, Kongressen, Symposien unter: http://www.aisec.fraunhofer.de/de/messen-veranstaltungen.html THREAT VECTORS 2012 BITKOM: HIGHTECH-TRENDS 2012 Die amerikanische Zeitschrift infosecurity befragte mehr als 20 IT-Si- cherheits-Unternehmen nach den größten Bedrohungen für 2012. mobile APT social engeneering Iinfrastructure BYOD targeted social media SQL/XSS DOoS privacy others Quelle: eigene Grafik, erstellt nach http://www.infosecurity-magazine.com/view/22567/2012-threat- Quelle: http://www.bitkom.org/de/presse/8477_70999.aspx predictions-an-industry-roundup/ FRAUNHOFER AISEC IN DEN SOCIAL MEDIA Fraunhofer AISEC @FraunhoferAISEC München | Munich Hier twittert das PR-Team der Fraunhofer Research Institution for Applied and Integrated Security AISEC | http://bit.ly/AISEC_impressum http://www.aisec.fraunhofer.de http://gplus.cm/FraunhoferAISEC LINKS n Studie: Smart Grid Communications 2020 http://www.esk.fraunhofer.de/de/publikationen/studien/SmartGrid2020.html n Infomaterial: Produktschutz (Verband Deutscher Maschinen- und Anlagenbau e.V.) http://www.vdma.org/wps/portal/Home/de/Branchen/K/KUG/Produktschutz?WCM_GLOBAL_CONTEXT=/vdma/Home/de/ Branchen/K/KUG/Produktschutz n Video: »Der Spion im Keller« – Bayerischer Rundfunk (Kontrovers) http://www.br.de/fernsehen/bayerisches-fernsehen/sendungen/kontrovers/111109-kontrovers-smartmeter104.html

Recommandé

Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
Fraunhofer AISEC
 
Qualität der Innenraumluft
Qualität der InnenraumluftQualität der Innenraumluft
Qualität der Innenraumluft
GreenFacts
 
Drones
DronesDrones
Drones
Majed Khalil
 
GALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPTGALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPT
Johann HUMER
 
MANUALIDADES 2
MANUALIDADES 2MANUALIDADES 2
MANUALIDADES 2
aociaciondealumnos
 
Que es un blog
Que es un blogQue es un blog
Que es un blog
Xavier Fajardo
 
1st unit hp
1st unit hp1st unit hp
1st unit hp
ALBERTO CAICEDO
 
Platica delitos sexuales
Platica delitos sexualesPlatica delitos sexuales
Platica delitos sexuales
Debbie Palacios Carmona
 

Recommandé

Marktchancen mit IT-Sicherheit
Marktchancen mit IT-SicherheitMarktchancen mit IT-Sicherheit
Marktchancen mit IT-Sicherheit
Fraunhofer AISEC
 
Qualität der Innenraumluft
Qualität der InnenraumluftQualität der Innenraumluft
Qualität der Innenraumluft
GreenFacts
 
Drones
DronesDrones
Drones
Majed Khalil
 
GALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPTGALLER _ Almwirtschaft Bewirtschaftung PPT
GALLER _ Almwirtschaft Bewirtschaftung PPT
Johann HUMER
 
MANUALIDADES 2
MANUALIDADES 2MANUALIDADES 2
MANUALIDADES 2
aociaciondealumnos
 
Que es un blog
Que es un blogQue es un blog
Que es un blog
Xavier Fajardo
 
1st unit hp
1st unit hp1st unit hp
1st unit hp
ALBERTO CAICEDO
 
Platica delitos sexuales
Platica delitos sexualesPlatica delitos sexuales
Platica delitos sexuales
Debbie Palacios Carmona
 
Sitios web
Sitios webSitios web
Sitios web
Ricardo Crespo
 
07 el juego_cooperativo
07 el juego_cooperativo07 el juego_cooperativo
07 el juego_cooperativo
milalopez123
 
Actividad 1 Comercio Electrónico
Actividad 1 Comercio Electrónico Actividad 1 Comercio Electrónico
Actividad 1 Comercio Electrónico
Elizama T
 
Expocicion compu aplicada
Expocicion compu aplicadaExpocicion compu aplicada
Expocicion compu aplicada
Jorge Chaglla
 
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZStartup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Johann HUMER
 
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Johann HUMER
 
Diapos admisnitracion final (1)
Diapos admisnitracion final (1)Diapos admisnitracion final (1)
Diapos admisnitracion final (1)
Eduardo Melendez
 
Que es la yerba mate
Que es la yerba mateQue es la yerba mate
Que es la yerba mate
francimivida
 
Tu decides
Tu decidesTu decides
Tu decides
Debbie Palacios Carmona
 
Strukturdaten 2013 - Bezirksregierung Köln
Strukturdaten 2013 - Bezirksregierung KölnStrukturdaten 2013 - Bezirksregierung Köln
Strukturdaten 2013 - Bezirksregierung Köln
Bürgerportal Bergisch Gladbach
 
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch GladbachEntwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Bürgerportal Bergisch Gladbach
 
Web Hosting
Web HostingWeb Hosting
Web Hosting
Roxsy Velasquez
 
Felicitación ceipjulio
Felicitación ceipjulioFelicitación ceipjulio
Felicitación ceipjulio
antoniodefrances
 
Meine geschichte
Meine geschichteMeine geschichte
Meine geschichte
sivagajan
 
Proyecto práctica final_v7
Proyecto práctica final_v7Proyecto práctica final_v7
Proyecto práctica final_v7
VeroFrank
 
\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...
\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...
\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...
Johann HUMER
 
Avances y proyecciones
Avances y proyeccionesAvances y proyecciones
Avances y proyecciones
vivilei1995
 
Gat 2
Gat 2Gat 2
Gat 2
Puru Sahdev
 
Capitulo ii
Capitulo iiCapitulo ii
Capitulo ii
Cristian Guaranga
 
Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
Fraunhofer AISEC
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
Fraunhofer AISEC
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
Fraunhofer AISEC
 

Contenu connexe

En vedette

07 el juego_cooperativo
07 el juego_cooperativo07 el juego_cooperativo
07 el juego_cooperativo
milalopez123
 
Expocicion compu aplicada
Expocicion compu aplicadaExpocicion compu aplicada
Expocicion compu aplicada
Jorge Chaglla
 
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZStartup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Johann HUMER
 
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Johann HUMER
 
Diapos admisnitracion final (1)
Diapos admisnitracion final (1)Diapos admisnitracion final (1)
Diapos admisnitracion final (1)
Eduardo Melendez
 
Meine geschichte
Meine geschichteMeine geschichte
Meine geschichte
sivagajan
 
Proyecto práctica final_v7
Proyecto práctica final_v7Proyecto práctica final_v7
Proyecto práctica final_v7
VeroFrank
 
Avances y proyecciones
Avances y proyeccionesAvances y proyecciones
Avances y proyecciones
vivilei1995
 

En vedette (19)

Sitios web
Sitios webSitios web
Sitios web
 
07 el juego_cooperativo
07 el juego_cooperativo07 el juego_cooperativo
07 el juego_cooperativo
 
Actividad 1 Comercio Electrónico
Actividad 1 Comercio Electrónico Actividad 1 Comercio Electrónico
Actividad 1 Comercio Electrónico
 
Expocicion compu aplicada
Expocicion compu aplicadaExpocicion compu aplicada
Expocicion compu aplicada
 
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZStartup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
Startup geschwächter Wiesen bei Duerre und Hochwasser_HUMER 2014_BZ
 
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
Die Biofarm der Königsfamilie, des Maharaja von Karauli Reisebericht über Raj...
 
Diapos admisnitracion final (1)
Diapos admisnitracion final (1)Diapos admisnitracion final (1)
Diapos admisnitracion final (1)
 
Que es la yerba mate
Que es la yerba mateQue es la yerba mate
Que es la yerba mate
 
Tu decides
Tu decidesTu decides
Tu decides
 
Strukturdaten 2013 - Bezirksregierung Köln
Strukturdaten 2013 - Bezirksregierung KölnStrukturdaten 2013 - Bezirksregierung Köln
Strukturdaten 2013 - Bezirksregierung Köln
 
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch GladbachEntwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
Entwurf: Einzelhandels- und Nahversorgungskonzept Bergisch Gladbach
 
Web Hosting
Web HostingWeb Hosting
Web Hosting
 
Felicitación ceipjulio
Felicitación ceipjulioFelicitación ceipjulio
Felicitación ceipjulio
 
Meine geschichte
Meine geschichteMeine geschichte
Meine geschichte
 
Proyecto práctica final_v7
Proyecto práctica final_v7Proyecto práctica final_v7
Proyecto práctica final_v7
 
\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...
\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...
\HUMER, Hufkultivierung - Fitnesskur für Weiden,Einsaaten mit Hufkultivierung...
 
Avances y proyecciones
Avances y proyeccionesAvances y proyecciones
Avances y proyecciones
 
Gat 2
Gat 2Gat 2
Gat 2
 
Capitulo ii
Capitulo iiCapitulo ii
Capitulo ii
 

Plus de Fraunhofer AISEC

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
Fraunhofer AISEC
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
Fraunhofer AISEC
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
Fraunhofer AISEC
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
Fraunhofer AISEC
 

Plus de Fraunhofer AISEC (20)

Fraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vornFraunhofer Magazin weiter.vorn
Fraunhofer Magazin weiter.vorn
 
Internet of (Every)Thing
Internet of (Every)ThingInternet of (Every)Thing
Internet of (Every)Thing
 
App Ray: 10000 Apps
App Ray: 10000 AppsApp Ray: 10000 Apps
App Ray: 10000 Apps
 
Produktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische GeräteProduktschutz-Technologien für elektronische Geräte
Produktschutz-Technologien für elektronische Geräte
 
Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013Cyber-Sicherheit - Newsletter 2013
Cyber-Sicherheit - Newsletter 2013
 
Native Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on AndroidNative Code Execution Control for Attack Mitigation on Android
Native Code Execution Control for Attack Mitigation on Android
 
An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition An Antivirus API for Android Malware Recognition
An Antivirus API for Android Malware Recognition
 
Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
 
Sicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der ITSicherheitsgipfel - Chancen und Risiken der IT
Sicherheitsgipfel - Chancen und Risiken der IT
 
Tech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on AndroidTech Report: On the Effectiveness of Malware Protection on Android
Tech Report: On the Effectiveness of Malware Protection on Android
 
PEP - Protecting Electronic Products
PEP - Protecting Electronic ProductsPEP - Protecting Electronic Products
PEP - Protecting Electronic Products
 
Firmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote UpdateFirmware Encryption and Secure Remote Update
Firmware Encryption and Secure Remote Update
 
Infografik Produktschutz
Infografik ProduktschutzInfografik Produktschutz
Infografik Produktschutz
 
Cyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der WissenschaftCyber Security aus Sicht der Wissenschaft
Cyber Security aus Sicht der Wissenschaft
 
Produktschutz Infografik
Produktschutz InfografikProduktschutz Infografik
Produktschutz Infografik
 
IKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealthIKT-Trends und deren Bedeutung für eHealth
IKT-Trends und deren Bedeutung für eHealth
 
Innovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht ForschungInnovation braucht Sicherheit - Sicherheit braucht Forschung
Innovation braucht Sicherheit - Sicherheit braucht Forschung
 
Alan Turing
Alan Turing Alan Turing
Alan Turing
 
Sicherheit im Smart Grid
Sicherheit im Smart GridSicherheit im Smart Grid
Sicherheit im Smart Grid
 
40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg40 Jahre Informatik Hamburg
40 Jahre Informatik Hamburg
 

AISEC IT-Sicherheit Newsletter 1/2012

  • 1. F r A u n h o F E r r E S E A r C h I n S T I T u T I o n F o r A p p l I E d A n d I n T E g r AT E d S E C u r I T y AISEC Newsletter 01|12 Liebe Leserinnen und Leser, ich wünsche Ihnen ein erfolgreiches Jahr 2012. Ein Jahr, das viele SIT-München wird Fraunhofer AISEC Presseinformation 6.7.2011 Herausforderungen mit sich bringt. Ein Thema wird auch in diesem Jahr ein Dauerbrenner bleiben: die IT-Sicherheit. Die erfolgreichen Cyberangriffe auf Webseiten und Server von Unternehmen und Be- hörden haben uns zahlreiche Schwachstellen eindrucksvoll vor Au- gen geführt und mahnen uns, unsere Anstrengungen bei der Absi- cherung der IT-Systeme zu intensivieren. Daran arbeiten wir beim Fraunhofer AISEC mit Nachdruck. Im Zentrum unserer Forschungs- und Entwicklungsarbeiten in Garching bei München steht die an- Die Münchner Projektgruppe Sicherheit und Zu- verlässigkeit des Fraunhofer SIT wird zum 1. Juli gewandte und integrierte Sicherheit. Wir bieten unsere Expertise in eine selbstständige Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit. Dies be- Innovation braucht Sicherheit und allen Bereichen der IT-Sicherheit von Embedded Security über Au- schloss der Senat der Fraunhofer-Gesellschaft. Sicherheit braucht Forschung! In München arbeiten die Forscher daran, die Si- tomotive und Smart Grid Security bis hin zu Cloud Security und cherheit von Cloud-Computing und Eingebette- Presseinformation 14.9.2011 Produktschutz an. Mehr als 80 kompetente Mitarbeiterinnen und ten Systemen zu erhöhen. Weitere Ziele sind, Produktpiraterie zu verhindern oder vernetzte Mitarbeiter leisten im AISEC ihren Beitrag dazu. Unser Motto lautet kritische Infrastrukturen zu schützen. »Mit Sicherheit innovativ!« Wir stellen damit an uns den An- spruch, den Innovationsstandort Deutschland zu stärken und Unter- nehmen dabei zu unterstützen, ihre Produkte und Dienstleistungen gegen Angriffe jedweder Art zu schützen. Betrachten wir beispiels- weise den Bereich der Eingebetteten Systeme: Elektronische Steue- Unter dem Leitthema »Mit Sicherheit innova- rungselemente sind mittlerweile Bestandteil vieler Investitions- und tiv!« feierte am Montag, den 12. September FraunhoFer research InstItutIon For a p p l I e d a n d I n t e g r at e d s e c u r I t y 2011, Fraunhofer AISEC seine Eigenständigkeit Konsumgüter. Der Schaden durch Plagiate erreicht allein in Deutsch- Schutz eingebetteter SySteme vor mit einem Festakt und einer Technologieausstel- lung. Die über 200 interessierten Besucher land jährlich einen dreistelligen Millionenbetrag. Zudem geht von ProduktPiraterie technologiScher hintergrund und vorbeugemaSSnahmen konnten sich hautnah die innovativen Technolo- gefälschten Produkten eine Gefahr für die Nutzer dieser Produkte bartol FiliPoviĆ, oliver Schimmel 10/2011 gien von den AISEC Forschern und Forsche- rinnen erläutern lassen (von links nach rechts: aus. Wir haben die Angriffstechniken genau analysiert und Prof. Dr. Wolfgang A. Herrmann, Staatsminister Martin Zeil, Prof. Dr. Claudia Eckert, Prof. Dr. die AISEC-Forscher entwickeln Gegenmaßnahmen, um Fälschun- Hans-Jörg Bullinger und Prof. Dr. Georg Sigl). gen wirksam zu verhindern. Die Schwerpunkte unserer ange- wandten Forschung werden auch in diesem Jahr im Bereich Embe- dded Security, Netzwerksicherheit und Cloud-Sicherheit liegen. Woran wir aktuell arbeiten, können Sie stets auf unsere Webseite www.aisec.fraunhofer.de erfahren oder sich auf einer der dies- jährigen Messen informieren. Eine Übersicht mit unseren Präsenzen finden Sie am Ende dieses Newsletters. Wir würden uns über einen Besuch und den fachlichen Austausch sehr freuen. Bis dahin wün- sche ich Ihnen ein sicheres Jahr 2012 sowie eine erkenntnisstei- gernde Lektüre der folgenden Artikel. Ihre Claudia Eckert
  • 2. PrIVIDOr – PrIVacy VIOlatION DetectOr dATE n S A M M l E r n A u F d E r S p u r Webseiten sind angereichert mit besuchte Websites in Erfahrung zu brin- onen durchführen wollen, wird das Verhal- Funktionen, um mit dem Benutzer gen, z. B. welche sozialen Netzwerke be- ten aufgezeichnet und protokolliert. Mithilfe in Interaktion zu treten. Das kann sucht oder welche Onlinebanking-Dien- der angepassten Firefox-Version und eines gewünschte, aber für den Benutzer ste von einem Benutzer regelmäßig in speziellen Add-ons wird das erzeugte Lauf- auch ungewünschte Wirkung entfal- Anspruch genommen werden. zeitverhalten sowie JavaScript-Aufrufe auf ten. Diese reicht von einfacher Pro- n CSS History Hacks ermöglichen das Aus- DOM-Objekte festgehalten. Prividor kann tokollierung der Lesegewohnheiten lesen der Browser History auch bei deak- dabei auch unterschiedliche Browsertypen bis hin zu Drive-by Downloads von tiviertem JavaScript. simulieren, um etwa Aktionen zu erkennen, Malware. Das Forschungsvorhaben n Cookies, Flash-Cookies (auch als Local die speziell für bestimmte Browser entwi- PRIVIDOR (PRIvacy VIolation Detec- Shared Objects bekannt) sind die wohl ckelt wurden. Die gesammelten Daten wer- tOR) erstellt im Auftrag des Bundes- bekanntesten Varianten zur Identifizie- den in Berichten zusammengefasst und beauftragten für den Datenschutz rung von Nutzern oder Systemen. Sie er- Veränderungen fortgeschrieben. und die Informationsfreiheit eine möglichen die langfristige Speicherung Lösung, um automatisiert daten- nutzerbezogener Daten. schutz-bedenkliche Vorgänge auf n DOM Storage erlaubt die Speicherung Webseiten zu erkennen und zu do- von nutzerbezogenen Daten über erwei- kumentieren. Dazu hat Fraunhofer terte Funktionen des Document Object AISEC ein Werkzeug zur Webseiten- Models. Über DOM Storage können Da- analyse entwickelt, das auf Internet- ten in wesentlich größerem Umfang ge- seiten gezielt nach Anzeichen für speichert werden als herkömmlichen Datenschutzverstöße sucht. Cookies. Zudem können die gespeicher- ten Daten Domain-übergreifend ausgele- Das Software-Tool PRIVIDOR spürt Daten- sen werden. schutzverletzungen auf Websites auf. Mit n Formulare sammeln in vielen Fällen per- dem neuen Werkzeug will der Bundesdaten- sönliche Daten der Nutzer. Diese werden schutzbeauftragte Peter Schaar künftig die vielfach unverschlüsselt übertragen und Webauftritte der Bundesbehörden sowie sind somit von Dritten leicht abzufangen der Post- und Telekommunikationsunter- und auszuwerten. nehmen, die in seinen Aufgabenbereich fal- Manche dieser Technologien werden bereits Prividor entgeht nichts: Datenschutzverletzun- len, kontrollieren. Einige tausend öffentliche beim Aufsuchen der Seiten aktiv, andere gen auf Webseiten werden vom Software-Tool Stellen mit ihren Internetangeboten kämen entfalten ihre Wirkung erst in der Interakti- aufgespürt. laut Schaar in Betracht. on mit dem Benutzer. Nach einer Testphase im eigenen Haus pla- Das Werkzeug, das von Peter Schoo, Leiter PRIVIDOR ist in der Lage, den Einsatz dieser ne der Bundesdatenschutzbeauftragte Peter des Forschungsbereichs Netzsicherheit und Techniken zu identifizieren. Um eine Analy- Schaar, PRIVIDOR auch den Landesdaten- Frühwarnsysteme, und seinem Team entwi- se durchzuführen, simuliert PRIVIDOR das schutzbeauftragten zugänglich zu machen, ckelt wurde, prüft die Webseiten auf da- Verhalten eines normalen Nutzers. Indem erklärte er bei der Projektübergabe. Diese tenschutzrechtliche Probleme und erstellt ein automatisiert gesteuerter Firefox-Brow- sind auf Landesebene für den Schutz der anschließend detaillierte Berichte über die ser die zu prüfenden Seiten aufruft, dar- Privatsphäre im Internet zuständig. Als wei- Ergebnisse. Dabei wird die Verwendung stellt und dynamische Inhalte ausführt, kön- teren denkbaren Schritt könnte sich Schaar von verschiedenen Techniken untersucht: nen die Aktionen der aufgerufenen Seiten auch vorstellen, das aus dem Forschungse- n Web Analytics und User Tracking proto- nachvollzogen und protokolliert werden. tat der Behörde bezahlte Werkzeug der All- kolliert das Surfverhalten von Benutzern gemeinheit zur Verfügung zu stellen. einer Seite und ermöglicht eine Korrela- Über eine Webschnittstelle legen die Prüfer tion dieser Daten über lange Zeiträume. Listen zu beobachtender Seiten und von Kontakt: n JavaScript erlaubt das Auslesen privater Webdiensten an. Diese arbeitet der präpa- peter.schoo@aisec.fraunhofer.de n Informationen wie der Browser History, rierte Browser ab. Findet er Programm- Weitere Informationen: www.prividor.eu um damit Informationen über bereits schritte, die die oben beschriebenen Akti- 2
  • 3. Umabasa – UNclONable materIal-baseD secUrIty archItectUre SI C h E r E C h I p kA rT E n Fü r d IE Z ukunFT Jeder von uns trägt heute zahl- ihn umgebenden physikalischen, nicht re- reiche Chipkarten bei sich. Sie ver- produzierbaren Strukturen soll durch die schaffen uns Zugang zu Gebäuden, Verwendung einer Physical Unclonable steuern Bank- und Kreditapplikati- Function (PUF) erreicht werden. Das Verfah- onen oder legitimieren uns mit dem ren macht sich die Materialeigenschaften neuen Personalausweis. Der Schutz der verschiedenen Bauteile einer Chipkarte der Chipkarten vor Missbrauch und als auch der umliegenden Kartenstrukturen Fälschung muss deshalb für die ge- zunutze. »Jedes Bauteil verfügt über eine samte Lebensdauer, auch gegen bis- Art individuellen Fingerabdruck, da bei der her unbekannte Arten von Angrif- Produktion unweigerlich kleine Unter- fen, gewährleistet werden. schiede zwischen den Komponenten ent- stehen«, erklärt Dr. Frederic Stumpf, Be- Chipkarten haben sich in der Vergangenheit reichsleiter Embedded Security & Trusted Klonen nicht möglich: Ein Chip mit einem di- bewährt. Durch neuartige Angriffsarten ist OS am Fraunhofer AISEC, den Ansatz. So gitalen Fingerabdruck ist vor Missbrauch und die Sicherheit derzeitiger Chipgenerationen kommt es bei Leiterbahnen beispielsweise Fälschung geschützt. jedoch gefährdet. Invasive Angriffe, z.B. op- während des Fertigungsprozesses zu mini- tische Analysen oder Manipulationen mit malen Schwankungen der Dicke oder Län- Im Gegensatz zu herkömmlichen Ansätzen einem fokussierten Ionen-Strahl, erlauben ge. Diese Abweichungen haben zwar kei- wird der geheime Schlüssel nicht in der tiefe Einblicke und gezielte Eingriffe in nen Einfluss auf die Funktionalität, können Hardware gespeichert, sondern auf Anfra- Chipkarten-Prozessoren. Findige Daten- jedoch genutzt werden, um daraus einen ge jedes Mal neu erstellt. Da der Schlüssel diebe könnten die integrierten Schutzme- kryptographischen Schlüssel zu erstellen. direkt von den aktuellen Systemeigenschaf- chanismen durch Analyse der physika- ten abhängt, ist es deutlich schwieriger, ihn lischen Eigenschaften aushebeln. Eine Ein Beispiel dafür ist eine Schaltung mit zu extrahieren und zu klonen. Denn Atta- mögliche Lösung für die derzeitigen Pro- Verzögerungspfaden, welche durch unkon- cken auf den Chip würden physikalische bleme ist deshalb ein integrales Schutzkon- trollierbare Fabrikationsunterschiede bei der Parameter verändern – und damit auch die zept, das eine Kombination der Prozesse Chip-Herstellung entsteht. Eine solche einzigartige Struktur verfälschen oder zer- des Mikrochips mit den nicht reproduzier- Schaltung gibt für jeden damit ausgestat- stören. Der Sicherheitschip wird dadurch in baren Strukturen der Trägerkarte vorsieht. teten Chip charakteristische Antworten auf die Lage versetzt, selbständig zu erkennen, eingegebene Anfragen bzw. Anregungen ob er in seiner Original-Trägerkarte oder Gemeinsam mit dem Chiphersteller NXP und wirkt daher wie ein Schlüsselspeicher. einem manipulierten Kartenklon operiert. Semiconductors Germany GmbH und der Wird eine Manipulation erkannt, so kann Bundesdruckerei GmbH bereitet das Ein PUF-Modul kann dabei prinzipiell in je- die Funktionalität der Karte blockiert wer- Fraunhofer AISEC im Rahmen des vom Bun- den Chip integriert werden. AISEC-Forscher den. Die Sicherheitsarchitektur kombiniert desministerium für Bildung und Forschung haben in der Vergangenheit bereits zwei dabei physikalische, optische und mathe- (BMBF) geförderten Forschungsprojektes Prototypen entwickelt: einen Butterfly PUF matische Effekte als Sicherheitsmerkmale, UMABASA einen Weg für die nächsten Ge- und einen Ringoszillator PUF. Beide haben die ein nach heutigem Kenntnisstand sehr neration von hochsicheren Chipkarten vor. spezielle Eigenschaften und lassen sich in hohes Sicherheitsniveau erreichen. Die drei Partner entwickeln eine Chipkarten- Hardware-Komponenten wie FPGAs, Mi- architektur, auf denen zukünftig krypto- krochips und Smartcards implementieren. graphische Schlüssel nicht mehr binär ge- »Herzstück ist eine Messschaltung, bei- speichert werden müssen. Damit fällt ein spielsweise ein Ringoszillator: Dieser er- lukratives Angriffsziel für die Angreifer weg. zeugt ein charakteristisches Taktsignal, das Rückschlüsse auf die genauen Material- UMABASA ist ein Akronym für »Unclonable eigenschaften des Chips zulässt. Spezielle Material-Based Security Architecture« und Sensoren lesen diese Messdaten anschlie- Kontakt: steht für eine untrennbare kryptographi- ßend aus und generieren aus ihnen den frederic.stumpf@aisec.fraunhofer.de n sche Kopplung von Mikrochips und Träger- bauteilspezifischen Schlüssel«, erläutert Dr. Weitere Informationen: www.aisec.fraunhofer.de karten. Diese Kopplung des Mikrochips mit Frederic Stumpf. 3
  • 4. smart meter secUrIty I nTEll I g E n T gE n u g Fü r d IE Z u kunFT? Die zunehmende Einspeisung von und Energieversorgung zu gefährden – mit Strom aus dezentralen Energiequel- weitreichenden Folgen für die Volkswirt- len, aber auch veränderte Bedarfs- schaft. felder stellen künftige Energiever- sorgungssysteme vor ganz neue Entsprechend hoch sind die Anforderungen Herausforderungen. Abhilfe soll das an die Endgeräte. Die Kommunikation zwi- intelligen te Stromnetz Smart Grid schen den beteiligten Geräten muss vor schaffen, das eine flexiblere Ener- dem Einschleusen falscher Daten ebenso gieversorgung garantiert. Wichtiger geschützt werden wie die Dienste zur Erfas- Bestandteil sind intelligente Strom- sung des Stromverbrauch und der Abrech- zähler, Smart Meter, die eine ge- nung. naue Erfassung der Stromnutzung Den Dingen auf den Grund gehen. Im Labor ermöglichen. Seit Januar 2010 sind werden Schwachstellen von Hardware analy- Dr. Frederic Stumpf und sein Team haben siert – auch wenn sie tief verborgen sind. diese in Deutschland für Neubauten sich deshalb handelsübliche Smart Meter und bei Komplettsanierungen vor- nete Schutzmaßnahmen müssen von Anbe- angesehen und gezielt nach Angriffspunk- geschrieben und werden in Zukunft ginn in die Infrastrukturen integriert wer- ten gesucht. »Die Ergebnisse waren überra- in den meiseten Haushalten instal- den, um derartige Angriffe weitgehend zu schend«, so Stumpf. »Sind die Informa- liert sein. Für einen Angreifer stel- vermeiden und um zu verhindert, dass ma- tionen auf dem Übertragungsweg weitge- len Smart Meter interessante An- nipulierte Smart Meter im Smart Grid zu hend unangreifbar und durch starke krypto- griffsziele dar, um bspw. Tatwerkzeugen mutieren.« graphische Algorithmen gut geschützt, so manipulierte Verbrauchszahlen an tun sich am Stromzähler große Lücken auf.« den Energieversorger zu senden. Die Angriffsszenarien in einem von dezen- So sind die Schnittstellen zwischen den Ge- Das Smart Grid Security Testlabor tral erzeugten Informationen abhängigen, rätekomponenten häufig leicht zu umge- am Fraunhofer AISEC hat deshalb rückgekoppelten Netz sind vielfältig: Beim hen und dadurch ausgetauschte Daten und marktübliche Smart Meter gezielt Verbraucher installierte Smart Meter und Protokolle einfach mitzulesen – und zu ma- auf die Möglichkeiten der Kompro- Gateways können beispielsweise zum nipulieren. Besonders einfach und damit mittierung untersucht – und zahl- Stromdiebstahl missbraucht werden. Sie gefährlich, wird der Angriff, wenn bis auf reiche Schwachstellen gefunden. könnten aber auch im schlimmsten Fall, das Betriebssystem hinab zugegriffen wer- ähnlich einem Botnet, in großer Zahl dazu den kann. In diesem Fall liegen alle Routi- Smart Meter sind in ein Kommunikations- herangezogen werden, ein Stromnetz nen offen; einer gezielten Manipulation netz eingebunden. Das heißt, sie stehen in durch manipulierte Erzeuger- oder Ver- steht nichts mehr im Weg. Sogar die kryp- permanentem Kontakt mit den Stromnetz- brauchsdaten zum kollabieren zu bringen tographischen Schlüssel sind damit zugäng- betreibern und werden von diesen fernaus- lich und können beliebig kopiert und gege- gelesen. Smart Meter werden aber in Zu- benenfalls manipuliert werden. kunft nicht nur Informationen liefern, sondern könnten auch steuernde Funkti- Die Forscher am Fraunhofer AISEC analysie- onen übernehmen. Das gibt ihnen eine be- ren existierende Smart Grid Komponenten, sondere sicherheitstechnische Bedeutung, entwickeln sichere Smart Meter auf der zumal sie sich physisch an Orten befinden, Basis des Schutzprofils des Bundesamts für die sich der Kontrolle und Aufsicht der Sicherheit in der Informationstechnik (BSI), Stromnetzbetreiber entziehen. konzipieren Smart Grid Referenzarchitektu- ren und beraten Bedarfsträger beim Aufbau »Wie der Stuxnet Wurm Mitte 2010 ein- und Betrieb sicherer Smart Grids. drucksvoll gezeigt hat, sind auch formal ab- geschottete Steuerungsnetze wie industri- Kontakt: Smart Meter sind ein Baustein des Intelligenten elle Steuerungsanlagen nicht automatisch Stromnetzes (Smart Grid). Deren Sicherheit so- frederic.stumpf@aisec.fraunhofer.de n gegen erfolgreiche Angriffe resistent«, gibt wie die Sicherheit der gesamten IT-Infrastruktur Weitere Informationen: sind entscheidend für den Erfolg von Smart www.aisec.fraunhofer.de Dr. Frederic Stumpf zu bedenken. »Geeig- Grid. 4
  • 5. clOUD labOr MI T d E M A u T op IloT d u r C h d IE Cloud Viele Unternehmen zögern, ihre Da- spezielles Verschlüsselungskonzept, das ten oder gar kritische Teile ihrer IT- Informationen vor dem unbefugten Zu- Infrastruktur einem Cloud-Anbieter griff Dritter schützt und nur bei Bedarf zu übergeben. Grund dafür sind oft diejenigen Informationen entschlüsselt, Unsicherheit und Unerfahrenheit in die wirklich benötigt werden. Zur Mes- Sachen Datensicherheit, Compliance sung der Sicherheit von Cloud-Diensten und Verfügbarkeit. haben die Entwickler Kennwerte ermit- Damit Anbieter technische und or- telt. Diese beinhalten Messwerte zur Ver- ganisatorische Sicherheitsanforde- fügbarkeit und anderen überprüfbaren Den Überblick behalten: Im Dasboard des Cloud-Leitstand laufen alle wichtigen Kenn- rungen entsprechend der Compli- Sicherheitsmaßnahmen, mit denen das Si- zahlen zusammen und bieten dem Anwender einen klaren, umfassenden Überblick über das ance-Anforderungen ihrer Kunden cherheitsniveau des Anbieters festgestellt System und den Status seiner Prozesse. auch in der Cloud erfüllen können, werden kann. Dadurch können Unterneh- hat das Fraunhofer AISEC unlängst men prüfen, ob das jeweilige System den ei- möglicht. Die große Schwierigkeit für den ein Cloud-Labor in Betrieb genom- genen Anforderungen genügt. Falls nicht, Anwender bestehe vor allem darin, gegen- men. Dort testet das Team um Be- lassen sich die Daten speziell abgesichert über den undurchsichtigen Cloud-Struk- reichsleiter Mario Hoffmann ver- von einer Cloud in eine andere verschieben. turen Vertrauen in deren Sicherheit aufzu- schiedene Aspekte der System- und bauen. Das gelingt am einfachsten, wenn Sicherheitsarchitektur der zugrunde In einer Studie, die das Team am Fraunhofer der Nutzer eine Definition seiner individu- liegenden Cloud-Betriebssysteme AISEC vor kurzem abgeschlossen hat, stel- ellen Sicherheitsanforderungen aufstellt, aus dem kommerziellen und dem len die Forscher systematisch einen »Ver- damit er die Sicherheitsfunktionen alterna- Open Source Bereich, aber auch die gleich der Sicherheit traditioneller IT-Syste- tiver Anbieter vergleichen kann. Zuverlässigkeit von Standardfunkti- me und Public Cloud Computing Systeme« onen wie virtuellen Instanzen oder an. Darin stellen sie fest, dass Sicherheitsa- Um solche Vergleiche zu ermöglichen aber Fail-over auf Belastungen wie etwa spekte von Cloud-Anbietern meist zurück- auch um den aktuellen Sicherheitslevel ei- Denial of Service-Angriffe (DOS). haltend behandelt werden. »Hervorgeho- ner Cloud bestimmen zu können, trägt das ben wird stets die betriebswirtschaftliche Fraunhofer AISEC in seiner jüngsten Entwick- Das Cloud-Labor des Fraunhofer AISEC be- Vorteilhaftigkeit von Cloud-Services, Sicher- lung, dem sogenannten »Cloud-Leitstand«, gnügt sich nicht nur mit der Analyse der heitsimplikationen hingegen werden oft Kennzahlen zusammen, die für ein bestimm- bestehenden Betriebs- und Anwendungssy- unsystematisch und per se nachteilig darge- tes Cloud-Ökosystem zur Verfügung stehen. steme. Es entwickelt ebenfalls Lösungen stellt. Auf diesem Wege werden bereits im Diese werden sodann gefiltert, aggregiert zur Datenverschlüsselung, Datenüberwa- Vorhinein weitergehende Auseinanderset- und interpretiert und schließlich zu aussage- chung und automatischen Datenverschie- zungen mit der Sicherheit in Cloud Compu- kräftigen Statusmeldungen über das Gesamt- bung in der Cloud. Cloud Computing bietet ting Systemen verhindert. Daraus entsteht system zusammengefasst. »In der Praxis er- Anwendern die Möglichkeit, ihre Prozesse in der Eindruck, dass die Sicherheit von SaaS möglichen wir so vom Administrator bis zum virtualisierten Arbeitsumgebungen auszu- Anwendungen keinerlei Vorteile gegenüber Manager eine zielgruppengerechte Aufberei- führen, die transparent für den Anwender On-Premise-Lösungen besitzt.« tung des jeweiligen Sicherheitsstatus einer von Server zu Server transportiert werden Cloud«, stellt Mario Hoffmann fest. »Mit und damit auch unbemerkt Rechenzen- In der Untersuchung kommen die Forscher dem Cloud-Leitstand gelingt es uns, die in trums- und Ländergrenzen überschreiten zu einem differenzierten Ergebnis. Es wird einem Cloud-Ökosystem zur Verfügung ste- können, was nicht nur bei regulatorischen deutlich, dass fortwährende Investitionen henden Informationen über den Systemzu- Anforderungen ein großes Problem darstel- der Anbieter auf allen technologischen Ebe- stand übersichtlich darzustellen. So wird Si- len kann. Damit Unternehmen das Risiko für nen eines Cloud Computing Systems zu cherheit für Anbieter wie für Anwender ihre Daten dennoch einschätzen und kon- einem ansteigenden Automatisierungsgrad selbstverständlicher Teil der Cloud-Nutzung.« trollieren können, haben Mitarbeiter des führen. Im Vergleich zu traditionellen IT-Sys- Fraunhofer AISEC Lösungen entwickelt, mit temen wird auf diese Weise vor dem Hin- Kontakt: mario.hoffmann@aisec.fraunhofer.de n denen sich das Sicherheitsniveau von Cloud- tergrund der Arbeitsteilung und Spezialisie- Weitere Informationen: Angeboten messen und Daten auch in der rung ein effektiverer und effizienterer Um- www.cloudsecuritylab.de www.aisec.fraunhofer.de Cloud schützen lassen. Grundlage bildet ein gang mit Bedrohungen der Sicherheit er- 5
  • 6. Impressum Herausgeber: Redaktion: Bildnachweise: Fraunhofer Research Institution for Applied and Viktor Deleski Volker Steger: 4 Integrated Security AISEC Getty Images: 3 Parkring 4, Satz und Layout: Fotolia: 1 85748 Garching m@riondesign.de Tel.: +49 089 3229986-133 Fax.: +49 089 3229986-299 Text: presse@aisec.fraunhofer.de Bernhard Münkel www.aisec.fraunhofer.de MESSEN / VERANSTALTUNGEN +++ RSA Conference, 27.2.–2.3.2012, San Francisco +++ Embedded World, 28.2.–1.3.2012, Nürnberg +++ Mobile World Congress, 27.2.–1.3.2012, Barcelona +++ CeBIT, 6.3.–10.3.2012, Hannover +++ Hannover Messe Industrie 23.4.–27.4.2012, Hannover +++ Aktuelle Termine zu Messen, Kongressen, Symposien unter: http://www.aisec.fraunhofer.de/de/messen-veranstaltungen.html THREAT VECTORS 2012 BITKOM: HIGHTECH-TRENDS 2012 Die amerikanische Zeitschrift infosecurity befragte mehr als 20 IT-Si- cherheits-Unternehmen nach den größten Bedrohungen für 2012. mobile APT social engeneering Iinfrastructure BYOD targeted social media SQL/XSS DOoS privacy others Quelle: eigene Grafik, erstellt nach http://www.infosecurity-magazine.com/view/22567/2012-threat- Quelle: http://www.bitkom.org/de/presse/8477_70999.aspx predictions-an-industry-roundup/ FRAUNHOFER AISEC IN DEN SOCIAL MEDIA Fraunhofer AISEC @FraunhoferAISEC München | Munich Hier twittert das PR-Team der Fraunhofer Research Institution for Applied and Integrated Security AISEC | http://bit.ly/AISEC_impressum http://www.aisec.fraunhofer.de http://gplus.cm/FraunhoferAISEC LINKS n Studie: Smart Grid Communications 2020 http://www.esk.fraunhofer.de/de/publikationen/studien/SmartGrid2020.html n Infomaterial: Produktschutz (Verband Deutscher Maschinen- und Anlagenbau e.V.) http://www.vdma.org/wps/portal/Home/de/Branchen/K/KUG/Produktschutz?WCM_GLOBAL_CONTEXT=/vdma/Home/de/ Branchen/K/KUG/Produktschutz n Video: »Der Spion im Keller« – Bayerischer Rundfunk (Kontrovers) http://www.br.de/fernsehen/bayerisches-fernsehen/sendungen/kontrovers/111109-kontrovers-smartmeter104.html